Перейти из форума на сайт.

НовостиФайловые архивы
ПоискАктивные темыТоп лист
ПравилаКто в on-line?
Вход Забыли пароль? Первый раз на этом сайте? Регистрация
Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Быстрая настройка Windows (рабочее место)

Модерирует : KLASS, IFkO

 Версия для печати • ПодписатьсяДобавить в закладки
Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Открыть новую тему     Написать ответ в эту тему

KLASS



Moderator
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Есть всем известный батник из архива AutoSettings.zip от westlife, который предназначен для отключения свистелок и перделок в LTSB2016.
Сам использую этот батник для полной настройки системы после установки, добавляя в него свои команды и используя свои батники\файлы_реестра\PowerShell.
Пока не реализовано через батник:
Рабочий стол\ПКМ\Вид\Мелкие значки решено
Отключить параметр: Параметры\Персонализация\Пуск\Показывать недавно добавленные приложения (регулировка данной настройки через MDM добавлена только в Windows 10, version 1703
Удалить драйверы и отключить AMDA00 Interface в диспетчере устройств, чтобы не было ошибки 'Сбой загрузки драйвера \Driver\WUDFRd для устройства ACPI\PNP0A0A\2&daba3ff&0.'
======
Предлагаю в теме делиться своими наработками по быстрой настройке системы, используя батники, сценарии PowerShell и файлы реестра.
Если при выполнении батника в окне CMD появились кракозябры или не все отображается, измените шрифт окна CMD на Consolas
 
Закладки (bookmarks) по реестру Windows 10 для программы Registrar Registry Manager
Какой раздел реестра использовать при создании рег-файлов CurrentControlSet или ControlSetNNN
 
Сценарии PowerShell:
От farag
Импорт виртуальных машин в Диспетчер Hyper-V
Ассоциация файлов PowerShell и запуск неподписанных скриптов. Smitis (C)  
 
Смежные темы:
Реестр Windows 10 (только редактор реестра)
Сценарии Windows

Всего записей: 7522 | Зарегистр. 12-10-2001 | Отправлено: 09:39 23-05-2017 | Исправлено: KLASS, 02:20 08-11-2018
ingviowarr

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
JordanM

Цитата:
в 1809 появился такой подлый файлик upfc.exe (в процессах виден как Updateability From SCM) который с заданой переодичностью восстанавливает службы и целые ветки реестра для того что бы Windows переодически проверяла наличие обновлений.

 
Очень своевременная находка. У меня тоже практически получилось обуздать 1809 LTSC, и ещё среди последних нескольких оставался вопрос, что же восстанавливает некоторые ветки реестра.
 
Причём, это касается не только системы обновления, но и Cortana, Store, разрешение OneDrive коннекта в Cloud (хоть последних двух как бы и нет, но по факту разрешения коннекта система восстанавливает, что не не есть хорошо).
 
Так вот, друзья, мой опыт говорит, что в этой редакции поделия без отбирания прав в определённых ветках реестра уже не обойтись. Этому придётся научиться, кто этого раньше не делал. В частности это совершенно необходимо:
 
1) Для отключения некоторых задач Планировщика
 
В зависимости от настроек, к-во таких неотключаемых задач из общего списка "к отключению" может оказаться разным. Например, встречаются такие:
 
BackgroundUploadTask        Microsoft\Windows\SettingSync\BackgroundUploadTask
 
Schedule Scan                Microsoft\Windows\UpdateOrchestrator\Schedule Scan
Schedule Scan Static Task        Microsoft\Windows\UpdateOrchestrator\Schedule Scan Static Task                
UpdateModelTask            Microsoft\Windows\UpdateOrchestrator\UpdateModelTask
USO_UxBroker                Microsoft\Windows\UpdateOrchestrator\USO_UxBroker
 
2) Для блокирования нескольких основных папок накопления и слива диагностических данных - очистка и последующее отбирание прав записи с ЗАПРЕТОМ (имеет больший приоритет, чем отсутствие прав)
 
    C:\ProgramData\Microsoft\Diagnosis\
    C:\ProgramData\Microsoft\Search\Data\Applications\Windows\GatherLogs\
    C:\ProgramData\Microsoft\Windows\DeviceMetadataStore\
 
3) Для запрета восстановления уже правильно настроенных параметров ГП / Реестра по путям
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Onedrive]
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsStore]
 
После некоторого простоя машины некоторые ключи реестра, в указанных выше ветках, система возращает обратно, поэтому также необходимо блокирование.
 
