Microsoft объявила на прошлой неделе, что превью функции «горячих» обновлений (hotpatching), позволяющей производить обновления безопасности Windows Server 2025, развёрнутой локально (on-premise), без надобности в перезагрузке, станет платной услугой в июле. Стоимость подписки составит $1,50/мес. за каждое процессорное ядро. Обновления, не связанные с hotpatching, будут по-прежнему доступны бесплатно, пишет The Register.

Перевод на платную подписку будет произведён для всех пользователей превью функции hotpatching в автоматическом режиме. Чтобы избежать этого, необходимо до 30 июня выйти из числа участников тестирования функции. Пользователи Azure Editions Windows Server по-прежнему будут пользоваться функцией hotpatching бесплатно. Также эта опция предлагается для Windows Server 2022 в облаке Azure. Хотя для использования hotpatching серверами с Windows Server 2025 необходим Arc, использование Arc для этого предложения будет бесплатным.

Microsoft анонсировала превью hotpatching для Windows Server 2025 в Azure в августе 2024 года. Спустя месяц превью было представлено для Windows Server 2025, контролируемых инструментом Arc для создания гибридных и мультиоблачных окружений. Иными словами, hotpatching появился в Windows Server 2025 Standard и Datacenter, в том числе работающих on-premise. «Эта функция изменит правила игры: более простой контроль изменений, более короткие окна применения исправлений, более простая оркестрация», — написал тогда генеральный менеджер Windows Server Хари Пулапака (Hari Pulapaka).

Источник изображения: Microsoft

Как сообщили в Microsoft, служба нацелена на доставку восьми «горячих патчей» в год. Схема доставки прежняя — в январе, апреле, июле и октябре, т.е. раз в квартал, будут доставляться кумулятивные апдейты, которые потребуют обязательной перезагрузки ОС. В остальные месяцы будут доставляться hotpatch-апдейты, которые не будут требовать перезагрузки. Впрочем, Microsoft оговаривает, что в экстренных случаях она может прислать внеплановое обновление, которое всё же потребует рестарта, но постарается этого избежать.

В Microsoft утверждают, что «горячие» обновления позволят снизить время жизни уязвимостей, поскольку администраторы могут затягивать надолго установку патчей из-за необходимости перезагрузки ОС. Кроме того, hotpatching позволит сэкономить время и избавить от неудобств традиционного «вторника исправлений» (Microsoft Patch Tuesday). По мнению Microsoft, за это стоит заплатить.

Microsoft объявила о запуске системы «горячих» обновлений (hotpatch) ОС в Windows 11 Enterprise версии 24H2. Теперь пользователи смогут устанавливать апдейты без необходимости перезагружать свои устройства в процессе работы — это нововведение призвано значительно упростить работу корпоративных пользователей. «Горячие» обновления доступны для x64-платформ AMD или Intel. Для Arm64-платформ функция пока тестируется, но её можно включить вручную в реестре.

Конечно, периодически перезагрузки всё-таки потребуются. Но системы, по крайней мере, придётся перезапускать не ежемесячно, а ежеквартально — с выпуском кумулятивных апдейтов. Для того, чтобы пользоваться новыми преимуществами, потребуются:

• Подписка Windows 365 Enterprise, Windows 11 Enterprise (E3, E5 или F3) либо Windows 11 Education (A3 или A5);
• Windows 11 Enterprise 24H2 сборки 26100.2033 и новее с установленными последними базовыми обновлениями;
• Активированная технология безопасности Visualization-based Security (VBS);
• Microsoft Intune для управления политиками развёртывания патчей;
• Процессор AMD или Intel x86-64.

Источник изображения: Microsoft

Новые обновления будут выходить в соответствии со стандартным графиком, принятым для Windows 10 и Windows 11 23H2. Hotpatch-апдейты получат специальные идентификаторы, чтобы отличать их от обычных пакетов, и в основном содержать обновления, касающиеся безопасности. Система будет автоматически определять, соответствует ли каждое конкретное устройство требованиям для «горячего» обновления. Другими словами, операционная система сама предложит включить новую функцию, если та будет доступна.

Источник изображения: Microsoft

Владельцы домашних (Home) и профессиональных (Pro) версий Windows 11 воспользоваться новым механизмом обновления пока не могут. Можно ожидать, что по мере распространения Windows 11 24H2 количество устройств, совместимых с Hotpatch, тоже будет расти. Однако для Microsoft в данном случае приоритетным является корпоративный рынок.

Компания Naver, управляющая ведущим интернет-порталом и самым популярным поисковиком в Южной Корее, сообщила о разработке собственного дистрибутива Linux. Программная платформа, получившая название Navix, основана на ядре Linux 5.14.

