Файл Config.xml (Windows 10) — развертывание Windows

• Статья
• 16.06.2022
• 9 минут на чтение

Файл Config.xml

Файл Config.xml — это необязательный файл средства миграции пользовательской среды (USMT) 10.0, который можно создать с помощью параметра /genconfig с помощью средства ScanState.exe. Если вы хотите включить все компоненты по умолчанию и не хотите изменять поведение по умолчанию при создании хранилища или переносе профиля, вам не нужно создавать файл Config. xml.

Однако, если вас устраивает поведение миграции по умолчанию, определенное в файлах MigApp.xml, MigUser.xml и MigDocs.xml, но вы хотите исключить определенные компоненты, вы можете создать и изменить файл Config.xml и оставить другие файлы .xml без изменений. Например, вам необходимо создать и изменить файл Config.xml, если вы хотите исключить какие-либо из переносимых параметров операционной системы. Необходимо создать и изменить этот файл, если вы хотите изменить какое-либо поведение по умолчанию при создании магазина или переносе профиля.

Формат файла Config.xml отличается от формата других файлов миграции .xml, так как он не содержит правил миграции. Он содержит только список компонентов операционной системы, приложений, пользовательских документов, которые можно перенести, а также политику профиля пользователя и политику контроля ошибок. По этой причине исключить компоненты с помощью файла Config.xml проще, чем изменить файлы миграции .xml, поскольку вам не нужно знать правила и синтаксис миграции. Однако в этом файле нельзя использовать подстановочные знаки.

Дополнительные сведения об использовании файла Config.xml с другими файлами миграции, такими как файлы MigDocs.xml и MigApps.xml, см. в разделе Общие сведения о XML-файлах миграции.

Примечание Чтобы исключить компонент из файла Config.xml, задайте для параметра migrate значение «нет» . Удаление тега XML для компонента из файла Config.xml не приведет к исключению компонента из миграции.

В этом разделе

В USMT есть новые политики миграции, которые можно настроить в файле Config.xml. Например, вы можете настроить дополнительные , и параметров. Следующие элементы и параметры предназначены только для использования в файле Config.xml.

<Политики>

<Ошибкаконтроль>

<Фатальный>

<Нефатальный>

6161616161616161616161616161616161616161616161616161616. 0019

<Изменение Graingroup>

<включает>

. Элемент содержит элементы, описывающие политики, которым следует средство USMT при создании хранилища миграции. Допустимые дочерние элементы элемента : и . Элемент является дочерним элементом .

Синтаксис:

Элемент — это необязательный элемент, который можно настроить в файле Config.xml. Настраиваемые правила поддерживают только переменные среды для работающей операционной системы и текущего пользователя, вошедшего в систему. В качестве обходного пути вы можете указать путь, используя подстановочный знак (*).

• Количество вхождений : Один раз для каждого компонента

• Родительские элементы : Элемент

• Дочерние элементы : и элемент

Синтаксис:

В следующем примере показано, что все заблокированные файлы, независимо от их расположения (включая файлы в папке C:\Users), следует игнорировать. Однако миграция завершится ошибкой, если какой-либо файл в папке C:\Users недоступен по какой-либо другой причине. В приведенном ниже примере Элемент игнорирует любые проблемы при переносе разделов реестра, которые соответствуют предоставленному шаблону, и разрешает их в ошибку Отказано в доступе .

Кроме того, порядок в разделе подразумевает приоритет. В этом примере первый тег имеет приоритет над вторым тегом . Этот приоритет применяется независимо от того, сколько тегов указано в списке.

 <Управление ошибками>
  <файлОшибка>
    * [*]
    C:\Users\* [*]
  
  <ошибка реестра>
    HKCU\SOFTWARE\Microsoft\* [*]
  

 

Важно

Настраиваемые правила поддерживают только переменные среды для работающей операционной системы и текущего пользователя, вошедшего в систему. В качестве обходного пути вы можете указать путь, используя подстановочный знак (*).

Элемент не требуется.

• Количество вхождений : Один раз для каждого компонента

• Базовые элементы : и

• Дочерние элементы : Нет.

Синтаксис:

Параметр	Обязательно	Значение
код ошибки	№	«любой» или » укажите здесь системное сообщение об ошибке »

Элемент используется для указания того, что ошибки, соответствующие определенному шаблону, должны привести к остановке миграции средством USMT.

Элемент не требуется.

• Количество вхождений : Один раз для каждого компонента

• Родительские элементы :

• Дочерние элементы : и

Синтаксис:

Элемент используется для представления поведения, связанного с ошибками файлов.

Элемент не требуется.

• Количество вхождений : Один раз для каждого компонента

• Родительские элементы : Элементы и .

• Дочерние элементы : Нет.

Синтаксис:

Параметр	Обязательно	Значение
<код_ошибки>	№	«любой» или « укажите здесь системное сообщение об ошибке «. Если сообщения о системных ошибках не указаны, поведение по умолчанию применяет параметр ко всем сообщениям о системных ошибках.

Элемент используется для указания того, что ошибки, соответствующие определенному шаблону, не должны приводить к остановке миграции средством USMT.

Элемент не требуется.

• Количество вхождений : Один раз для каждого компонента

• Родительские элементы :

• Дочерние элементы : <нефатальные> и <фатальные>

Синтаксис:

Параметр	Обязательно	Значение
<код_ошибки>	№	«любой» или « укажите здесь системное сообщение об ошибке «. Если сообщения о системных ошибках не указаны, поведение по умолчанию применяет параметр ко всем сообщениям о системных ошибках.

Элемент используется для указания того, что ошибки, соответствующие определенному шаблону, не должны приводить к остановке миграции средством USMT.

Элемент содержит элементы, описывающие, как обрабатывать файлы во время создания хранилища миграции с жесткой связью. Его единственный действительный ребенок — <файл заблокирован> .

Синтаксис:

• Количество вхождений : Один раз для каждого компонента

• Родительские элементы :

• Дочерние элементы :

Синтаксис:

Пример кода , приведенный ниже, указывает, что жесткие ссылки могут быть созданы для заблокированных файлов, только если заблокированный файл находится где-то в папке C:\Users\. В противном случае возникает ошибка доступа к файлу, когда встречается заблокированный файл, который невозможно скопировать, даже если технически возможно создать ссылку.

Важно

В разделе можно настроить условное игнорирование ошибок доступа к файлу в зависимости от местоположения файла.

 <Политика>
   <Хардлинкстореконтрол>
      <файл заблокирован>
         C:\Users\*
         C:\*
      
   
   <управление ошибками>
      […]
   

 

Элемент содержит элементы, описывающие, как обрабатывать файлы, заблокированные для редактирования. Правила, определенные Элемент обрабатываются в том порядке, в котором они появляются в файле XML.

Синтаксис:

Элемент определяет стандартный шаблон MigXML, описывающий пути к файлам, в которых должны быть созданы жесткие ссылки, даже если файл заблокирован для редактирования другим приложением.

Синтаксис:

Элемент определяет стандартный шаблон MigXML, описывающий пути к файлам, по которым нельзя создавать жесткие ссылки, если файл заблокирован для редактирования другим приложением. USMT попытается скопировать файлы по этим путям в хранилище миграции. Однако, если это невозможно, выдается Error_Locked . Это стандартная ошибка интерфейса прикладного программирования (API) Windows, которую можно зафиксировать с помощью 9.0018, чтобы средство USMT пропустило файл или прервало миграцию.

Синтаксис:

Этот элемент используется для содержания других элементов, устанавливающих правила переноса профилей, пользователей и политик, связанных с членством в локальной группе. во время миграции. является дочерним элементом .

Синтаксис: < ProfileControl>

Этот элемент используется для содержания других элементов, устанавливающих правила переноса локальных групп. является потомком .

Синтаксис:

Этот элемент используется для содержания других элементов, которые устанавливают сопоставления между группами.

Синтаксис:

Этот элемент описывает исходную и конечную группы для изменения членства в локальной группе во время миграции. Это дочерний элемент . Определены следующие параметры:

Параметр	Обязательно	Значение
Из	Да	Допустимая локальная группа на исходном компьютере, содержащая пользователей, выбранных для переноса в командной строке.
До	Да	Локальная группа, в которую должны быть перемещены пользователи во время миграции.
применяется к	Да	немигрированные пользователи, мигрированные пользователи, все пользователи. Это значение определяет, к каким пользователям должна применяться операция изменения группы.

Допустимые и обязательные дочерние элементы : и . Хотя оба могут быть детьми одновременно, требуется только один.

Синтаксис:

Этот элемент указывает, что его требуемый дочерний элемент, , должен быть включен в миграцию .

Синтаксис: ``

Этот элемент указывает, что его требуемый дочерний элемент должен быть исключен из миграции.

Синтаксис: ``

Образец файла Config.xml

Дополнительные сведения об элементах, которые можно исключить из миграции, см. в следующем образце файла Config.xml.

 
<Конфигурация>
  <Приложения/>
  <Документы/>
  <Компоненты Windows>
    
      
        
        
        
      
      
        
      
      
        
        
      
      
        
      
    
    
      
        
      
    
    
      
        
      
      
        
        
        
      
    
    
      
        
      
    
    
      
        
        
      
    
    
    
      
        
        
      
      
        
      
    
    
      
        
      
      
        
        
        
        
      
      
        
        
        
        
        
        
      
    
    
      
        
        
        
        
        
        
        
      
    
    
      
      
        
      
    
    
      
        
      
      
        
        
      
      
        
        
        
        
        
      
    
    
      
        
      
      
        
        
        
        
        
        
        
        
        
        
        
        
        
        
        
        
        
        
        
        
        
        
        
      
    
    
      
        
      
    
  
  <Политики>
    <управление ошибками>
      
    
    <Хардлинкстореконтрол>
      
    
  
  <Контроль Профиля>
    
  

 

XML-справочник USMT

использовать утилиту настройки системы — клиент Windows

• Статья
• 06. 12.2021
• 8 минут на чтение

В этой статье описывается, как использовать утилиту настройки системы для устранения ошибок конфигурации.

Применимо к:   Windows Vista
Исходный номер базы знаний:  3

Введение

В этой статье описывается, как использовать утилиту настройки системы (Msconfig.exe) для устранения ошибок конфигурации, которые могут помешать правильному запуску Windows Vista.

Утилита настройки системы находит и изолирует проблемы. Однако это не программа управления запуском.

Для получения дополнительных сведений о том, как отключить или навсегда удалить программы, которые запускаются при запуске Windows, щелкните следующий номер статьи базы знаний Майкрософт:

270035 Как отключить программы, которые запускаются при запуске Windows XP Home Edition или Windows Vista

Расширенное устранение неполадок

Эти действия по устранению неполадок предназначены для опытных пользователей компьютеров. Если вас не устраивает расширенное устранение неполадок, вы можете попросить кого-нибудь о помощи или обратиться в службу поддержки. Для получения сведений о том, как связаться со службой поддержки, посетите следующий веб-узел корпорации Майкрософт:
Служба поддержки Майкрософт
Утилита настройки системы автоматизирует рутинные шаги по устранению неполадок, которые специалисты службы поддержки клиентов Майкрософт используют при диагностике проблем с конфигурацией системы.

При использовании этой утилиты можно выбрать параметры, чтобы временно запретить загрузку служб и программ во время запуска Windows. С помощью этого процесса вы можете снизить риск опечаток при использовании редактора реестра. Кроме того, при использовании утилиты легко восстановить первоначальную конфигурацию.

При использовании утилиты «Конфигурация системы» можно запускать Windows, когда общие службы и программы запуска отключены. Затем вы можете включить их по одному. Если проблема не возникает, когда служба отключена, но возникает, когда служба включена, причиной проблемы может быть служба.

Вы можете легко сбросить или изменить параметры конфигурации в Windows Vista, чтобы включить предпочтения для следующих параметров:

• Параметры запуска

• Службы, которые должны запускаться во время процесса запуска

• Программы, которые настроены на загрузку во время процесса запуска

  Примечание

  Эти программы указаны в папках Программы/Автозагрузка и в реестре.

  Примечание

  Чтобы использовать утилиту настройки системы, вы должны войти в систему как администратор или как член группы администраторов.

Доступные варианты запуска

Доступны следующие варианты запуска:

• Обычный запуск
• Диагностический запуск
• Выборочный запуск

Обычный запуск

Нормальный запуск — это параметр Windows по умолчанию. Этот параметр позволяет Windows запускаться в обычном режиме вместе со всеми загруженными программами, службами и драйверами устройств.

Диагностический запуск

Параметр диагностического запуска позволяет Windows определить, какие основные драйверы устройств и программное обеспечение следует загружать при запуске Windows. При использовании этого параметра система временно отключает службы Microsoft, такие как следующие службы:

• Сеть
• «Подключи и работай»
• Регистрация событий
• Отчет об ошибках
• Восстановление системы

Примечание

Не используйте этот параметр, если вам необходимо использовать службу Microsoft для проверки проблемы.

Чтобы выполнить диагностический запуск, выполните следующие действия:

1. Щелкните Пуск , введите msconfig в поле Начать поиск и нажмите клавишу ВВОД.

   Если вас попросят ввести пароль администратора или подтвердить, введите пароль или нажмите 9.0017 Продолжить .

2. На вкладке Общие щелкните Запуск диагностики , а затем щелкните OK .

3. Нажмите Перезапустить .

Если проблема не возникает после перезагрузки Windows, используйте параметр выборочного запуска, чтобы попытаться найти проблему, отключив и включив отдельные службы и запускаемые программы.

Выборочный запуск

Параметр выборочного запуска позволяет выбрать программы и службы, которые должны загружаться компьютером при перезагрузке компьютера. Вы можете выбрать один из следующих вариантов:

• Услуги системы загрузки
• Загрузка элементов запуска
• Использовать исходную конфигурацию загрузки

По умолчанию все эти параметры выбраны. К этим параметрам применяются следующие правила:

• При установке флажка параметр обрабатывается при перезагрузке компьютера.
• При снятии флажка параметр не обрабатывается при перезагрузке компьютера.
• Если флажок установлен и вы не можете щелкнуть, чтобы снять флажок, поскольку он недоступен, некоторые элементы все еще загружаются из этого параметра при перезагрузке компьютера.
• Если флажок не установлен и вы не можете щелкнуть, чтобы установить флажок, потому что он недоступен, параметр отсутствует на компьютере.
• Вы не можете изменить параметр Использовать исходную конфигурацию загрузки .

Примечание

При нажатии для очистки Загрузить системные службы , вы отключите службы Microsoft, такие как следующие службы:

• Сеть
• «Подключи и работай»
• Регистрация событий
• Отчет об ошибках
• Восстановление системы

Не снимайте этот флажок, если для проверки проблемы необходимо использовать службу Microsoft.

Чтобы выполнить выборочный запуск и устранить проблему, выполните следующие действия:

1. Нажмите Пуск , введите msconfig в поле Начать поиск и нажмите клавишу ВВОД.

   Если появится запрос на ввод пароля администратора или подтверждение, введите пароль или нажмите Продолжить .

2. На вкладке Общие щелкните Выборочный запуск , а затем снимите флажки Загрузить системные службы и Загрузить элементы автозагрузки .

3. Нажмите OK , а затем нажмите Перезапустить .

Если вы можете воспроизвести проблему после перезагрузки компьютера, проблема не связана с системными службами или элементами автозагрузки. В этом случае утилита «Конфигурация системы» не поможет устранить проблему.

Если вы не можете воспроизвести проблему после перезагрузки компьютера, проблема связана либо с системными службами, либо с элементами автозагрузки. Чтобы определить элементы, с которыми связана проблема, выполните следующие действия:

1. Нажмите Запустить , введите msconfig в поле Начать поиск и нажмите клавишу ВВОД.

   Если появится запрос на ввод пароля администратора или подтверждение, введите пароль или нажмите Продолжить .

2. На вкладке Общие щелкните Выборочный запуск и установите флажок Загрузить системные службы .

3. Нажмите OK , а затем нажмите Перезапустить .

Если вы можете воспроизвести проблему после перезагрузки компьютера, проблема связана с одной из системных служб. В противном случае проблема связана с одним из элементов автозагрузки.

После определения элементов, с которыми связана проблема, выполните действия, описанные в разделе «Как определить службу или элемент запуска, вызывающий проблему», чтобы определить отдельную службу или элемент запуска, вызывающий проблему.

Как определить службу или элемент автозагрузки, вызывающий проблему

Чтобы определить причину проблемы, можно запретить загрузку отдельных служб и элементов автозагрузки при перезагрузке компьютера. Вы можете выполнить следующие шаги.

Как определить системную службу, вызывающую проблему

1. Перейдите на вкладку Службы , щелкните Отключить все , установите флажок для первой службы в списке и перезагрузите компьютер.

   Если проблема не возникает, вы можете исключить первую службу как причину.

2. Выбрав первую службу, установите флажок для второй службы, а затем перезагрузите компьютер.

3. Повторяйте этот процесс, пока не воспроизведете проблему. Если вы не можете воспроизвести проблему, вы можете устранить системные службы как причину. Перейдите к следующей процедуре.

Как определить элемент автозагрузки, вызывающий проблему

1. Перейдите на вкладку Общие , а затем выберите Флажок Загрузить элементы автозагрузки .

2. Перейдите на вкладку Запуск , щелкните Отключить все , установите флажок для первого элемента автозагрузки в списке, а затем перезагрузите компьютер.

   Если проблема не возникает, вы можете исключить первый элемент автозагрузки как причину.

3. Выбрав первый элемент автозагрузки, установите флажок для второго элемента автозагрузки, а затем перезагрузите компьютер.

4. Повторяйте этот процесс, пока не воспроизведете проблему.

Включение и отключение отдельных служб и элементов автозагрузки

Службы и параметры запуска

На вкладках Службы и Запуск в утилите конфигурации системы есть следующие параметры:

• Флажки позволяют включить или чтобы отключить опцию. Чтобы включить или отключить параметр, чтобы он загружался или не загружался при запуске, щелкните, чтобы выбрать, или щелкните, чтобы снять флажок. Установленный флажок указывает, что опция будет запускаться или загружаться при запуске.
• Клавиши со стрелками на клавиатуре позволяют перемещаться по различным параметрам, когда у вас нет мыши.
• ПРОБЕЛ позволяет вам выбирать и сбрасывать параметры, когда у вас нет мыши.

Примечание

При снятии флажка для элемента автоматически выбирается параметр Выборочный запуск на вкладке Общие .

Как вернуться к обычному запуску

После устранения неполадок и исправления конфигурации вернитесь к обычному запуску. Вы можете выполнить следующие шаги:

1. Нажмите Пуск , введите msconfig в поле Начать поиск и нажмите клавишу ВВОД.

   Если появится запрос на ввод пароля администратора или подтверждение, введите пароль или нажмите Продолжить .

2. На вкладке Общие щелкните Обычный запуск , а затем щелкните OK .

3. Нажмите Перезапустить .

Как запустить диагностические и другие дополнительные инструменты

Вы можете использовать вкладку Tools в утилите System Configuration для запуска инструментов диагностики и других дополнительных инструментов. На вкладке Инструменты также отображается путь и переключатели для инструментов.

Чтобы запустить один или несколько инструментов, перечисленных на вкладке Инструменты , щелкните нужный инструмент, а затем нажмите Запустить . Или щелкните инструмент, который вы хотите запустить, а затем нажмите клавиши ALT+L.

Ссылки

Для получения дополнительных сведений о расширенном устранении общих неполадок при запуске в Windows Vista щелкните следующий номер статьи базы знаний Майкрософт:

2 Как использовать средство Bootrec.exe в среде восстановления Windows для устранения неполадок и устранения проблем с запуском в Windows Vista

Для получения дополнительных сведений о том, как использовать восстановление системы для восстановления Windows Vista, щелкните следующий номер статьи, чтобы просмотреть статью. в базе знаний Microsoft:

2 Как восстановить операционную систему и как восстановить конфигурацию операционной системы на более ранний момент времени в Windows Vista

Дополнительные сведения о настройке Windows Vista для запуска в режиме «чистой загрузки» «, щелкните следующий номер статьи, чтобы просмотреть статью в базе знаний Майкрософт:

5 Как устранить проблему, выполнив чистую загрузку в Windows Vista

Если эти статьи не могут помочь вам решить проблему или если вы столкнулись с симптомами, отличными от описанных в этой статье, выполните поиск в базе знаний Майкрософт для Дополнительная информация. Для поиска в базе знаний Майкрософт посетите следующий веб-сайт Майкрософт:
https://support.microsoft.com

Введите текст полученного сообщения об ошибке или введите описание проблемы в поле Найдите поле и нажмите клавишу ВВОД.

Настройка дополнительных параметров в WSL

• Статья
• 12.08.2022
• 12 минут на чтение

Файлы wsl.conf и .wslconfig используются для настройки дополнительных параметров для каждого дистрибутива ( wsl.conf ) и глобально во всех дистрибутивах WSL 2 ( .wslconfig ). В этом руководстве будут рассмотрены все параметры настройки, когда использовать каждый тип файла, где хранить файл, примеры файлов настроек и советы.

В чем разница между wsl.conf и .

wslconfig?

Вы можете настроить параметры для установленных дистрибутивов Linux, которые будут автоматически применяться каждый раз при запуске WSL, двумя способами, используя:

• .wslconfig для настройки параметров глобально во всех установленных дистрибутивах, работающих на WSL 2.
• wsl.conf для настройки параметров для каждого дистрибутива для дистрибутивов Linux, работающих на WSL 1 или WSL 2.

Оба типа файлов используются для настройки параметров WSL, но место, где хранится файл, область конфигурации и версия WSL, в которой запущен ваш дистрибутив, влияют на выбор типа файла.

Версия WSL, которую вы используете, повлияет на параметры конфигурации. WSL 2 работает как облегченная виртуальная машина (ВМ), поэтому использует параметры виртуализации, которые позволяют вам контролировать объем используемой памяти или процессоров (что может быть знакомо, если вы используете Hyper-V или VirtualBox).

wsl.conf

• Хранится в каталоге /etc дистрибутива в виде файла unix.
• Используется для настройки параметров для каждого дистрибутива. Настройки, настроенные в этом файле, будут применяться только к конкретному дистрибутиву Linux, содержащему каталог, в котором хранится этот файл.
• Может использоваться для дистрибутивов любой версии, WSL 1 или WSL 2.
• Чтобы попасть в каталог /etc для установленного дистрибутива, используйте командную строку дистрибутива с cd / для доступа к корневому каталогу, затем ls для списка файлов или explorer.exe . для просмотра в проводнике Windows. Путь к каталогу должен выглядеть примерно так: /etc/wsl.conf .

