💡 Полезные Советы

Наносить термопасту на процессор нужно в умеренном количестве - слишком мало даст плохой контакт, слишком много может привести к выдавливанию пасты за края, что иногда опасно (особенно с токопроводящей пастой).

Главное правило: даже если паста не проводит ток, слишком много материала всегда вредно - и для эффективности охлаждения, и для чистоты внутри устройства.

1 . Сколько наносить?

• Примерно как маленькая капля горошины - диаметром около 2–5 мм, если процессор обычного размера (например, AM4, LGA1200 и т.п.).
• Если кристалл процессора крупный (например, HEDT-платформы, например LGA2066 - i9-9980XE), то можно нанести две маленькие капли или тонкую полоску.

HEDT-платформы — это платформы для высокопроизводительных настольных компьютеров (High-End Desktop). Они используются для ресурсоёмких задач, связанных с научной деятельностью, инженерным проектированием, трёхмерным моделированием, разработкой или профессиональной работой с контентом высокого разрешения.

2 . Как наносить? Способ "горошина"

Минимальный объём - используйте каплю размером с рисовое зернышко (около 2–3 мм). Такой объём прижмётся равномерно и создаст тончайший термопроводящий слой.

Очистка и подготовка - вытрите старую пасту и обезжирьте крышку ЦП спиртом (=> 90 %) или ацетоном. Дождитесь полного испарения растворителя.

Нанесение - одну каплю по центру. Не размазывайте - при сборке и затяжке креплений паста растечётся сама.

3 . Если всё же решили размазать пасту вместо способа "горошина"(точечный), учтите несколько нюансов:

Инструмент - используйте маленькую пластиковую карточку или шпатель, который обычно идёт в комплекте с термопастой. Никогда не размазывайте пальцами - на руках остаются загрязнения и жир, это ухудшит теплопроводность.

Количество пасты - нанесите чуть больше, чем для "рисового зернышка" - примерно полоску шириной 3–4 мм или каплю диаметром 4 мм. Пасту должно хватить, чтобы покрыть всю поверхность крышки ЦП тонким слоем (0,1 мм).

Избегайте пузырьков - сильно надавливать не нужно - если паста слишком густая, лёгкие вбивания движениями карточки помогут выпустить воздух. После нанесения осмотрите поверхность на предмет пустот и при необходимости подсыпьте немного пасты.

Минусы данного способа:

• Риск занести загрязнения при неосторожном движении, а так же пузырьки(при плохой пасте), неравномерный слой.
• При слишком толстой "подушке" теплопроводность хуже, чем при точечном способе.

ВАЖНО: На устройстве c Proxmox должен быть Wi-Fi модуль и ethernet port.

Для того чтобы раздать интернет через Wi-Fi для физических машин, таких как мобильный телефон, ноутбук, телевизур и т.д., который находится вне моста, вам нужно настроить Wi-Fi адаптер на вашем хосте Proxmox в режиме "хост-моде" (hostapd) и использовать DHCP сервер для назначения IP-адресов подключенным устройствам.

Вот шаги, которые вам нужно выполнить:

1 . Установите необходимые пакеты: Установите hostapd (для создания точки доступа) и dnsmasq (для DHCP сервера):

bash sudo apt update sudo apt install hostapd dnsmasq

2 . Настройте dnsmasq для DHCP: Откройте файл конфигурации dnsmasq:

bash sudo nano /etc/dnsmasq.conf Добавьте следующие строки для настройки DHCP сервера: wlp3s0 - ваш интерфейс wi-fi(может отличаться). Находится должны в разных подсетях, если у роутера подсеть 192.168.1.1, то у вашего DCHP на сервере будет 192.168.56.1

text interface=wlp3s0 dhcp-range=192.168.56.100,192.168.56.200,255.255.255.0,12h Сохраните и закройте файл.

3 . Настройте hostapd: Создайте файл конфигурации для hostapd: bash sudo nano /etc/hostapd/hostapd.conf Добавьте следующие строки (замените your_ssid и your_password на ваш SSID и пароль): interface=wlp3s0 driver=nl80211 ssid=your_ssid hw_mode=g channel=6 wmm_enabled=1 macaddr_acl=0 auth_algs=1 ignore_broadcast_ssid=0 wpa=2 wpa_passphrase=your_password wpa_key_mgmt=WPA-PSK wpa_pairwise=CCMP rsn_pairwise=CCMP Сохраните и закройте файл.