Как отмечает The Register, при создании Navix использовались ресурсы Open Enterprise Linux Association (OpenELA). Эта торговая ассоциация была сформирована в августе 2023 года с целью разработки дистрибутивов, совместимых с Red Hat Enterprise Linux (RHEL). В состав Navix входит стандартный набор пакетов. По какой лицензии планируется распространять ОС, не уточняется. Страница проекта на GitHub в настоящее время включает только систему отслеживания ошибок.

Naver обещает оказывать пользователям Navix бесплатную поддержку в течение десяти лет. При этом на протяжении пять лет будут предлагаться полноценные обновления всех компонентов, а ещё на протяжении пяти лет компания намерена распространять исправления, связанные с безопасностью, а также критические апдейты. Предполагается, что новый дистрибутив заинтересует разработчиков, корпоративных клиентов и операторов HPC-площадок. Для Navix заявлена совместимость с RHEL.

Источник изображения: Naver

Сам южнокорейский интернет-гигант Naver также планирует широко применять Navix в своей IT-инфраструктуре. Кроме того, ОС станет доступна в качестве опции для виртуальных машин в публичном облаке Naver. Отмечается, что компания управляет как минимум двумя собственными дата-центрами. В частности, один из этих ЦОД был введен в эксплуатацию в 2023 году: он имеет мощность 270 МВт.

Microsoft сообщила, что Windows Server 2025 доступна практически всем желающим. По данным Storage Review, в своём новом продукте разработчик уделил немало внимания интеграции в ОС облачных функций и поддержке ИИ-нагрузок. Также улучшены производительность и безопасность ОС.

Одной из важных функций новой ОС считается повышение безопасности файловых служб File Services/Server Message Block (SMB). Последняя теперь работает по протоколу QUIC, что обеспечивает более безопасный доступ к файлам. Защита SMB предусматривает использование расширенных настроек брандмауэра, защиту от брутфорс-атак и атак MitM, Relay Attack или Spoofing.

В Active Directory появилась функция Делегированных Управляемых Учетных Записей Служб (dMSA). В отличие от классических учётных записей служб, dMSA не нужно ручное управление паролями, Active Directory справляется с задачей автоматически. dMSA даёт возможность делегировать специальные разрешения для доменных ресурсов, что снижает риски безопасности и улучшает видимость и контроль за активностью учётных записей служб.

Источник изображения: Microsoft

В Windows Server 2025 представлены революционные, по словам Microsoft, возможности для гибридных облаков. Важную роль играет возможность обновления на лету (Hot-Patching). Сервис по подписке для управления гибридными облаками Azure Arc позволяет свести к минимуму количество перезагрузок и простои при обновлении ПО на локальных площадках. Кроме того, упрощён процесс подключения к Azure Arc и улучшена функциональность SDN, обеспечивается L2/L3-доступ для «бесшовной» миграции рабочих нагрузок между разными локациями.

Помимо этого, новая операционная система предлагает улучшенные производительность и масштабируемость в целом. Так, показатели IOPS в ряде нагрузок до 60 % выше в сравнении в Windows Server 2022, а расширенные функции ФС Resilient File System (ReFS), включая дедупликацию и сжатие, обеспечивают заметную экономию дискового пространства. Функции Storage Spaces и Storage Replica Compression обеспечивают эффективное использование дискового пространства и оптимальный обмен данными между репликами.

Наконец, новый релиз ОС оптимизирован для задач, связанных с ИИ и машинным обучением. Например, имеется встроенная функция разделения ресурсов ускорителей на несколько виртуальных машин. Подсистема Hyper-V теперь оптимизирована как для традиционных нагрузок, так и ресурсоёмких ИИ-нагрузок. Кроме того, обеспечена непрерывность работы даже непосредственно во время техобслуживания и во время сбоев оборудования.

Официальному релизу сопутствовал курьёзный, но весьма неприятный случай: у некоторых пользователей запустилось автоматическое обновление Windows Server 2022 до версии 2025, хотя ничего подобного Microsoft изначально не задумывала.

В последние дни отмечены случаи неожиданного автоматического обновления систем под управлением Windows Server 2022 до Windows Server 2025. На Reddit появилась информация со ссылкой на жалобы владельцев серверов. При этом отсутствует возможность «откатить» ПО до прежней версии.

Хотя с точки зрения обычного пользователя обновление с версии 2022 до 2025 может показаться хорошей новостью, для сотрудников IT-отделов и системных администраторов это обещает массу неприятностей. Обновлённые операционные системы для серверов необходимо кропотливо проверять и тестировать, чтобы убедиться, что всё ПО совместимо с новой версией ОС.