.wslconfig

• Хранится в вашем каталоге %UserProfile% .
• Используется для глобальной настройки параметров во всех установленных дистрибутивах Linux, работающих как версия WSL 2.
• Может использоваться только для дистрибутивов, запускаемых WSL 2 . Эта конфигурация не затронет дистрибутивы, работающие как WSL 1, поскольку они не работают как виртуальная машина.
• Чтобы попасть в каталог %UserProfile% , в PowerShell используйте cd ~ для доступа к вашему домашнему каталогу (обычно это ваш профиль пользователя, C:\Users\ ) или вы можете открыть файл Windows Explorer и введите %UserProfile% в адресную строку. Путь к каталогу должен выглядеть примерно так: C:\Users\\.wslconfig .

WSL обнаружит наличие этих файлов, прочитает содержимое и автоматически применит параметры конфигурации при каждом запуске WSL. Если файл отсутствует или имеет неправильный формат (неправильное форматирование разметки), WSL будет продолжать запускаться в обычном режиме без применения параметров конфигурации.

Проверьте, какую версию WSL вы используете.

Примечание

Настройка параметров для каждого дистрибутива с помощью файла wsl.conf доступна только в сборке Windows 1709.3 и позже.

Правило 8 секунд

Вы должны подождать, пока подсистема, на которой работает ваш дистрибутив Linux, полностью перестанет работать и перезапустится, чтобы появились обновления параметров конфигурации. Обычно это занимает около 8 секунд после закрытия ВСЕХ экземпляров оболочки дистрибутива.

Если вы запускаете дистрибутив (например, Ubuntu), измените файл конфигурации, закройте дистрибутив, а затем снова запустите его. Вы можете предположить, что ваши изменения конфигурации немедленно вступили в силу. В настоящее время это не так, поскольку подсистема все еще может работать. Вы должны дождаться остановки подсистемы перед повторным запуском, чтобы дать достаточно времени для применения ваших изменений. Вы можете проверить, работает ли ваш дистрибутив (оболочка) Linux после его закрытия, используя PowerShell с помощью команды: wsl --list --running . Если нет запущенных дистрибутивов, вы получите ответ: «Нет запущенных дистрибутивов». Теперь вы можете перезапустить дистрибутив, чтобы увидеть примененные обновления конфигурации.

Команда wsl --shutdown — это быстрый способ перезапустить дистрибутивы WSL 2, но она отключит все работающие дистрибутивы, поэтому используйте ее с умом.

Параметры конфигурации для wsl.conf

Файл wsl.conf настраивает параметры для каждого дистрибутива. (для глобальной конфигурации дистрибутивов WSL 2 см. .wslconfig).

Файл wsl.conf поддерживает четыре раздела: automount , network , interop и user . (По образцу соглашений о файлах .ini, ключи объявляются в разделе, подобно файлам .gitconfig.) Информацию о том, где хранить файл wsl.conf, см. в wsl.conf.

Настройки автомонтирования

Метка раздела: [automount]

ключ	значение	по умолчанию	отмечает
включено	логическое значение	правда	true заставляет фиксированные диски (например, C:/ или D:/ ) автоматически монтироваться с помощью DrvFs под /mnt . false означает, что диски не будут монтироваться автоматически, но вы все равно можете монтировать их вручную или через fstab .
mountFsTab	логическое значение	правда	true устанавливает /etc/fstab для обработки при запуске WSL. /etc/fstab — это файл, в котором вы можете объявить другие файловые системы, например общий ресурс SMB. Таким образом, вы можете автоматически монтировать эти файловые системы в WSL при запуске.
корень	строка	/мнт/	Задает каталог, в который будут автоматически монтироваться несъемные диски. По умолчанию это установлено на /mnt/ , поэтому ваша файловая система Windows C-диск монтируется на /мнт/с/ . Если вы измените /mnt/ на /windir/ , вы должны ожидать, что ваш фиксированный диск C будет смонтирован на /windir/c .
опции	список значений, разделенных запятыми, таких как uid, gid и т. д., см. параметры автомонтирования ниже	пустая строка	Значения параметров автоматического монтирования перечислены ниже и добавлены к строке параметров монтирования DrvFs по умолчанию. Можно указать только параметры, относящиеся к DrvFs.

Параметры автомонтирования применяются как параметры монтирования для всех автоматически монтируемых дисков. Чтобы изменить параметры только для определенного диска, используйте файл /etc/fstab . Параметры, которые двоичный файл монтирования обычно преобразует в флаг, не поддерживаются. Если вы хотите явно указать эти параметры, вы должны включить каждый диск, для которого вы хотите это сделать, в /etc/fstab .

Параметры автомонтирования

Задание различных параметров монтирования для дисков Windows (DrvFs) может управлять расчетом разрешений для файлов Windows. Доступны следующие варианты:

Ключ	Описание	По умолчанию
ИД	Идентификатор пользователя, используемый для владельца всех файлов	Идентификатор пользователя по умолчанию для вашего дистрибутива WSL (при первой установке по умолчанию используется значение 1000)
гид	Идентификатор группы, используемый для владельца всех файлов	Идентификатор группы по умолчанию для вашего дистрибутива WSL (при первой установке по умолчанию используется значение 1000)
умаск	Восьмеричная маска разрешений для исключения для всех файлов и каталогов	000
маска	Восьмеричная маска разрешений для исключения для всех файлов	000
маска	Восьмеричная маска разрешений для исключения для всех каталогов	000
метаданные	Добавляются ли метаданные в файлы Windows для поддержки системных разрешений Linux	отключен
чемодан	Определяет, будут ли каталоги обрабатываться как чувствительные к регистру, а также будет ли установлен флаг для новых каталогов, созданных с помощью WSL. Подробное объяснение параметров см. в разделе Чувствительность к регистру. Возможные варианты: вместо , вместо или вместо .	от

По умолчанию WSL устанавливает uid и gid в значение пользователя по умолчанию. Например, в Ubuntu пользователь по умолчанию — uid=1000, gid=1000. Если это значение используется для указания другой опции gid или uid, пользовательское значение по умолчанию будет перезаписано. В противном случае всегда будет добавляться значение по умолчанию.

Пользовательская маска режима создания файлов (umask) устанавливает разрешение для вновь создаваемых файлов. По умолчанию 022, только вы можете записывать данные, но любой может читать данные. Значения можно изменить, чтобы отразить различные настройки разрешений. Например, umask=077 изменяет разрешение на полностью личное, и ни один другой пользователь не может читать или записывать данные. Для дальнейшего указания разрешения также можно использовать fmask (файлы) и dmask (каталоги).

Примечание

Маски разрешений проходят через логическую операцию ИЛИ перед применением к файлам или каталогам.

Что такое DrvFs?

DrvFs — это подключаемый модуль файловой системы для WSL, разработанный для поддержки взаимодействия между WSL и файловой системой Windows. DrvFs позволяет WSL монтировать диски с поддерживаемыми файловыми системами в каталоге /mnt, например, /mnt/c, /mnt/d и т. д. Дополнительные сведения о настройке поведения по умолчанию с учетом регистра при монтировании дисков или каталогов Windows или Linux см. страница чувствительности.

Настройки сети

Метка раздела: [сеть]

ключ	значение	по умолчанию	отмечает
генерировать хосты	логическое значение	правда	true устанавливает WSL для создания /etc/hosts . Файл hosts содержит статическую карту имен хостов, соответствующих IP-адресам.
генерироватьResolvConf	логическое значение	правда	верно настроить WSL для создания /etc/resolv.conf . resolv.conf содержит список DNS, способных преобразовать заданное имя хоста в его IP-адрес.
имя хоста	строка	Имя хоста Windows	Устанавливает имя хоста, которое будет использоваться для распространения WSL.

Параметры взаимодействия

Метка раздела: [interop]

Эти параметры доступны в Insider Build 17713 и более поздних версиях.

ключ	значение	по умолчанию	отмечает
включено	логическое значение	правда	Установка этого ключа определяет, будет ли WSL поддерживать запуск процессов Windows.
апендвиндовспас	логическое значение	правда	Установка этого ключа определяет, будет ли WSL добавлять элементы пути Windows в переменную среды $PATH.

Пользовательские настройки

Метка раздела: [пользователь]

Эти параметры доступны в сборке 18980 и более поздних версиях.

ключ	значение	по умолчанию	отмечает
по умолчанию	строка	Исходное имя пользователя, созданное при первом запуске	Установка этого ключа указывает, какого пользователя запускать при первом запуске сеанса WSL.

Параметры загрузки

Параметры загрузки доступны только в Windows 11 и Server 2022.

Метка раздела: [загрузка]

ключ	значение	по умолчанию	отмечает
команда	строка	«»	Строка команды, которую вы хотите запустить при запуске экземпляра WSL. Эта команда запускается от имени пользователя root. например: запуск докера службы .

Пример файла wsl.conf

Приведенный ниже пример файла wsl.conf демонстрирует некоторые доступные параметры конфигурации. В этом примере дистрибутив — Ubuntu-20.04, а путь к файлу — \\wsl.localhost\Ubuntu-20.04\etc\wsl.conf .

 # Автоматически монтировать диск Windows при запуске дистрибутива
[автомонтирование]
# При значении true будет автоматически монтироваться фиксированные диски (C:/ или D:/) с DrvFs в указанном выше корневом каталоге. Значение false означает, что диски не будут монтироваться автоматически, но их необходимо монтировать вручную или с помощью fstab.
включено = верно
# Устанавливает каталог, в который будут автоматически монтироваться несъемные диски. В этом примере изменяется место монтирования, поэтому ваш диск C будет /c, а не /mnt/c по умолчанию.
корень = /
# Можно указать параметры, специфичные для DrvFs.
options = "метаданные,uid=1003,gid=1003,umask=077,fmask=11,case=off"
# Задает обработку файла `/etc/fstab` при запуске дистрибутива WSL. 
mountFsTab = истина
# Параметры сетевого хоста, которые включают DNS-сервер, используемый WSL 2. В этом примере изменяется имя хоста, устанавливается для generateHosts значение false, предотвращая поведение WSL по умолчанию при автоматическом создании /etc/hosts, и задается для generateResolvConf значение false, предотвращая автоматическую генерацию WSL. -генерация /etc/resolv.conf, чтобы вы могли создать свой собственный (т.е. сервер имен 1.1.1.1).
[сеть]
имя хоста = демохост
генерировать хосты = ложь
сгенерироватьResolvConf = ложь
# Установите, поддерживает ли WSL процесс взаимодействия, такой как запуск приложений Windows и добавление переменных пути. Установка для них значения false заблокирует запуск процессов Windows и заблокирует добавление переменных окружения $PATH.
[взаимодействие]
включено = ложь
апендвиндовспас = ложь
# Установить пользователя при запуске дистрибутива с WSL.
[пользователь]
по умолчанию = демопользователь
# Установите команду для запуска при запуске нового экземпляра WSL.  В этом примере запускается служба контейнера Docker.
[ботинок]
команда = запуск сервисного докера
 

Параметр конфигурации для .wslconfig

Файл .wslconfig настраивает параметры глобально для всех дистрибутивов Linux, работающих с WSL 2. (Конфигурацию для каждого дистрибутива см. в wsl.conf).

См. .wslconfig для получения информации о том, где хранить файл .wslconfig.

Примечание

Глобальные параметры конфигурации с .wslconfig доступны только для дистрибутивов, работающих как WSL 2 в Windows Build 19041 и более поздних версиях. Имейте в виду, что вам может понадобиться запустить wsl --shutdown , чтобы выключить виртуальную машину WSL 2, а затем перезапустить экземпляр WSL, чтобы эти изменения вступили в силу.

Этот файл может содержать следующие параметры, влияющие на виртуальную машину, на которой работает любой дистрибутив WSL 2:

Метка раздела: [wsl2]

ключ	значение	по умолчанию	отмечает
ядро ​​	строка	Ядро, созданное корпорацией Майкрософт, предоставлено в папке «Входящие»	Абсолютный путь Windows к пользовательскому ядру Linux.
память	размер	50% от общего объема памяти в Windows или 8 ГБ, в зависимости от того, что меньше; для сборок до 20175 года: 80% от общего объема памяти в Windows	Сколько памяти выделить виртуальной машине WSL 2.
процессоры	номер	То же количество процессоров в Windows	Сколько процессоров назначить виртуальной машине WSL 2.
локальный хостПереадресация	логическое значение	правда	Логическое значение, указывающее, должны ли порты, связанные с подстановочным знаком или локальным хостом в виртуальной машине WSL 2, быть доступными для подключения с хоста через localhost:port .
ядроCommandLine	строка	Пусто	Дополнительные аргументы командной строки ядра.
замена	размер	25% объема памяти в Windows с округлением до ближайшего ГБ	Сколько места подкачки добавить к виртуальной машине WSL 2, 0 для отсутствия файла подкачки. Хранилище подкачки — это дисковая оперативная память, используемая, когда потребность в памяти превышает предел аппаратного устройства.
файл подкачки	строка	%USERPROFILE%\AppData\Local\Temp\swap.vhdx	Абсолютный путь Windows к виртуальному жесткому диску подкачки.
страницаОтчетность	логическое значение	правда	Значение по умолчанию true Параметр позволяет Windows освобождать неиспользуемую память, выделенную для виртуальной машины WSL 2.
графический интерфейсПриложения	логическое значение*	правда	Логическое значение для включения или выключения поддержки приложений с графическим интерфейсом (WSLg) в WSL. Доступно только для Windows 11.
отладочная консоль	логическое значение*	ложный	Логическое значение для включения выходного окна консоли, в котором отображается содержимое dmesg при запуске экземпляра дистрибутива WSL 2. Доступно только для Windows 11.
вложенная виртуализация	логическое значение*	правда	Логическое значение для включения или выключения вложенной виртуализации, что позволяет запускать другие вложенные виртуальные машины внутри WSL 2. Доступно только для Windows 11.
вмидлетимеаут	номер*	60000	Количество миллисекунд, в течение которых виртуальная машина простаивает, прежде чем она будет выключена. Доступно только для Windows 11.

Записи с путем 9Значение 0096 должно быть путями Windows с экранированными обратными косыми чертами, например: C:\\Temp\\myCustomKernel

Записи со значением size должны иметь размер, за которым следует единица измерения, например 8GB или 512MB .

Записи со знаком * после типа значения доступны только в Windows 11.

Пример файла .wslconfig

Пример файла .wslconfig ниже демонстрирует некоторые доступные параметры конфигурации. В этом примере путь к файлу равен 9.0095 C:\Users\<имя_пользователя>\.wslconfig .

 # Настройки применяются ко всем дистрибутивам Linux, работающим на WSL 2
[wsl2]
# Ограничивает использование памяти ВМ не более 4 ГБ, это можно установить как целые числа, используя ГБ или МБ
память = 4 ГБ
# Настраиваем виртуальную машину на использование двух виртуальных процессоров
процессоры=2
# Укажите собственное ядро ​​Linux для использования с установленными дистрибутивами. Используемое по умолчанию ядро ​​можно найти по адресу https://github.com/microsoft/WSL2-Linux-Kernel.
ядро = C:\\temp\\myCustomKernel
# Устанавливает дополнительные параметры ядра, в данном случае включая старые базовые образы Linux, такие как Centos 6
kernelCommandLine = vsyscall=эмулировать
# Устанавливает объем памяти подкачки на 8 ГБ, по умолчанию 25% доступной оперативной памяти. 
своп = 8 ГБ
# Устанавливает путь к файлу подкачки, по умолчанию %USERPROFILE%\AppData\Local\Temp\swap.vhdx
файл подкачки = C:\\temp\\wsl-swap.vhdx
# Отключите отчеты о страницах, чтобы WSL сохранял всю выделенную память, запрошенную у Windows, и не освобождал ее обратно, когда она свободна.
pageReporting=false
# Отключите подключение по умолчанию, чтобы связать локальный хост WSL 2 с локальным хостом Windows.
localhostforwarding = истина
# Отключает вложенную виртуализацию
вложенная виртуализация = ложь
# Включает консоль вывода, показывающую содержимое dmesg при открытии дистрибутива WSL 2 для отладки
отладочная консоль = истина
 

Дополнительные ресурсы

• Блог командной строки Windows: автоматическая настройка WSL
• Блог командной строки Windows: Chmod/Chown, DrvFs, метаданные файла

Практическое руководство: Настройка и настройка OpenVPN Клиент/сервер VPN

Введение

OpenVPN — это полнофункциональная SSL VPN, которая реализует безопасное сетевое расширение уровня 2 или 3 OSI с использованием стандартного отраслевого протокола SSL/TLS, поддерживает гибкие методы аутентификации клиентов на основе сертификатов, смарт-карт и/или учетных данных имени пользователя/пароля и позволяет политики управления доступом для конкретных пользователей или групп с использованием правил брандмауэра, применяемых к виртуальному интерфейсу VPN. OpenVPN не является прокси-сервером веб-приложения и не работает через веб-браузер.

OpenVPN 2.0 расширяет возможности OpenVPN 1.x, предлагая масштабируемый режим клиент/сервер, позволяющий нескольким клиентам подключаться к одному серверному процессу OpenVPN через один порт TCP или UDP. OpenVPN 2.3 включает большое количество улучшений, включая полную поддержку IPv6 и поддержку PolarSSL.

В этом документе приведены пошаговые инструкции по настройке клиент-серверной VPN OpenVPN 2.x, в том числе:

• Быстрый запуск OpenVPN.
• Установка OpenVPN.
• Определение того, использовать ли VPN с маршрутизацией или мостом.
• Нумерация частных подсетей.
• Настройка собственного центра сертификации (ЦС) и создание сертификатов и ключей для сервера OpenVPN и нескольких клиентов.
• Создание файлов конфигурации для сервера и клиентов.
• Запуск VPN и проверка первоначального подключения.
• Настройка OpenVPN для автоматического запуска при запуске системы.
• Управление запущенным процессом OpenVPN.
• Расширение области действия VPN для включения дополнительных машин в клиентскую или серверную подсеть.
• Передача параметров DHCP клиентам.
• Настройка клиентских правил и политик доступа.
• Использование альтернативных методов аутентификации.
• Как добавить двухфакторную аутентификацию в конфигурацию OpenVPN с использованием смарт-карт на стороне клиента.
• Маршрутизация всего клиентского трафика (включая веб-трафик) через VPN.
• Запуск сервера OpenVPN на динамическом IP-адресе.
• Подключение к серверу OpenVPN через HTTP-прокси.
• Подключение к общему ресурсу Samba через OpenVPN.
• Внедрение конфигурации балансировки нагрузки/отработки отказа.
• Повышение безопасности OpenVPN.
• Отзыв сертификатов.
• Дополнительные примечания по безопасности.

Нетерпеливые могут сразу перейти к примерам файлов конфигурации:

• Файл конфигурации сервера.

• Файл конфигурации клиента.

 

Предполагаемая аудитория

Этот HOWTO предполагает, что читатели обладают предварительным пониманием основных сетевых концепций, таких как IP-адреса, DNS-имена, сетевые маски, подсети, IP-маршрутизация, маршрутизаторы, сетевые интерфейсы, локальные сети, шлюзы и правила брандмауэра.

Дополнительная документация

Книги OpenVPN

Пожалуйста, взгляните на страницу книг OpenVPN.

OpenVPN 1.x HOWTO

Исходный документ OpenVPN 1.x HOWTO по-прежнему доступен и актуален для конфигураций «точка-точка» или конфигураций со статическим ключом.

Статьи OpenVPN

Дополнительную документацию см. на странице статей и вики OpenVPN.

Быстрый запуск OpenVPN

Хотя это HOWTO поможет вам настроить масштабируемую клиент-серверную VPN с использованием X509 PKI (инфраструктура открытого ключа с использованием сертификатов и закрытых ключей), это может быть излишним, если вы ищете только простую настройку VPN с сервером, который может работать с одним клиентом.

Если вы хотите быстро запустить VPN с минимальной конфигурацией, вы можете ознакомиться с мини-HOWTO Static Key.

Статический Основные преимущества

• Простая настройка
• Нет X509 PKI (инфраструктура открытых ключей) для поддержки

Статическая Ключевые недостатки

• Ограниченная масштабируемость — один клиент, один сервер
• Отсутствие  полной прямой секретности  — компрометация ключей приводит к полному раскрытию предыдущих сеансов
• Секретный ключ должен существовать в виде открытого текста на каждом узле VPN
• Секретный ключ должен быть обменен с использованием ранее существовавшего безопасного канала

---

Установка OpenVPN

Исходный код

OpenVPN и установщики Windows можно скачать здесь. Последние выпуски (2.2 и выше) также доступны в виде пакетов Debian и RPM; подробности см. на вики-сайте OpenVPN.

В целях безопасности рекомендуется проверять подпись выпуска файла после загрузки.

Исполняемый файл OpenVPN должен быть установлен как на сервере, так и на клиентском компьютере, поскольку один исполняемый файл обеспечивает функции как клиента, так и сервера.

Заметки о Linux (с использованием пакета RPM)

Если вы используете дистрибутив Linux, поддерживающий RPM-пакеты (SuSE, Fedora, Redhat и т. д.), лучше всего выполнять установку с использованием этого механизма. Самый простой способ — найти существующий бинарный RPM-файл для вашего дистрибутива. Вы также можете создать свой собственный двоичный файл RPM:

  rpmbuild -tb openvpn-[версия].tar.gz  

Если у вас есть файл .rpm, вы можете установить его с помощью обычного

  об/мин -ivh openvpn-[детали].rpm  

или обновить существующую установку с помощью

  об/мин -Uvh openvpn-[детали].rpm  

Установка OpenVPN из бинарного пакета RPM имеет следующие зависимости:

• опенсл
• лзо
• пм

Кроме того, если вы создаете свой собственный двоичный пакет RPM, есть несколько дополнительных зависимостей:

• openssl-разработка
• лзо-девель
• пэм-девель

Дополнительные сведения о сборке пакета RPM для Red Hat Linux 9 или сборке с уменьшенным количеством зависимостей см. в файле openvpn.spec.

