Зачем использовать Ctrl+Alt+Delete для входа в систему

Одновременное нажатие клавиш Ctrl+Alt+Delete — это дополнительный уровень безопасности для компьютеров с Windows 11/10, поскольку последовательность нажатия этих клавиш не может быть перехвачена никаким приложением или вредоносным ПО.

То есть при нажатии этой комбинации клавиш пользователь гарантированно попадет в настоящее окно входа в систему.

Если от пользователей не требуется нажимать CTRL+ALT+DEL при входе в систему, то они (пользователи) уязвимы для атак, направленных на перехват паролей.

Как настроить требование Ctrl + Alt + Del

Я сторонник использовать комбинацию клавиш Ctrl+Alt+Delete при входе в систему.

Как настроить безопасный вход в Windows через оснастку «Учетные записи пользователей»

1. Нажмите Win + R, введите netplwiz и нажмите Enter.
2. В окне «Учётные записи пользователей» перейдите на вкладку «Дополнительно».
3. В разделе «Безопасный вход в систему» установите флажок «Требовать нажатия Ctrl + Alt + Delete».
4. Нажмите «Применить», затем «ОК».

Как настроить безопасный вход в Windows через локальную политику безопасности

1. Откройте редактор локальной политики безопасности, введя secpol.msc в окне «Выполнить» (Win + R).
2. В левой панели разверните «Локальные политики» → «Параметры безопасности».
3. Найдите политику «Интерактивный вход в систему: не требовать нажатия Ctrl + Alt + Del».
4. Дважды щёлкните по ней, чтобы открыть свойства.
5. В вкладке «Параметры локальной безопасности» установите переключатель в положение «Отключено» (или «Включено», в зависимости от желаемого состояния).

Если эта политика отключена, нажатие клавиш CTRL+ALT+DEL обязательно для любого пользователя перед входом в Windows.

Как настроить безопасный вход через реестр Windows

1. Откройте редактор реестра, для этого введите regedit в окне «Выполнить» (Win + R).
2. Перейдите в раздел HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
3. Найдите параметр DisableCAD.
4. Дважды щёлкните по нему, измените значение с 1 на 0 (для включения требования Ctrl + Alt + Del).
5. Выйдите из редактора реестра

Постскриптум

Протестировано на Windows 21H2.

При написании статьи были использованы следующие ресурсы:

1. https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-10/security/threat-protection/security-policy-settings/interactive-logon-do-not-require-ctrl-alt-del

Копирование файлов по SSH с помощью PuTTY

Если вы для подключения по SSH используете PuTTY, то в комплект его поставки для операционной системы Windows входит консольная утилита pscp (PuTTY Secure Copy Protocol) — утилита командной строки для безопасной передачи файлов между компьютерами.

Синтаксис утилиты прост:

pscp.exe [параметры] [источник] [получатель]

Например, в самом простом случае, когда вы подключились с рабочей станции Windows к Linux серверу, чтобы скачать файл с сервера используйте в консоли Windows следующую команду:

pscp.exe root@192.168.168.190:/root/depfinssl/standart/mydomain.cnf c:/tmp

При выполнении команды вам будет необходимо ввести пароль пользователя:

Здесь,

• root@192.168.168.190:/root/depfinssl/standart/mydomain.cnf — имя пользователя, адрес сервера и полное имя файла источника
• c:/tmp — путь на компьютере получателя куда будет скопирован файл

Аналогичным способом можно скопировать файл на сервер:

pscp.exe [имя файла с полным путем] [имя пользователя]@[имя сервера/ip-адрес]:[путь к файлу]

Чтобы увидеть список папок и файлов, размещенных на сервере, введите:

pscp.exe -ls [имя пользователя]@[имя сервера/ip-адрес]:[путь]

Если в пути или в названии файла присутствуют пробелы, то такой путь необходимо заключить в двойные кавычки — “Путь к файлу”.

Постскриптум

При написании статьи использовались сервер с ОС RedOS 7.3.5, рабочая станция с ОС Windows 10 и ПО PuTTY 0.76.

Дальнейшее повествование будет касаться только протокола IPv4.

Чтобы включить передачу сетевого трафика между интерфейсами необходимо использовать параметр net.ipv4.ip_forward=1.

Как временно включить переадресацию трафика

Чтобы включить форвардинг трафика выполните следующую команду.

sysctl -w net.ipv4.ip_forward=1

Правда работать это будет лишь до перезагрузки сервера.

Как включить постоянную переадресацию трафика на Debian до версии 13

В операционных системах Debian 12 и младше, чтобы включить переадресацию трафика между сетевыми интерфейсами на постоянной основе нужно внести правки в конфигурационный файл /etc/sysctl.conf. Для этого в конец файла добавляют строку

net.ipv4.ip_forward = 1

и сохраняют отредактированный файл. Затем, чтобы применить новую настройку, необходимо выполнить команду

# sysctl -p 

Как включить передачу трафика между интерфейсами в Debian 13

Debian 13 не использует файл /etc/sysctl.conf для настройки параметров форвардинга. И чтобы включить передачу сетевого трафика между интерфейсами необходимо создать (если его нет) файл /etc/sysctl.d/99-ip-forward.conf и добавить в него параметр:

net.ipv4.ip_forward=1

Чтобы операционная система приняла сделанные изменения выполните следующую команду:

# sysctl -p /etc/sysctl.d/99-ip-forward.conf

После этого трафик должен начать «бегать» между сетевыми интерфейсами и компьютер (сервер) сможет выполнять функции маршрутизатора.

