mmfb/lionart-1c: SSH + фикс efsaveragent + накопленный backlog vault-а

Сегодня (mmfb / LionART 1C):
- projects/mmfb/lionart-1c.md — новый файл: VM 100 на pve LionART
  (WIN-70M2VEJIKEF, 10.253.1.240, Win Server 2022, 1С+SQL+Effector Saver),
  SSH-доступ claude/Kl@udeD1ag!2026 заведён, RDP под Администратор + 2FA.
- projects/mmfb/proxmox-inventory.md — hostname WIN-70M2VEJIKEF в VM 100.
- decisions/2026-05-28-mmfb-effector-saver-locked-admin.md — диагноз
  цикла 7038 (SCM-пароль разъехался с .\Администратор) + lockout учётки,
  и пошаговое решение (disable службы → ADSI unlock → LogonUser-проверка
  → sc.exe config password= → start auto).

Накопившийся backlog (без отдельной правки в эту сессию):
- decisions/: buzharovo (recon, migration-plan, 1c-licensing), sergey
  (instagram iPhone fakeip), amneziavpn macOS v1/v2 incompat, benelux
  compromise 2026-05-20, glavtorg autologon off, omni domain+update.
- projects/: benilux README, buzharovo README+server1c, dttb
  (nextcloud-talk-bot, npm-proxy-hosts, proxmox-inventory, vpn-clients),
  glavtorg, sergey README, projects/_index.
- claude-memory/: benelux, omniroute.
- snippets/mac-dictation/groq-dictate.sh.
- notes/claude/: ~80 авто-сохранённых транскриптов сессий за май.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

projects/glavtorg/README.md

@@ -50,6 +50,15 @@ r = s.run_cmd('whoami')
 - Server 2012 R2 Standard без RDS CAL → лимит **2 одновременных admin-сессии**. Следи за залипшими Disc-сессиями (`qwinsta`, `logoff <id>`).
 - **НЕ делать `logoff` сессии, в которой запущена VMware Workstation** — упадут все VM этого юзера.
 
+### AutoLogon отключён (2026-05-23)
+- Ранее стоял `AutoAdminLogon=1` через Sysinternals Autologon (пароль в LSA secret) + `ForceAutoLogon=1` — после ребута Ярослав был залогинен в console, экран не блокировался, любой у монитора видел рабочий стол. Клиент пожаловался на риск.
+- Проверено: процессы `vmware-vmx` крутятся в **Session 0 (System)**, Task Scheduler `VMware AutoStart` запускает VM через `vmrun nogui` с stored password (`LogonType=Password`, Last Result 0 после ребута 22.05). Интерактивная сессия для запуска VM **не нужна**.
+- Снято: `AutoAdminLogon=0`, `ForceAutoLogon=0`, `AutoLogonCount` удалён. `DefaultUserName=Ярослав` оставлен — это preselect на logon screen.
+- Backup Winlogon ветки: `C:\Scripts\winlogon-backup-20260523-125613.reg`. Rollback: `C:\Scripts\rollback-autologon.cmd`.
+- LSA secret `DefaultPassword` лежит в HKLM\SECURITY\Policy\Secrets — без `AutoAdminLogon=1` не используется. Полностью стереть: скачать [Sysinternals Autologon](https://learn.microsoft.com/sysinternals/downloads/autologon), `Autologon64.exe /accepteula /delete`.
+- **Провалидировано ребутом 2026-05-23 13:44** (uptime новой загрузки 3 мин на момент проверки): console на logon screen без юзера; `VMware AutoStart` отработал через 4 сек после boot, Last Result=0; обе VM running в SessionId=0; nbgw 192.168.1.50 пингуется; NetBird service running на хосте.
+- **Amnezia 192.168.1.51 не отвечает на ICMP/TCP** — это штатно: README выше указывает что VM сконфигурирована как UDP-WG only (вероятно iptables дропает всё кроме WG-порта + arp_ignore на ОС). vmware.log показывает успешный boot и активный VMware Tools heartbeat. Если у клиентов NetBird (Юрий, Diana) пропадёт VPN — лезть смотреть iptables/wg на самой VM, не в фикс AutoLogon.
+
 ## Пользователи
 
 | Пользователь | Админ | RDP | Назначение |
@@ -69,6 +78,7 @@ r = s.run_cmd('whoami')
 ## История изменений
 - **2026-04-15:** Создан пользователь Diana_Grig (RDP + 1С обновление)
 - **2026-04-25:** Настроен автозапуск VM (nbgw + Amnezia) через Task Scheduler; `fSingleSessionPerUser=0` для RDP при запущенной VMware
+- **2026-05-23:** Отключён AutoLogon Ярослава по запросу клиента (риск физического доступа к консоли). VM продолжают стартовать через Task Scheduler в Session 0.
 