Заметки о Linux (без RPM)

Если вы используете Debian, Gentoo или дистрибутив Linux, не основанный на RPM, используйте механизм упаковки вашего дистрибутива, например apt-get  в Debian или emerge в Gentoo.

Также можно установить OpenVPN на Linux с помощью универсального ./configure  метод. Сначала разверните файл .tar.gz:

.

  tar xfz openvpn-[версия].tar.gz  

Затем перейдите в каталог верхнего уровня и введите:

  ./настроить
делать
сделать установку  

Заметки Windows

OpenVPN для Windows можно установить из самоустанавливающегося исполняемого файла на странице загрузки OpenVPN. Помните, что OpenVPN будет работать только в Windows XP или более поздних версиях. Также обратите внимание, что OpenVPN должен быть установлен и запущен пользователем с правами администратора (это ограничение накладывается Windows, а не OpenVPN). Ограничение можно обойти, запустив OpenVPN в фоновом режиме в качестве службы, и в этом случае даже пользователи без прав администратора смогут получить доступ к VPN после ее установки. Дополнительные обсуждения проблем с привилегиями OpenVPN + Windows.

Официальные установщики OpenVPN для Windows включают OpenVPN-GUI, который позволяет управлять подключениями OpenVPN из апплета на панели задач. Также доступны другие приложения с графическим интерфейсом.

После запуска установщика Windows OpenVPN готов к использованию и будет ассоциироваться с файлами с расширением .ovpn . Чтобы запустить OpenVPN, вы можете:

Дополнительные примечания по установке Windows.

Примечания к Mac OS X

Анджело Лауб и Дирк Тайсен разработали графический интерфейс OpenVPN для OS X.

Другие ОС

Некоторые примечания доступны в файле INSTALL для определенных ОС. В общем,

  ./настроить
делать
сделать установку  

Можно использовать метод

или выполнить поиск порта или пакета OpenVPN, характерного для вашей ОС/дистрибутива.

---

Определение использования маршрутизируемой или мостовой VPN

См. Часто задаваемые вопросы для обзора маршрутизации и Ethernet-моста. См. также страницу Ethernet-моста OpenVPN, где приведены дополнительные примечания и сведения о мостовом соединении.

В целом, маршрутизация, вероятно, является лучшим выбором для большинства людей, поскольку она более эффективна и проще в настройке (что касается самой конфигурации OpenVPN), чем мост. Маршрутизация также обеспечивает более широкие возможности выборочного управления правами доступа для каждого клиента.

Я бы рекомендовал использовать маршрутизацию, если вам не нужна конкретная функция, требующая мостового соединения, например:

• VPN должна поддерживать протоколы, отличные от IP, такие как IPX,
• вы запускаете через VPN приложения, использующие широковещательную передачу по сети (например, игры по локальной сети), или
• вы хотите разрешить просмотр файловых ресурсов Windows через VPN без настройки сервера Samba или WINS.

---

Нумерация частных подсетей

Настройка VPN часто влечет за собой объединение частных подсетей из разных мест.

Управление по присвоению номеров в Интернете (IANA) зарезервировало следующие три блока пространства IP-адресов для частных сетей Интернета (кодировано в RFC 1918):

10.0.0.0	10.255.255.255	(префикс 10/8)
172.16.0.0	172.31.255.255	(префикс 172.16/12)
192.168.0.0	192.168.255.255	(префикс 192.168/16)

Хотя адреса из этих сетевых блоков обычно следует использовать в конфигурациях VPN, важно выбирать адреса, которые минимизируют вероятность конфликтов IP-адресов или подсетей. Типы конфликтов, которых необходимо избегать:

• конфликты с разных сайтов в VPN, использующих одну и ту же нумерацию подсети LAN, или
• подключения удаленного доступа с сайтов, использующих частные подсети, которые конфликтуют с вашими подсетями VPN.

Например, предположим, что вы используете популярную подсеть 192.168.0.0/24 в качестве частной подсети LAN. Теперь вы пытаетесь подключиться к VPN из интернет-кафе, которое использует ту же подсеть для своей локальной сети WiFi. У вас возникнет конфликт маршрутизации, потому что ваша машина не будет знать, если 192.168.0.1 относится к локальному шлюзу WiFi или к тому же адресу в VPN.

В качестве другого примера предположим, что вы хотите связать несколько сайтов с помощью VPN, но каждый сайт использует 192.168.0.0/24 в качестве своей подсети LAN. Это не будет работать без добавления усложняющего уровня преобразования NAT, потому что VPN не будет знать, как маршрутизировать пакеты между несколькими сайтами, если эти сайты не используют подсеть, которая однозначно идентифицирует их.

Лучшее решение — избегать использования 10.0.0.0/24 или 192.168.0.0/24 в качестве адресов частной локальной сети. Вместо этого используйте что-то, что с меньшей вероятностью будет использоваться в WiFi-кафе, аэропорту или отеле, где вы можете ожидать удаленного подключения. Лучшими кандидатами являются подсети в середине обширного сетевого блока 10.0.0.0/8 (например, 10.66.77.0/24).

Во избежание конфликтов нумерации IP-адресов между сайтами всегда используйте уникальную нумерацию для подсетей локальной сети.

---

Настройка собственного центра сертификации (ЦС) и создание сертификатов и ключей для сервера OpenVPN и нескольких клиентов

Обзор

Первым шагом в построении конфигурации OpenVPN 2.x является создание PKI (инфраструктуры открытых ключей). PKI состоит из:

• отдельный сертификат (также известный как открытый ключ) и закрытый ключ для сервера и каждого клиента и
• сертификат главного центра сертификации (CA) и ключ, который используется для подписи каждого сертификата сервера и клиента.

OpenVPN поддерживает двунаправленную аутентификацию на основе сертификатов, что означает, что клиент должен аутентифицировать сертификат сервера, а сервер должен аутентифицировать сертификат клиента, прежде чем будет установлено взаимное доверие.

И сервер, и клиент будут аутентифицировать друг друга, сначала проверив, что представленный сертификат был подписан главным центром сертификации (ЦС), а затем проверив информацию в заголовке сертификата, прошедшего проверку подлинности, например общее имя сертификата или тип сертификата ( клиент или сервер).

Эта модель безопасности имеет ряд желательных функций с точки зрения VPN:

• Серверу нужен только собственный сертификат/ключ — ему не нужно знать индивидуальные сертификаты каждого клиента, который может к нему подключиться.
• Сервер будет принимать только клиентов, чьи сертификаты были подписаны главным сертификатом ЦС (который мы сгенерируем ниже). И поскольку сервер может выполнять эту проверку подписи, не нуждаясь в доступе к самому закрытому ключу ЦС, ключ ЦС (самый важный ключ во всей PKI) может находиться на совершенно другом компьютере, даже без сетевого подключения. .
• Если закрытый ключ скомпрометирован, его можно отключить, добавив его сертификат в CRL (список отозванных сертификатов). CRL позволяет выборочно отклонять скомпрометированные сертификаты, не требуя перестройки всей PKI.
• Сервер может применять определенные для клиента права доступа на основе встроенных полей сертификата, таких как общее имя.

Обратите внимание, что часы сервера и клиента должны быть приблизительно синхронизированы, иначе сертификаты могут работать неправильно.

Создание сертификата и ключа главного центра сертификации (CA)

В этом разделе мы создадим главный сертификат/ключ ЦС, сертификат/ключ сервера и сертификаты/ключи для 3 отдельных клиентов.

Для управления PKI мы будем использовать easy-rsa 2 , набор скриптов, входящий в состав OpenVPN 2.2.x и более ранних версий. Если вы используете OpenVPN 2.3.x, вам необходимо скачать easy-rsa 2 отдельно отсюда.

Для управления PKI мы будем использовать easy-rsa 2, набор скриптов, который входит в состав OpenVPN 2.2.x и более ранних версий. Если вы используете OpenVPN 2. 3.x, вам может потребоваться загрузить easy-rsa 2 отдельно со страницы проекта easy-rsa-old. На платформах *NIX вам следует вместо этого использовать easy-rsa 3; подробности см. в собственной документации.

Если вы используете Linux, BSD или Unix-подобную ОС, откройте оболочку и перейдите в подкаталог easy-rsa . Если вы установили OpenVPN из файла RPM или DEB, каталог easy-rsa обычно можно найти в /usr/share/doc/packages/openvpn или /usr/share/doc/openvpn (лучше скопировать этот в другое место, например /etc/openvpn , перед любыми изменениями, чтобы будущие обновления пакета OpenVPN не перезаписывали ваши изменения). Если вы установили из файла .tar.gz, каталог easy-rsa будет находиться в каталоге верхнего уровня расширенного дерева исходных текстов.

Если вы используете Windows, откройте окно командной строки и перейдите к \Program Files\OpenVPN\easy-rsa . Запустите следующий пакетный файл, чтобы скопировать файлы конфигурации на место (при этом будут перезаписаны все существующие файлы vars. bat и openssl.cnf):

  инициализация-конфигурация  

Теперь отредактируйте файл vars (называемый vars.bat в Windows) и задайте параметры KEY_COUNTRY, KEY_PROVINCE, KEY_CITY, KEY_ORG и KEY_EMAIL. Не оставляйте ни один из этих параметров пустым.

Затем инициализируйте PKI. В Linux/BSD/Unix:

  . ./варс
./очистить все
./build-ca
  

В Windows:

  варс
чистота
build-ca
  

Последняя команда ( build-ca ) создаст сертификат и ключ центра сертификации (ЦС), вызвав интерактивную команду openssl :

 ai:easy-rsa # ./build-ca
Генерация 1024-битного закрытого ключа RSA
............++++++
...........++++++
запись нового закрытого ключа в «ca.key»
-----
Вас попросят ввести информацию, которая будет включена
в ваш запрос сертификата. 
То, что вы собираетесь ввести, называется отличительным именем или DN.
Полей довольно много, но вы можете оставить некоторые пустыми
Для некоторых полей будет значение по умолчанию,
Если вы введете «.», поле останется пустым.
-----
Название страны (двухбуквенный код) [KG]:
Название штата или провинции (полное название) [NA]:
Название населенного пункта (например, город) [БИШКЕК]:
Название организации (например, компания) [OpenVPN-TEST]:
Название организационного подразделения (например, раздел) []:
Общее имя (например, ваше имя или имя хоста вашего сервера) []:OpenVPN-CA
Адрес электронной почты [[email protected]]: 

Обратите внимание, что в приведенной выше последовательности для большинства запрошенных параметров по умолчанию были установлены значения, установленные в файлах vars или vars.bat . Единственный параметр, который необходимо ввести явно, — это Common Name . В приведенном выше примере я использовал «OpenVPN-CA».

Создать сертификат и ключ для сервера

Далее мы сгенерируем сертификат и закрытый ключ для сервера. В Linux/BSD/Unix:

  ./сборка-ключ-сервер-сервер  

В Windows:

  сервер ключей сборки  

Как и в предыдущем шаге, для большинства параметров можно использовать значения по умолчанию. При запросе Common Name введите «сервер». Два других запроса требуют положительных ответов: «Подписать сертификат? [да/нет]» и «1 из 1 запросов на сертификат сертифицирован, зафиксировать? [да/нет]».

Создание сертификатов и ключей для 3 клиентов

Создание клиентских сертификатов очень похоже на предыдущий шаг. В Linux/BSD/Unix:

  ./сборка-ключ клиент1
./сборка-ключ клиент2
./сборка-ключ клиент3  

В Windows:

  ключ сборки клиента1
ключ сборки client2
ключ сборки client3  

Если вы хотите защитить ключи клиента паролем, замените сценарий build-key-pass  .

Помните, что для каждого клиента обязательно вводите соответствующее  Общее имя при появлении запроса, например «client1», «client2» или «client3». Всегда используйте уникальное общее имя для каждого клиента.

Генерация параметров Диффи-Хеллмана

Параметры Диффи Хеллмана должны быть созданы для сервера OpenVPN. В Linux/BSD/Unix:

  ./сборка дх  

В Windows:

  сборка дх  

Выход:

 ai:easy-rsa # ./build-dh
Генерация параметров DH, 1024-битное безопасное простое число, генератор 2
Это займет много времени
.................+................................ ...........
...................+............+................ .+.........
...................................... 

Ключевые файлы

Теперь мы найдем наши вновь сгенерированные ключи и сертификаты в подкаталоге keys . Вот объяснение соответствующих файлов:

сервер

Имя файла	Требуется	Назначение	Секрет
ca.crt	+ все клиенты	Сертификат корневого ЦС	НЕТ
ca.key	только автомат для подписи ключей	Ключ корневого ЦС	ДА
дх{н}.пэм	сервер только	Параметры Диффи Хеллмана	НЕТ
сервер.crt	сервер только	Сертификат сервера	НЕТ
сервер.ключ	сервер только	Ключ сервера	ДА
client1.crt	клиент1 только	Сертификат клиента 1	НЕТ
клиент1.ключ	только клиент 1	Ключ клиента 1	ДА
client2. crt	клиент2 только	Сертификат клиента 2	НЕТ
клиент2.ключ	клиент2 только	Ключ клиента 2	ДА
клиент3.crt	клиент3 только	Сертификат клиента 3	№
клиент3.ключ	клиент3 только	Ключ клиента 3	ДА

Последним шагом в процессе генерации ключа является копирование всех файлов на компьютеры, которым они нужны, при этом необходимо копировать секретные файлы по защищенному каналу.

Подождите, скажете вы. Разве нельзя настроить PKI без уже существующего безопасного канала?

 

Ответ якобы да. В приведенном выше примере для краткости мы сгенерировали все приватные ключи в одном месте. Приложив немного больше усилий, мы могли бы сделать это по-другому. Например, вместо того, чтобы генерировать сертификат клиента и ключи на сервере, мы могли бы сделать так, чтобы клиент генерировал свой собственный закрытый ключ локально, а затем отправлял запрос на подпись сертификата (CSR) машине для подписи ключей. В свою очередь, машина для подписи ключей могла бы обработать CSR и вернуть клиенту подписанный сертификат. Это можно было бы сделать, даже не требуя, чтобы секрет  .key  файл оставить на жестком диске машины, на которой он был создан.

---

Создание файлов конфигурации для сервера и клиентов

Получение образцов файлов конфигурации

В качестве отправной точки для собственной конфигурации лучше всего использовать примеры файлов конфигурации OpenVPN. Эти файлы также можно найти в

• каталог sample-config-files исходного дистрибутива OpenVPN
• примеров файлов конфигурации  каталог в /usr/share/doc/packages/openvpn или /usr/share/doc/openvpn  если вы установили из пакета RPM или DEB
• Меню «Пуск» -> «Все программы» -> OpenVPN -> Образцы файлов конфигурации OpenVPN  в Windows

Обратите внимание, что в Linux, BSD или Unix-подобных ОС файлы конфигурации называются server. conf и client.conf . В Windows они называются server.ovpn и client.ovpn 9.0018 .

Редактирование файла конфигурации сервера

Образец файла конфигурации сервера является идеальной отправной точкой для настройки сервера OpenVPN. Он создаст VPN с использованием виртуального сетевого интерфейса TUN (для маршрутизации), будет прослушивать клиентские подключения через порт UDP 1194 (официальный номер порта OpenVPN) и раздавать виртуальные адреса подключающимся клиентам из 10.8.0.0/ 24  подсеть.

Прежде чем использовать образец файла конфигурации, необходимо сначала отредактировать ca , cert , key и dh , чтобы указать на файлы, созданные вами в разделе PKI выше.

На данный момент файл конфигурации сервера можно использовать, однако вы все еще можете настроить его дальше:

• Если вы используете мост Ethernet, вы должны использовать server-bridge и dev tap вместо server и dev tun .
• Если вы хотите, чтобы ваш сервер OpenVPN прослушивал TCP-порт вместо UDP-порта, используйте proto tcp вместо proto udp (если вы хотите, чтобы OpenVPN прослушивал порт UDP и TCP, вы должны запустить два отдельных экземпляра OpenVPN).
• Если вы хотите использовать диапазон виртуальных IP-адресов, отличный от 10.8.0.0/24 , вам следует изменить директиву server . Помните, что этот диапазон виртуальных IP-адресов должен быть частным диапазоном, который в настоящее время не используется в вашей сети.
• Раскомментируйте директиву client-to-client , если вы хотите, чтобы подключающиеся клиенты могли связываться друг с другом через VPN. По умолчанию клиенты смогут получить доступ только к серверу.
• Если вы используете Linux, BSD или Unix-подобную ОС, вы можете повысить безопасность, раскомментировав директивы user Nobody и group Nobody .

Если вы хотите запустить несколько экземпляров OpenVPN на одном компьютере, каждый из которых использует свой файл конфигурации, это возможно, если вы:

• Используйте другой номер порта для каждого экземпляра (протоколы UDP и TCP используют разные пространства портов, поэтому вы можете запустить один демон, прослушивающий UDP-119).4 и еще один на TCP-1194).
• Если вы используете Windows, каждая конфигурация OpenVPN должна иметь собственный адаптер TAP-Windows. Вы можете добавить дополнительные адаптеры, выбрав «Пуск» -> «Все программы» -> TAP-Windows -> Добавить новый виртуальный сетевой адаптер TAP-Windows .
• Если вы запускаете несколько экземпляров OpenVPN из одного и того же каталога, обязательно отредактируйте директивы, создающие выходные файлы, чтобы несколько экземпляров не перезаписывали выходные файлы друг друга. Эти директивы включают  log , log-append , status и ifconfig-pool-persist .

Редактирование файлов конфигурации клиента

Образец файла конфигурации клиента ( client.conf  в Linux/BSD/Unix или client.ovpn в Windows) отражает директивы по умолчанию, заданные в образце файла конфигурации сервера.

• Как и в файле конфигурации сервера, сначала отредактируйте ca , cert и key  , чтобы указать на файлы, созданные вами в разделе PKI выше. Обратите внимание, что у каждого клиента должна быть своя пара сертификатов / ключей . Только файл ca является универсальным для сервера OpenVPN и всех клиентов.
• Затем отредактируйте директиву remote , чтобы она указывала на имя хоста/IP-адрес и номер порта сервера OpenVPN (если ваш сервер OpenVPN будет работать на машине с одной сетевой картой за брандмауэром/шлюзом NAT, используйте общедоступный IP-адрес). адрес шлюза и номер порта, который вы настроили в шлюзе для переадресации на сервер OpenVPN).
• Наконец, убедитесь, что файл конфигурации клиента соответствует директивам, используемым в конфигурации сервера. Главное, что нужно проверить, это соответствие директив dev (tun или tap) и proto (udp или tcp). Также убедитесь, что comp-lzo и фрагмент , если они используются, присутствуют в файлах конфигурации клиента и сервера.

---

Запуск VPN и проверка первоначального подключения

Запуск сервера

Сначала убедитесь, что сервер OpenVPN будет доступен из Интернета. Это означает:

• открытие UDP-порта 1194 в брандмауэре (или любого другого TCP/UDP-порта, который вы настроили), или
• настройка правила переадресации портов для переадресации UDP-порта 1194 с брандмауэра/шлюза на машину, на которой запущен сервер OpenVPN.

Затем убедитесь, что интерфейс TUN/TAP не защищен брандмауэром.

Для упрощения устранения неполадок лучше всего сначала запустить сервер OpenVPN из командной строки (или щелкнуть правой кнопкой мыши на . ovpn  файл в Windows), а не запускать его как демон или службу:

  openvpn [файл конфигурации сервера]  

Обычный запуск сервера должен выглядеть следующим образом (вывод зависит от платформы):

 Вс, 6 февраля, 20:46:38 2005 г. OpenVPN 2.0_rc12 i686-suse-linux [SSL] [LZO] [EPOLL] построен 5 февраля 2005 г.
Вс, 6 февраля, 20:46:38 2005 Диффи-Хеллман инициализирован 1024-битным ключом.
Вс, 6 февраля, 20:46:38 2005 Параметры TLS-Auth MTU [ L:1542 D:138 EF:38 EB:0 ET:0 EL:0 ]
Вс, 6 февраля, 20:46:38 2005 TUN/TAP устройство tun1 открыто
Вс, 6 февраля, 20:46:38 2005 /sbin/ifconfig tun1 10.8.0.1 pointopoint 10.8.0.2 mtu 1500
Вс, 6 февраля, 20:46:38 2005 /sbin/route add -net 10.8.0.0 маска сети 255.255.255.0 gw 10.8.0.2
Вс, 6 февраля 20:46:38 2005 Параметры MTU канала данных [ L:1542 D:1450 EF:42 EB:23 ET:0 EL:0 AF:3/1 ]
Вс, 6 февраля, 20:46:38 2005 UDPv4, локальная ссылка (связанная): [undef]:1194
Вс, 6 февраля, 20:46:38 2005 Удаленная ссылка UDPv4: [undef]
Вс, 6 февраля, 20:46:38 2005 MULTI: вызван multi_init, r=256 v=256
Вс, 6 февраля, 20:46:38 2005 IFCONFIG POOL: base=10. 8.0.4 size=62
Вс, 6 февраля, 20:46:38 2005 IFCONFIG POOL LIST
Вс, 6 февраля 20:46:38 2005 Последовательность инициализации завершена 

Запуск клиента

Как и при настройке сервера, лучше всего сначала запустить сервер OpenVPN из командной строки (или в Windows, щелкнув правой кнопкой мыши на client.ovpn файл), а не запускать его как демон или службу:

  openvpn [файл конфигурации клиента]  

Обычный запуск клиента в Windows будет выглядеть так же, как вывод сервера выше, и должен заканчиваться сообщением Initialization Sequence Completed .

Теперь попробуйте отправить эхо-запрос через VPN от клиента. Если вы используете маршрутизацию (например, dev tun  в файле конфигурации сервера), попробуйте:

.

  эхо-запрос 10.8.0.1  

Если вы используете мост (т. е. dev коснитесь  в файле конфигурации сервера), попробуйте пропинговать IP-адрес машины в подсети Ethernet сервера.

