mmfb/lionart-1c: SSH + фикс efsaveragent + накопленный backlog vault-а
Сегодня (mmfb / LionART 1C): - projects/mmfb/lionart-1c.md — новый файл: VM 100 на pve LionART (WIN-70M2VEJIKEF, 10.253.1.240, Win Server 2022, 1С+SQL+Effector Saver), SSH-доступ claude/Kl@udeD1ag!2026 заведён, RDP под Администратор + 2FA. - projects/mmfb/proxmox-inventory.md — hostname WIN-70M2VEJIKEF в VM 100. - decisions/2026-05-28-mmfb-effector-saver-locked-admin.md — диагноз цикла 7038 (SCM-пароль разъехался с .\Администратор) + lockout учётки, и пошаговое решение (disable службы → ADSI unlock → LogonUser-проверка → sc.exe config password= → start auto). Накопившийся backlog (без отдельной правки в эту сессию): - decisions/: buzharovo (recon, migration-plan, 1c-licensing), sergey (instagram iPhone fakeip), amneziavpn macOS v1/v2 incompat, benelux compromise 2026-05-20, glavtorg autologon off, omni domain+update. - projects/: benilux README, buzharovo README+server1c, dttb (nextcloud-talk-bot, npm-proxy-hosts, proxmox-inventory, vpn-clients), glavtorg, sergey README, projects/_index. - claude-memory/: benelux, omniroute. - snippets/mac-dictation/groq-dictate.sh. - notes/claude/: ~80 авто-сохранённых транскриптов сессий за май. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
This commit is contained in:
dttb
94
projects/glavtorg/instruction-yaroslav-autologon.md
Normal file
94
projects/glavtorg/instruction-yaroslav-autologon.md
Normal file
@@ -0,0 +1,94 @@
|
||||
---
|
||||
type: instruction
|
||||
project: glavtorg
|
||||
audience: client
|
||||
tags: [glavtorg, instruction, yaroslav, security]
|
||||
---
|
||||
|
||||
# Ярославу: убрали автологин на сервере 1С
|
||||
|
||||
Ярослав, по вашей просьбе отключил автоматический вход на сервере. Ниже — что было, что изменилось и что от вас нужно.
|
||||
|
||||
## Почему это было опасно
|
||||
|
||||
На сервере крутятся две виртуальные машины в VMware Workstation:
|
||||
- `nbgw` (192.168.1.50) — шлюз NetBird, через него ходит вся VPN-связь с офисами
|
||||
- `Ubuntu` (192.168.1.51) — AmneziaVPN сервер
|
||||
|
||||
Чтобы они стартовали сами после перезагрузки, в апреле был настроен **автоматический вход в Windows** под вашим логином (программа Sysinternals Autologon). Пароль зашифрован в системе, но **результат**: после загрузки сервер сразу оказывается с готовым рабочим столом администратора, экран не блокируется. Если кто-то физически подойдёт к серверу или подключит монитор/клавиатуру — он сразу получает полный доступ к 1С, файлам, сети.
|
||||
|
||||
То есть пароль на учётке у вас стоит, но он бесполезен, пока сервер сам логинится после ребута.
|
||||
|
||||
## Почему отключение безопасно (виртуалки не упадут)
|
||||
|
||||
Проверил как именно стартуют VM:
|
||||
- Запускает их **Планировщик заданий Windows** (Task Scheduler → задача `VMware AutoStart`)
|
||||
- Задача настроена на режим **«Выполнять вне зависимости от того, выполнен ли вход пользователя»** — пароль хранится в самой задаче
|
||||
- Команда `vmrun ... nogui` поднимает VM в фоне (без окна), они работают как системные процессы
|
||||
|
||||
То есть автологин был нужен **в апреле для подстраховки**, но по факту Планировщик справляется сам. Виртуалки уже несколько ребутов стартовали без интерактивной сессии (последний — 22 мая, результат 0 = успешно).
|
||||
|
||||
## Что я изменил (уже сделано)
|
||||
|
||||
В реестре Windows:
|
||||
- `AutoAdminLogon`: 1 → 0 (автологин выключен)
|
||||
- `ForceAutoLogon`: 1 → 0 (бесполезный флаг, мешал logoff)
|
||||
- `AutoLogonCount` — удалён
|
||||
|
||||
Имя пользователя на экране входа осталось предзаполнено («Ярослав / glavtorg») — это просто удобство, не риск. **Пароль всё так же спрашивается.**
|
||||
|
||||
На всякий случай положил на сервер:
|
||||
- `C:\Scripts\winlogon-backup-20260523-125613.reg` — бэкап старых настроек
|
||||
- `C:\Scripts\rollback-autologon.cmd` — откат одной командой
|
||||
|
||||
## Что нужно от вас
|
||||
|
||||
**1. Перезагрузить сервер в удобное окно** (вечером после работы, в выходные — на ваше усмотрение). Без перезагрузки эффект не проявится, но и текущее состояние не меняется — пока сервер работает, всё как раньше.
|
||||
|
||||
```
|
||||
shutdown /r /t 0
|
||||
```
|
||||
|
||||
(или через меню «Пуск → Перезагрузка»)
|
||||
|
||||
**2. Сразу после загрузки проверить:**
|
||||
|
||||
- Сервер должен встать на экран входа Windows (без автоматического логина — это то, что мы хотели)
|
||||
- Заходим под собой, открываем PowerShell **от админа** и проверяем что VM поднялись:
|
||||
|
||||
```powershell
|
||||
& "C:\Program Files (x86)\VMware\VMware Workstation\vmrun.exe" list
|
||||
```
|
||||
|
||||
Должно показать обе VM:
|
||||
```
|
||||
Total running VMs: 2
|
||||
D:\VMs\nbgw\Ubuntu 64-bit.vmx
|
||||
D:\VMs\Ubuntu 64-bit.vmx
|
||||
```
|
||||
|
||||
- Дополнительно: пинг по 192.168.1.50 и 192.168.1.51 — обе должны отвечать
|
||||
- Удалёнка через NetBird (Diana, Юрий Витальевич) должна работать как раньше
|
||||
|
||||
**3. Если что-то не так** — VM не поднялись, NetBird не работает — запустите откат:
|
||||
|
||||
```
|
||||
C:\Scripts\rollback-autologon.cmd
|
||||
```
|
||||
|
||||
(запустить от админа, потом перезагрузить сервер). После этого автологин вернётся как был, и сразу напишите мне — разберёмся почему Планировщик не справился.
|
||||
|
||||
## Дополнительно про физический доступ
|
||||
|
||||
Даже после этого фикса, если у сервера есть подключённый монитор/клавиатура (или iLO/IPMI/KVM-over-IP), кто-то с физическим доступом всё равно увидит экран входа и **может попытаться** ввести пароль. Защита от этого — отдельная история:
|
||||
|
||||
- Длинный сложный пароль учётки (сейчас `23947592` — короткий, цифровой; рекомендую сменить)
|
||||
- BitLocker на системном диске (если железо позволяет TPM)
|
||||
- Физически закрытая стойка/шкаф с сервером
|
||||
- Отключить локальный логон по консоли для лишних пользователей
|
||||
|
||||
Если интересно — могу помочь со сменой пароля и BitLocker отдельным заходом.
|
||||
|
||||
---
|
||||
|
||||
Если что — пишите.
|
||||
Reference in New Issue
Block a user