👋 Привет, админы!

Недавно нужно было срочно найти, кто и когда отключил службу Windows Defender на одном из серверов. В журнале событий куча мусора, стандартный просмотр через Event Viewer — то ещё удовольствие 😅

В таких случаях PowerShell — наше всё. Вот короткий и полезный скрипт, который спас меня:

Get-WinEvent -LogName "System" -FilterXPath "*[System[Provider[@Name='Service Control Manager'] and (EventID=7036)]]" |
Where-Object { $_.Message -like "*Windows Defender*" -and $_.Message -like "*stopped*" } |
Select-Object TimeCreated, Message

📌 Что делает этот скрипт:
- Фильтрует события 7036 — это смена состояния служб;
- Ищет по ключевым словам в сообщении (stopped и Windows Defender);
- Показывает, когда именно служба была остановлена.

🔥 Быстро, удобно и без GUI. Кстати, таким образом можно отслеживать отключения любых критичных сервисов.

💬 А вы мониторите изменения статуса служб? Используете логи, сторонние решения или свой скриптовый подход?

👉 @win_sysadmin

👋 Всем айтишный привет!

На днях столкнулся с задачей: нужно быстро выгрузить список локальных администраторов со всех серверов в домене. А главное — автоматизировать это дело, чтобы можно было регулярно мониторить, не появилось ли чего лишнего.

🔥 Делюсь своим рабочим скриптом на PowerShell:

$servers = Get-Content ".\servers.txt"

foreach ($server in $servers) {
    try {
        $admins = Get-LocalGroupMember -ComputerName $server -Group "Administrators"
        $admins | Select-Object @{Name="Server";Expression={$server}}, Name, ObjectClass | Export-Csv -Append -NoTypeInformation -Path ".\admins_report.csv"
    } catch {
        Write-Warning "Не удалось подключиться к $server: $_"
    }
}

📌 Что делает скрипт:
- Берёт список серверов из servers.txt
- Для каждого получает участников группы Administrators
- Сохраняет результат в CSV-отчёт с привязкой к имени сервера

✅ Использую это как базу для аудита. Можно, например, сравнивать отчёты в динамике или парсить на наличие неожиданных аккаунтов.

💡 Кстати, если вы используете AD, можно ещё и net localgroup Administrators /domain дергать через Invoke-Command, но локально — быстрее и надежнее.

💬 А вы как следите за локальными админами? Может, есть свои хитрости или используете GPO + Restricted Groups?


👉 @win_sysadmin

👋 Всем айтишный привет!

Недавно столкнулся с задачей: нужно было выключить группу компьютеров в конце дня, чтобы не гоняли лишнее электричество. Ручками заходить на каждый — удовольствие ниже среднего, поэтому сразу пошёл через PowerShell.

🔥 Вот скрипт, который пробегает по списку имен и выключает их удалённо:

$computers = Get-Content "C:\Scripts\pc_list.txt"

foreach ($pc in $computers) {
    try {
        Write-Host "Выключаю $pc..." -ForegroundColor Yellow
        Stop-Computer -ComputerName $pc -Force -ErrorAction Stop
        Write-Host "$pc выключен." -ForegroundColor Green
    } catch {
        Write-Host "Не удалось выключить $pc: $_" -ForegroundColor Red
    }
}

✅ В файле pc_list.txt — просто список имен или IP адресов, по одному на строку.
💡 Не забудь, чтобы всё сработало, на удалённых ПК должна быть включена служба WMI и разрешён доступ через брандмауэр. И конечно, запускай от имени администратора.

🧩 Можно дополнить проверкой доступности (ping) перед выключением — если нужно, покажу в следующем посте.

💬 А вы автоматизируете выключение машин в своей сети? Или всё вручную/через GPO? Поделитесь практикой — будет полезно!

👉 @win_sysadmin

👋 Привет, админы!

Сегодня расскажу про простой, но очень полезный трюк, который помогает выявить подозрительные подключения к вашему Windows-серверу — особенно актуально, если сервер доступен извне.