4 . Настройте сетевой интерфейс Wi-Fi:

Откройте файл: bash sudo nano /etc/network/interfaces Добавьте следующие строки для настройки Wi-Fi интерфейса в режиме точки доступа: bash auto wlp3s0(ваш интерфейс) iface wlp3s0(ваш интерфейс) inet static address 192.168.56.1(ip сервера локальный) netmask 255.255.255.0 Сохраните и закройте файл.

5 . Включите IP forwarding и NAT:

Откройте файл:

bash sudo nano /etc/sysctl.conf Раскомментируйте или добавьте строку: text net.ipv4.ip_forward=1 Примените изменения:

bash sudo sysctl -p Настройте NAT для трафика, идущего через vmbr0(ваш мост):

bash sudo iptables -t nat -A POSTROUTING -o vmbr0 -j MASQUERADE sudo iptables-save > /etc/iptables.rules

Добавьте правило для восстановления правил iptables при загрузке:

bash sudo nano /etc/rc.local

Добавьте следующую строку:

text iptables-restore < /etc/iptables.rules Сохраните и закройте файл.

6 . Перезапустите службы:

bash sudo systemctl restart dnsmasq sudo systemctl restart hostapd sudo systemctl restart networking Теперь ваш Proxmox должен раздавать интернет через Wi-Fi интерфейс. Устройства, подключенные к созданной вами Wi-Fi точке доступа, смогут выходить в интернет через ваш хост Proxmox. Но у данного сетевого подключения есть много минусов, поэтому решайте сами.

Proxy сервер (прокси сервер) — это промежуточный сервер, который выступает посредником между вашим устройством (компьютером, смартфоном) и другими серверами в интернете. Вместо прямого подключения к целевому ресурсу (сайту, сервису), вы подключаетесь к прокси, а он уже от вашего имени запрашивает данные у конечного сервера и возвращает их вам.

Основные функции и цели proxy-серверов:

• Анонимизация: Скрытие вашего реального IP-адреса от целевого сервера. Сайт видит IP прокси, а не ваш.
• Обход ограничений: Доступ к ресурсам, заблокированным по географическому признаку (геоблокировка), корпоративным правилам или интернет-цензуре.
• Кэширование: Сохранение копий часто запрашиваемых веб-страниц или файлов на самом прокси для ускорения доступа и снижения нагрузки на сеть.
• Контроль и фильтрация трафика: В корпоративных сетях или образовательных учреждениях для блокировки нежелательных сайтов, контроля доступа сотрудников, мониторинга трафика.
• Безопасность (ограниченная): Может выступать как дополнительный барьер между вашей локальной сетью и интернетом, фильтруя часть угроз (хотя полноценный файерволл безопаснее).
• Балансировка нагрузки: Распределение входящих запросов между несколькими серверами для повышения производительности и отказоустойчивости.

Основные типы proxy-серверов (классификация по ключевым признакам):

1 . По Уровню Анонимности:

Прозрачные (Transparent):

Как работают: Не скрывают ваш реальный IP-адрес. Целевой сервер видит, что вы используете прокси, но также получает ваш настоящий IP через специальные заголовки (например, X-Forwarded-For).

Зачем: В основном для кэширования и принудительного перенаправления трафика (например, в корпоративных сетях или публичных Wi-Fi без цели анонимности).

Анонимные (Anonymous):

Как работают: Скрывают ваш реальный IP-адрес. Целевой сервер видит IP прокси и знает, что это прокси (заголовки типа Via или Proxy-Connection), но не видит ваш IP.

Зачем: Базовая анонимность, обход простых географических блокировок.

Искажающие (Distorting):

Как работают: Подвид анонимных. Передают целевым серверам ваш реальный IP, но намеренно искажают его (подменяют на фальшивый) в заголовках типа X-Forwarded-For. Сам прокси при этом раскрывается.