Отбирание прав (в целом) - означает их перенастройку с добавлением своей учётки, прежде всего в качестве Владельца с полными правами, также добавление себя любимого в общий список, отключение Наследования с перенастройкой существующих системных записей, установка прав только на Чтение. Причём, важно не удалять существующие системные записи, а оставлять им возможность прочитать ваши настройки, собственно, отключения тех или иных параметров.
 
------------
Так вот ветка [HKLM\SYSTEM\Waas\Upfc] , в отличие от описанных выше, действительно заблокирована от изменения прав жесточайшим образом. Но цепочку воздействия на систему этого "ИНИЦИАТОРА" (как бы я его назвал) можно всё равно разорвать, по моим представлениям.

Всего записей: 134 | Зарегистр. 13-03-2006 | Отправлено: 08:18 16-12-2018
Us2002

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
JordanM

Цитата:
Помогите изменить ветку реестра:
 
HKLM\SYSTEM\Waas\Upfc
 

дык это более высокий одминский тир, будь одмином сцм и рули ведомой станцией

Всего записей: 1522 | Зарегистр. 03-02-2005 | Отправлено: 08:22 16-12-2018
ingviowarr

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Винда подключется  к своим серверам ещё на стадии загрузки. Более того, она с лёгкостью обходит даже файервол Eset.

Именно поэтому в системе первым делом нужно устанавливать "dnscrypt-proxy". Он великолепен и не побоюсь этого слова - гениален. По моему мнению, именно с него начинается понятие "безопасность" для любого и каждого, кто подключается к Глобальной сети.
 
KLASS
Цитата:
давно известно, что в 10 должен быть отключен сетевой адаптер при загрузке и включаться он должен только после того, как спустя секунд 30 после входа в систему автоматом восстановлены правила пользователя.

А как быть с обновлениями сертификатов? Процесс LSASS ходит за этим добром быстрее, чем может загрузиться любой антивирус или фаэр. Ходит по порту 80 и очень быстро, проверить можно уже "по факту" загрузки ОС, отражается в Журнале. По крайней мере так было в Win8.1 Это единственный процесс "самохода" сетевых функций Windows, который я не блокировал и оставил на автоматическом подключении.

Всего записей: 134 | Зарегистр. 13-03-2006 | Отправлено: 08:29 16-12-2018 | Исправлено: ingviowarr, 08:37 16-12-2018
Us2002

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ingviowarr

Цитата:
А как быть с обновлениями сертификатов?  

ну а что с ними случится если сеть будет выключена в биосе и включена уже после логона локального юзера

Всего записей: 1522 | Зарегистр. 03-02-2005 | Отправлено: 08:40 16-12-2018
LevT



Запрет на пост
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Так вот ветка [HKLM\SYSTEM\Waas\Upfc] , в отличие от описанных выше, действительно заблокирована от изменения прав жесточайшим образом.

 
А если внешним редактором править офлайн-реестр.
Пробовали?

Всего записей: 11040 | Зарегистр. 14-10-2001 | Отправлено: 09:03 16-12-2018
ingviowarr

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
если сеть будет выключена в биосе и включена уже после логона локального юзера

Не понимаю что значит " сеть будет выключена в биосе". А поповоду "после логона" - оно чекает быстро и, типа, "ага, сети нет - фиг с ней, обновим в следующий раз, при загрузке". А если такая загрузка всё время... или фаэром погашено или ещё чем. Т.е. заимеем устаревшие сертификаты и необновлённый список отозванных. Ненавижу эти серты как таковые (по сути - кот в мешке) и тех, кто их придумал, но такова реальность.  
 
 
Добавлено:

Цитата:
А если внешним редактором править офлайн-реестр.  
Пробовали?

Нет, конечно. Хоть пока и не знаю как, но хорошо понимаю, что такие методы - это жесть.
Нужен более "быстрый" метод погасить эту гадость.