🔥 Проверить активные входящие подключения можно командой:

Get-NetTCPConnection -State Established | Where-Object { $_.RemoteAddress -ne '127.0.0.1' } | 
Select-Object LocalAddress, LocalPort, RemoteAddress, RemotePort, State, OwningProcess | 
Sort-Object -Property RemoteAddress

А чтобы узнать, какой процесс стоит за каждым подключением, дополним это:

Get-NetTCPConnection -State Established | 
Where-Object { $_.RemoteAddress -ne '127.0.0.1' } |
ForEach-Object {
    $proc = Get-Process -Id $_.OwningProcess -ErrorAction SilentlyContinue
    [PSCustomObject]@{
        RemoteAddress = $_.RemoteAddress
        RemotePort    = $_.RemotePort
        LocalPort     = $_.LocalPort
        ProcessName   = $proc.ProcessName
        PID           = $_.OwningProcess
    }
} | Sort-Object RemoteAddress

📌 Этот способ помогает быстро выявить:
- необычные подключения к RDP или кастомным портам;
- неизвестные процессы, которые “висят” в сети;
- потенциальный бэкдор или троян.

🧠 Совет: поставьте это на регулярный мониторинг через таск или скрипт с логом в файл.

💬 А вы мониторите сетевые подключения на проде? Используете PowerShell, Sysmon или что-то другое?

👉 @win_sysadmin

👋 Привет, админы!

Иногда нужно быстро понять — кто и когда логинился на сервер или важную машину. Особенно если подозрения на взлом или кто-то заходит в неурочное время.

Вот простой PowerShell-скрипт, который вытащит логи входа в систему (Event ID 4624) из журнала безопасности:

Get-WinEvent -FilterHashtable @{
    LogName = 'Security';
    Id = 4624;
    StartTime = (Get-Date).AddDays(-1)
} | ForEach-Object {
    $xml = [xml]$_.ToXml()
    [PSCustomObject]@{
        TimeCreated = $_.TimeCreated
        AccountName = $xml.Event.EventData.Data | Where-Object {$_.Name -eq "TargetUserName"} | Select-Object -ExpandProperty '#text'
        IPAddress   = $xml.Event.EventData.Data | Where-Object {$_.Name -eq "IpAddress"} | Select-Object -ExpandProperty '#text'
        LogonType   = $xml.Event.EventData.Data | Where-Object {$_.Name -eq "LogonType"} | Select-Object -ExpandProperty '#text'
    }
} | Where-Object { $_.AccountName -ne "ANONYMOUS LOGON" -and $_.LogonType -eq "10" } | Sort-Object TimeCreated

📌 LogonType = 10 — это удалённый интерактивный вход (RDP).
📌 Можно заменить на 2, если нужен локальный интерактивный логон.
📌 Или убрать фильтр, чтобы увидеть всё.

Полезно для расследований, мониторинга активности админов, а ещё — если нужно зафиксировать "кто заходил ночью" 😅

💬 А вы ведёте аудит логинов? Через SIEM, syslog, журнал событий, или всё по-олдскулу?

👉 @win_sysadmin

👋 Привет, админы!

Сегодня хочу поделиться небольшим, но полезным лайфхаком из практики — как быстро найти и перезапустить зависший сервис через PowerShell.

📌 Ситуация: сервис вроде как "работает", статус *Running*, но по факту не отвечает или не выполняет свои задачи. Такое бывает с агентами резервного копирования, антивирусами и даже SQL Server.

🔥 Вот скрипт, который мне помогает выявить такие "зомби-сервисы" и перезапустить их:

$serviceName = "Имя_сервиса"
$svc = Get-Service -Name $serviceName

if ($svc.Status -eq "Running") {
    $process = Get-WmiObject Win32_Service | Where-Object { $_.Name -eq $serviceName }
    if ($process.ProcessId -ne 0) {
        Write-Host "Сервис запущен с PID $($process.ProcessId). Перезапускаем..."
        Restart-Service -Name $serviceName -Force
    } else {
        Write-Host "PID не найден. Возможна проблема – проверь вручную!"
    }
} else {
    Write-Host "Сервис не запущен. Статус: $($svc.Status)"
}

💡 Это особенно полезно на тех серверах, где нет стороннего мониторинга, а время реагирования критично.

💬 А у вас часто бывает, что сервис висит, но статус OK? Чем мониторите такие случаи — Task Scheduler, скрипты, Zabbix?


👉 @win_sysadmin

👋 Привет, админы!

Поймал недавно интересную ситуацию: нужно было автоматически проверять, включен ли у пользователей брандмауэр Windows, и если нет — включать. Звучит просто, но в доменной среде на 100+ машин — не до ручной проверки.

