💡 Полезные Советы

Открытые порты представляют собой "незапертые двери" к потенциально уязвимым сервисам любой сети. Некоторые порты, изначально предназначенные для конкретных служб, могут быть использованы злоумышленниками для взлома. Например, 21/TCP (FTP), 22/TCP (SSH), 23/TCP (Telnet) и 3389/TCP (RDP) — опасные, так как часто подвергаются атакам подбора паролей и эксплуатации уязвимостей.

1. Порт 22/TCP (SSH). Используется для защищенного удаленного доступа к серверам. Часто подвержен атакам подбора паролей. Рекомендуется использовать ключи SSH вместо паролей для повышения безопасности.
2. Порт 80/TCP (HTTP). Применяется для доступа к веб-страницам. Может быть атакован с помощью XSS, SQL-инъекций и других уязвимостей веб-приложений. Рекомендуем использовать HTTPS для шифрования данных.
3. Порт 443/TCP (HTTPS). Используется для защищенной передачи данных через интернет. Хоть HTTPS и шифрует данные, уязвимости в SSL/TLS могут позволить злоумышленникам их перехватывать. Поэтому крайне важно поддерживать сертификаты и настройки безопасности в актуальном состоянии.
4. Порт 3389/TCP (RDP). Применяется для доступа к службе удаленных рабочих столов в ОС Windows. Часто становится целью атак из-за слабых паролей и уязвимостей данной системы. Рекомендуем ограничивать доступ по IP и использовать многофакторную аутентификацию.
5. Порт 21/TCP (FTP). Используется для передачи файлов. Отправка данных в открытом виде делает FTP уязвимым для перехвата. Рекомендуем использовать FTPS или SFTP для защиты информации.
6. Порт 3306/TCP (MySQL). Применяется для работы с базами данных MySQL. Неконтролируемый доступ к базе данных может привести к утечкам информации. Рекомендуем ограничить доступ к этому порту до авторизованных пользователей.
7. Порт 23/TCP (Telnet). Используется для удаленного доступа и управления устройствами. Как и FTP, Telnet передает данные в открытом виде. Рекомендуем полностью отказаться от Telnet в пользу SSH.
8. Порт 445/TCP (SMB). Применяется для обмена файлами в сетях Windows. Может быть использован для распространения вредоносного ПО. Рекомендуем отключить SMB, если он не нужен, или использовать актуальные версии протокола.
9. Порт 5432/TCP (PostgreSQL). Используется для доступа к базам данных PostgreSQL. Аналогично MySQL, открытый порт может быть использован для атак. Рекомендуем ограничить доступ и использовать надежные пароли.
10. Порт 5900/TCP (VNC). Применяется для удаленного доступа к графическому интерфейсу. Может быть подвержен атакам из-за слабых паролей. Рекомендуем использовать VPN для защищенного доступа.

Влияние правил Outlook

Пользовательские правила могут перенаправлять, удалять или сортировать письма, что приводит к их "исчезновению" или задержкам:

1 )Проверьте правила в Outlook:

• Откройте: Файл → Управление правилами и оповещениями.
• Просмотрите список правил. Обратите внимание на правила с действиями «Удалить», «Переместить в папку», «Перенаправить».
• Временно отключите все правила (снимите галочки) и проверьте, приходят ли письма.

2 ) Серверные правила (если используется Exchange):

• Проверьте через Outlook Web Access (OWA) → Настройки → Правила.
• Серверные правила могут обрабатывать письма до их загрузки в Outlook.
• Другие возможные причины

а) Спам-фильтры - Проверьте папки «Нежелательная почта», «Спам» или «Удаленные». Добавьте адрес отправителя в «Безопасные отправители».

б) Проблемы с сервером или интернетом - Убедитесь, что Outlook подключен к интернету и интернет работает стабильно. Проверьте статус почтового сервера (возможны технические сбои).

в) Антивирус/Брандмауэр - некоторые программы блокируют работу Outlook. Временно отключите их для проверки.

г) Лимиты на размер вложений - Письма с большими вложениями могут задерживаться или блокироваться.

д) Задержки на стороне отправителя - Попросите отправителя проверить, не было ли ошибок при отправке.