Проверка настроек net.ipv4.ip_forward=1

Для проверки текущего состояния форвардинга трафика выполните следующую команду:

sysctl net.ipv4.ip_forward

Если получили сообщение как на изображении выше, значит переадресация сетевого трафика работает.

При обновлении версий Debian нельзя скакать через версию. Если у вас Debian 11, то сначала обновитесь до версии Debian 12, а лишь затем до Debian 13.

Обновление Debian 12 до актуального состояния

Первым делом установим все последние обновления на текущую версию Denian 12

# apt update && apt upgrade && apt dist-upgrade && apt autoremove

Проверьте текущую версию операционной системы вызовом одной из команд

# hostnamectl
# lsb_release -a
# cat /etc/debian_version

У вас должен быть примерно такой результат

На всякий случай проверьте нет ли «поломанных» пакетов:

# apt install -f

Изменение репозиториев под новую версию Debian 13

На всякий случай сохраним старый список источников

# mv /etc/apt/sources.list /etc/apt/sources.list.old-debian-12

И перейдем на новую рекомендую схему настроек списка репозиториеев. Для этого создадим файл /etc/apt/sources.list.d/debian.sources с необходимым для Debian 13 содержимым

# cat > /etc/apt/sources.list.d/debian.sources << "EOF"
Types: deb
URIs: https://deb.debian.org/debian
Suites: trixie trixie-updates
Components: main non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg

Types: deb
URIs: https://security.debian.org/debian-security
Suites: trixie-security
Components: main non-free-firmware
Signed-By: /usr/share/keyrings/debian-archive-keyring.gpg
EOF

Установка Debian 13

После смены репозиториев можно перейти к обновлению операционной системы до версии Debian 13

# apt update && apt upgrade && apt full-upgrade && apt autoremove && apt clean

Как правило во всех диалоговых окнах можно нажимать «Y».

После завершения обновления перезагрузите сервер

# reboot

И проверьте версию операционной системы

# hostnamectl
# lsb_release -a
# cat /etc/debian_version

Теперь у вас Debian версии 13.

Краткая инструкция по обновлению Debian

Сценарий обновления операционной системы Debian с версии 12 до версии 13 выглядит так.

1. Обновить текущую версию до актуального состояния
2. Изменить адреса репозиториев на вариант для Debian 13
3. Обновить операционную систему из нового репозитория

Постскриптум

Возможно, что в процессе обновления у вас будут появляться диалоговые окна. Внимательно читайте, в большинстве случаем можно соглашаться с ответом по-умолчанию.

Статья не описывает проблемы с которыми вы можете столкнуться в процессе обновления. Поэтому все действия на свой страх и риск.

Благодарности

При написании данной инструкции были использованы следующие источники:

1. https://www.debian.org/releases/trixie/release-notes/upgrading.en.html
2. https://serveradmin.ru/kak-obnovit-debian-12-do-debian-13-trixie/

Вы можете в качестве альтернативы использовать другие DNS серверы, например от Google (8.8.8.8), CloudFlare (1.1.1.1), Quad9 (9.9.9.9) или Яндекс (77.88.8.8). Или свой собственный DNS сервер. В дальнейшем я буду называть его DNS Resolver.

Как работает система DNS в интернете

Пришло время кратко рассказать как работает система доменных имен в интернете.

1. Доменное имя регистрируется (покупается) в уполномоченной организации. По-умолчанию у каждого доменного имени лишь одна настройка (параметр) — это адрес(а) сервера(ов) ресурсных записей. Так называемые NS серверы.
2. Информация о доменном имени и его NS серверах хранится на 13-ти корневых DNS серверах интернета.
3. На NS серверах хранятся все записи для доменного имени, например А запись связывающая символьное имя с IP адресом.
4. При попытке соединения по доменному имени, запрос от компьютера пользователя попадает на DNS Resolver. Если у него нет информации, то он узнает у корневых DNS серверов адрес NS сервера где хранятся ресурсные записи доменного имени и отправляет запрос к этому NS серверу. Ответ возвращает пользователю, а копию ответа сохраняет у себя.
5. При последующем обращении к этому же доменному имени ответ отдается из кеша DNS Resolver

Кому нужен свой DNS сервер

Исходя из вышеописанного алгоритма работы системы доменных имен следует, что чем популярнее доменное имя тем больше вероятность того, что оно будет в кеше DNS серверов. Количество запросов к одному и тому же доменному имени зависит в том числе от количества компьютеров обращающихся к данному DNS серверу.

Отсюда следует, чем больше пользователей используют один и тот же DNS сервер, тем больше вероятность получить быстрый ответ из кеша. Следовательно вероятность нахождения данных в кеше у серверов Google или Яндекс выше, чем у вашего персонального индивидуального сервера.