Если пинг прошел успешно, поздравляем! Теперь у вас есть работающий VPN.

Устранение неполадок

Если не удалось выполнить проверку связи или не удалось завершить инициализацию клиента OpenVPN, вот контрольный список распространенных проблем и их решений:

• Вы получаете сообщение об ошибке:  Ошибка TLS: согласование ключа TLS не произошло в течение 60 секунд (проверьте подключение к сети) . Эта ошибка указывает на то, что клиенту не удалось установить сетевое соединение с сервером. Решения :
  • Убедитесь, что клиент использует правильное имя хоста/IP-адрес и номер порта, что позволит ему получить доступ к серверу OpenVPN.
  • Если сервер OpenVPN представляет собой блок с одной сетевой картой внутри защищенной локальной сети, убедитесь, что вы используете правильное правило переадресации портов на брандмауэре шлюза сервера. Например, предположим, что ваш OpenVPN-сервер находится по адресу 192.168. 4.4 внутри брандмауэра и прослушивает клиентские подключения через UDP-порт 119.4. Шлюз NAT, обслуживающий подсеть 192.168.4.x, должен иметь правило переадресации портов, в котором говорится, что перенаправляет UDP-порт 1194 с моего общедоступного IP-адреса на 192.168.4.4 .
  • Откройте брандмауэр сервера, чтобы разрешить входящие подключения к порту UDP 1194 (или любому другому порту TCP/UDP, который вы настроили в файле конфигурации сервера).
• Вы получаете сообщение об ошибке:  Последовательность инициализации завершена с ошибками . Эта ошибка может возникнуть в Windows, если (а) у вас не запущена служба DHCP-клиента или (б) вы используете персональные брандмауэры сторонних производителей. на ХР SP2. Решение : Запустите клиентский сервер DHCP и убедитесь, что вы используете персональный брандмауэр, который, как известно, правильно работает на XP SP2.
• Вы получаете сообщение Initialization Sequence Completed , но проверка связи не удалась. Обычно это указывает на то, что брандмауэр на сервере или клиенте блокирует сетевой трафик VPN, фильтруя интерфейс TUN/TAP. Решение . Отключите брандмауэр клиента (если он существует) от фильтрации интерфейса TUN/TAP на клиенте. Например, в Windows XP SP2 это можно сделать, перейдя к  Центр безопасности Windows -> Брандмауэр Windows -> Расширенный  и снимите флажок, соответствующий адаптеру TAP-Windows (отключение клиентским брандмауэром фильтрации адаптера TUN/TAP, как правило, разумно с точки зрения безопасности, поскольку вы, по сути, сообщаете брандмауэр, чтобы не блокировать аутентифицированный VPN-трафик). Также убедитесь, что интерфейс TUN/TAP на сервере не фильтруется брандмауэром (при этом обратите внимание, что выборочный брандмауэр интерфейса TUN/TAP на стороне сервера может дать определенные преимущества в плане безопасности. См. раздел «Политики доступа» ниже. ).
• Соединение останавливается при запуске при использовании конфигурации proto udp , в файле журнала сервера отображается следующая строка:
  

   TLS: начальный пакет от x. x.x.x:x, sid=xxxxxxxxx xxxxxxxx 

  , однако в журнале клиента нет эквивалентной строки.

  Решение : У вас одностороннее соединение от клиента к серверу. Направление от сервера к клиенту блокируется брандмауэром, обычно на стороне клиента. Брандмауэр может быть либо (а) личным программным брандмауэром, работающим на клиенте, либо (б) шлюзом маршрутизатора NAT для клиента. Измените брандмауэр, чтобы позволить возвращаемым UDP-пакетам с сервера достигать клиента.

Дополнительные сведения об устранении неполадок см. в FAQ.

---

Настройка OpenVPN для автоматического запуска при запуске системы

Отсутствие стандартов в этой области означает, что большинство ОС имеют другой способ настройки демонов/служб для автозапуска при загрузке. Лучший способ настроить эту функцию по умолчанию — установить OpenVPN в виде пакета, например, через RPM в Linux или с помощью установщика Windows.

Linux

Если вы устанавливаете OpenVPN через пакет RPM или DEB в Linux, установщик установит инициальный скрипт . При выполнении initscript просканирует .conf конфигурационные файлы в /etc/openvpn и, если найдет, запустит отдельный демон OpenVPN для каждого файла.

Windows

Установщик Windows настроит Service Wrapper, но по умолчанию оставит его отключенным. Чтобы активировать его, перейдите в Панель управления/Администрирование/Службы, выберите службу OpenVPN, щелкните правой кнопкой мыши свойства и установите для параметра Тип запуска значение Автоматически. Это настроит службу на автоматический запуск при следующей перезагрузке.

При запуске OpenVPN Service Wrapper сканирует папку \Program Files\OpenVPN\config на наличие файлов конфигурации .ovpn , запуская отдельный процесс OpenVPN для каждого файла.

---

Управление запущенным процессом OpenVPN

Работа в Linux/BSD/Unix

OpenVPN принимает несколько сигналов:

• SIGUSR1  — Условный перезапуск, предназначенный для перезапуска без привилегий root
• SIGHUP  — Жесткий перезапуск
• SIGUSR2  — — Вывести статистику подключений в файл журнала или системный журнал
• SIGTERM ,  SIGINT   — Выход

Используйте директиву writepid , чтобы записать PID демона OpenVPN в файл, чтобы вы знали, куда отправлять сигнал (если вы запускаете openvpn с initscript , скрипт уже может передавать —writepid  в командной строке openvpn ).

Запуск в Windows с графическим интерфейсом

См. страницу графического интерфейса OpenVPN.

Запуск в окне командной строки Windows

В Windows вы можете запустить OpenVPN, щелкнув правой кнопкой мыши файл конфигурации OpenVPN ( .ovpn  файл) и выбрав «Запустить OpenVPN в этом файле конфигурации».

После запуска таким образом доступны несколько клавиатурных команд:

• F1  — Условный перезапуск (не закрывает/не открывает адаптер TAP)
• F2  — Показать статистику подключения
• F3  — Аппаратный перезапуск
• F4  — Выход

Запуск в качестве службы Windows

Когда OpenVPN запускается как служба в Windows, единственным способом управления ею является:

• Через диспетчер управления службами (Панель управления/Администрирование/Службы), который дает управление запуском/остановкой .
• Через интерфейс управления (см. ниже).

Изменение конфигурации работающего сервера

Хотя большинство изменений конфигурации требуют перезагрузки сервера, есть две директивы, в частности, которые относятся к файлам, которые могут быть динамически обновлены на лету и немедленно вступят в силу на сервере. без необходимости перезапуска серверного процесса.

client-config-dir  — Эта директива задает каталог конфигурации клиента, который сервер OpenVPN будет сканировать при каждом входящем соединении в поисках файла конфигурации для конкретного клиента (дополнительную информацию см. на странице руководства). Файлы в этом каталоге можно обновлять «на лету», без перезапуска сервера. Обратите внимание, что изменения в этом каталоге вступят в силу только для новых подключений, а не для существующих. Если вы хотите, чтобы изменение файла конфигурации для конкретного клиента немедленно вступало в силу на подключенном в данный момент клиенте (или на клиенте, который отключился, но сервер не установил тайм-аут своего объекта экземпляра), уничтожьте объект экземпляра клиента с помощью команды управления. интерфейс (описан ниже). Это заставит клиента повторно подключиться и использовать новый  client-config-dir  файл.

crl-verify  — Эта директива называет файл Список отзыва сертификатов  , описанный ниже в разделе Отзыв сертификатов . Файл CRL можно изменить на лету, и изменения вступят в силу немедленно для новых подключений или существующих подключений, которые повторно согласовывают свой канал SSL/TLS (по умолчанию происходит один раз в час). Если вы хотите убить подключенного в данный момент клиента, сертификат которого только что был добавлен в CRL, используйте интерфейс управления (описанный ниже).

Файл состояния

В файле server.conf по умолчанию есть строка

  статус openvpn-status.log  

, который будет выводить список текущих клиентских подключений к файлу openvpn-status.log один раз в минуту.

Использование интерфейса управления

Интерфейс управления OpenVPN обеспечивает значительный контроль над запущенным процессом OpenVPN. ]’. > ИНФОРМАЦИЯ: интерфейс управления OpenVPN версии 1 — введите «помощь» для получения дополнительной информации помощь Интерфейс управления для OpenVPN 2.0_rc14 i686-suse-linux [SSL] [LZO] [EPOLL], построенный 15 февраля 2005 г. Команды: echo [on|off] [N|all] : Аналогично журналу, но показывать сообщения только в эхо-буфере. exit|quit : закрыть сеанс управления. help : Распечатать это сообщение. Hold [on|off|release] : установить/показать флаг удержания в состояние «включено/выключено» или снять текущее удержание и запустить туннель. kill cn : Убить экземпляр(ы) клиента с общим именем cn. kill IP:port : убить экземпляр клиента, подключающийся с IP:port. log [on|off] [N|all] : Включить/выключить отображение журнала в реальном времени. + показать последние N строк или «все» для всей истории. mute [n] : установить уровень отключения звука журнала на n или показать уровень, если n отсутствует. net : (только для Windows) Показать информацию о сети и таблицу маршрутизации. тип пароля p : введите пароль p для запрошенного пароля OpenVPN. signal s : отправить сигнал демону, s = SIGHUP|SIGTERM|SIGUSR1|SIGUSR2. state [on|off] [N|all] : Аналогично журналу, но показывает историю состояний. status [n] : Показать текущую информацию о статусе демона, используя формат #n. test n : создать n строк вывода для тестирования/отладки. тип имени пользователя u : введите имя пользователя u для запрошенного имени пользователя OpenVPN. глагол [n] : установить уровень детализации журнала на n или показать, если n отсутствует. version : Показать номер текущей версии. КОНЕЦ выход Соединение прервано внешним хостом. ай:~ #

Дополнительные сведения см. в документации по интерфейсу управления OpenVPN.

---

Расширение области действия VPN для включения дополнительных машин в клиентскую или серверную подсеть.

Включение нескольких машин на стороне сервера при использовании маршрутизируемой VPN (dev tun)

После того, как VPN начнет работать в режиме «точка-точка» между клиентом и сервером, может потребоваться расширить область действия VPN, чтобы что клиенты могут получить доступ к нескольким компьютерам в сети сервера, а не только к самому серверу.

В этом примере предполагается, что локальная сеть на стороне сервера использует подсеть 10.66.0.0/24 , а пул IP-адресов VPN использует 10.8.0.0/24 , как указано в server . директива в файле конфигурации сервера OpenVPN.

Во-первых, вы должны объявить подсеть 10.66.0.0/24 клиентам VPN как доступную через VPN. Это можно легко сделать с помощью следующей директивы файла конфигурации на стороне сервера:

  нажать "маршрут 10.66.0.0 255.255.255.0"  

Далее необходимо настроить маршрут на шлюзе локальной сети на стороне сервера для маршрутизации подсети VPN-клиента ( 10.8.0.0/24 ) к серверу OpenVPN (это необходимо только в том случае, если сервер OpenVPN и шлюз локальной сети разные машины).

Убедитесь, что вы включили переадресацию IP и TUN/TAP на сервере OpenVPN.

Включение нескольких компьютеров на стороне сервера при использовании VPN с мостом (dev tap)

Одним из преимуществ использования Ethernet-моста является то, что вы получаете его бесплатно без дополнительной настройки.

Включение нескольких машин на стороне клиента при использовании маршрутизируемой VPN (dev tun)

В типичном сценарии «дорожного воина» или удаленного доступа клиентская машина подключается к VPN как одна машина. Но предположим, что клиентская машина является шлюзом для локальной сети (например, домашнего офиса), и вы хотите, чтобы каждая машина в клиентской локальной сети могла маршрутизироваться через VPN.

В этом примере предполагается, что клиентская локальная сеть использует подсеть 192.168.4.0/24 и что клиент VPN использует сертификат с общим именем client2 . Наша цель — настроить VPN таким образом, чтобы любая машина в клиентской локальной сети могла связываться с любой машиной в серверной локальной сети через VPN.

Перед настройкой необходимо выполнить некоторые основные требования:

• Подсеть локальной сети клиента (в нашем примере 192.168.4.0/24) не должна экспортироваться в VPN сервером или любыми другими клиентскими сайтами, которые используют той же подсети. Каждая подсеть, присоединенная к VPN через маршрутизацию, должна быть уникальной.
• Клиент должен иметь уникальное общее имя в своем сертификате (в нашем примере «client2»), а флаг дубликат-cn не должен использоваться в файле конфигурации сервера OpenVPN.

Сначала убедитесь, что на клиентском компьютере включена переадресация IP и TUN/TAP.

Далее мы займемся необходимыми изменениями конфигурации на стороне сервера. Если файл конфигурации сервера в настоящее время не ссылается на каталог конфигурации клиента, добавьте его сейчас:

  клиент-конфигурация-каталог ccd  

В приведенной выше директиве ccd должно быть именем каталога, который был предварительно создан в каталоге по умолчанию, где работает демон сервера OpenVPN. В Linux это, как правило, /etc/openvpn , а в Windows обычно \Program Files\OpenVPN\config . Когда новый клиент подключается к серверу OpenVPN, демон проверит этот каталог на наличие файла, который соответствует общему имени подключающегося клиента. Если соответствующий файл найден, он будет прочитан и обработан для применения дополнительных директив файла конфигурации к указанному клиенту.

Следующим шагом является создание файла с именем client2 в каталоге ccd . Этот файл должен содержать строку:

  маршрут 192.168.4.0 255.255.255.0  

Это сообщит серверу OpenVPN, что подсеть 192.168.4.0/24 должна быть направлена ​​на  client2 .

Затем добавьте следующую строку в основной файл конфигурации сервера (не в файл ccd/client2 ):

  маршрут 192.168.4.0 255.255.255.0  

Почему избыточные операторы route и iroute , спросите вы? Причина в том, что route управляет маршрутизацией от ядра к серверу OpenVPN (через интерфейс TUN), а iroute управляет маршрутизацией от сервера OpenVPN к удаленным клиентам. Оба необходимы.

Затем спросите себя, хотите ли вы разрешить сетевой трафик между подсетью client2 (192.168.4.0/24) и другими клиентами сервера OpenVPN. Если это так, добавьте следующее в файл конфигурации сервера.

  клиент-клиент
нажмите "маршрут 192.168.4.0 255.255.255.0"  

Это приведет к тому, что сервер OpenVPN объявит подсеть client2 другим подключающимся клиентам.

Последним шагом, о котором часто забывают, является добавление маршрута к шлюзу локальной сети сервера, который направляет 192.168.4.0/24 к серверу OpenVPN (это вам не понадобится, если поле сервера OpenVPN равно ). шлюз для серверной локальной сети). Предположим, вы пропустили этот шаг и попытались пропинговать машину (не сам сервер OpenVPN) в локальной сети сервера с 192.168.4.8? Исходящий эхо-запрос, вероятно, достигнет машины, но тогда он не будет знать, как направить ответ на эхо-запрос, потому что он понятия не имеет, как достичь 192. 168.4.0/24. Эмпирическое правило заключается в том, что при маршрутизации целых локальных сетей через VPN (когда VPN-сервер не является той же машиной, что и шлюз локальной сети), убедитесь, что шлюз для локальной сети направляет все подсети VPN на компьютер VPN-сервера.

Аналогично, если клиентская машина, на которой работает OpenVPN, не является также шлюзом для клиентской локальной сети, тогда шлюз для клиентской локальной сети должен иметь маршрут, который направляет все подсети, которые должны быть доступны через VPN, на клиентскую машину OpenVPN.

Включение нескольких машин на стороне клиента при использовании мостовой VPN (dev tap)

Это требует более сложной настройки (возможно, не более сложной на практике, но более сложной для подробного объяснения):

• клиентский TAP-интерфейс с сетевой картой, подключенной к локальной сети, на клиенте.
• Вы должны вручную установить IP/сетевую маску TAP-интерфейса на клиенте.
• Необходимо настроить клиентские машины для использования IP-адреса/маски сети, которые находятся внутри подсети с мостом, возможно, путем запроса DHCP-сервера на стороне сервера OpenVPN в VPN.

---

Передача параметров DHCP клиентам

Сервер OpenVPN может передавать клиентам параметры DHCP, такие как адреса серверов DNS и WINS (некоторые предостережения, о которых следует помнить). Клиенты Windows могут принимать принудительно переданные параметры DHCP изначально, в то время как клиенты, отличные от Windows, могут принимать их с помощью клиентского сценария up , который анализирует список переменных среды Foreign_option_ n . См. справочную страницу для не-Windows  Foreign_option_ n  документация и примеры скриптов.

Например, предположим, что вы хотите подключать клиентов для использования внутреннего DNS-сервера по адресу 10.66.0.4 или 10.66.0.5 и WINS-сервера по адресу 10.66.0.8. Добавьте это в конфигурацию сервера OpenVPN:

.

  нажмите "dhcp-опция DNS 10.66.0.4"
нажмите «dhcp-опция DNS 10.66.0.5»
нажмите "опция DHCP WINS 10.66.0.8"  

Чтобы протестировать эту функцию в Windows, выполните следующую команду из окна командной строки после подключения компьютера к серверу OpenVPN:

  ipconfig/все  

В записи адаптера TAP-Windows должны отображаться параметры DHCP, которые были переданы сервером.

---

 

Настройка правил и политик доступа для конкретных клиентов

Предположим, мы настраиваем корпоративную VPN и хотим установить отдельные политики доступа для 3 разных классов пользователей:

• Системные администраторы  — полный доступ ко всем машинам в сети
• Сотрудники  — доступ только к Samba/почтовому серверу
• Подрядчики  — доступ только к специальному серверу

Основной подход, который мы выберем, состоит в том, чтобы (а) выделить каждый класс пользователей в его собственный диапазон виртуальных IP-адресов и (б) контролировать доступ к машинам, устанавливая правила брандмауэра, которые отключают виртуальный IP-адрес клиента.

В нашем примере предположим, что у нас есть переменное количество сотрудников, но только один системный администратор и два подрядчика. Наш подход к распределению IP-адресов будет заключаться в том, чтобы поместить всех сотрудников в пул IP-адресов, а затем выделить фиксированные IP-адреса для системного администратора и подрядчиков.

Обратите внимание, что одним из предварительных условий этого примера является наличие программного брандмауэра, работающего на сервере OpenVPN, который дает вам возможность определять определенные правила брандмауэра. В нашем примере мы предположим, что в качестве брандмауэра используется Linux iptables .

Сначала создадим карту виртуальных IP-адресов в соответствии с классом пользователя:

Класс	Диапазон виртуальных IP-адресов	Разрешенный доступ к локальной сети	Общие имена
Служащие	10.8.0.0/24	Samba/почтовый сервер по адресу 10.66.4.4	[переменная]
Системные администраторы	10.8.1.0/24	Вся подсеть 10.66.4.0/24	системный администратор1
Подрядчики	10. 8.2.0/24	Сервер подрядчика по адресу 10.66.4.12	подрядчик1, подрядчик2

Теперь давайте переведем эту карту в конфигурацию сервера OpenVPN. Прежде всего, убедитесь, что вы выполнили описанные выше шаги, чтобы сделать подсеть 10.66.4.0/24 доступной для всех клиентов (хотя мы настроим маршрутизацию, чтобы разрешить клиентам доступ ко всей подсети 10.66.4.0/24, затем мы наложим ограничения доступа с использованием правил брандмауэра для реализации приведенной выше таблицы политик).

Сначала определите статический номер устройства для нашего интерфейса tun , чтобы мы могли ссылаться на него позже в наших правилах брандмауэра:

  разработчик tun0  

В файле конфигурации сервера определите пул IP-адресов сотрудников:

  сервер 10.8.0.0 255.255.255.0  

Добавить маршруты для диапазонов IP-адресов системного администратора и подрядчика:

  маршрут 10. 8.1.0 255.255.255.0
маршрут 10.8.2.0 255.255.255.0  

Поскольку мы будем назначать фиксированные IP-адреса для определенных системных администраторов и подрядчиков, мы будем использовать каталог конфигурации клиента:

  клиент-конфигурация-каталог ccd  

Теперь поместите специальные файлы конфигурации в подкаталог  ccd  , чтобы определить фиксированный IP-адрес для каждого VPN-клиента, не являющегося сотрудником.

ccd/sysadmin1

  ifconfig-push 10.8.1.1 10.8.1.2  

ccd/подрядчик1

  ifconfig-push 10.8.2.1 10.8.2.2  

ccd/подрядчик2

  ifconfig-push 10.8.2.5 10.8.2.6  

Каждая пара ifconfig-push адресов представляет конечные IP-адреса виртуального клиента и сервера. Они должны быть взяты из последовательных подсетей /30, чтобы быть совместимыми с клиентами Windows и драйвером TAP-Windows. В частности, последний октет в IP-адресе каждой пары конечных точек должен быть взят из этого набора:

.

 [1, 2] [5, 6] [9, 10] [13, 14] [17, 18]
[ 21, 22] [ 25, 26] [ 29, 30] [ 33, 34] [ 37, 38]
[ 41, 42] [ 45, 46] [ 49, 50] [ 53, 54] [ 57, 58]
[ 61, 62] [ 65, 66] [ 69, 70] [ 73, 74] [ 77, 78]
[ 81, 82] [ 85, 86] [ 89, 90] [ 93, 94] [ 97, 98]
[101 102] [105 106] [109 110] [113 114] [117 118]
[121 122] [125 126] [129 130] [133 134] [137 138]
[141 142] [145 146] [149 150] [153 154] [157 158]
[161 162] [165 166] [169 170] [173 174] [177 178]
[181 182] [185 186] [189 190] [193 194] [197 198]
[201 202] [205 206] [209 210] [213 214] [217 218]
[221 222] [225 226] [229 230] [233 234] [237 238]
[241 242] [245 246] [249,250] [253,254] ​​

На этом настройка OpenVPN завершена. Последним шагом является добавление правил брандмауэра для завершения политики доступа. В этом примере мы будем использовать правила брандмауэра в синтаксисе Linux iptables :

.

