--- type: instruction project: glavtorg audience: client tags: [glavtorg, instruction, yaroslav, security] --- # Ярославу: убрали автологин на сервере 1С Ярослав, по вашей просьбе отключил автоматический вход на сервере. Ниже — что было, что изменилось и что от вас нужно. ## Почему это было опасно На сервере крутятся две виртуальные машины в VMware Workstation: - `nbgw` (192.168.1.50) — шлюз NetBird, через него ходит вся VPN-связь с офисами - `Ubuntu` (192.168.1.51) — AmneziaVPN сервер Чтобы они стартовали сами после перезагрузки, в апреле был настроен **автоматический вход в Windows** под вашим логином (программа Sysinternals Autologon). Пароль зашифрован в системе, но **результат**: после загрузки сервер сразу оказывается с готовым рабочим столом администратора, экран не блокируется. Если кто-то физически подойдёт к серверу или подключит монитор/клавиатуру — он сразу получает полный доступ к 1С, файлам, сети. То есть пароль на учётке у вас стоит, но он бесполезен, пока сервер сам логинится после ребута. ## Почему отключение безопасно (виртуалки не упадут) Проверил как именно стартуют VM: - Запускает их **Планировщик заданий Windows** (Task Scheduler → задача `VMware AutoStart`) - Задача настроена на режим **«Выполнять вне зависимости от того, выполнен ли вход пользователя»** — пароль хранится в самой задаче - Команда `vmrun ... nogui` поднимает VM в фоне (без окна), они работают как системные процессы То есть автологин был нужен **в апреле для подстраховки**, но по факту Планировщик справляется сам. Виртуалки уже несколько ребутов стартовали без интерактивной сессии (последний — 22 мая, результат 0 = успешно). ## Что я изменил (уже сделано) В реестре Windows: - `AutoAdminLogon`: 1 → 0 (автологин выключен) - `ForceAutoLogon`: 1 → 0 (бесполезный флаг, мешал logoff) - `AutoLogonCount` — удалён Имя пользователя на экране входа осталось предзаполнено («Ярослав / glavtorg») — это просто удобство, не риск. **Пароль всё так же спрашивается.** На всякий случай положил на сервер: - `C:\Scripts\winlogon-backup-20260523-125613.reg` — бэкап старых настроек - `C:\Scripts\rollback-autologon.cmd` — откат одной командой ## Что нужно от вас **1. Перезагрузить сервер в удобное окно** (вечером после работы, в выходные — на ваше усмотрение). Без перезагрузки эффект не проявится, но и текущее состояние не меняется — пока сервер работает, всё как раньше. ``` shutdown /r /t 0 ``` (или через меню «Пуск → Перезагрузка») **2. Сразу после загрузки проверить:** - Сервер должен встать на экран входа Windows (без автоматического логина — это то, что мы хотели) - Заходим под собой, открываем PowerShell **от админа** и проверяем что VM поднялись: ```powershell & "C:\Program Files (x86)\VMware\VMware Workstation\vmrun.exe" list ``` Должно показать обе VM: ``` Total running VMs: 2 D:\VMs\nbgw\Ubuntu 64-bit.vmx D:\VMs\Ubuntu 64-bit.vmx ``` - Дополнительно: пинг по 192.168.1.50 и 192.168.1.51 — обе должны отвечать - Удалёнка через NetBird (Diana, Юрий Витальевич) должна работать как раньше **3. Если что-то не так** — VM не поднялись, NetBird не работает — запустите откат: ``` C:\Scripts\rollback-autologon.cmd ``` (запустить от админа, потом перезагрузить сервер). После этого автологин вернётся как был, и сразу напишите мне — разберёмся почему Планировщик не справился. ## Дополнительно про физический доступ Даже после этого фикса, если у сервера есть подключённый монитор/клавиатура (или iLO/IPMI/KVM-over-IP), кто-то с физическим доступом всё равно увидит экран входа и **может попытаться** ввести пароль. Защита от этого — отдельная история: - Длинный сложный пароль учётки (сейчас `23947592` — короткий, цифровой; рекомендую сменить) - BitLocker на системном диске (если железо позволяет TPM) - Физически закрытая стойка/шкаф с сервером - Отключить локальный логон по консоли для лишних пользователей Если интересно — могу помочь со сменой пароля и BitLocker отдельным заходом. --- Если что — пишите.