По словам пользователя Reddit, системного администратора Fatboy40, все серверы на Windows Server 2022 в его ведении обновились до Windows Server 2025 или «были готовы сделать это». Примечательно, что обновление до Windows Server 2025 вообще-то требует новой лицензии, поскольку ОС позиционируется как принципиально новое поколение операционной системы. Для сравнения — новейшая ОС для ПК Windows 11 24H2 официально считается лишь новым вариантом Windows 11.

Источник изображения: ThisisEngineering/unsplash.com

Как сообщил источник в стороннем сервисе обновлений Heimdal, похоже, обновление ошибочно классифицировали в Microsoft и как «необязательное обновление», и как «обновление безопасности» для систем под управлением Windows Server 2022.

По данным Tom's Hardware, в Heimdal сообщили, что проблема обнаружена в репозитории обновлений Microsoft. Уникальный идентификатор обновления (GUID) для Windows Server 2025 не соответствует обычным параметрам для обновления KB5044284, которое и вовсе связано с Windows 11. Вероятно, речь идёт об ошибке на стороне Microsoft, повлиявшей как на скорость выпуска обновления, так и на его классификацию. Проверка Heimdal показала, что номер обновления действительно относится к Windows 11, а не к Windows Server 2025.

Хуже всего то, что этот тип обновления Windows Server технически вообще не поддерживается, в отличие, например, от перехода с Windows 10 на Windows 11. В результате системные администраторы не имеют официального способа вернуться к прежней ОС без использования сторонних решений, позволяющих восстановить функциональность системы из бэкапов.

Проект FreeBSD опубликовал отчёт за II квартал 2024 года, в котором описана проделанная работа ведущими разработчиками BSD. По данным Phoronix, среди выполненных за последний квартал задач FreeBSD Foundation выделяются проекты по улучшению аудиостека, улучшению OpenZFS, переносу VPP (Vector Packet Processing) на FreeBSD и улучшению поддержки беспроводных сетей.

Также стало известно, что AMD и FreeBSD Foundation сотрудничают в разработке полноценного драйвера AMD IOMMU. Цель проекта — улучшить поддержку серверов на базе AMD EPYC во FreeBSD, в том числе с более чем 256 ядрами, сделать интеграцию с системой виртуализации Bhyve и другие усовершенствования.

«Продолжалась работа над совместным проектом Advanced Micro Devices (AMD) и FreeBSD Foundation по разработке драйвера AMD IOMMU. Этот драйвер позволит FreeBSD полностью поддерживать более 256 ядер с такими функциями, как отображение [mapping] CPU, а также будет включать интеграцию Bhyve. Константин Белоусов работал над различными частями проекта, включая подключение драйвера, определение регистров, парсер таблиц ACPI и реализацию служебных функций. Два ключевых компонента, которые необходимо доделать, — это обработка контекста, которая в основном является обобщением кода Intel DMAR, и создание таблиц страниц. После этого можно будет активировать драйвер AMD для тестирования. Чтобы следить за работой Константина, ищите коммиты в репозитории с тегом «Sponsored by fields for Advanced Micro Devices (AMD) and The FreeBSD Foundation»», — говорится в отчёте.

Источник изображения: FreeBSD

Появление поддержки со стороны AMD для сообщества FreeBSD является значимым событием, поскольку ранее только Intel славилась активным вкладом в развитие проекта и предоставлением инженерных ресурсов на протяжении многих лет. В этом свете интересно, является ли поддержка AMD жестом доброй воли или же у компании есть клиенты, которым необходимы совместимость и оптимизации для FreeBSD. Среди крупных игроков, в инфраструктуре которых активно используется FreeBSD, есть, например, Netflix. В последние годы Arm также начала активно участвовать в развитии ОС.

Кроме того, FreeBSD продолжает активную работу по поддержке архитектуры RISC-V. Так, уже существует экспериментальная поддержка Bhyve. Кроме того, одной из новых разработок для ядра FreeBSD стало создание Zcond — легковесного механизма условного выполнения, аналогичного интерфейсу static_key в Linux.

Вскоре после недавнего массового сбоя ПК на Windows, произошедшего по вине компании CrowdStrike, в австралийском подразделении консалтингового бизнеса Grant Thornton нашли удобный способ быстро избавиться от «синих экранов смерти» (BSOD). The Register сообщает, что один из технических специалистов компании вовремя вспомнил о том, что самые простые сканеры штрихкодов воспринимаются ПК как клавиатуры.

Источник изображения: Grant Thornton

Это совершенно бесполезное на первый взгляд знание приобрело большое значение, когда в компании попытались найти решение проблемы, созданной CrowdStrike. В австралийском филиале Grant Thornton в цикл бесконечной перезагрузки отправились сотни ПК и не менее ста серверов. При этом все они были защищены с помощью BitLocker, поэтому в процессе восстановления требовался ввод 48-символьного ключа для расшифровки раздела.