⚡ Вот скрипт, который я использовал через PowerShell Remoting и Invoke-Command. Проверяет состояние брандмауэра и включает его, если тот отключен:

$computers = Get-Content "C:\noscripts\computers.txt"

Invoke-Command -ComputerName $computers -ScriptBlock {
    $profiles = Get-NetFirewallProfile
    foreach ($profile in $profiles) {
        if (-not $profile.Enabled) {
            Write-Host "[$env:COMPUTERNAME] $($profile.Name) выключен — включаю..."
            Set-NetFirewallProfile -Name $profile.Name -Enabled True
        } else {
            Write-Host "[$env:COMPUTERNAME] $($profile.Name) уже включен"
        }
    }
} -Credential (Get-Credential) -ErrorAction SilentlyContinue

💡 Полезно:
— Работает на всех профилях (Domain, Private, Public)
— Подходит для быстрого аудита
— Можно встроить в Scheduled Task или GPO login noscript

🔐 P.S. Не забудьте убедиться, что WinRM открыт и включен на клиентах.

💬 А у вас как организована проверка и управление фаерволами? GPO? RMM? Или всё вручную? Делитесь опытом!

👉 @win_sysadmin

👋 Всем айтишный привет!

Недавно столкнулся с задачей: надо было массово проверить статус служб на нескольких серверах. Причём не просто глянуть, работают или нет, а убедиться, что определённые критически важные сервисы (типа w32time, WinRM, TermService) действительно в состоянии Running.

🛠️ Вот скрипт, который упростил мне жизнь:

$servers = @("server1", "server2", "server3")
$servicesToCheck = @("w32time", "WinRM", "TermService")

foreach ($server in $servers) {
    Write-Host "🔍 Проверка $server" -ForegroundColor Cyan
    foreach ($service in $servicesToCheck) {
        $status = Get-Service -ComputerName $server -Name $service -ErrorAction SilentlyContinue
        if ($status.Status -eq 'Running') {
            Write-Host "$service: OK" -ForegroundColor Green
        } else {
            Write-Host "$service: НЕ РАБОТАЕТ!" -ForegroundColor Red
        }
    }
    Write-Host ""
}

🔥 Удобно, когда нужно быстро прогнать по десятку машин. Особенно помогает на продакшене, где простой службы — это потенциальный инцидент.

💬 А у вас есть свои заготовки для массовой проверки сервисов или состояния системы? Делитесь в комментах, обсудим!

👉 @win_sysadmin

👋 Привет, админы!

Недавно нужно было срочно проверить, включен ли Secure Boot на парке серверов. BIOS GUI — зло, особенно когда всё удалённо. Решил всё сделать PowerShell’ем.

Вот скрипт, который поможет быстро определить статус Secure Boot на машине:

Confirm-SecureBootUEFI

Если вернёт True — Secure Boot активен. False — выключен. А если вылетает ошибка, значит либо UEFI не используется, либо железо/OS не поддерживают Secure Boot.

🔒 Хочу напомнить, что Secure Boot — один из базовых элементов защиты от загрузки неподписанных (вредоносных) загрузчиков. Особенно актуально в среде, где есть автозагрузка ISO, PXE или кастомные live-образы.

📦 А чтобы прогнать это по сети — можно использовать PowerShell Remoting:

Invoke-Command -ComputerName SERVER01 -ScriptBlock { Confirm-SecureBootUEFI }

Либо через Enter-PSSession, если хотите вручную посмотреть на конкретной машине.

💬 А у вас включен Secure Boot на проде? Или предпочитаете отключать из-за драйверов и кастомного софта? Делитесь опытом!

👉 @win_sysadmin

👋 Всем айтишный привет!

Был недавно кейс: нужно настроить автологин для одного стендового сервера в изолированной сети — без домена, без пользователей, просто чтобы поднимался нужный софт после перезагрузки.

Решается это через редактирование реестра:

$RegPath = "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"
Set-ItemProperty -Path $RegPath -Name "AutoAdminLogon" -Value "1"
Set-ItemProperty -Path $RegPath -Name "DefaultUsername" -Value "UserName"
Set-ItemProperty -Path $RegPath -Name "DefaultPassword" -Value "UserPassword"
Set-ItemProperty -Path $RegPath -Name "DefaultDomainName" -Value "$env:COMPUTERNAME"

⚠️ Обратите внимание: пароль хранится в открытом виде в реестре (DefaultPassword), поэтому использовать это стоит только в безопасной среде.

