oleg/knowledge-base
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
0b4a87c1f09e7f8fb526a47ea4a9e46440bc5cb2
knowledge-base/projects/glavtorg/instruction-yaroslav-autologon.md
dttb bf565f1392 mmfb/lionart-1c: SSH + фикс efsaveragent + накопленный backlog vault-а 
Сегодня (mmfb / LionART 1C):
- projects/mmfb/lionart-1c.md — новый файл: VM 100 на pve LionART
  (WIN-70M2VEJIKEF, 10.253.1.240, Win Server 2022, 1С+SQL+Effector Saver),
  SSH-доступ claude/Kl@udeD1ag!2026 заведён, RDP под Администратор + 2FA.
- projects/mmfb/proxmox-inventory.md — hostname WIN-70M2VEJIKEF в VM 100.
- decisions/2026-05-28-mmfb-effector-saver-locked-admin.md — диагноз
  цикла 7038 (SCM-пароль разъехался с .\Администратор) + lockout учётки,
  и пошаговое решение (disable службы → ADSI unlock → LogonUser-проверка
  → sc.exe config password= → start auto).

Накопившийся backlog (без отдельной правки в эту сессию):
- decisions/: buzharovo (recon, migration-plan, 1c-licensing), sergey
  (instagram iPhone fakeip), amneziavpn macOS v1/v2 incompat, benelux
  compromise 2026-05-20, glavtorg autologon off, omni domain+update.
- projects/: benilux README, buzharovo README+server1c, dttb
  (nextcloud-talk-bot, npm-proxy-hosts, proxmox-inventory, vpn-clients),
  glavtorg, sergey README, projects/_index.
- claude-memory/: benelux, omniroute.
- snippets/mac-dictation/groq-dictate.sh.
- notes/claude/: ~80 авто-сохранённых транскриптов сессий за май.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-29 12:33:03 +03:00

6.3 KiB
Raw Blame History

type, project, audience, tags
type project audience tags
instruction glavtorg client
glavtorg
instruction
yaroslav
security

Ярославу: убрали автологин на сервере 1С

Ярослав, по вашей просьбе отключил автоматический вход на сервере. Ниже — что было, что изменилось и что от вас нужно.

Почему это было опасно

На сервере крутятся две виртуальные машины в VMware Workstation:

  • nbgw (192.168.1.50) — шлюз NetBird, через него ходит вся VPN-связь с офисами
  • Ubuntu (192.168.1.51) — AmneziaVPN сервер

Чтобы они стартовали сами после перезагрузки, в апреле был настроен автоматический вход в Windows под вашим логином (программа Sysinternals Autologon). Пароль зашифрован в системе, но результат: после загрузки сервер сразу оказывается с готовым рабочим столом администратора, экран не блокируется. Если кто-то физически подойдёт к серверу или подключит монитор/клавиатуру — он сразу получает полный доступ к 1С, файлам, сети.

То есть пароль на учётке у вас стоит, но он бесполезен, пока сервер сам логинится после ребута.

Почему отключение безопасно (виртуалки не упадут)

Проверил как именно стартуют VM:

  • Запускает их Планировщик заданий Windows (Task Scheduler → задача VMware AutoStart)
  • Задача настроена на режим «Выполнять вне зависимости от того, выполнен ли вход пользователя» — пароль хранится в самой задаче
  • Команда vmrun ... nogui поднимает VM в фоне (без окна), они работают как системные процессы

То есть автологин был нужен в апреле для подстраховки, но по факту Планировщик справляется сам. Виртуалки уже несколько ребутов стартовали без интерактивной сессии (последний — 22 мая, результат 0 = успешно).

Что я изменил (уже сделано)

В реестре Windows:

  • AutoAdminLogon: 1 → 0 (автологин выключен)
  • ForceAutoLogon: 1 → 0 (бесполезный флаг, мешал logoff)
  • AutoLogonCount — удалён

Имя пользователя на экране входа осталось предзаполнено («Ярослав / glavtorg») — это просто удобство, не риск. Пароль всё так же спрашивается.

На всякий случай положил на сервер:

  • C:\Scripts\winlogon-backup-20260523-125613.reg — бэкап старых настроек
  • C:\Scripts\rollback-autologon.cmd — откат одной командой

Что нужно от вас

1. Перезагрузить сервер в удобное окно (вечером после работы, в выходные — на ваше усмотрение). Без перезагрузки эффект не проявится, но и текущее состояние не меняется — пока сервер работает, всё как раньше.

shutdown /r /t 0

(или через меню «Пуск → Перезагрузка»)

2. Сразу после загрузки проверить:

  • Сервер должен встать на экран входа Windows (без автоматического логина — это то, что мы хотели)
  • Заходим под собой, открываем PowerShell от админа и проверяем что VM поднялись:
& "C:\Program Files (x86)\VMware\VMware Workstation\vmrun.exe" list

Должно показать обе VM:

Total running VMs: 2
D:\VMs\nbgw\Ubuntu 64-bit.vmx
D:\VMs\Ubuntu 64-bit.vmx
  • Дополнительно: пинг по 192.168.1.50 и 192.168.1.51 — обе должны отвечать
  • Удалёнка через NetBird (Diana, Юрий Витальевич) должна работать как раньше

3. Если что-то не так — VM не поднялись, NetBird не работает — запустите откат:

C:\Scripts\rollback-autologon.cmd

(запустить от админа, потом перезагрузить сервер). После этого автологин вернётся как был, и сразу напишите мне — разберёмся почему Планировщик не справился.

Дополнительно про физический доступ

Даже после этого фикса, если у сервера есть подключённый монитор/клавиатура (или iLO/IPMI/KVM-over-IP), кто-то с физическим доступом всё равно увидит экран входа и может попытаться ввести пароль. Защита от этого — отдельная история:

  • Длинный сложный пароль учётки (сейчас 23947592 — короткий, цифровой; рекомендую сменить)
  • BitLocker на системном диске (если железо позволяет TPM)
  • Физически закрытая стойка/шкаф с сервером
  • Отключить локальный логон по консоли для лишних пользователей

Если интересно — могу помочь со сменой пароля и BitLocker отдельным заходом.

Если что — пишите.

Reference in New Issue View Git Blame Copy Permalink