Сисадмины всех кофеварок, соединяйтесь!

В Сети стала доступна для всеобщего обозрения огромная часть внутренних сборок и элементов ядра Windows. На betaarchive.com было загружено около 32 Тбайт непубличных установочных образов и проектов программного обеспечения. Предполагается, что данные были похищены с внутренних систем Microsoft в марте этого года.

Среди утёкших данных — исходный код, который распространяется по механизму Shared Source. По словам людей, которые видели его содержимое, он включает код базовых аппаратных драйверов Windows 10 и PnP, стеки USB и Wi-Fi, а также код ядра OneCore для ARM-устройств.
https://3dnews.ru/954490

Windows Server 2003 missing Network Store Interface Service (nsi)
There were 3 dependencies (bowser, mrxsmb10 and nsi) shown for the Lanmanworkstation service. Usually there has to be none. After finding your post here and removing the 3 items, the server started as wanted again.
https://social.technet.microsoft.com/Forums/windowsserver/en-US/4d73bd1b-0c8e-4c17-ae2e-50a1cdd215b3/windows-server-2003-missing-network-store-interface-service?forum=winservergen

Коллеги выхватили на виртуалке.
Слышал о таком выхватывании в Server 2008.
Походу, дырка неведомая.

Разовое лечение там же -
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\
Edit the DependOnService key and remove NSI

Но вообще проблема так не лечится, после следующего ребута возникает снова.

Очередные грустные и печальные новости о победе сил разума над силами добра.
После многолетней борьбы
- 2015
Как и год назад, отдельные представители городской администрации Мюнхена предлагают отказаться от использования операционной системы LiMux (на базе Kubuntu 12.04) в государственных учреждениях. Такое решение продвигают два члена Консервативной партии CSU. По их мнению, нынешняя система «сложна в использовании» и имеет «ограниченную функциональность».
https://geektimes.ru/post/260690/

Опять силы разума победили силы добра:
Городские власти Мюнхена приняли решение вернуться на Windows. С 2003 по 2013 год администрация постепенно внедряла специальный дистрибутив Linux под названием LiMux, созданный на базе Ubuntu.
https://xdrv.ru/news/software/21254

Munich mulls dropping Linux, returning to Windows 10
https://arstechnica.com/information-technology/2017/02/munichs-linux-deployment-once-again-in-doubt-may-switch-to-windows-10-by-2020/

Читал вот этот ужоснах
https://social.technet.microsoft.com/Forums/ru-RU/ee5d6029-ae44-4c9f-812c-4b2996dedd63/-?forum=xpru

Решил написать что и как.
SRP я решил внедрять еще лет 10 назад, и внедрял с переменным успехом. Два года назад начал очередное внедрение, после пролезшего мимо антивируса шифровальщика. Данные из бекапа подняли, осадочек остался.

Что имею таки сказать.
1. Выбор applocker или Software Restriction Policies (SRP)
Без разницы.
Windows AppLocker
https://technet.microsoft.com/en-us/library/dd759117(v=ws.11).aspx
появился в семерке, когда я первые разы запускал - везде была XP. Выбора не было

2. Обучение персонала
Да, полезно - но требует обучения под роспись и действенных мер по обучению. Это бывает весьма редко, да и помогает примерно никак.

3. Защита типа "а мы не будем мапить сетевые диски диски, наделаем ярлыков" - локальные файлы все равно зашифрует, может быть неудобно.

Теперь о запуске.
1. Очевидно (но не для всех), что опыты надо сначала ставить на себе, потом на себе еще раз, потом отдельной политикой на отдельной OU.

2. SRP/applocker не отменяет антивирус

3. Вместе с политикой SRP/applocker надо писать политику распространения таска в task scheduler, которая по событию NN вызовет скрипт, который отправит вам сообщение (почта, смс, прочее) о срабатывании. Что еще туда будет записано - имя компа, имя пользователя, ип/мак, время срабатывания, прочая, прочая - дело ваше.

4. Первые полгода будет постоянно всплывать всякое говно. В частности:
4.1 Наставленный в юзерские папки софт, особенно хром и опера. Фаерфокс встречается почему-то реже. Хром еще свои репортер тулзы кладет в юзерский профиль, приходится добавлять.

4.2 обновления баз всяких кладров и прочих классификаторов для 1с и банк-клиентов.
Индивидуально надо настраивать, но они не каждый день обновляются.

4.3 Разный говнософт, который обновляется через DCOM. Это пиздец, но это есть. лечится выкидыванием софта.

4.4 Сложно с погромистами. Но решаемо.

4.5 Время от времени система толи сама сходит с ума, толи вирусня какая-то просачивается, толи что - бывают неопределяемые глюки. Возможно это вариация на тему самоудаляющейся вирусни в ворде/экселе, возможно что-то еще.

4.6 Перед началом процедур нужно административное решение, потому что иначе мозг будут выедать ложкой, со словами Я ХОЧУ TEAMVIEWER ИЗ ДОМА И НИИБЕТ.

В остальном - вполне рабочее решение, если руки не из жопы.