🛡️ Есть ещё один способ — через netplwiz, но он не автоматизируется скриптами. А если хотите чуть безопаснее — можно использовать специальные учетные записи без доступа к сети и минимальными правами.

🔄 После внесения изменений — либо ребут, либо shutdown /r /t 0 для применения.

💬 А используете ли вы автологин в каких-нибудь сценариях? Или строго по политике — никаких паролей в реестре?

👉 @win_sysadmin

👋 Привет, админы!

Продолжаем тему автологина — только теперь наоборот. Сегодня покажу, как отключить автоматический вход в Windows, если его кто-то однажды настроил (и забыл).

🔧 Всё просто — правим те же ключи в реестре:

$RegPath = "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon"
Set-ItemProperty -Path $RegPath -Name "AutoAdminLogon" -Value "0"
Remove-ItemProperty -Path $RegPath -Name "DefaultPassword" -ErrorAction SilentlyContinue

Если хотите полностью зачистить следы, можно ещё убрать DefaultUsername и DefaultDomainName, особенно если вход теперь идёт по другим учеткам или через домен:

Remove-ItemProperty -Path $RegPath -Name "DefaultUsername" -ErrorAction SilentlyContinue
Remove-ItemProperty -Path $RegPath -Name "DefaultDomainName" -ErrorAction SilentlyContinue

🎯 После этого автологин не будет срабатывать, и пользователь снова увидит окно входа.

👁️ Лайфхак: если нужно массово проверить, включен ли автологин на серверах, можно пробежаться скриптом по списку машин и вытащить AutoAdminLogon:

Invoke-Command -ComputerName (Get-Content servers.txt) -ScriptBlock {
    Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" -Name "AutoAdminLogon"
}

💬 А вы используете какие-нибудь средства для аудита автологина на серверах или рабочих станциях? Может быть, сканеры GPO, Defender for Endpoint, Intune?

👉 @win_sysadmin

👋 Привет, админы!

Если вдруг замечаете странную активность по RDP — сессии отваливаются, логов много, сервер грузится — самое время проверить, кто брутфорсит.

Вот быстрый способ вытащить неудачные попытки входа по RDP через события:

Get-WinEvent -FilterHashtable @{
    LogName = 'Security'
    Id = 4625
} | Where-Object {
    $_.Properties[10].Value -eq '10' # Logon Type 10 = RDP
} | Select-Object TimeCreated,
                      @{Name='Username';Expression={$_.Properties[5].Value}},
                      @{Name='IP';Expression={$_.Properties[18].Value}} |
Sort-Object TimeCreated -Descending | Select-Object -First 20

📌 Покажет:
- когда была попытка
- откуда (IP)
- под каким логином пытались зайти

👮‍♂️ Можно быстро зафайрволить источник, добавить в blacklist или передать в SIEM.

🛡️ Плюс к этому — рекомендую включить защиту учётных записей от перебора пароля:

net accounts /lockoutthreshold:5 /lockoutduration:15 /lockoutwindow:15

💬 А как вы отслеживаете попытки взлома по RDP? Вручную, через сторонние средства, или всё уже централизовано?

👉 @win_sysadmin

👋 Привет, админы!

Сегодня — коротко и по делу: что включить в Audit Policy, чтобы отслеживать все подключения по RDP. Без нужных политик никакой логгер не поможет.

🎯 Включаем аудит входа и сетевых логинов:

AuditPol /set /subcategory:"Logon" /success:enable /failure:enable
AuditPol /set /subcategory:"Logoff" /success:enable
AuditPol /set /subcategory:"Special Logon" /success:enable
AuditPol /set /subcategory:"Logon with explicit credentials" /success:enable /failure:enable

📝 После этого в логе Security начнут появляться события:
- 4624 — Успешный вход (в том числе по RDP — Logon Type 10)
- 4625 — Неудачный вход (ошибка пароля, нет такой учётки и т.п.)
- 4634 — Выход из системы
- 4778 и 4779 — Подключение и отключение от RDP-сессии

📌 Также полезно включить аудит групповой политики:

AuditPol /set /subcategory:"Other Logon/Logoff Events" /success:enable /failure:enable

💬 А вы централизуете такие события? Sysmon, WEF, SIEM, что в арсенале?

