А Вы в курсе, что ОС Windows позволяет изменить редакцию с младшей на старшую, сохранив при этом все установленные программы, документы и настройки?! Так вот она умеет и так!!! Это очень удобно, ведь так не хочется тратить уйму драгоценного времени на переустановку операционной системы. И сейчас я покажу Вам как это делается!

Изменение редакции в Windows 10/11

Для обычных десктопных версий Windows (например, для перехода с «Домашней»(Home) на «Профессиональную»(Pro) используется встроенная специальная утилита changepk.exe.

Вот пример использования этой команды:

changepk.exe /ProductKey XXXXX-XXXXX-XXXXX-XXXXX-XXXXX

XXXXX-XXXXX-XXXXX-XXXXX-XXXXX — это ключ продукта. Вы можете использовать ваш лицензионный ключ или универсальный ключ. Универсальный ключ обычно применяется при установке Windows, если вы выбираете пункт «Пропустить ввод ключа».

Шаги для изменения редакции Windows 10/11:

1. Откройте командную строку с правами администратора.
2. Выполните команду с вашим ключом.
3. Перезагрузите систему по запросу.

Апгрейд редакции в Windows Server

Для серверных систем (например, Windows Server Standard или Evaluation -> Datacenter) используется утилита DISM. Пример процесса:

Узнать текущую редакцию:

DISM /online /Get-CurrentEdition

Посмотрим доступные редакции для апгрейда:

DISM /online /Get-TargetEditions

Выполнить апгрейд до нужной редакции:

DISM /online /Set-Edition:ServerDatacenter /ProductKey:XXXXX-XXXXX-XXXXX-XXXXX-XXXXX /AcceptEula

Сейчас, скачав ISO-образ Windows с неофициальных источников можно очень быстро нажить себе проблем. Почему? А потому что Вы можете установить модифицированную версию с вредоносным ПО. Поэтому, для обеспечения собственной информационной безопасности, я настоятельно рекомендую проверять контрольные суммы образов. И сейчас я покажу несколько способов как проверить контрольную сумму ISO в Windows 11.

Команда Get-FileHash

Самый простой и распространённый способ — это использование командлета Get-FileHash в PowerShell. Он используется в Виндовс для вычисления хеш-суммы файла:

Get-FileHash "C:\Path\to\your\file.iso" -Algorithm SHA256

По умолчанию используется алгоритм SHA256, но, при необходимости, Вы можете указать и другие: SHA1, SHA384, SHA512, MD5.

Утилита certutil

Также можно использовать встроенную утилиту certutil:

certutil -hashfile "C:\Path\to\your\file.iso" SHA256

Результатом будет контрольная сумма проверяемого ИСО-образа.

Сравнение с оригинальными хешами.

Полученные хеш-суммы следует сравнить с официальными. Где их взять. А вот где:

1. На сайте Visual Studio Downloads (для доступа потребуется учетная запись Microsoft).
2. На ресурсе RG-Adguard. Тут можно искать прямо по хешу.

Автоматическая проверка соответствия

Для автоматизации проверки можно использовать следующий скрипт в PowerShell:

$expectedHash = "c90a6df8997bf49e56b9673982f3e80745058723a707aef8f22998ae6479597d"
(Get-FileHash "C:\Path\to\your\file.iso" -Algorithm SHA256).Hash -eq $expectedHash

Если результат будет «True», то это значит файл подлинный; а вот если False — образо может быть поврежден или подделан.

У системного администратора разные задачи бывают. Одна из такие — когда нужно поменять имя сервера Windows, но при этом обеспечить плавную миграцию клиентов, то есть без массово их отвала и жалоб на недоступность сервера. Как это сделать?! Самый оптимальный вариант — это добавить альтернативное имя. Это позволит временно сохранить старое имя до тех пор, пока все клиентские устройства плавно не перетекут на новое.

В Windows Server для этого используется консольная утилита netdom.

Вот пример её использования:

netdom computername fs01 /ADD new-server.corporate.local

Эта команда автоматически создаст CNAME (алиас) в DNS и обновит SPN в Active Directory.

Если же у Вас сервер живёт не на серверной ОС а на обычно  Windows 10 или Windows  11, то там уже утилиты netdom нет. В этом случае придётся добавить новое имя вручную:

1️⃣ Создать CNAME-запись в DNS;
2️⃣ Добавить имя в реестре (AlternateComputerNames);
3️⃣ Обновить SPN для учётной записи компьютера.

Такой «финт» поможет избежать сбоев при переходе на новое имя сервера.

По умолчанию весь DNS-трафик операционная система передаёт серверу через сеть в открытом виде. То есть, фактически любой,  у кого есть возможность как-то Ваш трафик перехватить, сможет увидеть какие сайты вы посещаете. Чтобы решить эту проблему в ОС Windows, компания Microsoft внедрила поддержку протокола DNS over HTTPS (сокращённо DoH) в Windows 11 и Windows Server 2022. И сейчас я хочу показать как этим пользоваться.

В этой инструкции я покажу как настроить DNS-over-HTTPS через интерфейс операционной системы и с помощью командной оболочки PowerShell. Использовать мы будем сервер Яндекс.DNS 77.88.8.8.

Настройка DNS over HTTPS в Windows 11

Самый простой способ включить шифрование DNS-запросов, с которым справится каждый, предоставляет нам интерфейс операционной системы.