 <!-- kb-auto-index -->
 ## Навигация

projects/glavtorg/instruction-yaroslav-autologon.md

@@ -0,0 +1,94 @@
+---
+type: instruction
+project: glavtorg
+audience: client
+tags: [glavtorg, instruction, yaroslav, security]
+---
+
+# Ярославу: убрали автологин на сервере 1С
+
+Ярослав, по вашей просьбе отключил автоматический вход на сервере. Ниже — что было, что изменилось и что от вас нужно.
+
+## Почему это было опасно
+
+На сервере крутятся две виртуальные машины в VMware Workstation:
+- `nbgw` (192.168.1.50) — шлюз NetBird, через него ходит вся VPN-связь с офисами
+- `Ubuntu` (192.168.1.51) — AmneziaVPN сервер
+
+Чтобы они стартовали сами после перезагрузки, в апреле был настроен **автоматический вход в Windows** под вашим логином (программа Sysinternals Autologon). Пароль зашифрован в системе, но **результат**: после загрузки сервер сразу оказывается с готовым рабочим столом администратора, экран не блокируется. Если кто-то физически подойдёт к серверу или подключит монитор/клавиатуру — он сразу получает полный доступ к 1С, файлам, сети.
+
+То есть пароль на учётке у вас стоит, но он бесполезен, пока сервер сам логинится после ребута.
+
+## Почему отключение безопасно (виртуалки не упадут)
+
+Проверил как именно стартуют VM:
+- Запускает их **Планировщик заданий Windows** (Task Scheduler → задача `VMware AutoStart`)
+- Задача настроена на режим **«Выполнять вне зависимости от того, выполнен ли вход пользователя»** — пароль хранится в самой задаче
+- Команда `vmrun ... nogui` поднимает VM в фоне (без окна), они работают как системные процессы
+
+То есть автологин был нужен **в апреле для подстраховки**, но по факту Планировщик справляется сам. Виртуалки уже несколько ребутов стартовали без интерактивной сессии (последний — 22 мая, результат 0 = успешно).
+
+## Что я изменил (уже сделано)
+
+В реестре Windows:
+- `AutoAdminLogon`: 1 → 0 (автологин выключен)
+- `ForceAutoLogon`: 1 → 0 (бесполезный флаг, мешал logoff)
+- `AutoLogonCount` — удалён
+
+Имя пользователя на экране входа осталось предзаполнено («Ярослав / glavtorg») — это просто удобство, не риск. **Пароль всё так же спрашивается.**
+
+На всякий случай положил на сервер:
+- `C:\Scripts\winlogon-backup-20260523-125613.reg` — бэкап старых настроек
+- `C:\Scripts\rollback-autologon.cmd` — откат одной командой
+
+## Что нужно от вас
+
+**1. Перезагрузить сервер в удобное окно** (вечером после работы, в выходные — на ваше усмотрение). Без перезагрузки эффект не проявится, но и текущее состояние не меняется — пока сервер работает, всё как раньше.
+
+```
+shutdown /r /t 0
+```
+
+(или через меню «Пуск → Перезагрузка»)
+
+**2. Сразу после загрузки проверить:**
+
+- Сервер должен встать на экран входа Windows (без автоматического логина — это то, что мы хотели)
+- Заходим под собой, открываем PowerShell **от админа** и проверяем что VM поднялись:
+
+```powershell
+& "C:\Program Files (x86)\VMware\VMware Workstation\vmrun.exe" list
+```
+
+Должно показать обе VM:
+```
+Total running VMs: 2
+D:\VMs\nbgw\Ubuntu 64-bit.vmx
+D:\VMs\Ubuntu 64-bit.vmx
+```
+
+- Дополнительно: пинг по 192.168.1.50 и 192.168.1.51 — обе должны отвечать
+- Удалёнка через NetBird (Diana, Юрий Витальевич) должна работать как раньше
+
+**3. Если что-то не так** — VM не поднялись, NetBird не работает — запустите откат:
+
+```
+C:\Scripts\rollback-autologon.cmd
+```
+
+(запустить от админа, потом перезагрузить сервер). После этого автологин вернётся как был, и сразу напишите мне — разберёмся почему Планировщик не справился.
+
+## Дополнительно про физический доступ
+
+Даже после этого фикса, если у сервера есть подключённый монитор/клавиатура (или iLO/IPMI/KVM-over-IP), кто-то с физическим доступом всё равно увидит экран входа и **может попытаться** ввести пароль. Защита от этого — отдельная история:
+
+- Длинный сложный пароль учётки (сейчас `23947592` — короткий, цифровой; рекомендую сменить)
+- BitLocker на системном диске (если железо позволяет TPM)
+- Физически закрытая стойка/шкаф с сервером
+- Отключить локальный логон по консоли для лишних пользователей
+
+Если интересно — могу помочь со сменой пароля и BitLocker отдельным заходом.
+
+---
+
+Если что — пишите.