👉 @win_sysadmin

👋 Привет, админы!

Если на сервер идёт брутфорс по RDP, лучше узнать об этом сразу — пока не увели учётку.

Рассказываю, как настроить оповещение о неудачных входах (4625) с Logon Type 10 (то есть RDP) через PowerShell + Scheduled Task.

📌 Сначала скрипт, который проверяет события и пишет лог/шлёт алерт:

# RDPBruteCheck.ps1
$Events = Get-WinEvent -FilterHashtable @{
    LogName = 'Security'
    Id = 4625;
    StartTime = (Get-Date).AddMinutes(-5)
} | Where-Object {
    $_.Properties[10].Value -eq '10' # RDP Logon Type
}

if ($Events.Count -gt 0) {
    $msg = "$($Events.Count) неудачных попыток входа по RDP за последние 5 минут!"
    # Можно заменить на email, Telegram API, SIEM и т.п.
    Add-Content -Path "C:\Scripts\RDPBruteLog.txt" -Value "$(Get-Date): $msg"
}

⚙️ Потом создаём запланированное задание, чтобы скрипт запускался каждые 5 минут:

$action = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-File C:\Scripts\RDPBruteCheck.ps1"
$trigger = New-ScheduledTaskTrigger -Once -At (Get-Date).AddMinutes(1) -RepetitionInterval (New-TimeSpan -Minutes 5) -RepetitionDuration ([TimeSpan]::MaxValue)
Register-ScheduledTask -TaskName "MonitorRDPBrute" -Action $action -Trigger $trigger -RunLevel Highest -User "SYSTEM"

🛠️ Можно доработать под:
- Email-уведомления (Send-MailMessage)
- Telegram-бота
- Интеграцию с Zabbix/PRTG/ELK

💬 А как вы реагируете на попытки брутфорса? Настраиваете уведомления или полагаетесь на внешние средства защиты?

👉 @win_sysadmin

👋 Привет, админы!

Если вы уже мониторите события 4625 (неудачные входы по RDP), следующий шаг — автоматическая блокировка IP-адресов, которые слишком активно пытаются попасть на сервер.

Вот скрипт, который парсит события и блокирует агрессивные IP:

# RDPBlockBadIPs.ps1
$events = Get-WinEvent -FilterHashtable @{
    LogName = 'Security'
    Id = 4625;
    StartTime = (Get-Date).AddMinutes(-15)
} | Where-Object {
    $_.Properties[10].Value -eq '10' # Logon Type 10 = RDP
}

$badIPs = $events |
    Group-Object { $_.Properties[18].Value } |
    Where-Object { $_.Count -ge 5 } |  # Порог блокировки
    Select-Object -ExpandProperty Name

foreach ($ip in $badIPs) {
    if ($ip -and ($ip -match '\d+\.\d+\.\d+\.\d+')) {
        Write-Host "Блокирую IP: $ip"
        New-NetFirewallRule -DisplayName "Block RDP Brute $ip" `
                            -Direction Inbound `
                            -RemoteAddress $ip `
                            -Action Block `
                            -Protocol TCP `
                            -LocalPort 3389 `
                            -Profile Any
    }
}

📌 Что делает скрипт:
- Ищет за последние 15 минут события 4625 по RDP
- Вычисляет IP-адреса с 5+ неудачами
- Создаёт firewall-правило на блокировку

💡 Можно запустить по расписанию через Scheduled Task, как в предыдущем посте. А если хочется очистку — можно добавить автоудаление блоков по TTL.

⚠️ Важно: не переусердствуйте — может прилететь блокировка легитимного VPN или админа. Лучше держать whitelist.

💬 А вы используете автоматические блокировки? Или предпочитаете fail2ban на edge-хостах/Linux-бастионках?

👉 @win_sysadmin

👋 Привет, админы!

Если у вас больше одного сервера, вручную выискивать RDP-брутфорс или другие попытки взлома — гиблое дело. Нам нужен централизованный сбор логов, особенно событий типа 4625, 4624, 4778 и т.п.

🎯 Есть несколько вариантов. Сегодня покажу один из самых доступных:
Windows Event Forwarding (WEF) + Event Collector.