Зачем: Попытка обмануть серверы, которые блокируют известные адреса прокси, выдавая себя за обычного пользователя с "левым" IP. Не всегда эффективно.

Элитные или Высокоанонимные (Elite или High Anonymity):

Как работают: Максимальная анонимность. Целевой сервер видит только IP прокси и не получает никаких признаков, что это прокси (нет специфических заголовков). Ваш реальный IP полностью скрыт.

Зачем: Когда нужна максимальная конфиденциальность и обход сложных систем обнаружения прокси.

2 . По Доступности:

Публичные (Public или Open) Proxy:

Бесплатные прокси, списки которых можно найти в интернете.

Плюсы: Бесплатны, легко доступны.

Минусы: Очень медленные, ненадежные (часто отключаются), перегруженные, опасные (могут логировать и воровать ваши данные, внедрять вредоносный код), часто блокируются сайтами.

Приватные (Private) Proxy:

Платные прокси, доступные только вам (или ограниченному кругу пользователей).

Плюсы: Высокая скорость, надежность, стабильность, чистота IP (меньше шансов быть заблокированными), лучше анонимность (если провайдер не ведет логи), выделенный IP или пул IP.

Минусы: Платные.

Важно помнить:

1. Не все прокси шифруют трафик! HTTP-прокси передают данные открыто. Для безопасности нужен HTTPS или VPN.
2. Доверяйте только надежным провайдерам, особенно приватных прокси. Бесплатные публичные прокси сопряжены с высокими рисками.
3. Использование прокси для обхода блокировок может нарушать правила сервисов или законодательство вашей страны. Всегда проверяйте легальность своих действий.

1 . Приоритет запретов над разрешениями: жесткое правило

Системы безопасности (например, Windows ACL) при оценке прав сначала проверяют запреты, даже если есть разрешения.

Алгоритм работы:

Шаг 1: Проверка всех явных запретов (на уровне пользователя или групп).

• Пример: Если пользователь входит в группу "MarketingDenyWrite", где запрещена запись в папку, доступ будет заблокирован.

Шаг 2: Проверка разрешений.

• Пример: Даже если пользователь состоит в группе «Editors» с правом записи, запрет из "MarketingDenyWrite" перекроет это разрешение.

Итог: Любой запрет (даже в одной из 10 групп) → доступ отклоняется.

2. Опасность явных запретов: как не заблокировать систему

Явные запреты — мощный инструмент, но их неосторожное применение приводит к катастрофическим последствиям:

• Риск самоизоляции: Если администратор добавит себя в группу с запретом на вход в систему или изменение прав, восстановление доступа потребует вмешательства другого администратора.
• Каскадные конфликты: Запрет для родительской группы (например, «AllUsers») автоматически распространится на все вложенные группы, даже если для них есть разрешения.

Совет:

Избегайте глобальных запретов. Вместо этого:

• Создавайте группы с минимальными необходимыми разрешениями (принцип наименьших привилегий).
• Используйте запреты только для точечного ограничения (например, временная блокировка конкретного пользователя).

Запреты — это "красная кнопка" в управлении правами. Используйте их осознанно, всегда предпочитая точечные разрешения. Помните: проще дать минимальный доступ и расширить его, чем исправлять последствия каскадных запретов.

Это централизованная система управления сетевыми ресурсами, разработанная Microsoft. Она предоставляет инструменты для управления пользователями, компьютерами, группами, политиками безопасности и другими объектами в доменной сети. Основные компоненты AD включают:

1 . Организационное подразделение (Organization Unit, OU):

• Определение: Логическая единица внутри домена, которая группирует объекты (пользователей, компьютеры, принтеры) для удобства администрирования.

Роль:

• Отражает структуру компании (например, отделы: "Финансы", "IT", "Маркетинг").
• Позволяет делегировать управление (например, передать права администраторам подразделения).
• Упрощает применение групповых политик (GPO) к определенным группам объектов.

Пример: text Домен: company.local ├─ OU: Финансы ├─ OU: IT └─ OU: Продажи

2 . Домен (Domain)

Определение: Группа компьютеров и устройств, объединенных общей базой данных каталога (на контроллере домена).

