oleg/knowledge-base
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
8b7010ea0a2efb60283b95890cef06b0886e9dfa
knowledge-base/projects/glavtorg/instruction-yaroslav-autologon.md
dttb bf565f1392 mmfb/lionart-1c: SSH + фикс efsaveragent + накопленный backlog vault-а 
Сегодня (mmfb / LionART 1C):
- projects/mmfb/lionart-1c.md — новый файл: VM 100 на pve LionART
  (WIN-70M2VEJIKEF, 10.253.1.240, Win Server 2022, 1С+SQL+Effector Saver),
  SSH-доступ claude/Kl@udeD1ag!2026 заведён, RDP под Администратор + 2FA.
- projects/mmfb/proxmox-inventory.md — hostname WIN-70M2VEJIKEF в VM 100.
- decisions/2026-05-28-mmfb-effector-saver-locked-admin.md — диагноз
  цикла 7038 (SCM-пароль разъехался с .\Администратор) + lockout учётки,
  и пошаговое решение (disable службы → ADSI unlock → LogonUser-проверка
  → sc.exe config password= → start auto).

Накопившийся backlog (без отдельной правки в эту сессию):
- decisions/: buzharovo (recon, migration-plan, 1c-licensing), sergey
  (instagram iPhone fakeip), amneziavpn macOS v1/v2 incompat, benelux
  compromise 2026-05-20, glavtorg autologon off, omni domain+update.
- projects/: benilux README, buzharovo README+server1c, dttb
  (nextcloud-talk-bot, npm-proxy-hosts, proxmox-inventory, vpn-clients),
  glavtorg, sergey README, projects/_index.
- claude-memory/: benelux, omniroute.
- snippets/mac-dictation/groq-dictate.sh.
- notes/claude/: ~80 авто-сохранённых транскриптов сессий за май.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-29 12:33:03 +03:00

95 lines
6.3 KiB
Markdown
Raw Blame History

This file contains ambiguous Unicode characters
This file contains Unicode characters that might be confused with other characters. If you think that this is intentional, you can safely ignore this warning. Use the Escape button to reveal them.
---
type: instruction
project: glavtorg
audience: client
tags: [glavtorg, instruction, yaroslav, security]
---
# Ярославу: убрали автологин на сервере 1С
Ярослав, по вашей просьбе отключил автоматический вход на сервере. Ниже — что было, что изменилось и что от вас нужно.
## Почему это было опасно
На сервере крутятся две виртуальные машины в VMware Workstation:
- `nbgw` (192.168.1.50) — шлюз NetBird, через него ходит вся VPN-связь с офисами
- `Ubuntu` (192.168.1.51) — AmneziaVPN сервер
Чтобы они стартовали сами после перезагрузки, в апреле был настроен **автоматический вход в Windows** под вашим логином (программа Sysinternals Autologon). Пароль зашифрован в системе, но **результат**: после загрузки сервер сразу оказывается с готовым рабочим столом администратора, экран не блокируется. Если кто-то физически подойдёт к серверу или подключит монитор/клавиатуру — он сразу получает полный доступ к 1С, файлам, сети.
То есть пароль на учётке у вас стоит, но он бесполезен, пока сервер сам логинится после ребута.
## Почему отключение безопасно (виртуалки не упадут)
Проверил как именно стартуют VM:
- Запускает их **Планировщик заданий Windows** (Task Scheduler → задача `VMware AutoStart`)
- Задача настроена на режим **«Выполнять вне зависимости от того, выполнен ли вход пользователя»** — пароль хранится в самой задаче
- Команда `vmrun ... nogui` поднимает VM в фоне (без окна), они работают как системные процессы
То есть автологин был нужен **в апреле для подстраховки**, но по факту Планировщик справляется сам. Виртуалки уже несколько ребутов стартовали без интерактивной сессии (последний — 22 мая, результат 0 = успешно).
## Что я изменил (уже сделано)
В реестре Windows:
- `AutoAdminLogon`: 1 → 0 (автологин выключен)
- `ForceAutoLogon`: 1 → 0 (бесполезный флаг, мешал logoff)
- `AutoLogonCount` — удалён
Имя пользователя на экране входа осталось предзаполнено («Ярослав / glavtorg») — это просто удобство, не риск. **Пароль всё так же спрашивается.**
На всякий случай положил на сервер:
- `C:\Scripts\winlogon-backup-20260523-125613.reg` — бэкап старых настроек
- `C:\Scripts\rollback-autologon.cmd` — откат одной командой
## Что нужно от вас
**1. Перезагрузить сервер в удобное окно** (вечером после работы, в выходные — на ваше усмотрение). Без перезагрузки эффект не проявится, но и текущее состояние не меняется — пока сервер работает, всё как раньше.
```
shutdown /r /t 0
```
(или через меню «Пуск → Перезагрузка»)
**2. Сразу после загрузки проверить:**
- Сервер должен встать на экран входа Windows (без автоматического логина — это то, что мы хотели)
- Заходим под собой, открываем PowerShell **от админа** и проверяем что VM поднялись:
```powershell
& "C:\Program Files (x86)\VMware\VMware Workstation\vmrun.exe" list
```
Должно показать обе VM:
```
Total running VMs: 2
D:\VMs\nbgw\Ubuntu 64-bit.vmx
D:\VMs\Ubuntu 64-bit.vmx
```
- Дополнительно: пинг по 192.168.1.50 и 192.168.1.51 — обе должны отвечать
- Удалёнка через NetBird (Diana, Юрий Витальевич) должна работать как раньше
**3. Если что-то не так** — VM не поднялись, NetBird не работает — запустите откат:
```
C:\Scripts\rollback-autologon.cmd
```
(запустить от админа, потом перезагрузить сервер). После этого автологин вернётся как был, и сразу напишите мне — разберёмся почему Планировщик не справился.
## Дополнительно про физический доступ
Даже после этого фикса, если у сервера есть подключённый монитор/клавиатура (или iLO/IPMI/KVM-over-IP), кто-то с физическим доступом всё равно увидит экран входа и **может попытаться** ввести пароль. Защита от этого — отдельная история:
- Длинный сложный пароль учётки (сейчас `23947592` — короткий, цифровой; рекомендую сменить)
- BitLocker на системном диске (если железо позволяет TPM)
- Физически закрытая стойка/шкаф с сервером
- Отключить локальный логон по консоли для лишних пользователей
Если интересно — могу помочь со сменой пароля и BitLocker отдельным заходом.
---
Если что — пишите.
Reference in New Issue View Git Blame Copy Permalink