📌 Как это работает:
- Сервер выступает как Collector (принимает логи)
- Клиенты (другие Windows-машины) — подписчики
- Всё через встроенный WinRM и GPO



🛠️ Настройка WEF в 3 шага

1. Включаем службу на Collector’е:

wecutil qc

Это создаст необходимую подписку и включит службу Windows Event Collector.

2. Создаём подписку:

# Открыть Event Viewer → Subnoscriptions → Create Subnoscription

- Тип: Collector initiated
- Event log: Security
- Filter: Id=4625;4624;4778
- Advanced: выбрать нужные LogonType, если хотите только RDP

3. Настраиваем GPO на клиентах:

В GPO для машин, откуда хотим собирать логи:

- Computer Configuration → Administrative Templates → Windows Components → Event Forwarding
- Configure target Subnoscription Manager
Значение: Server=http://COLLECTOR:5985/wsman/SubnoscriptionManager/WEC

- Включаем WinRM:

Enable-PSRemoting -Force

📊 После настройки Collector будет видеть все входы/неудачные попытки и прочие события в одном месте.

Можно дальше интегрировать:
- в SIEM (например, Wazuh, ELK, Sentinel)
- или просто логировать/оповещать через PowerShell скрипты

💬 А вы уже собираете логи централизованно? Или только на проде? Что используете — WEF, Syslog, Agent’ы?

👉 @win_sysadmin

👋 Привет, админы!

Если вы уже используете Wazuh (open-source SIEM), то грех не настроить сбор событий безопасности с Windows, особенно для анализа логинов и брутфорса по RDP.

Вот как это делается 👇



🛠️ Установка Wazuh Agent на Windows

1. Скачиваем агент отсюда: https://wazuh.com/

2. Устанавливаем с указанием менеджера (сервер Wazuh):

msiexec /i "wazuh-agent-4.x.x.msi" /qn WAZUH_MANAGER="10.0.0.1" WAZUH_REGISTRATION_SERVER="10.0.0.1" WAZUH_AGENT_NAME="srv-win01"

3. После установки — правим C:\Program Files (x86)\ossec-agent\ossec.conf (если надо вручную задать имя, группы и т.п.)

4. Перезапускаем агент:

net stop wazuh-agent
net start wazuh-agent

📋 Что собирает агент?

По умолчанию:
- События из Security, System, Application
- Входы в систему (4624, 4625, 4778, 4779)
- Изменения в учётках, политиках, реестре
- Информация об установке/удалении софта

🎯 Всё это попадает в дашборд Wazuh и может быть обработано правилами: алерты, уведомления, триггеры.



🔥 Пример алерта в Wazuh при брутфорсе по RDP:

{
  "rule": {
    "id": "18107",
    "level": 10,
    "denoscription": "Windows RDP brute-force attempt detected",
    "group": "windows, authentication_failed, brute_force"
  },
  "srcip": "192.168.1.200",
  "user": "admin",
  "location": "Security",
  "full_log": "Logon failure: Type 10 (RemoteInteractive)"
}

📌 Это можно отправить на почту, в Telegram, или автоматизировать блокировку IP (например, через Active Responses).

💬 А вы уже пробовали Wazuh или у вас другая SIEM-система? Сравнивали с Graylog, Splunk, Sentinel?

👉 @win_sysadmin

👋 Привет, админы!

Когда ты видишь сотни логов с событиями 4625 и 4624 — хочется увидеть общую картину, а не ковыряться в логах.

🎯 Решение — визуализация в Grafana, подключённой к Elasticsearch, который использует Wazuh.


🛠️ Что тебе нужно:

✅ Рабочая инсталляция Wazuh с Elasticsearch
✅ Установленная Grafana
✅ Wazuh index (обычно wazuh-alerts-*) подключен как источник данных в Grafana



📊 Пример панели: RDP Logon Failures (Event ID 4625)

Создай визуализацию с такими настройками:

- Query: data.win.system.eventID:4625 AND data.win.event_data.LogonType:"10"
- Metric: Count
- Group by:
- data.win.event_data.IpAddress.keyword — по IP
- data.win.event_data.TargetUserName.keyword — по пользователю
- @timestamp — по времени (в Histogram)

📌 Это даст тебе:
- Топ IP-адресов, которые ломятся по RDP
- Частоту атак по времени
- Учетки, на которые идёт перебор


📈 Дополнительно:

- Успешные входы (4624) — для сравнения
- RDP session start (4778) и end (4779) — активность пользователей
- GeoIP — можно прикрутить GeoIP-плагин в Elasticsearch и рисовать карту атакующих


🔒 Бонус: Threshold + Alerting

Если за последние 10 минут по одному IP > 10 ошибок входа — можно задать алерт в Grafana и слать в Telegram, Discord, email, webhook.