Всего записей: 134 | Зарегистр. 13-03-2006 | Отправлено: 09:07 16-12-2018
Us2002

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ingviowarr

Цитата:
заимеем устаревшие сертификаты

с чего это, если таймер поставить от последнего чека
 
Добавлено:

Цитата:
Нужен более "быстрый" метод погасить эту гадость.

если он найдётся, то это дырища
https://www.microsoft.com/en-us/download/details.aspx?id=19188
возможно тут чтото будет описано

Всего записей: 1522 | Зарегистр. 03-02-2005 | Отправлено: 09:30 16-12-2018 | Исправлено: Us2002, 09:51 16-12-2018
ingviowarr

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Если бы Upfc не вмешивался в реестр а был лишь "ИНИЦИАТОРОМ" запуска подсистемы сервисов обновления, его можно было бы даже активным оставить тихо скулить загнанным в угол, погасив "SecurityHealthService" - и службу, и UWP-интерфейс "SecHealthUI" (системное приложение). Оба могут быть отключены в рамках полного вырубания разветвлённой встроенной системы "безопасности" - всего того, что находится в разделе "Обновление и безопасность". Никакие старые и новые средства автоматизации не делают это корректно. Но найти всё нужное и аккуратно отключить мне удалось вручную. Это целый комплекс мер.
 
Так вот, с этим связан вопрос - "А как же обновления"?  У меня есть идейка как это замутить одной кнопкой и чем это сделать. Но до проверки ещё не дошёл, очень много всего.
 
----------------
Есть такой насущный вопрос. Знает ли кто, какие службы / системные модули / ГП избирательно нужны для установки AppX оффлайн. Дело в том, что на тестовой системе я шёл к финалу отрубая по дороге всю подсистему UWP. И тут HP выложили "чудо" от Synaptics - драйвера Тач-Пада к ноуту HP. Чучело это склепали из 2-х частей: 1) сами -inf драйвера и 2) AppX приложение в качестве интерфейса настроек. И 1-е тесно завязано на 2-е. Это ж каким гением надо быть, чтоб драйвера на железо завязать на UWP!
 
Вот и думаю - либо оставить всё отрубленное UWP и предыдущий драйвер, либо отыскать минималистическую конфигурацию, позволяющую запускать установку и работу UWP в оффлайне. Однако, "опасная тенденция" нарисовуется... До этого инциндента свято верил в возможность пускать всё UWP лесом.

Всего записей: 134 | Зарегистр. 13-03-2006 | Отправлено: 09:33 16-12-2018 | Исправлено: ingviowarr, 09:37 16-12-2018
4r0

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ingviowarr
JordanM
1) Загрузиться с любого Windows LiveCD, в котором есть regedit (я использую LiveCD на базе Windows 7).
2) Запустить regedit, перейти в HKEY_LOCAL_MACHINE, "Файл - Загрузить куст... - указать путь к Windows\system32\config\system" - назначить ему какое-нибудь имя, открыть его, отредактировать, зaпpeтить пoльзoвaтeлю "Все" дocтyп к \Upfc нa зaдaниe знaчeния (я также запретил создание подраздела, удаление и смену владельца, убрал наследование разрешений и применил это также к дочерним объектам), потом выбрать этот загруженный куст, "Файл - Выгрузить куст...", загрузиться в обычную винду.
Если хочется, можно заменить \System32\Upfc.exe на пустой файл, отключить наследование разрешений и выставить к нему полный запрет доступа пользователю "Все".

Всего записей: 456 | Зарегистр. 26-01-2010 | Отправлено: 10:47 16-12-2018 | Исправлено: 4r0, 12:59 17-12-2018
WAndrey

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:
Есть такой насущный вопрос. Знает ли кто, какие службы / системные модули / ГП избирательно нужны для установки AppX оффлайн.