  # Правило сотрудника
iptables -A FORWARD -i tun0 -s 10.8.0.0/24 -d 10.66.4.4 -j ПРИНЯТЬ

# Правило системного администратора
iptables -A FORWARD -i tun0 -s 10.8.1.0/24 -d 10.66.4.0/24 -j ПРИНЯТЬ

# Правило подрядчика
iptables -A FORWARD -i tun0 -s 10.8.2.0/24 -d 10.66.4.12 -j ПРИНЯТЬ  

---

Использование альтернативных методов аутентификации

OpenVPN 2.0 и более поздние версии включают функцию, которая позволяет серверу OpenVPN безопасно получать имя пользователя и пароль от подключающегося клиента и использовать эту информацию в качестве основы для аутентификации клиента.

Чтобы использовать этот метод аутентификации, сначала добавьте директиву auth-user-pass в конфигурацию клиента. Он укажет клиенту OpenVPN запросить у пользователя имя пользователя/пароль, передав его на сервер по защищенному каналу TLS.

Затем настройте сервер для использования подключаемого модуля проверки подлинности, который может быть сценарием, общим объектом или библиотекой DLL. Сервер OpenVPN будет вызывать плагин каждый раз, когда VPN-клиент пытается подключиться, передавая ему имя пользователя/пароль, введенные на клиенте. Плагин проверки подлинности может контролировать, разрешает ли сервер OpenVPN клиенту подключаться, возвращая значение ошибки (1) или успеха (0).

Использование плагинов скриптов

Плагины скриптов можно использовать, добавив auth-user-pass-verify  директива для файла конфигурации на стороне сервера. Например:

  auth-user-pass-verify auth-pam.pl через файл  

будет использовать perl-скрипт auth-pam.pl  для проверки подлинности имени пользователя и пароля подключающихся клиентов. См. описание auth-user-pass-verify на странице руководства для получения дополнительной информации.

Скрипт auth-pam.pl включен в дистрибутив исходного файла OpenVPN в примеров сценариев подкаталог. Он будет аутентифицировать пользователей на сервере Linux с помощью модуля аутентификации PAM, который, в свою очередь, может реализовать теневой пароль, аутентификацию RADIUS или LDAP. auth-pam.pl  в первую очередь предназначен для демонстрационных целей. Для реальной аутентификации PAM используйте подключаемый модуль общего объекта openvpn-auth-pam , описанный ниже.

Использование общих объектов или подключаемых модулей DLL

Общие объекты или подключаемые модули DLL обычно представляют собой скомпилированные модули C, которые загружаются сервером OpenVPN во время выполнения. Например, если вы используете пакет OpenVPN на основе RPM в Linux,0017 openvpn-auth-pam Плагин должен быть уже собран. Чтобы использовать его, добавьте это в файл конфигурации на стороне сервера:

  плагин /usr/share/openvpn/plugin/lib/openvpn-auth-pam. so логин  

Это укажет серверу OpenVPN проверить имя пользователя/пароль, введенные клиентами с помощью модуля login PAM.

Для реального использования лучше использовать плагин openvpn-auth-pam , так как он имеет ряд преимуществ перед auth-pam.pl  script:

• Плагин общего объекта openvpn-auth-pam использует модель выполнения с разделением привилегий для повышения безопасности. Это означает, что сервер OpenVPN может работать с ограниченными привилегиями с помощью директив user Nobody , group Nobody и chroot , и по-прежнему сможет проходить аутентификацию по файлу теневых паролей, предназначенному только для чтения root.
• OpenVPN может передавать имя пользователя/пароль подключаемому модулю через виртуальную память, а не через файл или среду, что лучше для локальной безопасности на сервере.
• Модули подключаемых модулей, скомпилированные на C, обычно работают быстрее, чем скрипты.

Если вам нужна дополнительная информация о разработке собственных подключаемых модулей для использования с OpenVPN, см. файлы README в подкаталоге plugin исходного дистрибутива OpenVPN.

Чтобы собрать плагин openvpn-auth-pam в Linux, перейдите в каталог plugin/auth-pam в исходном дистрибутиве OpenVPN и запустите make .

Использование аутентификации по имени пользователя/паролю в качестве единственной формы аутентификации клиента

По умолчанию при использовании auth-user-pass-verify или подключаемого модуля для проверки имени пользователя и пароля на сервере будет включена двойная аутентификация, требующая, чтобы и клиентский сертификат, и аутентификация по имени пользователя и паролю были успешными для клиента. пройти аутентификацию.

Хотя это не рекомендуется с точки зрения безопасности, также можно отключить использование клиентских сертификатов и принудительно выполнять аутентификацию только по имени пользователя/паролю. На сервере:

  сертификат клиента не требуется  

Такие конфигурации обычно должны также устанавливать:

  имя пользователя как обычное имя  

, который укажет серверу использовать имя пользователя для целей индексации, поскольку он будет использовать общее имя клиента, который аутентифицируется с помощью клиентского сертификата.

Обратите внимание, что client-cert-not-required  не устраняет необходимость в сертификате сервера, поэтому клиент, подключающийся к серверу, который использует  client-cert-not-required может удалить директивы cert и key из файла конфигурации клиента, но не директиву ca , поскольку клиенту необходимо проверить сертификат сервера.

Как добавить двухфакторную аутентификацию в конфигурацию OpenVPN с использованием смарт-карт на стороне клиента

• О двухфакторной аутентификации
• Что такое PKCS#11?
• Поиск библиотеки поставщика PKCS#11.
• Как настроить криптографический токен
• Как изменить конфигурацию OpenVPN для использования криптографических токенов
  • Определите правильный объект.
  • Использование OpenVPN с PKCS#11.
  • Рекомендации по реализации PKCS#11.
  • Поставщик OpenSC PKCS#11.
• Разница между PKCS#11 и Microsoft Cryptographic API (CryptoAPI).

О двухфакторной аутентификации

Двухфакторная аутентификация — это метод аутентификации, сочетающий два элемента: то, что у вас есть, и то, что вы знаете.

Что-то, что у вас есть, должно быть устройством, которое нельзя дублировать; таким устройством может быть криптографический токен, содержащий закрытый секретный ключ. Этот закрытый ключ генерируется внутри устройства и никогда не покидает его. Если пользователь, обладающий этим токеном, пытается получить доступ к защищенным службам в удаленной сети, процесс авторизации, который разрешает или запрещает доступ к сети, может с высокой степенью достоверности установить, что пользователь, запрашивающий доступ, физически владеет известным сертифицированным токеном. .

Что-то, что вы знаете, может быть паролем, представленным криптографическому устройству. Без предоставления правильного пароля вы не можете получить доступ к личному секретному ключу. Еще одной особенностью криптографических устройств является запрет на использование закрытого секретного ключа, если неверный пароль был введен более разрешенного количества раз. Такое поведение гарантирует, что если пользователь потеряет свое устройство, другой человек не сможет его использовать.

Криптографические устройства обычно называются «смарт-картами» или «токенами» и используются вместе с PKI (инфраструктурой открытых ключей). VPN-сервер может проверить X.509сертификат и убедитесь, что пользователь владеет соответствующим закрытым секретным ключом. Поскольку устройство не может быть продублировано и требует действительного пароля, сервер может аутентифицировать пользователя с высокой степенью уверенности.

Двухфакторная аутентификация намного надежнее, чем аутентификация на основе пароля, потому что в худшем случае только один человек может использовать криптографический токен. Пароли могут быть угаданы и могут быть раскрыты другим пользователям, поэтому в худшем случае бесконечное количество людей может попытаться получить несанкционированный доступ, когда ресурсы защищены с помощью аутентификации только паролем.

Если вы храните секретный закрытый ключ в файле, ключ обычно шифруется паролем. Проблема с этим подходом заключается в том, что зашифрованный ключ подвергается атакам дешифрования или шпионскому/вредоносному ПО, работающему на клиентской машине. В отличие от использования криптографического устройства, файл не может автоматически стереться после нескольких неудачных попыток расшифровки.

Что такое PKCS#11?

Этот стандарт определяет API, называемый Cryptoki, для устройств, которые хранят криптографическую информацию и выполняют криптографические функции. Cryptoki, произносится как «крипто-ключ» и сокращение от «интерфейс криптографических токенов», следует простому объектно-ориентированному подходу, направленному на достижение целей технологической независимости (любой тип устройства) и совместного использования ресурсов (несколько приложений, обращающихся к нескольким устройствам), предоставляя приложениям общее логическое представление устройства, называемое криптографическим токеном.

Источник: RSA Security Inc. https://www.emc.com/emc-plus/rsa-labs/standards-initiatives/pkcs-11-cryptographic-token-interface-standard.htm.

Подводя итог, можно сказать, что PKCS#11 — это стандарт, который может использоваться прикладным программным обеспечением для доступа к криптографическим маркерам, таким как смарт-карты и другие устройства. Большинство поставщиков устройств предоставляют библиотеку, которая реализует интерфейс поставщика PKCS#11 — эта библиотека может использоваться приложениями для доступа к этим устройствам. PKCS#11 — это кроссплатформенный, независимый от поставщиков бесплатный стандарт.

Поиск библиотеки провайдера PKCS#11

Первое, что вам нужно сделать, это найти библиотеку провайдера, она должна быть установлена ​​вместе с драйверами устройств. У каждого производителя своя библиотека. Например, поставщик OpenSC PKCS#11 находится в /usr/lib/pkcs11/opensc-pkcs11.so в Unix или в opensc-pkcs11.dll в Windows.

Как настроить криптографический токен

Вы должны следовать процедуре регистрации:

• Инициализировать токен PKCS#11.
• Создайте пару ключей RSA на токене PKCS#11.
• Создайте запрос на сертификат на основе пары ключей. Для этого вы можете использовать OpenSC и OpenSSL.
• Отправьте запрос на сертификат в центр сертификации и получите сертификат.
• Загрузите сертификат в токен, при этом обратите внимание, что атрибуты идентификатора и метки сертификата должны совпадать с атрибутами закрытого ключа.

Настроенный токен — это токен, который имеет объект закрытого ключа и объект сертификата, где оба имеют одни и те же атрибуты идентификатора и метки.

Простой утилитой регистрации является Easy-RSA 2.0, которая является частью серии OpenVPN 2.1. Следуйте инструкциям, указанным в файле README, а затем используйте pkitool для регистрации.

Инициализируйте токен с помощью следующей команды:

 $ ./pkitool --pkcs11-slots /usr/lib/pkcs11/
$ ./pkitool --pkcs11-init /usr/lib/pkcs11/
 

Зарегистрируйте сертификат с помощью следующей команды:

 $ . /pkitool --pkcs11 /usr/lib/pkcs11/ клиент1
 

Как изменить конфигурацию OpenVPN для использования криптографических токенов

Для использования функций PKCS#11 у вас должен быть OpenVPN 2.1 или выше.

Определите правильный объект

Каждый поставщик PKCS#11 может поддерживать несколько устройств. Чтобы просмотреть список доступных объектов, вы можете использовать следующую команду:

 $ openvpn --show-pkcs11-ids /usr/lib/pkcs11/

Следующие объекты доступны для использования.
Каждый объект, показанный ниже, может быть использован в качестве параметра для
--pkcs11-id не забудьте использовать одинарную кавычку.

Сертификат
       DN: /CN=User1
       Серийный: 490B82C4000000000075
       Серийный идентификатор: aaaa/bbb/41545F5349474E4154555524581D2A1A1B23C4AA4CB17FAF7A4600 

Каждая пара сертификат/закрытый ключ имеет уникальную строку «Серийный идентификатор». Строка сериализованного идентификатора запрошенного сертификата должна быть указана в параметре pkcs11-id с использованием одинарных кавычек.

  pkcs11-id 'aaaa/bbb/41545F5349474E415455524581D2A1A1B23C4AA4CB17FAF7A4600'
  

Использование OpenVPN с PKCS#11

Типовой набор опций OpenVPN для PKCS#11

  pkcs11-провайдеры /usr/lib/pkcs11/
pkcs11-id 'aaaa/bbb/41545F5349474E415455524581D2A1A1B23C4AA4CB17FAF7A4600'
  

Будет выбран объект, соответствующий строке pkcs11-id.

Дополнительные параметры OpenVPN для PKCS#11

  pkcs11-провайдеры /usr/lib/pkcs11/provider1.so /usr/lib/pkcs11/provider2.so
pkcs11-id 'aaaa/bbb/41545F5349474E415455524581D2A1A1B23C4AA4CB17FAF7A4600'
pkcs11-контактный кэш 300
демон
повторная попытка авторизации
управление-удержание
сигнал управления
управление 127.0.0.1 8888
управление-запрос-пароли
  

Это загрузит двух провайдеров в OpenVPN, будет использовать сертификат, указанный в опции pkcs11-id , и использовать интерфейс управления для запроса паролей. Демон возобновит работу в состоянии удержания по событию, когда доступ к токену будет невозможен. Токен будет использоваться в течение 300 секунд, после чего пароль будет повторно запрошен, сеанс будет отключен, если сеанс управления будет отключен.

Вопросы реализации PKCS#11

Многие поставщики PKCS#11 используют потоки, чтобы избежать проблем, вызванных реализацией LinuxThreads (setuid, chroot), настоятельно рекомендуется выполнить обновление до включенной библиотеки Native POSIX Thread Library (NPTL). glibc, если вы собираетесь использовать PKCS#11.

Поставщик OpenSC PKCS#11

Поставщик OpenSC PKCS#11 находится в /usr/lib/pkcs11/opensc-pkcs11.so в Unix или в opensc-pkcs11.dll в Windows.

Разница между PKCS#11 и Microsoft Cryptographic API (CryptoAPI)

PKCS#11 — это бесплатный межплатформенный стандарт, независимый от поставщиков. CryptoAPI — это специальный API Microsoft. Большинство поставщиков смарт-карт обеспечивают поддержку обоих интерфейсов. В среде Windows пользователь должен выбрать, какой интерфейс использовать.

Текущая реализация OpenVPN, использующая MS CryptoAPI (опция cryptoapicert  ), работает хорошо, если вы не используете OpenVPN как службу. Если вы хотите запустить OpenVPN в административной среде с помощью службы, реализация не будет работать с большинством смарт-карт по следующим причинам:

• Большинство поставщиков смарт-карт не загружают сертификаты в хранилище локального компьютера, поэтому реализация будет не может получить доступ к сертификату пользователя.
• Если клиент OpenVPN работает как служба без прямого взаимодействия с конечным пользователем, служба не может запросить у пользователя пароль для смарт-карты, что приведет к сбою процесса проверки пароля на смарт-карте.

Используя интерфейс PKCS#11, вы можете использовать смарт-карты с OpenVPN в любой реализации, так как PKCS#11 не имеет доступа к магазинам Microsoft и не обязательно требует прямого взаимодействия с конечным пользователем.

Маршрутизация всего клиентского трафика (включая веб-трафик) через VPN

Обзор

По умолчанию, когда клиент OpenVPN активен, через VPN будет проходить только сетевой трафик к сайту сервера OpenVPN и от него. Например, обычный просмотр веб-страниц будет осуществляться с помощью прямых подключений в обход VPN.

В некоторых случаях такое поведение может быть нежелательным — вы можете захотеть, чтобы клиент VPN туннелировал весь сетевой трафик через VPN, включая общий просмотр веб-страниц в Интернете. Хотя этот тип конфигурации VPN приведет к снижению производительности клиента, он дает администратору VPN больший контроль над политиками безопасности, когда клиент одновременно подключен как к общедоступному Интернету, так и к VPN одновременно.

Реализация

Добавьте следующую директиву в файл конфигурации сервера:

  push "перенаправление шлюза def1"  

Если настройка VPN осуществляется через беспроводную сеть, где все клиенты и сервер находятся в одной беспроводной подсети, добавьте локальный флаг  :

  push "redirect-gateway local def1"  

При отправке клиентам параметра redirect-gateway весь сетевой IP-трафик, исходящий от клиентских компьютеров, будет проходить через сервер OpenVPN. Сервер должен быть настроен для обработки этого трафика каким-либо образом, например, путем преобразования NAT в Интернет или маршрутизации через HTTP-прокси сайта сервера.

В Linux вы можете использовать такую ​​команду для NAT трафика VPN-клиента в Интернет:

  iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE  

Эта команда предполагает, что подсеть VPN — 10.8.0.0/24 (взято из директивы server в конфигурации сервера OpenVPN) и что локальный интерфейс Ethernet — eth0 .

При использовании redirect-gateway клиенты OpenVPN будут направлять DNS-запросы через VPN, и VPN-сервер должен будет их обрабатывать. Этого можно добиться, передав адрес DNS-сервера подключающимся клиентам, которые заменят их обычные настройки DNS-сервера во время активности VPN. Например:

  нажмите "dhcp-опция DNS 10. 8.0.1"  

настроит клиентов Windows (или клиентов, отличных от Windows, с некоторыми дополнительными сценариями на стороне сервера) для использования 10.8.0.1 в качестве своего DNS-сервера. Любой адрес, доступный для клиентов, может использоваться в качестве адреса DNS-сервера.

Предостережения

Перенаправление всего сетевого трафика через VPN не совсем беспроблемное решение. Вот некоторые типичные ошибки, о которых следует знать:

• Многие клиентские машины OpenVPN, подключающиеся к Интернету, будут периодически взаимодействовать с DHCP-сервером для продления аренды своих IP-адресов. redirect-gateway может помешать клиенту получить доступ к локальному серверу DHCP (поскольку сообщения DHCP будут маршрутизироваться через VPN), что приведет к потере арендованного IP-адреса.
•  Существуют проблемы с отправкой DNS-адресов клиентам Windows.
• Производительность просмотра веб-страниц на клиенте будет заметно ниже.

Для получения дополнительной информации о механике директивы redirect-gateway см. страницу руководства.

Запуск сервера OpenVPN на динамическом IP-адресе

В то время как клиенты OpenVPN могут легко получить доступ к серверу через динамический IP-адрес без какой-либо специальной настройки, все становится интереснее, когда сам сервер находится на динамическом адресе. Хотя OpenVPN без проблем справляется с ситуацией динамического сервера, требуется дополнительная настройка.

Первым шагом является получение динамического DNS-адреса, который можно настроить таким образом, чтобы он «следил» за сервером при каждом изменении IP-адреса сервера. Доступно несколько поставщиков услуг динамического DNS, например dyndns.org.

Следующим шагом является настройка механизма, чтобы при каждом изменении IP-адреса сервера динамическое DNS-имя быстро обновлялось новым IP-адресом, позволяя клиентам находить сервер по его новому IP-адресу. Это можно сделать двумя основными способами:

• Используйте устройство маршрутизатора NAT с поддержкой динамического DNS (например, Linksys BEFSR41 ). Большинство широкодоступных недорогих маршрутизаторов NAT имеют возможность обновлять динамическое DNS-имя каждый раз, когда от интернет-провайдера поступает новая аренда DHCP. Эта настройка идеальна, когда сервер OpenVPN представляет собой машину с одной сетевой картой внутри брандмауэра.
• Используйте клиентское приложение динамического DNS, например ddclient, для обновления динамического DNS-адреса при каждом изменении IP-адреса сервера. Эта настройка идеальна, когда машина, на которой работает OpenVPN, имеет несколько сетевых карт и действует как брандмауэр/шлюз для всего сайта. Чтобы реализовать эту настройку, вам необходимо настроить сценарий, который будет запускаться вашим программным обеспечением DHCP-клиента каждый раз, когда происходит изменение IP-адреса. Этот сценарий должен (а) запустить ddclient , чтобы уведомить вашего поставщика динамических DNS о вашем новом IP-адресе, и (б) перезапустить демон сервера OpenVPN.

Клиент OpenVPN по умолчанию определяет изменение IP-адреса сервера, если в конфигурации клиента используется удаленная директива , которая ссылается на динамическое DNS-имя. Обычная цепочка событий такова: (а) клиент OpenVPN не может своевременно получать сообщения проверки активности со старого IP-адреса сервера, вызывая перезагрузку, и (б) перезапуск вызывает повторное изменение DNS-имени в директиве remote . разрешено, что позволяет клиенту повторно подключиться к серверу по новому IP-адресу.

Дополнительную информацию можно найти в FAQ.

Подключение к серверу OpenVPN через HTTP-прокси.

OpenVPN поддерживает подключения через прокси-сервер HTTP со следующими режимами аутентификации:

• Без аутентификации прокси-сервера
• Базовая аутентификация прокси
• Проверка подлинности прокси-сервера NTLM

Прежде всего, использование прокси-сервера HTTP требует использования TCP в качестве протокола туннельной несущей. Поэтому добавьте следующее в конфигурации клиента и сервера:

  протокол TCP  

Убедитесь, что все строки proto udp в файлах конфигурации удалены.

Затем добавьте директиву http-proxy в файл конфигурации клиента (полное описание этой директивы см. на странице руководства).

Например, предположим, что у вас есть прокси-сервер HTTP в клиентской локальной сети по адресу 192.168.4.1 , который прослушивает соединения через порт 1080 . Добавьте это в конфигурацию клиента:

  http-прокси 192.168.4.1 1080  

Предположим, что прокси-сервер HTTP требует обычной аутентификации:

  http-прокси 192.168.4.1 1080 stdin основной  

Предположим, что прокси-сервер HTTP требует проверки подлинности NTLM:

  http-прокси 192. 168.4.1 1080 стандартный ввод ntlm  

В двух приведенных выше примерах аутентификации OpenVPN будет запрашивать имя пользователя/пароль из стандартного ввода. Если вместо этого вы хотите поместить эти учетные данные в файл, замените stdin  укажите имя файла и поместите имя пользователя в строку 1 этого файла, а пароль — во вторую строку.

Подключение к общему ресурсу Samba через OpenVPN

через маршрутизируемый туннель dev tun . Если вы используете мост Ethernet ( dev tap ), вам, вероятно, не нужно следовать этим инструкциям, поскольку клиенты OpenVPN должны видеть серверные машины в своем сетевом окружении.

В этом примере предполагается, что:

• локальная сеть на стороне сервера использует подсеть  10.66.0.0/24 ,
• пул IP-адресов VPN использует 10.8.0.0/24 (как указано в директиве server в файле конфигурации сервера OpenVPN),
• сервер Samba имеет IP-адрес  10. 66.0.4 и
.
• сервер Samba уже настроен и доступен из локальной сети.