Роль:

• Централизованное управление учетными записями и политиками.
• Обеспечение безопасности через единую аутентификацию (Kerberos).
• Хранение данных в базе данных NTDS.dit.

Пример: Домен company.local включает все рабочие станции, серверы и пользователей компании.

3 . Дерево доменов (Domain Tree)

Определение: Иерархия доменов, связанных доверительными отношениями и образующих непрерывное пространство имен DNS.

Особенности:

• Родительские и дочерние домены (например, europe.company.local и asia.company.local).
• Общая схема и глобальный каталог.

Пример:

text Дерево: company.local (корневой домен) ├─ europe.company.local └─ asia.company.local

4 . Лес (Forest)

Определение: Набор доменных деревьев, объединенных общими схемой, конфигурацией и глобальным каталогом.

Роль:

• Максимальная граница безопасности в AD.
• Домены в лесу автоматически связаны двусторонними транзитивными доверительными отношениями.

Пример:

text Лес: Дерево 1: company.local Дерево 2: partner.org

5 . Подсеть (Subnet)

Определение: Логическое разделение сети с уникальным диапазоном IP-адресов и маской (например, 192.168.1.0/24).

Роль:

Управление сетевым трафиком через маршрутизацию.

Определение физической локации устройств для AD.

Пример: Подсеть 10.10.0.0/16 для главного офиса, 172.16.0.0/12 для филиала.

6 . Сайт (Site)

Определение: Группа подсетей, объединенных для оптимизации репликации данных и аутентификации.

Роль:

Управление репликацией между контроллерами домена (например, уменьшение трафика между географически удаленными офисами).

Клиенты обращаются к ближайшему контроллеру домена в своем сайте.

Пример:

text Сайт "Москва": Подсети: 192.168.1.0/24, 192.168.2.0/24 Сайт "Санкт-Петербург": Подсети: 10.10.1.0/24

Взаимосвязь компонентов

• OU структурируют объекты внутри домена, отражая бизнес-логику.
• Домены объединяются в деревья, а деревья — в лес для масштабирования.
• Сайты настраиваются на основе подсетей, чтобы оптимизировать сетевой трафик и репликацию.

Пример использования:

Компания с офисами в Москве и Берлине создает:

• Лес globalcorp.net.
• Дерево доменов: msk.globalcorp.net, berlin.globalcorp.net.
• Сайты "Москва" и "Берлин" с соответствующими подсетями.
• В каждом домене — OU по отделам (IT, HR), где применяются свои GPO.

Токен доступа (Access Token) — это объект безопасности Windows, который система создает при входе пользователя. Он содержит всю информацию, необходимую для проверки прав доступа к ресурсам: идентификаторы безопасности (SID) пользователя и групп, а также список привилегий (например, "Управление системой" или "Резервное копирование"). Токен "привязывается" к каждому процессу, запущенному пользователем, и используется для авторизации операций.

При изменении членства пользователя в группах Windows (добавление, удаление) новые права вступят в силу только после повторного входа в систему (log off → log on). Это связано с механизмом работы токена доступа — ключевого элемента безопасности Windows.

При входе в систему Windows генерирует для пользователя уникальный токен, который содержит:

SID пользователя — идентификатор безопасности.

Список SID групп, в которых состоит пользователь.

Привилегии (например, установка драйверов, доступ к ресурсам).

Этот токен проверяется при каждом обращении к файлам, сетевым ресурсам, реестру и другим объектам.

Почему изменения не применяются сразу?

• Токен создается только при входе и не обновляется в реальном времени.
• Если изменить членство в группах, текущий токен пользователя останется прежним.
• Система продолжит использовать старые данные до повторного входа, который сгенерирует новый токен.

Примеры из практики

1. Добавление в группу "Администраторы": Пользователь не сможет устанавливать программы или выполнять админские задачи, пока не перезайдет в систему.

2. Доступ к сетевой папке: Даже если права выданы, без повторного входа токен не будет содержать SID новой группы → доступ запрещен.

3. Исключение из группы: Пользователь сохранит доступ к ресурсам старой группы до следующего входа — токен еще содержит устаревший SID.