На 8.1 прокатывало так:

Код:
reg load HKLM\w81 "Mount\Windows\System32\config\SOFTWARE"
reg add HKLM\w81\Policies\Microsoft\Windows\Appx /v "AllowAllTrustedApps" /t REG_DWORD /d 0x00000001 /f
reg unload HKLM\w81
 
dism /Image:"Mount" /Add-ProvisionedAppxPackage /PackagePath:"bla-bla-bla" /DependencyPackagePath:"bla-bla-bla" /SkipLicense
 
reg load HKLM\w81 "Mount\Windows\System32\config\SOFTWARE"
reg delete HKLM\w81\Policies\Microsoft\Windows\Appx /v "AllowAllTrustedApps" /f
reg unload HKLM\w81
 
Сам пакет распакованный в виде .appx файлов. В /PackagePath и /DependencyPackagePath символы подстановки не катят, надо указывать полный путь. /DependencyPackagePath добавлять на каждую зависимость.
Попробуй...

Всего записей: 730 | Зарегистр. 20-01-2007 | Отправлено: 11:50 16-12-2018 | Исправлено: WAndrey, 11:51 16-12-2018
ingviowarr

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
4r0 Спасибо, попробую. Надо загрузочную флеху состртяпать.
Думаю, записью "Все" дело не обойдётся. "СИСТЕМА" и остальным еже с ней надо влепить запреты тоже. Иначе сценарий известен: следующее обновление может вернуть всё на место. Поэтому остальные - тоже под запрет. Перед изменением запомнить/записать кто там сидит и вернуть на место уже с запретами (плюс себя с правами). Как известно, после снятия Наследования список частично или полностью очищается, поэтому важно запомнить кто там был до правок. Ну, "Администраторы" можно не возвращать, если своя учётка ставится. Это я про ветку [HKLM\SYSTEM\Waas\Upfc] а не сам "upfc.exe".
 
WAndrey
Насколько это понял - попробовал. reg -команды в таком виде не работают. Так что, перед применением dism поставил в реестре  AllowAllTrustedApps = 1 вручную в нужное место с перезагрузкой. (Кстати, у меня на Win10 в ветке пусто, а в Win8.1 есть три ключа с нулями).
 
Потом попробовал dism. Но пишет "Не удалось получить доступ к образу". Пути ставил полные.  

Цитата:
/DependencyPackagePath добавлять на каждую зависимость

Можно уточнить? Зависимости эти - это то что валяется внутри пакета с appx? У меня там *.appx , *_License1.xml , *. provxml и *.txt
 
Я к /DependencyPackagePath добавил только *. provxml с полным путём.
А если файлов больше, их перечислять надо через пробел и тоже с полными путями, или как?
В общем, не совсем понял как пользоваться. И чё такая ошибка тоже.

Всего записей: 134 | Зарегистр. 13-03-2006 | Отправлено: 13:16 16-12-2018 | Исправлено: ingviowarr, 13:58 16-12-2018
JordanM

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
Я не знаю каким образом вам удалось отредактировать WaaS\Upfc через рекавери меню или через загрузочную флешку. Подсоединение куста всё равно не даёт прав на его редактирование. Мне удалось через Debian Live USB flash и с помощью пакета chntpw отредактировать файл SYSTEM изменив значение параметра "NextHealthCheck" на пустоту. Загружаю Windows и .... эта дрянь уже при загрузке востановила стандартное значение параметра. Пошёл другим путём. Удалил полностью ключ WaaS. Загружаю Windows и ... опять эта дрянь востановила уже весь ключ WaaS\Upfc. Просто жесть. Оно намертво где то прописано в ядре и востанавливается уже при загрузке. Так что проще всего удалить С:\Windows\System32\upfc.exe и не парить мозг. Они скоро так и телеметрию пропишут без возможности отключения. Да и любую другую функцию по шпионажу. Вот тогда будет весело. Самое смешное то, что билд 1809 наочный пример того что телеметрия собирается не с целью "улучшения качества продукта".