Вам надо открыть параметры системы и открыть настройки сетевого интерфейса.
Ethernet-подключение:

Параметры => Сеть и Интернет => Ethernet => Назначение DNS-сервера => Изменить => Вручную

Беспроводная сеть Wi-Fi:

Параметры => Сеть и Интернет => Wi-Fi => Свойства => Назначение DNS-сервера => Изменить => Вручную

В моём примере я буду включать DoH на Wi-Fi подключении.

После нажатия на кнопку «Изменить» появится окно «Изменение параметров DNS для сети». Здесь обычно стоит значение «Автоматически (DHCP)», а мы меняем его на «Вручную» и включаем протокол IPv4. Если Вы активно используете уже IPv6, то включайте и настаивайте его.

Далее находим параметр «DNS по протоколу HTTPS», и включаем его. Тут есть два варианта. Первый — «Включено (автоматический шаблон)». Он используется для официально поддерживаемых DNS-серверов: Google, Cloudflare и Quad9. Как посмотреть весь этот список я покажу ниже. Мы же с Вами будем использовать второй вариант — «Включено (ручной шаблон)» и пропишем DNS-сервер от Яндекса: 77.88.8.8. Его шаблон протоколу HTTPS такой: https://common.dot.dns.yandex.net/dns-query. Нажимаем кнопку «Сохранить» для применения настроек.

Как включить шифрование DNS запросов через PowelShell

Шаг 1. Выбор DNS-сервера

В Windows уже есть встроенный список публичных DNS-серверов с поддержкой DoH, например:

Quad9 - 9.9.9.9
Google — 8.8.8.8
Cloudflare — 1.1.1.1
и т.д.

Вывести этот список в командной оболочке PowerShell Вам поможет команда Get-DNSClientDohServerAddress.

Вы можете использовать любой DNS из предложенного системой списка или добавить в него DNS-сервер от Яндекса — 77.88.8.8. Кроме его IP адреса, нам нужно указать и его URL-адрес — «https://common.dot.dns.yandex.net/dns-query«. Добавляем сервер в список

$DNSServer="77.88.8.8"
Add-DnsClientDohServerAddress -ServerAddress $DNSServer -DohTemplate "https://dns.yandex.ru/dns-query" -AllowFallbackToUdp $False -AutoUpgrade $True

Шаг 2. Включение DNS over HTTPS на сетевом интерфейсе

Задаём IP Яндекс.DNS как предпочтительный для адаптера Ethernet0:

Set-DnsClientServerAddress Ethernet0 -ServerAddresses ($DNSServer)

Если у Вас имя адаптера отличается от указанного в примере, то в командах надо будет внести соответствующие исправления.

Включаем  DoH для интерфейса Ethernet0:

$i = Get-NetAdapter -Physical -Name Ethernet0
$s1 = "HKLM:System\CurrentControlSet\Services\Dnscache\InterfaceSpecificParameters\" + $i.InterfaceGuid + "\DohInterfaceSettings\Doh\$DNSServer"
New-Item -Path $s1 -Force | New-ItemProperty -Name "DohFlags" -Value 1 -PropertyType QWORD
Clear-DnsClientCache

Теперь можно проверять шифруются ли наши DNS-запросы или нет.

Как проверить работает DNS-over-HTTPS или нет

Проверить работу DNS-over-HTTPS можно несколькими способами. Первый — это разнообразные сервисы в Интернете. Например, DNS leak best. Заходим на сайт, нажимаем кнопку «Extended test» и ждём пока пройдёт тестирование.

В результатах Вы должны будете увидеть указанные DNS в столбце ISP. В моём примере всё верно. Если бы DoH не работала, то вместо Яндекса там «светились» бы серверы провайдера.

Второй способ проверить работу DoH — это использование встроенного в Windows анализатора сетевого трафика Packetmon. Нам нужны всего три команды:

1. Сброс всех фильтров пакетов сетевого трафика:

pktmon filter remove

2. Добавление своего фильтра:

pktmon filter add -p 53

Packetmon будет ловить все пакеты на 53-ем TCP порту

3. Запуск анализа трафика:

pktmon start --etw -m real-time

Теперь надо в браузере открыть несколько разных сайтов, а потом посмотреть в вывод Packetmon’а:

А здесь, как мы видим, ничего нет. Запросы через обычный DNS не бегают.  Чего мы и добивались! Теперь все DNS-запросы ходят только через зашифрованное HTTPS-соединение и отследить их практически невозможно!

Регулярная смена пароля учётной записи через определённые промежуток времени — это стандартная практика по соблюдению информационной безопасности в компаниях. Некоторые нерадивые системные администраторы эти пренебрегают, включая так называемый  «бессрочный пароль». Это в корне неправильно. В крайнем случае, если пользователи очень сильно просят, можно  продлить срок действия пароля в Active Directory. И сейчас я покажу как это сделать!

Как правило, для продления пароля, обновляют дату смены пароля с помощью команды PowerShell за два простых шага. Вот так:

1. Установить значение pwdLastSet на 0:

Эта команда устанавливает атрибут pwdLastSet в значение 0. Для системы это значит, что пользователь должен немедленно сменить пароль.

2. Установить значение pwdLastSet обратно на -1:

Эта команда обновляет атрибут pwdLastSet на текущее время, продлевая таким образом срок действия пароля.

Profit! Для системы эти простые действия выглядит так, как будто пользователь только что изменил пароль и срок его использования будет отсчитываться с момента выполнения этих команд! Быстро и просто!