Если серверы Samba и OpenVPN работают на разных компьютерах, убедитесь, что вы следовали разделу о расширении области действия VPN для включения дополнительных компьютеров.

Затем отредактируйте файл конфигурации Samba ( smb.conf ). Убедитесь, что директива hosts allow разрешает подключение клиентам OpenVPN из подсети 10.8.0.0/24 . Например:

  разрешенных хостов = 10.66.0.0/24 10.8.0.0/24 127.0.0.1  

Если вы используете серверы Samba и OpenVPN на одном компьютере, вы можете отредактировать директиву interfaces в файле smb.conf , чтобы также прослушивать подсеть интерфейса TUN 10.8.0.0/24 :

  интерфейсы = 10.66.0.0/24 10.8.0.0/24  

Если вы используете серверы Samba и OpenVPN на одном компьютере, подключитесь с клиента OpenVPN к общему ресурсу Samba, используя имя папки:

  \\10. 8.0.1\\общее имя  

Если серверы Samba и OpenVPN находятся на разных машинах, используйте имя папки:

  \\10.66.0.4\имя_ресурса  

Например, из окна командной строки:

  чистое использование z: \\10.66.0.4\sharename /USER:myusername  

Реализация конфигурации балансировки нагрузки/отработки отказа

Клиент

Конфигурация клиента OpenVPN может ссылаться на несколько серверов для балансировки нагрузки и переключения при отказе. Например:

  удаленный сервер1.mydomain
удаленный server2.mydomain
удаленный сервер3.mydomain  

предписывает клиенту OpenVPN попытаться установить соединение с server1, server2 и server3 в указанном порядке. Если существующее соединение разорвано, клиент OpenVPN повторит попытку последнего подключенного сервера и, если это не удастся, перейдет к следующему серверу в списке. Вы также можете указать клиенту OpenVPN рандомизировать список серверов при запуске, чтобы нагрузка клиента была вероятностно распределена по пулу серверов.

  дистанционно-случайный  

Если вы также хотите, чтобы сбои разрешения DNS приводили к переходу клиента OpenVPN на следующий сервер в списке, добавьте следующее:

  повторная попытка разрешения 60  

Параметр 60 указывает клиенту OpenVPN попытаться разрешить каждое удаленное  DNS-имя в течение 60 секунд, прежде чем переходить к следующему серверу в списке.

Список серверов также может относиться к нескольким демонам сервера OpenVPN, работающим на одном компьютере, каждый из которых прослушивает соединения через разные порты, например:

  удаленный smp-server1.mydomain 8000
удаленный smp-server1.mydomain 8001
удаленный smp-server2. mydomain 8000
удаленный smp-server2.mydomain 8001  

Если ваши серверы являются многопроцессорными машинами, запуск нескольких демонов OpenVPN на каждом сервере может быть выгоден с точки зрения производительности.

OpenVPN также поддерживает директиву remote , относящуюся к DNS-имени, имеющему несколько записей A в конфигурации зоны для домена. В этом случае клиент OpenVPN случайным образом выберет один из A  записывается каждый раз, когда разрешается домен.

Сервер

Самый простой подход к конфигурации с балансировкой нагрузки/отказоустойчивостью на сервере заключается в использовании эквивалентных файлов конфигурации на каждом сервере в кластере, за исключением использования отдельного пула виртуальных IP-адресов для каждого сервера. Например:

сервер1

  сервер 10.8.0.0 255.255.255.0  

сервер2

  сервер 10. 8.1.0 255.255.255.0  

сервер3

  сервер 10.8.2.0 255.255.255.0  

Усиление безопасности OpenVPN

Одно из часто повторяемых правил сетевой безопасности заключается в том, что никогда нельзя доверять одному компоненту безопасности настолько, чтобы его сбой привел к катастрофическому нарушению безопасности. OpenVPN предоставляет несколько механизмов для добавления дополнительных уровней безопасности, чтобы застраховаться от такого исхода.

TLS-аутентификация

Директива tls-auth добавляет дополнительную подпись HMAC ко всем пакетам рукопожатия SSL/TLS для проверки целостности. Любой UDP-пакет, не имеющий правильной подписи HMAC, может быть отброшен без дальнейшей обработки. Подпись tls-auth  HMAC обеспечивает дополнительный уровень безопасности по сравнению с SSL/TLS. Он может защитить от:

• DoS-атак или переполнения портов на UDP-порте OpenVPN.
• Сканирование портов для определения того, какие UDP-порты сервера находятся в состоянии прослушивания.
• Уязвимости переполнения буфера в реализации SSL/TLS.
• Инициация рукопожатия SSL/TLS с неавторизованных компьютеров (хотя такие рукопожатия в конечном итоге не проходят проверку подлинности, tls-auth  может прервать их гораздо раньше).

Использование tls-auth требует создания общего секретного ключа, который используется в дополнение к стандартному сертификату/ключу RSA:

  openvpn --genkey --secret ta.key  

Эта команда создаст статический ключ OpenVPN и запишет его в файл ta.key . Этот ключ следует скопировать по уже существующему безопасному каналу на сервер и все клиентские машины. Его можно поместить в тот же каталог, что и файлы RSA .key и .crt .

В конфигурации сервера добавьте:

  tls-auth ta. key 0  

В конфигурации клиента добавьте:

  tls-auth ta.key 1  

proto udp

Хотя OpenVPN позволяет использовать протокол TCP или UDP в качестве несущего соединения VPN, протокол UDP обеспечивает лучшую защиту от DoS-атак и сканирования портов, чем TCP:

  прото-УДП  

пользователь/группа (только не для Windows)

OpenVPN был очень тщательно разработан, чтобы позволить сбрасывать привилегии суперпользователя после инициализации, и эту функцию следует всегда использовать в Linux/BSD/Solaris. Без привилегий root работающий демон сервера OpenVPN представляет собой гораздо менее заманчивую цель для злоумышленника.

  пользователь никто
группа никто  

Непривилегированный режим (только Linux)

В Linux OpenVPN может работать полностью непривилегированным. Эта конфигурация немного сложнее, но обеспечивает наилучшую безопасность.

Чтобы работать с этой конфигурацией, OpenVPN должен быть настроен на использование интерфейса iproute, это делается путем указания —enable-iproute2 для настройки скрипта. Пакет sudo также должен быть доступен в вашей системе.

В этой конфигурации используется возможность Linux изменить разрешение настраиваемого устройства, чтобы к нему мог получить доступ непривилегированный пользователь. Он также использует sudo для выполнения iproute, чтобы можно было изменить свойства интерфейса и таблицу маршрутизации.

Конфигурация OpenVPN:

• • Напишите следующий скрипт и поместите его по адресу: /usr/local/sbin/unpriv-ip:

  #!/бин/ш
судо /sbin/ip $*
  

• • Запустите visudo и добавьте следующее, чтобы пользователь user1 мог выполнять /sbin/ip:

  пользователь 1 ВСЕ = (ВСЕ) NOPASSWD: /sbin/ip  

• Вы также можете включить группу пользователей с помощью следующей команды:

  %users ВСЕ=(ВСЕ) NOPASSWD: /sbin/ip  

• • Добавьте в конфигурацию OpenVPN следующее:

  разработчик tunX/tapX
iproute /usr/local/sbin/unpriv-ip  

• Обратите внимание, что вы должны выбрать константу X и указать tun или tap, а не то и другое одновременно.
  • В качестве пользователя root добавьте постоянный интерфейс и разрешите пользователю и/или группе управлять им, затем создайте tunX (замените своим собственным) и разрешите пользователям user1 и group доступ к нему.

  openvpn --mktun --dev tunX --type tun --user user1 --group users  

• Запустите OpenVPN в контексте непривилегированного пользователя.

Дополнительные ограничения безопасности можно добавить, изучив параметры сценария /usr/local/sbin/unpriv-ip.

chroot (только не для Windows)

Директива chroot  позволяет заблокировать демон OpenVPN в так называемую тюрьму chroot , где демон не сможет получить доступ к какой-либо части файловой системы хост-системы, кроме для конкретного каталога, заданного в качестве параметра директивы. Например,

  chroot-тюрьма  

заставит демон OpenVPN перейти в подкаталог jail  при инициализации, а затем переориентировать свою корневую файловую систему на этот каталог, чтобы после этого демон не мог получить доступ к каким-либо файлам за пределами jail и его подкаталога. дерево. Это важно с точки зрения безопасности, потому что даже если бы злоумышленник смог скомпрометировать сервер с помощью эксплойта для вставки кода, эксплойт был бы заблокирован для большей части файловой системы сервера.

Предупреждения: поскольку chroot переориентирует файловую систему (только с точки зрения демона), необходимо поместить все файлы, которые могут понадобиться OpenVPN после инициализации, в каталог jail , например:

• crl -подтвердить файл или
• каталог client-config-dir .

Большие ключи RSA

Размер ключа RSA управляется переменной KEY_SIZE в файле easy-rsa/vars , который необходимо установить перед генерацией каких-либо ключей. В настоящее время установлено значение 1024 по умолчанию, это значение можно разумно увеличить до 2048 без негативного влияния на производительность VPN-туннеля, за исключением немного более медленного повторного согласования SSL/TLS, которое выполняется один раз для каждого клиента в час, и гораздо более медленного однократного Diffie. Процесс генерации параметров Хеллмана с использованием сценария easy-rsa/build-dh .

Большие симметричные ключи

По умолчанию OpenVPN использует Blowfish — 128-битный симметричный шифр.

OpenVPN автоматически поддерживает любой шифр, поддерживаемый библиотекой OpenSSL, и поэтому может поддерживать шифры, использующие ключи большого размера. Например, 256-битную версию AES (Advanced Encryption Standard) можно использовать, добавив в файлы конфигурации сервера и клиента следующее:

  шифр AES-256-CBC  

Храните корневой ключ (

Одно из преимуществ использования PKI X509 (как это делает OpenVPN) с точки зрения безопасности заключается в том, что ключ корневого ЦС ( ca.key ) не обязательно должен присутствовать на сервере OpenVPN. В среде с высоким уровнем безопасности может потребоваться специальное назначение компьютера для целей подписания ключей, обеспечение хорошей физической защиты компьютера и отключение его от всех сетей. Дискеты можно использовать для перемещения ключевых файлов вперед и назад по мере необходимости. Такие меры чрезвычайно затрудняют злоумышленнику кражу корневого ключа, за исключением физической кражи машины для подписи ключей.

Отзыв сертификатов

Отзыв сертификата означает аннулирование ранее подписанного сертификата, чтобы его больше нельзя было использовать для целей аутентификации.

Типичные причины отзыва сертификата включают:

• Закрытый ключ, связанный с сертификатом, скомпрометирован или украден.
• Пользователь зашифрованного закрытого ключа забыл пароль на ключе.
• Вы хотите прекратить доступ пользователя VPN.

Пример

В качестве примера мы отзовем сертификат client2 , который мы создали выше в разделе «Генерация ключа» HOWTO.

Сначала откройте оболочку или окно командной строки и перейдите в каталог easy-rsa , как вы делали в разделе «Создание ключа» выше. В Linux/BSD/Unix:

  . ./варс
./отзыв-полный клиент2
  

В Windows:

  варс
отозвать-полный клиент2
  

Вы должны увидеть примерно такой вывод:

 Использование конфигурации из /root/openvpn/20/openvpn/tmp/easy-rsa/openssl.cnf
DEBUG[load_index]: unique_subject = "да"
Отзыв сертификата 04.
База данных обновлена
Используя конфигурацию из /root/openvpn/20/openvpn/tmp/easy-rsa/openssl.cnf
DEBUG[load_index]: unique_subject = "да"
client2.crt: /C=KG/ST=NA/O=OpenVPN-TEST/CN=client2/[email protected]
ошибка 23 при глубине поиска 0: сертификат отозван 

Обратите внимание на «ошибку 23» в последней строке. Это то, что вы хотите увидеть, так как это указывает на то, что проверка отозванного сертификата не удалась.

Скрипт revoke-full создаст файл CRL (список отзыва сертификатов) с именем crl. pem в подкаталоге keys . Файл следует скопировать в каталог, где сервер OpenVPN может получить к нему доступ, затем в конфигурации сервера должна быть включена проверка CRL:

г.

  crl-проверить crl.pem  

Теперь сертификаты клиентов всех подключающихся клиентов будут проверяться по CRL, и любое положительное совпадение приведет к разрыву соединения.

Примечания CRL

• Если в OpenVPN используется параметр crl-verify , файл CRL будет перечитываться каждый раз, когда новый клиент подключается или существующий клиент повторно согласовывает соединение SSL/TLS (по умолчанию один раз в час). ). Это означает, что вы можете обновить файл CRL во время работы демона сервера OpenVPN, и новый CRL сразу же вступит в силу для новых подключающихся клиентов. Если клиент, чей сертификат вы отзываете, уже подключен, вы можете перезапустить сервер с помощью сигнала (SIGUSR1 или SIGHUP) и сбросить все клиенты, или вы можете подключиться по телнету к интерфейсу управления и явно убить конкретный объект экземпляра клиента на сервере, не нарушая другие клиенты.
• Хотя директиву crl-verify можно использовать как на сервере OpenVPN, так и на клиентах, обычно нет необходимости распространять файл CRL среди клиентов, если сертификат сервера не был отозван. Клиентам не нужно знать о других сертификатах клиентов, которые были отозваны, потому что клиенты не должны принимать прямые подключения от других клиентов в первую очередь.
• Файл CRL не является секретным, и его следует сделать доступным для чтения всем, чтобы демон OpenVPN мог прочитать его после того, как привилегии суперпользователя будут удалены.
• Если вы используете директиву chroot , обязательно поместите копию файла CRL в каталог chroot, так как в отличие от большинства других файлов, которые читает OpenVPN, файл CRL будет прочитан после выполнения вызова chroot, а не до .
• Распространенной причиной отзыва сертификатов является то, что пользователь шифрует свой закрытый ключ паролем, а затем забывает пароль. Отзывая исходный сертификат, можно сгенерировать новую пару сертификат/ключ с исходным общим именем пользователя.

Важное примечание о возможной атаке «человек посередине», если клиенты не проверяют сертификат сервера, к которому они подключаются.

Во избежание возможной атаки «человек посередине», когда авторизованный клиент пытается подключиться к другому клиенту, выдавая себя за сервер, убедитесь, что клиенты применяют какую-либо проверку сертификата сервера. В настоящее время существует пять различных способов сделать это, перечисленных в порядке предпочтения:

• [OpenVPN 2.1 и выше] Создайте сертификаты сервера с особым использованием ключа и расширенным использованием ключа. RFC3280 определяет, что для соединений TLS должны быть предоставлены следующие атрибуты:
  

  Mode	Использование ключа	Расширенное использование ключа
  Клиент	цифровая подпись	Проверка подлинности веб-клиента TLS
  	ключ Соглашение
  	цифроваяПодпись, ключСоглашение
  Сервер	цифровая подпись, ключШифрование	Аутентификация веб-сервера TLS
  	цифроваяПодпись, ключСоглашение

  Вы можете создавать сертификаты сервера с помощью сценария build-key-server (дополнительную информацию см. в документации easy-rs). Это назначит сертификат как сертификат только для сервера, установив правильные атрибуты. Теперь добавьте следующую строку в конфигурацию вашего клиента:

    удаленный сервер сертификатов TLS  

• [OpenVPN 2.0 и ниже]  Создайте сертификаты сервера с помощью сценария build-key-server (дополнительную информацию см. в документации easy-rsa). Это назначит сертификат как сертификат только для сервера, установив nsCertType = server. Теперь добавьте следующую строку в конфигурацию вашего клиента:
  

  .

    сервер типа ns-cert  

  Это заблокирует подключение клиентов к любому серверу, на котором отсутствует nsCertType = обозначение сервера в его сертификате, даже если сертификат был подписан файлом ca в файле конфигурации OpenVPN.

• Используйте директиву tls-remote на клиенте, чтобы принять/отклонить подключение к серверу на основе общего имени сертификата сервера.
• Используйте скрипт tls-verify или подключаемый модуль, чтобы принять или отклонить подключение к серверу на основе специальной проверки встроенных сведений о субъекте сертификата сервера X509.
• Подписывайте сертификаты сервера одним центром сертификации, а клиентские сертификаты — другим центром сертификации. Директива конфигурации клиента ca должна ссылаться на файл ЦС, подписывающий сервер, а директива конфигурации сервера ca должна ссылаться на файл ЦС, подписывающий клиент.

гит конфиг | Atlassian Git Tutorial

В этом документе мы подробно рассмотрим команду git config . Мы кратко обсудили использование git config на странице Настройка репозитория. 9Команда 0095 git config — это удобная функция, которая используется для установки значений конфигурации Git на глобальном или локальном уровне проекта. Эти уровни конфигурации соответствуют текстовым файлам . gitconfig . Выполнение git config изменит текстовый файл конфигурации. Мы рассмотрим общие параметры конфигурации, такие как электронная почта, имя пользователя и редактор. Мы обсудим псевдонимы Git, которые позволяют создавать ярлыки для часто используемых операций Git. Знакомство с git config и различные параметры конфигурации Git помогут вам создать мощный настраиваемый рабочий процесс Git.

Использование

Самый простой вариант использования git config — вызвать его с именем конфигурации, которое будет отображать установленное значение для этого имени. Имена конфигураций представляют собой строки, разделенные точками, состоящие из «раздела» и «ключа» в зависимости от их иерархии. Например: user.email

 git config user.email 

В этом примере электронная почта является дочерним свойством блока конфигурации пользователя. Это вернет настроенный адрес электронной почты, если таковой имеется, который Git будет ассоциировать с локально созданными фиксациями.

уровни и файлы конфигурации git

Прежде чем мы обсудим использование git config , давайте рассмотрим уровни конфигурации. Команда git config может принимать аргументы, чтобы указать, на каком уровне конфигурации работать. Доступны следующие уровни конфигурации:

• --local

По умолчанию git config будет записывать на локальный уровень, если параметр конфигурации не передан. Конфигурация локального уровня применяется к репозиторию контекста вызывается git config . Значения локальной конфигурации хранятся в файле, который можно найти в каталоге .git репозитория: .git/config
 

•   --global
3 Конфигурация глобального уровня зависит от пользователя, то есть применяется к пользователю операционной системы. Значения глобальной конфигурации хранятся в файле, расположенном в домашнем каталоге пользователя. ~ /.gitconfig в системах unix и C:\Users\\.gitconfig в Windows
 
•   --system

Конфигурация на уровне системы применяется ко всей машине. Это касается всех пользователей операционной системы и всех репозиториев. Файл конфигурации системного уровня находится в файле gitconfig вне корневого пути системы. $(префикс)/etc/gitconfig в системах unix. В Windows этот файл можно найти по адресу C:\Documents and Settings\All Users\Application Data\Git\config в Windows XP и в C:\ProgramData\Git\config в Windows Vista и новее.

Таким образом, уровни конфигурации имеют следующий порядок приоритета: локальный, глобальный, системный. Это означает, что при поиске значения конфигурации Git запустится на локальном уровне и перейдет на системный уровень.
 

Запись значения

Расширяя то, что мы уже знаем о git config , давайте рассмотрим пример, в котором мы записываем значение:

 git config --global user. email "[email protected]" 

В этом примере значение [email protected] записывается в имя конфигурации user.email . Он использует флаг --global , поэтому это значение устанавливается для текущего пользователя операционной системы.

Редактор конфигурации git — core.editor

Многие команды Git запускают текстовый редактор, чтобы запросить дальнейший ввод. Одним из наиболее распространенных вариантов использования git config является настройка того, какой редактор должен использовать Git. Ниже приведена таблица популярных редакторов и соответствующих GIT Config Команды:

Редактор	Команда конфигурации
ATOM	~ GIT COUNT - -GLOBAL CORE.EDITOR "ATOM" ~	~ GIT -конфигурация - -GLOBAL CORE.ERTITOR "hait -WIAT" ATOM "~	~ GIT - -GLOBAL CORE. EDITOR" ATOM "~	~ GIT. ~ git config --global core.editor "emacs"~
nano	~ git config --global core.editor "nano -w"~
90 git config 920 git config 92 --global core.editor "vim" ~
Sublime Text (Mac)	~ git config --global core.editor "subl -n -w"~
Sublime Text (Win ~, 32-битная установка 9git)10 config --global core.editor "'c:/program files (x86)/sublime text 3/sublimetext.exe' -w"~
Sublime Text (Win, 64-разрядная установка)	~ git config --global core.editor "'c:/program files/sublime text 3/sublimetext.exe' -w"~
Textmate	~ git config --global core.editor "mate -w"~

 

Инструменты слияния

В случае конфликта слияния Git запустит «инструмент слияния». По умолчанию Git использует внутреннюю реализацию обычной программы Unix diff. Внутренний Git diff — это минимальное средство просмотра конфликтов слияния. Вместо этого можно использовать множество внешних сторонних разрешений конфликтов слияния. Обзор различных инструментов и настроек слияния см. в нашем руководстве по советам и инструментам для разрешения конфликтов с Git.

 git config --global merge.tool kdiff3 

Цветные выходные данные

Git поддерживает цветной вывод терминала, который помогает быстро читать вывод Git. Вы можете настроить выходные данные Git для использования персонализированной цветовой темы. Для установки этих значений цвета используется команда git config .

color.ui

Это основная переменная для цветов Git. Установка его в false отключит весь цветной вывод терминала Git.
 

 $ git config --global color.ui false 

По умолчанию для color.ui установлено значение auto, при котором цвета будут применяться к непосредственному выходному потоку терминала. Автоматическая настройка пропускает вывод цветового кода, если выходной поток перенаправляется в файл или передается другому процессу.

Для параметра color.ui можно установить значение always, которое также будет применять вывод цветового кода при перенаправлении выходного потока в файлы или конвейеры. Это может непреднамеренно вызвать проблемы, поскольку приемный канал может не ожидать ввода с цветовой кодировкой.