Всего записей: 9 | Зарегистр. 13-12-2018 | Отправлено: 14:33 16-12-2018 | Исправлено: JordanM, 14:50 16-12-2018
WAndrey

Advanced Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
ingviowarr
С реестром все работает, смотри внимательно свои пути и точки монтирования.
Само приложение это appxbundle, appx это зависимости для него, их может и не быть. По крайней мере на 8.1 так было.
Да, через пробел, каждый раз с /DependencyPackagePath и полным путем.
 
https://docs.microsoft.com/en-us/windows-hardware/manufacture/desktop/preinstall-apps-using-dism

Всего записей: 730 | Зарегистр. 20-01-2007 | Отправлено: 16:15 16-12-2018
ingviowarr

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
JordanM Спасибо за исследование, сэкономили кучу времени. Подтверждаю, удаление С:\Windows\System32\upfc.exe возможно после правки прав на файл прямо в живой системе. Достаточно смены Владельца на себя, переоткрытия вкладки "Безопасность" снова и внесения своей учётки в список с полными правами.
 
Остаются пару нюансов - последить как ОС будет с этим жить. Если знаете раздел Журнала, сообщите название, есть ли какая-то реакция на этот ход. Но думаю будет всё ОК, особенно с прибитыми службами, на которые upfc завязан. Это как раз то решение, которого ждали
 
Если всё ОК, это готовый кандидат на внесение в файл автопроверок настройки системы а-ля westlife или "Check.bat из замечательного пакета "AutoSettings" сборки LeX для LTSB 1607.
На предмет остутствия файла после обновления. Один из последних гвоздиков в гроб телеметрии 1809. Ох они и натворили в ней...

Всего записей: 134 | Зарегистр. 13-03-2006 | Отправлено: 16:30 16-12-2018 | Исправлено: ingviowarr, 16:31 16-12-2018
4r0

Full Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
JordanM
Да ваще лехко: https://vimeo.com/306651499
Главное - ограничение прав доступа.
Сам же Upfc.exe поддаётся любой манипуляции из-под обычного администратора, не нужно даже ExecTI использовать, заменить владельца и вперёд.
Конечно, после какого-нибудь обновления это может слететь, но что поделать.

Всего записей: 456 | Зарегистр. 26-01-2010 | Отправлено: 16:39 16-12-2018
JordanM

Newbie
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
sfc /scannow  восстанавливает upfc.exe. Так что если кто использовал эту команду для проверки время от времени целостности системы то теперь можете об этом забыть.
 
PS: Надо будет поставить с нуля LTSC затем удалить upfc.exe и установить все обновления из центра что бы проверить не воскреснит ли.

Всего записей: 9 | Зарегистр. 13-12-2018 | Отправлено: 16:49 16-12-2018 | Исправлено: JordanM, 16:49 16-12-2018
ingviowarr

Junior Member
Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору
4r0 Респектище за видос. Даже безотносительно upfc, а чисто по методе.
Да, такую стойкую дрянь, наверное, надо одновременно и удалять и блочить в реестре.
 
JordanM

Цитата:
sfc /scannow  восстанавливает upfc.exe. Так что если кто использовал эту команду для проверки время от времени целостности системы

Сколько 8.1 юзаю - даже на ней к никакой диагностике не притрагиваюсь, оно тут же сбивает часть блоков и врубает шпионство. Особено sfc /scannow (ваще аут). Скоко лет система стоит - уже и не упомню, и как-то обошёлся без этого... А на 10-ке тем более, всю диагностику - под нож. Сканы токо на комьюнити M$ предлагают, когда не знают ответа на вопрос по решению проблемы

Всего записей: 134 | Зарегистр. 13-03-2006 | Отправлено: 18:52 16-12-2018 | Исправлено: ingviowarr, 18:52 16-12-2018
PTITZA



Advanced Member
Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору
Мужики, кто-нибудь "лохматил" Enterprise G?
Как для китайцев отключили Defender, брандмауэр, телеметрию?
Это всё отключено по-умолчанию.

Всего записей: 791 | Зарегистр. 03-01-2010 | Отправлено: 22:24 16-12-2018
Открыть новую тему     Написать ответ в эту тему

Страницы: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59

Компьютерный форум Ru.Board » Операционные системы » Microsoft Windows » Быстрая настройка Windows (рабочее место)

Имя:
Пароль:
Сообщение

Для вставки имени, кликните на нем.

Опции сообщенияДобавить свою подпись
Подписаться на получение ответов по e-mail
Добавить тему в личные закладки
Разрешить смайлики?
Запретить коды


Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.Board
© Ru.Board 2000-2018

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC

Рейтинг.ru

Рейтинг.ru