💡 Полезные Советы

Откройте командную строку и выполните: cmd whoami /all Если в выводе есть доменное имя (например, DOMAIN\username), вход выполнен через кешированные доменные данные.

Если указано только имя компьютера (например, COMPUTERNAME\username), используется локальная учетная запись.

При входе пользователей домена на рабочую станцию система использует данные учетных записей( имя, пароль, установленные ограничения и тд.), хранимые на контролерах домена. Обычно политикой безопасности разрешено кэширование нескольких паролей пользователя, что позволяет последнему войти в систему даже при отсутствии связи с контроллером домена, используя параметры последнего входа. Если работу начинает локальный пользователь, то данные берутся из локальной базы учетных записей.

Пример: Сотрудник берет ноутбук домой. Если он ранее входил на этот ноутбук в офисе, то дома сможет войти в систему через кэшированные данные. Однако доступ к сетевым ресурсам (например, общим папкам) будет недоступен, пока ноутбук не подключится к корпоративной сети.

Как это работает:

• При первом входе в доменную сеть данные пользователя сохраняются в локальном кеше (файл text C:\Windows\System32\config\SECURITY ).
• При последующих входах вне сети система сверяет введенные данные с кешированной версией.

Локальные пользователи

• Учетные записи локальных пользователей хранятся в базе SAM (Security Account Manager) на самом компьютере (файл text C:\Windows\System32\config\SAM ).
• Эти данные не зависят от домена, но имеют ограниченные права (например, доступ только к локальным ресурсам).

Кэширование доменных учетных данных — это удобный механизм для мобильных пользователей, но он имеет ограничения:

• Нет доступа к сетевым ресурсам без подключения к домену.
• Политики и пароли не синхронизируются.
• Для критически важных задач рекомендуется использовать VPN для подключения к корпоративной сети

В сетях среднего и большого размера (от 20 компьютеров) принято использовать систему централизованного управления. В Windows службой каталогов является Active Directory, в Linux – LDAP

LDAP - Lightweight Directory Access Protocol – облегченный протокол доступа к каталогам – позволяет получать, изменять и аутентифицировать данные в иерархически организованных базах данных (каталогах), которые часто используются для хранения информации о пользователях, устройствах, ресурсах и правах доступа в сетях. LDAP появился как упрощенная версия протокола X.500 DAP (Directory Access Protocol). "Lightweight" ("облегченный") означает, что он требует меньше ресурсов и проще в реализации, работая поверх TCP/IP.

Linux может работать в составе домена Active Directory и даже быть контроллером домена Active Directory.

При использовании Active Directory каждый компьютер может управляться не только локальным администратором, но и администратором домена.

MX (Mail Exchange) — указывает серверы для приёма электронной почты. Содержит приоритет (чем меньше число, тем выше приоритет). Пример: example.com. MX 10 mail.example.com example.com. MX 50 backup-mail.example.com

SOA (Start of Authority) - содержит серийный номер зоны, который увеличивается при любом изменении записей зоны. На практике этот номер формируется в формате год-месяц-день – например 20241005.

NS (Name Server) – содержит "официальные" серверы DNS текущей зоны. Пример: example.com. NS ns1.example.com.

RP (Responsible Person) – содержит e-mail лица, ответственного за внесение изменений в записи зоны. Желательно поддерживать этот адрес всегда в актуальном состоянии. Помните, что символ @ в нём заменяется точкой. Например, если admin@example.com, то admin.example.com

A (Host Address) – содержит информацию об имени системы и ее IP-адресе. Эта запись добавляется в DNS-сервер при регистрации узла.

PTR (Pointer, указатель) – запись обратной зоны. Обычно DNS-сервер автоматически создает или изменяет эту запись при создании или изменении записи А в прямой зоне.

CNAME (Canonical NAME) - создаёт псевдоним для другого доменного имени. Пример: www.example.com. CNAME example.com.

SRV (Service) — указывает серверы для определённых сервисов (например, SIP, LDAP). Пример: text _sip._tcp.example.com. SRV 10 60 5060 sipserver.example.com.

Для обновления записей DNS на клиентских компьютерах следует очистить кеш DNS-записей командой: ipconfig /flushdns

Для разрешения имен в DNS предусмотрено два типа запросов: итеративный и рекурсивный.