Значения цвета Git

В дополнение к color.ui существует множество других детальных настроек цвета. Как и color.ui , для всех этих параметров цвета можно установить значения false, auto или always. Эти настройки цвета также могут иметь определенный набор значений цвета. Некоторые примеры поддерживаемых значений цвета:

• нормальный
• черный
• красный
• зеленый
• желтый
• синий
• пурпурный
• голубой
0003 белый

Цвета также могут быть указаны в виде шестнадцатеричных цветовых кодов, таких как #ff0000, или значений цвета ANSI 256, если ваш терминал поддерживает это.

Параметры конфигурации цвета Git

1. color.branch  

• Настраивает цвет вывода команды Git branch

2. color.branch. slot> 

• Это значение также применимо к выходным данным ветки Git. slot> является одним из следующих: 
  • 1. current: текущая ветка 
  • 2. local: локальная ветка 
  • 3. remote: ссылка на удаленную ветку в refs/remotes 
  • 4. upstream: ветка отслеживания вышестоящего 
  • 5. plain: любая другая ссылка

3. Color.Diff

• Применяет цвета к GIT DIFF , GIT LOG и GIT Show

4. Color.diff >

4. Color.diff >

. Настройка слота > значение меньше color.diff сообщает git, в какой части патча использовать определенный цвет.

• 1. контекст: Текст контекста разл. Контекст Git — это строки текстового содержимого, отображаемые в diff или patch, которые выделяют изменения.
• 2. plain: синоним контекста
• 3. meta: применяет цвет к метаинформации diff
• 4. frag: применяет цвет к «заголовку фрагмента» или «функции в заголовке фрагмента»
• 5. old: применяет цвет к удаленным строкам в diff 
• 6. new: окрашивает добавленные строки в diff
• 7. commit: окрашивает заголовки фиксации в diff
• 8. whitespace: задает цвет для любых пробельных ошибок в diff

5. цвет .украсить. slot> 

• Настройте цвет для git log --decorate output. Поддерживаемые значения slot>: branch , remoteBranch , tag , stash или HEAD . Они соответственно применимы к локальным ветвям, ветвям удаленного отслеживания, тегам, скрытым изменениям и HEAD .

6. color.grep

• Применяет цвет к выходным данным git grep.

7. color. grep. slot> 

• Также применимо к git grep. Переменная slot> указывает, к какой части вывода grep применить цвет.
  • 1. контекст: несоответствие текста в строках контекста
  • 2. имя файла: префикс имени файла 
  • 3. функция: строки имени функции 
  • 4. номер строки: префикс номера строки 
  • 5. match: соответствующий текст 
  • 6. matchContext: соответствующий текст в строках контекста 
  • 7. matchSelected: совпадающий текст в выбранных строках 
  • 8. selected: несовпадающий текст в выбранных строках 
  • 9. разделитель: разделители между полями в строке (:, - и =) и между фрагментами (--) 

8. color.interactive

• Эта переменная применяет цвет для интерактивных подсказок и дисплеев. Примеры: git add --interactive и git clean --interactive

9. color.interactive.slot>

• Переменная slot> может быть указана для более конкретного «интерактивного вывода». Доступные значения slot>: приглашение, заголовок, справка, ошибка; и каждый действует на соответствующий интерактивный вывод.

10. цветной пейджер

• Включает или отключает цветной вывод, когда пейджер используется

11. Color.showbranch

• Включает или отключает цветовые выводы для GIT Show Comming

12.Sture.stus

12.StaTUS

.

• Логическое значение, которое включает или отключает вывод цвета для статуса Git

13. color.status.slot >

Используется для указания пользовательского цвета для указанных элементов статуса git. slot> поддерживает следующие значения:

• 1. Заголовок
  • Целевые нацеливаются на текст заголовка области состояния
• 2. Добавлен или обновлен
  • Оба целевых файла, которые добавлены, но не совершены
• 3. Изменены 996 3. Изменены 996 3.
• Целевые файлы, которые были изменены, но не добавлены в индекс git

tabwidth= определяет, сколько символов занимает табуляция. Значение по умолчанию — 8. Допустимые значения: 1–63

Сводка

В этой статье мы рассмотрели использование команды конфигурации git . Мы обсудили, как эта команда является убедительным методом редактирования необработанных файлов git config в файловой системе. Мы рассмотрели основные операции чтения и записи для параметров конфигурации. Мы рассмотрели распространенные шаблоны конфигурации:

• Как настроить редактор Git
• Как переопределить уровни конфигурации
• Как сбросить настройки по умолчанию
• Как настроить цвета git git config файлов на диске. Мы подробно рассмотрели варианты персональной настройки. Базовые знания параметров конфигурации git являются необходимым условием для настройки репозитория. См. наше руководство там для демонстрации основ.
   