Поэтому если у вас пара компьютеров, то использовать свой собственных DNS Resolver для ускорения работы не имеет никакого смысла. Сервера провайдера или Яндекс будут работать быстрее.

Определить самый быстрый для вашего подключения DNS сервер можно с помощью программы Domain Name Speed Benchmark — https://www.grc.com/DNS/benchmark.htm.

Внимание!!! Автор выпустил новую версию программы и она стала платной. В статье описана бесплатная версия 1.3.

Пример использования в этой статье. На скриншоте выше видно, что у меня локальный DNS Resolver работает быстрее серверов Яндекс, Google и других.

Но на какую нагрузку расчитаны DNS серверы провайдера? Меняется ли их скорость работы в зависимости от количества подключений?

Я думаю, если у вас больше 100 компьютеров (устройств), то вам стоит подумать об использовании собственного DNS сервера.

Проблема утечки DNS

Собственный DNS Resolver избавит вас от так называемой утечки DNS запросов. Это тот случай, когда кто-то другой знает к каким доменным именам вы обращаетесь.

Проверить наличие утечки DNS можно он-лайн. Например здесь и здесь. Если утечек нет, то в результатах ответов адреса обнаруженных DNS серверов должны совпадать с вашими адресами.

На скриншотах выше видно, что адреса совпадают и утечек нет.

Как настроить свой собственный DNS сервер

Я приведу пример как настроить свой собственный DNS Resolver на основе операционной системы Debian. Для этого буду использовать сервер (сервис) Unbound. Unbound — это продукт компании NLnet Labs, реализующий в том числе кэширующий DNS-резолвер. Он распространяется бесплатно в формате с открытым исходным кодом под лицензией BSD.

Установка его крайне проста, так как пакет Unbound доступен в репозитории Debian:

apt install unbound

Настройки DNS сервера хранятся в файле /etc/unbound/unbound.conf

Unbound корректно работает «из коробки». Но для своих нужд его нужно донастроить.

Я использую следующий вариант.

server:
# DNS сервер Unbound прослушивает все интерфейсы. По умолчанию localhost (127.0.0.1 и ::1)
  interface: 0.0.0.0
# Порт для прослушивания. Совпадает с портом по-умолчанию
  port: 53
# Запрещаем работу по протоколу IPv6. IPv4 включен по-умолчанию
  do-ip6: no
# Не отвечаем на запросы о версии DNS-сервера Unbound и пр.
  hide-identity: yes
  hide-version: yes
  harden-referral-path: yes
# Настройки кэширования.
  cache-min-ttl: 300
  cache-max-ttl: 14400
  serve-expired: yes
  serve-expired-ttl: 3600
# Предварительная загрузка часто запрашиваемых DNS-записей у которых истекает TTL. По умолчанию: no (выключено)
  prefetch: yes
  prefetch-key: yes
  target-fetch-policy: "3 2 1 1 1"
# Порог нежелательных ответов
  unwanted-reply-threshold: 10000000
  rrset-cache-size: 256m
  msg-cache-size: 128m
  so-rcvbuf: 1m
# Исключаем из ответов DNS-сервера адреса диапазона частных IP-адресов
# Это необходимо для защиты от уязвимости "DNS rebinding"
  private-address: 192.168.0.0/16
  private-address: 169.254.0.0/16
  private-address: 172.16.0.0/12
  private-address: 10.0.0.0/8
  private-address: fd00::/8
  private-address: fe80::/10
# Определяем адреса на запросы от которых будет отвечать сервер
  access-control: 192.168.0.0/16 allow
  access-control: 172.16.0.0/12 allow
  access-control: 10.0.0.0/8 allow
  access-control: 127.0.0.1/32 allow
# Прочее
  chroot: ""
  logfile: /var/log/unbound.log

Подробнее о всех настройках можно почитать здесь.

Стандартные команды управления unbound

Проверка файла конфигурации:

unbound-checkconf

Запуск

systemctl start unbound

Перезагрузка

systemctl restart unbound

Остановка

systemctl stop unbound

Статус работы

systemctl status unbound

Автозапуск при старте операционной системы

systemctl enable unbound

Выводы

При указанных настройках мой DNS Resolver работает быстрее популярных серверов Google и Яндекс. Его использование так же устраняет утечку DNS.

Использование собственного DNS требуем определенных знаний и опыта, а так же добавляет дополнительные хлопоты, связанные с эксплуатацией данного сервера.

Постскриптум

В статье описана программа Domain Name Speed Benchmark версии 1.3 — она бесплатная. С недавних пор на официальном сайте представлена только версия 2 и она, к сожалению, платная.

По утверждению автора программы, интернет сильно изменился за последние годы и предыдущая версия его программы работает не так хорошо как хотелось бы.

Благодарности

При написании статьи были использованы следующие ресурсы:

1. https://notby.net/sobstvenniy-dns-server-unbound-v-linux
2. https://wiki.archlinux.org/title/Unbound_(Русский)