е) Проблемы с DNS или MX-записями - Ошибки в настройках домена могут вызывать задержки.

Диагностика:

Проверьте через веб-интерфейс - если письма приходят туда, но не в Outlook, проблема в локальных настройках.

Последние версии образов Windows 11 требуют обязательного подключения к Интернету при установке и максимально затрудняют использование локальной учётной записи вместо аккаунта Майкрософт, однако способы обойти ограничения есть.

Принудительное создание локальной учетной записи на этапе OOBE !

После процесса копирования файлов Windows 11 и первой перезагрузки вы попадёте на экран OOBE (Out Of the Box Experience) для настроек. В любой момент на этом экране, даже в самом начале вы можете инициировать создание локальной учётной записи, в том числе и без наличия Интернет-подключения. Шаги будут следующими:

1. Нажмите клавиши Shift+F10 на клавиатуре, на некоторых ноутбуках может потребоваться нажать Shift+Fn+F10.
2. Откроется окно командной строки, нажмите по нему: по умолчанию оно не активно сразу после открытия).
3. Введите команду start ms-cxh:localonly и нажмите Enter.
4. Появится окно создания локальной учётной записи, введите нужные данные: имя пользователя и, если требуется — пароль с подтверждением.
5. Нажмите "Далее".

На этом всё, локальная учетная запись будет создана и дальнейшие шаги в OOBE, включая обязательное подключение к Интернету, проделывать не потребуется.

Вы увидите экран подготовки системы к первому запуску.

В новых версиях BIOS (UEFI) 2021+ при невидимости диска во время установки Windows часто помогает отключение Secure Boot и Intel VMD. Найти эти параметры можно в расширенных настройках BIOS — вкладки «Advanced» и «Security».

Secure Boot — это функция UEFI, которая проверяет цифровую подпись загрузочных компонентов (например, загрузчика Windows или Linux), чтобы убедиться, что они не были изменены вредоносным ПО. Она предотвращает запуск неподписанного или непроверенного кода на этапе загрузки.

Почему мешает установке Windows? 

Если установочный носитель Windows создан неправильно (например, используется устаревшая версия или неофициальный образ), Secure Boot может заблокировать его загрузку. Некоторые дистрибутивы Linux также не поддерживают Secure Boot без дополнительной настройки.

Intel VMD — это технология управления дисками, используемая в современных платформах Intel (начиная с 11-го поколения процессоров и новее). Она объединяет несколько физических NVMe-дисков в логические тома, а также предоставляет функции вроде аппаратного RAID. Однако для работы VMD требуется специальный драйвер, который отсутствует в стандартном установочном образе Windows.

Почему мешает установке Windows? 

Если VMD активен, контроллер диска работает в режиме, который не распознаётся установщиком Windows без дополнительных драйверов. В результате установщик не видит диски, и вы не можете выбрать раздел для установки.

1. BIOS (Basic Input/Output System)

BIOS появился в 1975 году вместе с первыми ПК на базе процессоров Intel. Он стал стандартом для IBM PC-совместимых компьютеров и долгое время был единственным интерфейсом между железом и ОС.

Основная задача: Инициализация аппаратных компонентов (POST — Power-On Self-Test) и передача управления загрузчику ОС.

1.2 Архитектура BIOS

• 16-битный режим: Работает в реальном режиме процессора (Real Mode), что ограничивает адресацию памяти до 1 МБ (из них только 640 КБ доступно для ОС).
• Прошивка ROM: Хранится в микросхеме на материнской плате. Обновляется через перепрошивку (например, утилитой вроде AWDFLASH).
• Интерфейс: Текстовый (синий/серый экран), управление осуществляется только клавиатурой.
• Таблица векторов прерываний (IVT): BIOS предоставляет ОС доступ к железу через прерывания (например, INT 13h для работы с дисками).

1.3 Ограничения BIOS

• MBR (Master Boot Record):
  • Максимальный размер диска — 2 ТБ (из-за 32-битной адресации секторов).
  • До 4 первичных разделов (или 3 + 1 расширенный с логическими).
  • Загрузочный код MBR уязвим к перезаписи (вирусы вроде Bootkit).
• Скорость загрузки: Последовательная инициализация устройств. Нет поддержки параллельных процессов.
• Безопасность: Отсутствует проверка загрузчика. Любой код в MBR выполняется без контроля.
• Совместимость: Проблемы с современными технологиями (например, диски >2 ТБ, NVMe, USB 3.x).