💬 А вы визуализируете логи безопасности или только хардкор логами и текстами? Что используете — Grafana, Kibana, Zabbix?

👉 @win_sysadmin

👋 Привет, админы!

На днях столкнулся с интересной ситуацией: служба Windows Update на одном из серверов Windows Server 2019 просто отказалась стартовать. Перезапуск, reset компонентов — ничего не помогло.

Оказалось, что виноват битый файл базы данных обновлений. Решение оказалось простым, но мало кто его делает вручную:

🔥 Вот PowerShell-скрипт, который полностью сбрасывает Windows Update, включая очистку базы данных:

Stop-Service -Name wuauserv -Force
Stop-Service -Name bits -Force
Remove-Item -Path "C:\Windows\SoftwareDistribution" -Recurse -Force
Start-Service -Name wuauserv
Start-Service -Name bits

После этого сервер спокойно начал тянуть апдейты. Главное — не забудьте перезапустить сервисы, а лучше сразу проверить доступность обновлений:

Get-WindowsUpdate

(если стоит PSWindowsUpdate модуль)

🧠 Бонус: если хотите автоматизировать это на нескольких машинах — добавьте Invoke-Command и в путь!

💬 А как вы чините неработающий Windows Update? Используете sfc, DISM, что-то своё? Расскажите в комментариях, будет полезно коллегам!

👉 @win_sysadmin

👋 Привет, админы!

Сегодня делюсь историей, которая напомнила, насколько важно внимательно читать логи (да-да, даже если их много и лень).

🧩 Проблема: Windows Server 2019 перестал обновляться. Центр обновлений выдавал код ошибки 0x800f0988. Вроде ничего критичного, но руководство требует, чтобы всё было "зелёным" в отчётах.

🔍 Разбор:
Этот код часто указывает на битые или несовместимые компоненты в хранилище компонентов Windows (WinSxS). Сам sfc /scannow ничего не нашёл. А вот DISM подсказал:

DISM /Online /Cleanup-Image /CheckHealth

Вернул: "Повреждение обнаружено". Тогда:

DISM /Online /Cleanup-Image /RestoreHealth

Процесс шёл долго, но в итоге ошибка осталась. Копнул глубже и выяснилось: проблема в том, что удалены нужные языковые пакеты, которые почему-то требуются при установке обновлений.

💡 Решение:
Переустановил нужный языковой пакет (в моем случае — en-US), перезапустил RestoreHealth, после чего обновления пошли как по маслу.

Install-Language en-US

📌 Вывод: если видите 0x800f0988, проверьте:
- целостность хранилища через DISM,
- наличие нужных языков (Get-WinUserLanguageList),
- и не удалили ли вы что-то "ненужное" раньше для очистки WinSxS.

💬 А у вас были грабли с DISM и Windows Update? Делитесь в комментах, интересно собрать коллекцию ошибок 😊


👉 @win_sysadmin

👋 Привет, админы!

Недавно прилетел тикет: "Пользователь не может поменять пароль — ошибка 0x80070056". Если кто не в курсе, это значит "The specified network password is not correct", и возникает она... когда всё вроде бы ОК 🤯

🛠️ В моём случае виновником оказался кэш старого пароля в Credential Manager. Пользователь менял пароль, но RDP-сессия, Outlook и прочее продолжали пытаться авторизоваться по старому — получался конфликт.

📌 Решение:
1. Открыл Credential Manager (Панель управления → Учетные данные).
2. Удалил все записи, связанные с этим аккаунтом.
3. Перезапустил сеанс — пароль сменился без проблем.

💡 Полезная PowerShell-команда, чтобы напомнить пользователям об этом автоматом (например, при смене пароля):

msg * "Если возникли проблемы после смены пароля — проверьте Credential Manager на старые записи!"

Иногда простые вещи — самые коварные. Не забывайте про этот момент, особенно если юзеры работают через RDP или VPN.

💬 А у вас часто бывает такое? Может, автоматизировали чистку кэша или используете GPO для этого?

👉 @win_sysadmin