Итеративный запрос служит для получения от DNS-сервера, которому он направлен, наилучшего ответа, который может быть получен без обращения к другим DNS-серверам.

Рекурсивный запрос предполагает, что сервер DNS должен осуществить все операции для разрешения имени. Обычно для этой цели необходимо выполнить несколько запросов к различным DNS-серверам.

Ранее, когда не было службы DNS, IP-адреса в сети задавались вручную – с помощью файла host. В нём прописывались IP-адреса и символьные имена компьютеров. Затем этот файл тиражировался по всем компьютерам сети, чтобы все они могли разрешать доменные имя и IP-адреса друг друга.

Недостаток этого способа – необходимость вручную контролировать состав сети. В небольшой сети со статическими IP-адресами это сделать относительно просто, особенно если учесть, что состав таких сетей часто не меняется.

Но если в вашей сети используется DHCP-сервер (а где он сейчас не используется?), вряд ли вы будете вручную задавать имена узлов через файл hosts. Но если Windows не может динамически определить имена (IP-адреса) хостов, то система использует содержимое файлов hosts, networks, и lmhosts.

Все три файла находятся в папке %systemroot%\system32\drivers\etc.

Использование "облегченных" или "урезанных" сборок Windows (часто называемых Windows 10 Lite, Win10X-Lite и т. п.) влечёт за собой сразу несколько рисков и недостатков по сравнению с официальными образами от Microsoft:

Поскольку исходники и сборочные скрипты закрыты, проверить чистоту сборки невозможно.

1 . Безопасность

• Такие сборки обычно собираются неофициальными лицами или группами, и вы никогда не можете быть уверены, что туда не встроены бэкдоры, кейлоггеры или иные трояны. (Неофициальные сборки часто собираются «на коленке» с подмешиванием сторонних скриптов и бинарников других разработчиков! Думаете тот кто собрал сборку досконально разбирался в их коде!?)
• Отсутствие цифровой подписи и проверенных сертификатов делает невозможным гарантировать целостность файлов: они могут быть модифицированы злоумышленниками. (Т.е. OS может вообще не проверять подписи драйверов и модулей, впуская небезопасный код "в ядро".)

Самый опасный вариант — когда злонамеренный код замаскирован под привычные DLL или службы. Вы будете видеть c:\windows\system32\rundll32.exe, но за ним будет стоять слегка подправленный бинарник с вредоносным payload’ом.

• В подобных сборках часто удаляются или модифицируются компоненты, отвечающие за безопасность системы, чтобы уменьшить «нагрузку».( Удаляют Windows Defender, UAC (User Account Control) и SmartScreen) с таким успехом система по безопасности будет чуть лучше Windows XP на сегодняшний день.

По результатам эксперимента, проведённого в 2024 году Эриком Паркером, операционная система Windows XP без антивируса и брандмауэра может заразиться вирусами в течение нескольких минут после подключения к интернету.

• Неофициальные сборки не поддерживают официальные обновления, поэтому пользователь становится уязвим к новому вредоносному ПО. ( Полностью удалёны или отключёны (WU служба «spools», «wuauserv» и т. д.). Windows Update заменён сторонним скриптом, который эмулирует скачивание/установку патчей без фактической установки - фантомная установка с записью в логи.)

Пользователь смотрит на дату "Last successful install" и думает, что система "всё получила", а на деле она осталась без критических исправлений.

2 . Совместимость

• Урезаются драйверы, сервисы и системные библиотеки, из-за чего некоторые программы и оборудование просто не будут работать или будут работать нестабильно.
• Активировать такую сборку "на легке" обычно можно только через нелегальные кейгены или сторонние активаторы — ещё один источник потенциального вредоносного ПО.(При запуске кейгена вы фактически даёте этому ПО права администратора, и оно может бесшумно установить на вашу систему любой "payload": от кейлоггера до эксплойтов для удалённого доступа. Помимо явных троянов, в активаторах часто присутствуют "бекдор"-модули, которые после активации периодически связываются с управляющим сервером злоумышленников и могут сливать системную информацию или получить команду, на установку майнера, эксплойта и прочее)