2. UEFI (Unified Extensible Firmware Interface)

EFI был разработан Intel в 1998 году для серверов Itanium. Позже переименован в UEFI (2005) и передан организации UEFI Forum.

Цель: Устранить ограничения BIOS, обеспечить поддержку современных технологий и стандартизацию.

2.2 Архитектура UEFI

• 32/64-битный режим: Работает в Protected Mode или Long Mode, что позволяет использовать всю доступную память.
• Модульность: Состоит из драйверов (.efi), приложений и сервисов, загружаемых динамически. Поддерживает сетевые протоколы (PXE), файловые системы (FAT32, NTFS, EXT4).
• Интерфейс: Графический (GUI) с поддержкой мыши, сенсорного ввода и локализации. Расширенные настройки (например, разгон CPU, управление вентиляторами).

2.3 GPT (GUID Partition Table)

[Image of GPT partition structure diagram]

• Структура: Использует GUID (глобальные уникальные идентификаторы) для разделов. Заголовок GPT хранится в начале и конце диска для избыточности.
• Преимущества:
  • Поддержка дисков до 9.4 ЗБ (зеттабайт = 1 млрд ТБ).
  • До 128 первичных разделов.
  • CRC-контроль целостности данных.

2.4 Secure Boot

• Принцип работы: Проверяет цифровую подпись загрузчика (например, grubx64.efi) с использованием сертификатов, хранящихся в UEFI.
• Защита: Блокирует запуск неподписанного кода (например, руткитов).
• Нюансы: Возможны проблемы с установкой альтернативных ОС (например, Linux). Решение — добавление собственных ключей в UEFI или отключение функции.

2.5 Скорость загрузки

• Параллельная инициализация: Устройства инициализируются одновременно, а не последовательно.
• Оптимизация: UEFI сохраняет информацию об оборудовании между сеансами (например, через NVRAM).
• Fast Boot: Технология пропуска POST для некоторых устройств для мгновенного старта.

Итог: UEFI — это революция

UEFI устранил ключевые недостатки BIOS, обеспечив:

1. Поддержку современных технологий (GPT, NVMe, Secure Boot).
2. Ускоренную и безопасную загрузку.
3. Гибкость для разработчиков и пользователей.

Технология PoE: Питание через Ethernet

Некоторое современное оборудование может получать питание по технологии Power over Ethernet (PoE) — питание по кабелю Ethernet. Это исключает необходимость прокладки отдельных силовых кабелей к устройствам.

Как правило, по PoE запитывают не слишком мощное оборудование:

• Точки беспроводного доступа (Wi-Fi);
• Камеры видеонаблюдения;
• IP-телефоны.

Принцип работы

Технология основана на особенностях стандартов передачи данных 10/100 Мбит/с. В стандартном кабеле «витая пара» (4 пары проводов):

• 2 пары задействованы для передачи данных;
• 2 свободные пары используются для подачи питания.

Оборудование и управление

Для реализации технологии обычно устанавливаются специальные PoE-коммутаторы. Также допускается использование отдельных блоков питания (инжекторов) для конкретных устройств.

Лайфхак для администраторов:
Управление портами PoE-коммутатора позволяет удаленно перезагружать зависшие устройства. Для этого достаточно программно снять напряжение с соответствующего порта, а затем подать его снова.

Стандарт 802.3af и мощность

Согласно стандарту IEEE 802.3af, существуют потери мощности при передаче по кабелю. Устройства потребляют меньше, чем выдает порт:

Примеры потребления:

• IP-телефоны: ~2 Вт;
• Точки доступа: ~11 Вт.

Безопасность и приоритеты (PoE Budget)

На большинстве коммутаторов суммарная мощность ограничена. Общее правило безопасности:

Суммарная мощность < 15.4 Вт × Количество портов

При превышении этого лимита коммутатор начинает отключать питание портов. Чтобы важные устройства (например, камеры) не отключились первыми, администратор вручную назначает приоритеты портов.