  Конфигурации службы Black Viper для Windows 10 — Black Viper

  Отображаемое имя	Имя службы (реестр)	ПО УМОЛЧАНИЮ Windows 10 Домашняя	ПО УМОЛЧАНИЮ Windows 10 Pro	"Сейф" для НАСТОЛЬНЫЙ	«Сейф» для НОУТБУК или ПЛАНШЕТ	"Подправлено" для DESKTOP	Краткие заметки
  Установщик ActiveX (AxInstSV)	АксИнстСВ	Руководство	Руководство	Руководство	Руководство	Руководство
  Служба маршрутизаторов AllJoyn	AJРоутер	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Отключено *
  Готовность приложения	Готовность приложения	Руководство	Руководство	Руководство	Руководство	Руководство
  Служба поддержки хоста приложений **	AppHostSvc	Не установлено	Не установлено	Не установлено	Не установлено	Не установлено	Если установлено (Автоматически, Работает)
  Идентификатор приложения	AppIDSvc	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Руководство
  Информация о применении	Информация о приложении	Ручной (Пуск по триггеру, Работа)	Ручной (Пуск по триггеру, Работа)	Руководство	Руководство	Руководство
  Служба шлюза прикладного уровня	АЛГ	Руководство	Руководство	Отключено *	Отключено *	Отключено *	Старая функциональность больше не нужна.
  Управление приложениями	Управление приложением	Недоступно	Руководство	Руководство	Руководство	Отключено *	Требуется для управления программным обеспечением групповой политики
  Служба развертывания AppX (AppXSVC)	AppXSVC	Руководство	Руководство	Руководство	Руководство	Руководство	Интеграция с Магазином Windows. Невозможно отключить через services.msc
  Служба AssignedAccessManager	Назначенный АксессманажерСвк	Недоступно	Руководство	Руководство	Руководство	Руководство
  Государственная служба ASP.NET **	aspnet_state	Не установлено	Не установлено	Не установлено	Не установлено	Не установлено	Если установлено: (Вручную)
  Автоматическое обновление часовых поясов	tzautoupdate	Отключено	Отключено	Отключено	Отключено	Отключено
  Служба АВКТП	БтАвктпСвк	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Отключено *	Не отключайте, если вы используете аудиоустройство Bluetooth или беспроводные наушники.
  Фоновая интеллектуальная служба передачи	БИТ	Ручной или автоматический (отложенный запуск, работа)	Ручной или автоматический (отложенный запуск, работа)	Автоматический (отложенный пуск)	Автоматический (отложенный пуск)	Автоматический (отложенный пуск)	Вручную или автоматически (отложенный запуск, работа) в зависимости от других установленных дополнительных служб
  Служба инфраструктуры фоновых задач	Инфраструктура брокера	Автоматический (рабочий)	Автоматический (работает)	Автоматический	Автоматический	Автоматический	Невозможно отключить через services.msc
  Базовый модуль фильтрации	БФЭ	Автоматический (рабочий)	Автоматический (рабочий)	Автоматический	Автоматический	Автоматический	Не отключать из-за интеграции с брандмауэром Windows.
  Служба шифрования диска BitLocker	БДЭСВК	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Руководство	Не отключать, если используется шифрование хранилища.
  Служба модуля резервного копирования на уровне блоков	двигатель	Руководство	Руководство	Руководство	Руководство	Руководство	Используется резервным копированием Windows
  Служба аудиошлюза Bluetooth	БТАГСервис	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Отключено *	Новый. Беспроводные гарнитуры.
  Служба поддержки Bluetooth	бтсерв	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Отключено *	Отключите, если не требуются устройства Bluetooth.
  Служба поддержки пользователей Bluetooth_?????	BluetoothUserService_?????	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Руководство	Новый
  ФилиалКэш	Пирдистсквк	Недоступно	Руководство	Отключено *	Отключено *	Отключено *	Используется Центром обновления Windows для обмена загрузками.
  Служба диспетчера доступа к возможностям	кулачкиvc	Руководство	Руководство	Руководство	Руководство	Руководство
  CaptureService_?????	CaptureService_?????	Недоступно	Руководство	Руководство	Руководство	Отключено *	Новый. Служба захвата OneCore.
  Распространение сертификата	Сертпропсвк	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Отключено *	Используется при входе со смарт-картой. Нет ничего плохого в сохранении ручного режима по умолчанию.
  Претензии к службе токенов Windows **	c2wts	Не установлено	Не установлено	Не установлено	Не установлено	Не установлено	Если установлено: (Вручную)
  Клиент для NFS	NfsClnt	Недоступно	Недоступно	Отключено *	Отключено *	Отключено *	Клиент сетевой файловой системы доступен в версиях Education/Enterprise.
  Служба клиентских лицензий (ClipSVC)	КлипSVC	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Руководство	Невозможно отключить через services.msc
  Изоляция ключа CNG	КлючIso	Ручной (Пуск по триггеру, Работа)	Ручной (Пуск по триггеру, Работа)	Руководство	Руководство	Руководство	Не отключать.
  Система событий COM+	Система событий	Автоматический (рабочий)	Автоматический (рабочий)	Автоматический	Автоматический	Автоматический	Не отключать.
  Системное приложение COM+	COMSysApp	Руководство	Руководство	Руководство	Руководство	Руководство	Не отключать.
  Компьютерный браузер	Браузер	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Руководство	Сетевое обнаружение систем в локальной сети.
  Служба платформы подключенных устройств	CDPSvc	Автоматический (отложенный запуск, триггерный запуск)	Автоматический (отложенный запуск, триггерный запуск)	Автоматический (отложенный пуск)	Автоматический (отложенный пуск)	Автоматический (отложенный пуск)
  Служба пользователей платформы подключенных устройств_?????	CDUserSvc_?????	Автоматический (рабочий)	Автоматический (рабочий)	Автоматический	Автоматический	Автоматическая
  Взаимодействие с подключенными пользователями и телеметрия	ДиагТрек	Автоматический (рабочий)	Автоматический (рабочий)	Автоматический	Автоматический	Автоматический	Обратная связь и диагностика.
  Контактные данные_?????	ПимИндексМаинтенансвк_?????	Руководство	Руководство	Руководство	Руководство	Руководство	Невозможно отключить с помощью services.msc
  CoreMessaging	CoreMessagingRegistrar	Автоматический (рабочий)	Автоматический (рабочий)	Автоматический	Автоматический	Автоматический	Невозможно отключить через services.msc
  Диспетчер учетных данных	VaultSvc	Руководство	Руководство	Руководство	Руководство	Руководство	Не отключать.
  Криптографические услуги	Криптсвк	Автоматический (рабочий)	Автоматический (рабочий)	Автоматический	Автоматический	Автоматический	Не отключать.
  Служба обмена данными	ДсСвк	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Руководство
  Использование данных	ДусмСвк	Автоматический (работает)	Автоматический (рабочий)	Автоматический	Автоматический	Автоматический
  Средство запуска процессов сервера DCOM	DcomLaunch	Автоматический (рабочий)	Автоматический (рабочий)	Автоматический	Автоматический	Автоматический	Невозможно отключить через services.msc
  Оптимизация доставки	DoSvc	Автоматический (отложенный пуск)	Автоматический (отложенный пуск)	Автоматический (отложенный пуск)	Автоматический (отложенный пуск)	Автоматический (отложенный пуск)
  Служба сопоставления устройств	Девайсассоциатионсервис	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Руководство
  Служба установки устройств	Установка устройства	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Руководство
  Служба регистрации управления устройствами	Дмэнроллментсвк	Руководство	Руководство	Руководство	Руководство	Руководство
  Диспетчер настройки устройств	ДсмСВК	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Руководство
  DevicePicker_?????	Девицепикерусерсвк_?????	Руководство	Руководство	Руководство	Руководство	Руководство	Новый. Невозможно отключить через services.msc
  DevicesFlow_?????	Девесефлоусерсвк_?????	Руководство	Руководство	Руководство	Руководство	Руководство	Невозможно отключить с помощью services.msc
  Посредник обнаружения фона DevQuery	Девкуиброкер	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Руководство
  DHCP-клиент	DHCP	Автоматический (рабочий)	Автоматический (рабочий)	Автоматический	Автоматический	Автоматический	Не отключать.
  Служба выполнения диагностики	диагностика	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Руководство
  Служба политики диагностики	ДПС	Автоматический (рабочий)	Автоматический (рабочий)	Автоматический	Автоматический	Автоматический
  Хост службы диагностики	Вдисервицехост	Ручной (рабочий)	Ручной (рабочий)	Руководство	Руководство	Руководство
  Хост системы диагностики	Вдисистемхост	Руководство	Руководство	Руководство	Руководство	Руководство
  Клиент отслеживания распределенных ссылок	ТркВкс	Автоматический (рабочий)	Автоматический (рабочий)	Автоматический	Автоматический	Автоматическая
  Координатор распределенных транзакций	МСДТК	Руководство	Руководство	Руководство	Руководство	Руководство
  дмваппушсвк	дмваппушсвк	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Отключено *	Отключено *	Отключено *
  DNS-клиент	DNS-кэш	Автоматический (триггерный запуск, работа)	Автоматический (пуск по триггеру, работа)	Автоматический	Автоматический	Автоматический	Не отключать.
  Диспетчер загруженных карт	Карты Брокер	Автоматический (отложенный пуск)	Автоматический (отложенный пуск)	Отключено *	Отключено *	Отключено *	Я не использую карты Windows/Bing. Google для победы здесь.
  Ролевой сервер DS **	Дсролесвк	Недоступно	Не установлено	Не установлено	Не установлено	Не установлено	Если установлено: (Вручную)
  Встроенный режим	встроенный режим	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Руководство
  Шифрованная файловая система (EFS)	ЭФС	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Руководство	Не отключать.
  Служба управления корпоративными приложениями	EntAppSvc	Руководство	Руководство	Руководство	Руководство	Руководство	Невозможно отключить через services.msc
  Служба расширяемого протокола аутентификации	EapHost	Руководство	Руководство	Руководство	Руководство	Руководство
  Факс **	Факс	Руководство	Руководство	Удалено *	Удалено *	Удалено *
  Служба истории файлов	фхсвк	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Руководство	Используется резервным копированием Windows.
  Хост провайдера обнаружения функций	фдфхост	Руководство	Руководство	Руководство	Руководство	Руководство
  Публикация ресурса обнаружения функций	FDResPub	Ручной (рабочий)	Ручной (рабочий)	Руководство	Руководство	Руководство
  GameDVR и Служба пользователей вещания_?????	Бкастдврусерсервице_?????	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Руководство	Новый. Невозможно отключить через services.msc
  Служба геолокации	лфсвк	Ручной (Пуск по триггеру, Работа)	Ручной (Пуск по триггеру, Работа)	Отключено *	Отключено *	Отключено *
  ГрафикаPerfSvc	Графикаперфсвк	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Руководство
  Клиент групповой политики	gpsvc	Автоматический (пуск по триггеру)	Автоматический (пуск по триггеру)	Автоматический	Автоматический	Автоматический	Невозможно отключить через services.msc
  Сетевая служба хоста **	ГНС	Недоступно	Не установлено	Не установлено	Не установлено	Не установлено	Если установлено: (Вручную)
  Обслуживание устройств интерфейса пользователя	хидсерв	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Руководство	Производство функциональных клавиш, как правило, на ноутбуках для регулировки громкости, яркости экрана и т. д.
  Служба хоста высокого напряжения	Хвхост	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Отключено *	Отключено *	Отключено *
  Служба обмена данными Hyper-V	vmickvpexchange	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Отключено *	Отключено *	Отключено *
  Интерфейс гостевой службы Hyper-V	vmicguestinterface	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Отключено *	Отключено *	Отключено *
  Служба отключения гостевой системы Hyper-V	vmicshutdown	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Отключено *	Отключено *	Отключено *
  Служба пульса Hyper-V	vmicheartbeat	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Отключено *	Отключено *	Отключено *
  Служба вычислений узла Hyper-V **	вмкомпьюте	Недоступно	Не установлено	Не установлено	Не установлено	Не установлено	Если установлено: (Ручной, Триггерный запуск, Работа)
  Прямая служба Hyper-V PowerShell	вмиквмсессион	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Отключено *	Отключено *	Отключено *
  Служба виртуализации удаленных рабочих столов Hyper-V	вмикрдв	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Отключено *	Отключено *	Отключено *
  Служба синхронизации времени Hyper-V	вмиктимесинхронизация	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Отключено *	Отключено *	Отключено *
  Управление виртуальными машинами Hyper-V**	вммс	Недоступно	Не установлено (автоматически, работает)	Не установлено	Не установлено	Не установлено
  Запрос теневого копирования тома Hyper-V	вмисквсс	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Отключено *	Отключено *	Отключено *
  Административная служба IIS **	ИИСАДМИН	Не установлено (автоматически, работает)	Не установлено (автоматически, работает)	Не установлено	Не установлено	Не установлено	Не устанавливать.
  Модули ключей IKE и AuthIP IPsec	ИКЕКСТ	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Руководство
  Обслуживание инфракрасного монитора	ирмон	Руководство	Руководство	Отключено *	Отключено *	Отключено *	Передача файлов через инфракрасные устройства.
  Обнаружение интерактивных служб	UI0детект	Руководство	Руководство	Руководство	Руководство	Руководство
  Совместное использование подключения к Интернету (ICS)	Общий доступ	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Отключено *	Отключено *	Отключено *	Старый сервис больше не нужен.
  Помощник по IP	iphlpsvc	Автоматический (рабочий)	Автоматический (работает)	Автоматический	Автоматический	Отключено *	Трансляция IPv6.
  Служба настройки трансляции IP	Ипхлаткфгсвк	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Отключено *	Трансляция IPv6.
  Агент политики IPsec	Агент Политики	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Руководство
  KtmRm для координатора распределенных транзакций	ктмрм	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Руководство
  Картограф обнаружения топологии канального уровня	ООО	Руководство	Руководство	Руководство	Руководство	Руководство
  Служба помощников местного профиля	влпасвк	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Руководство
  Локальный диспетчер сеансов	ЛСМ	Автоматический (рабочий)	Автоматический (рабочий)	Автоматический	Автоматический	Автоматический	Невозможно отключить через services. msc
  Служба LPD **	ЛПДСВК	Не установлено (автоматически, работает)	Не установлено (автоматически, работает)	Не установлено	Не установлено	Не установлено
  LxssManager **	LxssManager	Не установлено (вручную)	Не установлено (вручную)	Не установлено	Не установлено	Не установлено
  Очередь сообщений **	MSMQ	Не установлено (автоматически, работает)	Не установлено (автоматически, работает)	Не установлено	Не установлено	Не установлено
  Триггеры очереди сообщений **	MSMQ-триггеры	Не установлено (автоматически, работает)	Не установлено (автоматически, работает)	Не установлено	Не установлено	Не установлено
  MessagingService_?????	Служба обмена сообщениями_?????	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Руководство
  Стандартная служба сбора данных Microsoft (R) Diagnostics Hub	диагностический концентратор. стандартный коллектор.сервис	Руководство	Руководство	Руководство	Руководство	Руководство
  Помощник по входу в учетную запись Microsoft	wlidsvc	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Руководство	Выполняется при использовании учетной записи MS для входа в компьютер.
  Клиент Microsoft App-V	AppVClient	Недоступно	Отключено	Отключено	Отключено	Отключено
  Служба Microsoft FTP **	фтпсвк	Не установлено (автоматически, работает)	Не установлено (автоматически, работает)	Не установлено	Не установлено	Не установлено
  Служба инициатора Microsoft iSCSI	MSiSCSI	Руководство	Руководство	Отключено *	Отключено *	Отключено *	Включите, только если требуется подключение устройства iSCSI (редко для домашнего пользователя).
  Фильтр клавиатуры Microsoft **	МсКлавиабордФильтер	Не установлено (отключено)	Не установлено (отключено)	Не установлено	Не установлено	Не установлено
  Паспорт Майкрософт	НгкСвк	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Руководство	Невозможно отключить с помощью services.msc
  Контейнер паспорта Microsoft	НгкКтнрСвк	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Руководство	Невозможно отключить через services.msc
  Поставщик теневого копирования программного обеспечения Microsoft	СВПРВ	Руководство (работает при загрузке, затем останавливается)	Руководство (работает при загрузке, затем останавливается)	Руководство	Руководство	Руководство	Используется резервным копированием Windows.
  Microsoft Storage Spaces SMP	смфост	Руководство	Руководство	Руководство	Руководство	Руководство	Вероятно, функциональность One Drive.
  Служба установки Microsoft Store	Служба установки	Руководство	Руководство	Руководство	Руководство	Руководство
  Служба маршрутизатора SMS Microsoft Windows	Смсмаршрутизатор	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Отключено *	Отключено *	Отключено *
  Ремонтная служба MultiPoint **	WmsRepair	Недоступно	Не установлено (автоматически, работает)	Не установлено	Не установлено	Не установлено	Оставить не установленным.
  Многоточечная служба **	ВМС	Недоступно	Не установлено (автоматически, работает)	Не установлено	Не установлено	Не установлено	Оставить не установленным.
  Естественная аутентификация	Естественная аутентификация	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Отключено *	Глупая биометрия или логин с распознаванием лиц.
  Адаптер прослушивателя Net.Msmq **	Нетмсмкактиватор	Не установлено (автоматически, работает)	Не установлено (автоматически, работает)	Не установлено	Не установлено	Не установлено	Оставить не установленным.
  Адаптер прослушивателя Net.Pipe **	Активатор NetPipe	Не установлено (автоматически, работает)	Не установлено (автоматически, работает)	Не установлено	Не установлено	Не установлено	Оставить не установленным.
  Адаптер прослушивателя Net.Tcp **	NetTcpActivator	Не установлено (автоматически, работает)	Не установлено (автоматически, работает)	Не установлено	Не установлено	Не установлено	Оставить не установленным.
  Служба совместного использования портов Net.Tcp **	NetTcpPortSharing	Отключено (изменено на Вручную и Работает, если установлены предыдущие 3 службы)	Отключено (изменено на Вручную и Работает, если установлены предыдущие 3 службы )	Удалено *	Удалено *	Удалено *	Оставить не установленным.
  Вход в сеть	Вход в сеть	Руководство	Руководство	Руководство	Руководство	Отключено *	Используется только в среде контроллера домена.
  Автоматическая настройка устройств, подключенных к сети	Нкдаутсетуп	Ручной (Пуск по триггеру, Работа)	Ручной (Пуск по триггеру, Работа)	Руководство	Руководство	Отключено *
  Брокер сетевых подключений	НкбСервис	Ручной (Пуск по триггеру, Работа)	Ручной (Пуск по триггеру, Работа)	Руководство	Руководство	Руководство
  Сетевые соединения	Нетман	Руководство	Руководство	Руководство	Руководство	Руководство
  Помощник по подключению к сети	НкаСВК	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Руководство
  Служба списка сетей	нетпром	Ручной (рабочий)	Ручной (рабочий)	Руководство	Руководство	Руководство
  Осведомленность о сетевом расположении	НлаСвк	Автоматический (рабочий)	Автоматический (рабочий)	Автоматический	Автоматический	Автоматический
  Служба настройки сети	Нетсетупсвк	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Руководство
  Служба интерфейса сетевого хранилища	нси	Автоматический (рабочий)	Автоматический (рабочий)	Автоматический	Автоматический	Автоматический
  Автономные файлы	CscService	Недоступно	Ручной (триггерный пуск)	Отключено *	Отключено *	Отключено *
  Агент аутентификации OpenSSH	ssh-агент	Руководство	Руководство	Руководство	Руководство	Руководство	Новый.
  Оптимизация дисков	дефрагментация	Руководство	Руководство	Руководство	Руководство	Руководство
  Родительский контроль	Впкмонсвк	Руководство	Руководство	Отключено *	Отключено *	Отключено *	Новый.
  Платежи и менеджер NFC/SE	SEMgrSvc	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Отключено *	Отключено *	Отключено *	Near Field Communication — это технология мобильного телефона. Не требуется на настольных компьютерах и планшетах.
  Протокол разрешения имен одноранговых узлов	ПНРПсвк	Руководство	Руководство	Руководство	Руководство	Руководство
  Группировка одноранговых сетей	p2psvc	Руководство	Руководство	Руководство	Руководство	Руководство
  Диспетчер идентификации одноранговых сетей	p2pimsvc	Руководство	Руководство	Руководство	Руководство	Руководство
  Узел DLL счетчика производительности	PerfHost	Руководство	Руководство	Руководство	Руководство	Руководство
  Журналы производительности и оповещения	пла	Руководство	Руководство	Руководство	Руководство	Руководство
  Телефонная служба	ТелефонСвк	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Отключено *	Отключено *	Отключено *	Служба Windows Phone.
  Подключи и работай	PlugPlay	Ручной (рабочий)	Ручной (рабочий)	Руководство	Руководство	Руководство	Не отключать.
  Служба публикации имени машины PNRP	ПНРПАвтоРег	Руководство	Руководство	Руководство	Руководство	Руководство
  Служба перечисления портативных устройств	Впдбусенум	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Руководство
  Мощность	Мощность	Автоматический (рабочий)	Автоматический (рабочий)	Автоматический	Автоматический	Автоматический
  Диспетчер очереди печати	Спулер	Автоматический (рабочий)	Автоматический (рабочий)	Автоматический	Автоматический	Автоматический	Не отключать.
  Расширения принтера и уведомления	РаспечататьУведомление	Руководство	Руководство	Руководство	Руководство	Руководство
  PrintWorkflow_?????	Принтворкфлоусерсвк_?????	Руководство	Руководство	Руководство	Руководство	Руководство	Невозможно отключить через services.msc
  Отчеты о проблемах и решения Поддержка панели управления	веркплподдержка	Руководство	Руководство	Руководство	Руководство	Руководство
  Служба помощника по совместимости программ	ПкаСвк	Автоматический (рабочий)	Автоматический (работает)	Автоматический	Автоматический	Автоматический
  Качество Windows Audio Video Experience	QWAVE	Руководство	Руководство	Руководство	Руководство	Руководство
  Служба управления радио	РмСВК	Руководство	Руководство	Руководство	Руководство	Руководство	Keep Manual for Mobile devices, Disabled останавливает все беспроводные соединения, включая Bluetooth и WiFi.
  Диспетчер автоматического подключения удаленного доступа	РасАвто	Руководство	Руководство	Руководство	Руководство	Руководство
  Диспетчер подключений удаленного доступа	Расман	Руководство	Руководство	Руководство	Руководство	Руководство
  Конфигурация удаленного рабочего стола	Сешнэнв	Руководство (возможно, работает при использовании удаленного рабочего стола)	Руководство (возможно, работает при использовании удаленного рабочего стола)	Руководство	Руководство	Отключено *
  Службы удаленных рабочих столов	Срок службы	Руководство (возможно, работает при использовании удаленного рабочего стола)	Руководство (возможно, работает при использовании удаленного рабочего стола)	Руководство	Руководство	Отключено *
  Перенаправитель портов UserMode служб удаленных рабочих столов	УмРдпСервис	Руководство (возможно, работает при использовании удаленного рабочего стола)	Руководство (возможно, работает при использовании удаленного рабочего стола)	Руководство	Руководство	Отключено *
  Удаленный вызов процедур (RPC)	РПКСС	Автоматический (рабочий)	Автоматический (рабочий)	Автоматический	Автоматический	Автоматический	Невозможно отключить через services. msc
  Локатор удаленного вызова процедур (RPC)	RpcLocator	Руководство	Руководство	Отключено *	Отключено *	Отключено *	Нет функции в Windows 10.
  Удаленный реестр	Удаленный реестр	Отключено	Отключено	Отключено	Отключено	Отключено
  Демонстрационная служба розничной торговли	Розничная торговляДемонстрация	Руководство	Руководство	Отключено *	Отключено *	Отключено *	Не отключено по умолчанию? Действительно?
  Прослушиватель RIP **	иприп	Не установлено (автоматически, работает)	Не установлено (автоматически, работает)	Не установлено	Не установлено	Не установлено	Оставить не установленным.
  Маршрутизация и удаленный доступ	Удаленный доступ	Отключено	Отключено	Отключено	Отключено	Отключено
  Сопоставитель конечных точек RPC	RpcEptMapper	Автоматический (рабочий)	Автоматический (рабочий)	Автоматический	Автоматический	Автоматический	Невозможно отключить через services.msc
  Вторичный вход в систему	секлогон	Руководство	Руководство	Руководство	Руководство	Руководство
  Служба протокола безопасного туннелирования сокетов	СстпСвк	Руководство	Руководство	Руководство	Руководство	Руководство	Возможности SSTP VPN.
  Менеджер по учетным записям безопасности	СамСС	Автоматический (рабочий)	Автоматический (рабочий)	Автоматический	Автоматическая	Автоматический
  Центр безопасности	всксвк	Автоматический (отложенный запуск, работа)	Автоматический (отложенный запуск, работа)	Автоматический (отложенный пуск)	Автоматический (отложенный пуск)	Автоматический (отложенный пуск)
  Служба данных датчиков	СенсорДатаСервис	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Отключено *	Руководство	Отключено *	Оставить по умолчанию для ноутбуков и планшетов.
  Служба мониторинга датчиков	СенсорСвк	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Отключено *	Руководство	Отключено *	Оставить по умолчанию для ноутбуков и планшетов.
  Служба датчиков	Служба датчиков	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Отключено *	Руководство	Отключено *	Оставить по умолчанию для ноутбуков и планшетов.
  Сервер	ЛанманСервер	Автоматический (рабочий)	Автоматический (рабочий)	Автоматический	Автоматический	Автоматический
  Менеджер по учетным записям общего ПК	шпамсвк	Отключено	Отключено	Отключено	Отключено	Отключено
  Обнаружение оборудования оболочки	ShellHWDetection	Автоматический (рабочий)	Автоматический (рабочий)	Автоматический	Автоматический	Автоматический	Автоигра
  Простые службы TCP/IP **	симпткп	Не установлено (автоматически, работает)	Не установлено (автоматически, работает)	Не установлено	Не установлено	Не установлено	Не устанавливать.
  Смарт-карта	SCardSvr	Отключено	Отключено	Отключено	Отключено	Отключено	Не требуется, если вход с использованием смарт-карты не используется.
  Служба перечисления устройств смарт-карт	ScDeviceEnum	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Отключено *	Отключено *	Отключено *	Не требуется, если вход с использованием смарт-карты не используется.
  Политика удаления смарт-карт	SCPPolicySvc	Руководство	Руководство	Отключено *	Отключено *	Отключено *	Не требуется, если вход с использованием смарт-карты не используется.
  Служба SNMP **	SNMP	Не установлено (автоматически, работает)	Не установлено (автоматически, работает)	Не установлено	Не установлено	Не установлено	Не устанавливать.
  SNMP-ловушка	SNMPTRAP	Руководство	Руководство	Отключено *	Отключено *	Отключено *
  Защита программного обеспечения	спсвк	Автоматический (отложенный запуск, триггерный запуск)	Автоматический (отложенный запуск, триггерный запуск)	Автоматический (отложенный пуск)	Автоматический (отложенный пуск)	Автоматический (отложенный пуск)	Невозможно отключить через services.msc
  Служба пространственных данных	SharedRealitySvc	Руководство	Руководство	Руководство	Руководство	Руководство	Менеджер данных виртуальной реальности.
  Точечный верификатор	сввк	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Руководство
  Обнаружение SSDP	ССДПСРВ	Ручной (рабочий)	Ручной (рабочий)	Руководство	Руководство	Руководство	Функция UPnP. Возможный риск безопасности.
  Служба государственного хранилища	Государственный репозиторий	Ручной (рабочий)	Ручной (рабочий)	Руководство	Руководство	Руководство	Невозможно отключить через services.msc
  События получения неподвижных изображений	ВиаРПК	Руководство	Руководство	Руководство	Руководство	Руководство
  Служба хранения	СторСвк	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Руководство	Требуется для Магазина Windows.
  Управление уровнями хранения	TieringEngineService	Руководство	Руководство	Руководство	Руководство	Руководство
  Супервыборка	СисМаин	Автоматический (рабочий)	Автоматический (рабочий)	Автоматический	Автоматический	Автоматический
  Хост синхронизации_?????	OneSyncSvc_?????	Автоматический (отложенный пуск)	Автоматический (отложенный пуск)	Автоматический (отложенный пуск)	Автоматический (отложенный пуск)	Автоматический (отложенный пуск)
  Служба уведомления о системных событиях	СЕНС	Автоматический (рабочий)	Автоматический (рабочий)	Автоматический	Автоматический	Автоматический
  Брокер системных событий	Брокер системных событий	Автоматический (Пуск по триггеру, Работа)	Автоматический (пуск по триггеру, работа)	Автоматический	Автоматический	Автоматический	Невозможно отключить через services. msc
  Монитор времени выполнения System Guard Брокер	Сгрм Брокер	Автоматический (отложенный запуск, работа)	Автоматический (отложенный запуск, работа)	Автоматический (отложенный запуск, работа)	Автоматический (отложенный запуск, работа)	Автоматический (отложенный запуск, работа)	Новый.
  Планировщик заданий	Расписание	Автоматический (рабочий)	Автоматический (рабочий)	Автоматический	Автоматический	Автоматический	Невозможно отключить через services.msc
  TCP/IP NetBIOS Helper	лмхост	Ручной (Пуск по триггеру, Работа)	Ручной (Пуск по триггеру, Работа)	Руководство	Руководство	Руководство
  Телефония	ТапиСерв	Руководство	Руководство	Руководство	Руководство	Руководство
  Темы	Темы	Автоматический (рабочий)	Автоматический (рабочий)	Автоматический	Автоматический	Автоматический
  Брокер времени	Брокер времени	Ручной (Пуск по триггеру, Работа)	Ручной (пуск по триггеру, работа)	Руководство	Руководство	Руководство
  Обслуживание сенсорной клавиатуры и панели рукописного ввода	TabletInputService	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Отключено *	Руководство	Отключено *	Keep in Manual для сенсорных экранов ноутбуков и планшетов.
  Вспомогательная служба обслуживания унифицированного фильтра записи **	Увфсервсингсвк	Недоступно	Не установлено	Не установлено	Не установлено	Не установлено	Не устанавливать. Если установлено: (Отключено)
  Обновление службы Orchestrator для Центра обновления Windows	УсоСВК	Ручной (рабочий)	Ручной (рабочий)	Руководство	Руководство	Руководство
  Хост устройства UPnP	аппхост	Руководство	Руководство	Руководство	Руководство	Руководство
  Доступ к данным пользователя_?????	UserDataSvc_?????	Ручной (рабочий)	Ручной (рабочий)	Руководство	Руководство	Руководство	Невозможно отключить через services. msc
  Хранилище данных пользователя_?????	UnistoreSvc_?????	Ручной (рабочий)	Ручной (рабочий)	Руководство	Руководство	Руководство	Невозможно отключить через services.msc
  Служба виртуализации взаимодействия с пользователем	УевАгентСервис	Недоступно	Отключено	Отключено	Отключено	Отключено
  Диспетчер пользователей	Диспетчер пользователей	Автоматический (пуск по триггеру, работа)	Автоматический (Пуск по триггеру, Работа)	Автоматический	Автоматический	Автоматический
  Служба профилей пользователей	ПрофСвк	Автоматический (рабочий)	Автоматический (рабочий)	Автоматический	Автоматический	Автоматический
  Виртуальный диск	вдс	Руководство	Руководство	Руководство	Руководство	Руководство
  Теневое копирование тома	ВСС	Руководство	Руководство	Руководство	Руководство	Руководство	Резервное копирование Windows.
  Служба регистрации W3C **	В3ЛОГСВК	Не установлено	Не установлено	Не установлено	Не установлено	Не установлено	Не устанавливать. Если установлено: (Вручную)
  КошелекСервис	КошелекСервис	Руководство	Руководство	Руководство	Руководство	Руководство
  Служба веб-управления **	ВМСВК	Не установлено (вручную)	Не установлено (вручную)	Не установлено	Не установлено	Не установлено
  Деформация JITSvc		Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Руководство
  Веб-менеджер учетных записей	Токенброкер	Ручной (рабочий)	Ручной (рабочий)	Руководство	Руководство	Руководство
  Веб-клиент	Веб-клиент	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Отключено *
  Службы Wi-Fi Direct Служба диспетчера подключений	ВФДСКонСвк	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Отключено *	Руководство	Отключено *	Подключение к беспроводному дисплею.
  Windows Аудио	АудиоСерв	Автоматический (рабочий)	Автоматический (рабочий)	Автоматический	Автоматический	Автоматический	Не отключать.
  Windows Audio Endpoint Builder	Аудиоэндпоинтбуилдер	Автоматический (рабочий)	Автоматический (рабочий)	Автоматический	Автоматический	Автоматический	Не отключать.
  Резервное копирование Windows	СДРСВК	Руководство	Руководство	Руководство	Руководство	Руководство	Не отключать.
  Биометрическая служба Windows	ВбиоСервк	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Руководство
  Сервер Windows Camera Frame	Фреймсервер	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Отключено *	Отключено *	Отключено *	Может потребоваться для захвата кадров веб-камеры.
  Windows Connect Now — регистратор конфигурации	вкнксквк	Руководство	Руководство	Руководство	Руководство	Отключено *
  Диспетчер подключений Windows	Вкмсвк	Автоматический (пуск по триггеру, работа)	Автоматический (пуск по триггеру, работа)	Автоматический	Автоматический	Автоматический
  Служба расширенной защиты от угроз Защитника Windows	Смысл	Недоступно	Руководство	Руководство	Руководство	Руководство
  Служба проверки антивирусной сети Защитника Windows	Вднисвк	Ручной (рабочий)	Ручной (рабочий)	Руководство	Руководство	Руководство	Невозможно отключить через services.msc
  Антивирусная служба Защитника Windows	WinDefend	Автоматический (рабочий)	Автоматический (рабочий)	Автомат	Автоматический	Автоматический	Невозможно отключить через services. msc
  Брандмауэр Защитника Windows	МпсСвк	Автоматический (рабочий)	Автоматический (рабочий)	Автоматический	Автоматический	Автоматический	Невозможно отключить через services.msc
  Служба центра безопасности Защитника Windows	SecurityHealthService	Автоматический (работает)	Автоматический (рабочий)	Автоматический	Автоматический	Автоматический	Невозможно отключить через services.msc
  Служба узла поставщика шифрования Windows	WEPHOSTSVC	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Руководство
  Служба отчетов об ошибках Windows	ВерСвк	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Руководство
  Сборщик событий Windows	Wecsvc	Руководство	Руководство	Руководство	Руководство	Руководство
  Журнал событий Windows	Журнал событий	Автоматический (рабочий)	Автоматический (рабочий)	Автоматический	Автоматический	Автоматическая
  Служба кэширования шрифтов Windows	Кэш шрифтов	Автоматический (рабочий)	Автоматический (рабочий)	Автоматический	Автоматический	Автоматический
  Получение образа Windows (WIA)	СтиСвк	Руководство	Руководство	Руководство	Руководство	Руководство
  Служба предварительной оценки Windows	висвк	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Отключено *	Отключено *	Отключено *	Отключите, если не проводится бета-тестирование новых версий Windows через программу Insider.
  Установщик Windows	мсервер	Руководство	Руководство	Руководство	Руководство	Руководство	Невозможно отключить через services.msc
  Служба диспетчера лицензий Windows	Диспетчер лицензий	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Руководство	Магазин Windows.
  Инструментарий управления Windows	Winmgmt	Автоматический (рабочий)	Автоматический (рабочий)	Автоматический	Автоматический	Автоматический
  Служба общего доступа к проигрывателю Windows Media**	WMPNetworkSvc	Руководство	Руководство	Отключено * (Удалено)	Отключено * (Удалено)	Отключено * (Удалено)
  Служба точки доступа Windows Mobile	icssvc	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Отключено *	Отключено *	Отключено *	Подключение к мобильной сети (3G, 4G, LTE и т. д.). Отключить на устройствах без этих опций.
  Установщик модулей Windows	TrustedInstaller	Руководство	Руководство	Руководство	Руководство	Руководство
  Служба восприятия Windows	спектр	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Руководство	Новая служба виртуальной реальности
  Кэш шрифтов Windows Presentation Foundation 3.0.0.0 **	FontCache3.0.0.0	Не установлено (вручную)	Не установлено (вручную)	Не установлено	Не установлено	Не установлено
  Служба активации процессов Windows **	БЫЛ	Не установлено (вручную, работает)	Не установлено (вручную, работает)	Не установлено	Не установлено	Не установлено
  Системная служба push-уведомлений Windows	ВпнСервис	Автоматический (рабочий)	Автоматический (рабочий)	Автоматический	Автоматический	Автоматический
  Служба пользователей push-уведомлений Windows_?????	Впнусерсервице_?????	Автоматический (рабочий)	Автоматический (рабочий)	Автоматический	Автоматический	Автоматический
  Служба Windows PushToInstall	PushToInstall	Руководство	Руководство	Руководство	Руководство	Руководство	Новый.
  Удаленное управление Windows (WS-управление)	ВинРМ	Руководство	Руководство	Отключено *	Отключено *	Отключено *
  Поиск Windows	WПоиск	Автоматический (отложенный запуск, работа)	Автоматический (отложенный запуск, работа)	Автоматический (отложенный пуск)	Автоматический (отложенный пуск)	Автоматический (отложенный пуск)
  Время Windows	W32Time	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Руководство
  Центр обновления Windows	вуаусерв	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Руководство	Не отключать.
  Медицинская служба Центра обновления Windows	ВааСМедикСвк	Руководство	Руководство	Руководство	Руководство	Руководство	Новый.
  Служба автоматического обнаружения веб-прокси WinHTTP	WinHttpAutoProxySvc	Ручной (рабочий)	Ручной (рабочий)	Руководство	Руководство	Руководство
  Проводная автонастройка	дот3свк	Руководство	Руководство	Руководство	Руководство	Руководство
  Автонастройка WLAN	ВланСвк	Автоматический	Автоматический	Руководство	Автоматический	Руководство	Автоматический с установленной платой беспроводной связи.
  Адаптер производительности WMI	wmiApSrv	Руководство	Руководство	Руководство	Руководство	Руководство
  Рабочие папки **	рабочие папкиsvc	Руководство	Руководство	Удалено *	Удалено *	Удалено *
  Рабочая станция	Рабочая станция Lanman	Автоматический (рабочий)	Автоматический (рабочий)	Автоматический	Автоматический	Автомат
  Служба публикации в Интернете **	В3СВК	Не установлено (автоматически, работает)	Не установлено (автоматически, работает)	Не установлено	Не установлено	Не установлено	Если установлено: (Автоматически, Работает). Не устанавливать.
  Автонастройка WWAN	ВванСвк	Руководство	Руководство	Отключено *	Отключено *	Отключено *	Подключение к мобильной сети (3G, 4G, LTE и т. д.). Отключить на устройствах без этих опций.
  Служба управления аксессуарами Xbox	XboxGipSvc	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Руководство
  Мониторинг игр Xbox	хбгм	Ручной (триггерный пуск)	Ручной (триггерный пуск)	Руководство	Руководство	Руководство	Невозможно отключить с помощью services.msc, но запуск не будет запускаться, если XBOX Live Auth отключен.
  Диспетчер аутентификации Xbox Live	XblAuthManager	Руководство	Руководство	Отключено *	Отключено *	Отключено *	Оставьте значение «Вручную», если для функций консоли используется любой консольный ПК XBOX. Добавить комментарий Отменить ответ Ваш адрес email не будет опубликован. Обязательные поля помечены * Комментарий * Имя * Email * Сайт