Если работу серверов удалось восстановить вручную, то для ПК пришлось придумать инструмент автоматизации. Открыто рассылать ключи для BitLocker было бы слишком рискованно, да и зачитывать их по телефону или диктовать лично весьма затруднительно. Поэтому в компании сконвертировали ключи в штрихкоды, которые можно мгновенно отсканировать с экрана ноутбука администратора.

Источник изображения: PublicDomainPictures/unsplash.com

В результате все ПК заработали уже к обеду, на починку каждого из них ушло 3–5 минут, тогда как в случае серверов на ручное восстановление уходило по 20 минут. В Grant Thornton сожалеют лишь о том, что не догадались сразу использовать QR-коды, тогда зашифровать в них можно было бы больше данных, полностью автоматизировав процесс восстановления. Впрочем, в компании и без того в восторге, что отделались малой кровью в сравнении с другими бизнесами.

Масштабный сбой стал последствием выпуска некорректного обновления системы защиты CrowdStrike. В самой Microsoft первопричиной недавнего масштабного сбоя назвали вынужденное соглашение 2009 года с Евросоюзом, согласно которому разработчикам защитных программ обеспечили низкоуровневый доступ к операционным системам Windows. В CrowdStrike признали собственную вину и сослались на баг в программе тестирования собственных апдейтов.

Редакция со своей стороны желает системным администраторам никогда не сталкиваться с такими проблемами.

Компания CrowdStrike, ставшая виновницей глобальных сбоев в работе 8,5 млн ПК с Windows, обновила страницу с инструкцией по устранению проблемы. Компания поделилась своим видением причин инцидента, а пострадавшим партнёрам она предложила купоны Uber Eats на сумму $10. При этом общий ущерб от сбоя, согласно предварительным оценкам, составил $4,5 млрд.

Согласно разъяснениям, защитное ПО Falcon Sensor выпускается с набором правил Sensor Content, определяющих его функциональность. ПО также получает обновления Rapid Response Content, позволяющие своевременно распознавать новейшие угрозы и оперативно реагировать на них.

Sensor Content основан на структурном коде Template Types, предусматривающем использование специальных полей, в которые вносятся данные для создания правил выявления угроз. В Rapid Response Content отмечаются конкретные варианты Template Types — Template Instances, описывающие определённые типы угроз, на которые необходимо реагировать, и их специфические признаки.

В феврале 2024 года компания представила очередной вариант шаблона обнаружения угроз — IPC Template Type, специально созданный для распознавания новых методик атак, использующих т.н. «именованные каналы» (Named Pipes) в ОС. Шаблон успешно прошёл тесты 5 марта, поэтому для его использования выпустили новый вариант Template Instance. С 8 по 24 апреля компания внедрила ещё три варианта Template Instance, без малейшего видимого ущерба миллионам компьютеров на Windows — хотя в апреле отмечались проблемы с ПО компании CrowdStrike для Linux.

Источник изображения: Johnyvino/unsplash.com

19 июля разработчик представил ещё два варианта IPC Template Instance, один из которых включал «проблемные данные». Тем не менее, CrowdStrike запустила ПО в релиз из-за «бага в Content Validator». Хотя функции Content Validator разработчиком не раскрываются, по названию можно предположить, что данный инструмент занимается валидацией готовящегося к релизу ПО. Так или иначе, валидатор не справился с фильтрацией некачественного кода и не предотвратил выпуск 19 июля фактически вредоносного Template Instance.

В CrowdStrike предположили, что успешная проверка IPC Template Type мартовского образца означает, что варианты IPC Template Instance для июльского релиза тоже в порядке. Как показало время, это было трагической ошибкой — программа пыталась читать данные из области памяти, доступа к которой у неё быть не должно. В результате ошибка чтения вызвала сбой, от которого пострадало 8,5 млн компьютеров.

В дальнейшем компания обещает более строго тестировать обновления Rapid Response Content и обеспечить пользователям больше контроля над процессом развёртывания обновления. Кроме того, планируется подробное описание релизов, чтобы дать пользователям возможность самостоятельно оценить риск установки обновлений. Компания обещает опубликовать полный анализ основной причины сбоя, как только расследование будет закончено.

Ранее Microsoft поспешила снять с себя ответственность за инцидент, переложив вину на CrowdStrike и Евросоюз. По данным IT-гиганта именно последний ещё в 2009 году вынудил Microsoft обеспечить сторонним разработчикам антивирусного ПО вроде CrowdStrike низкоуровневый доступ к ядру операционных систем Windows.

Пока ИТ-инфраструктура по всему миру восстанавливается после критического сбоя, бизнес, эксперты и политики уже ищут виноватых в произошедшем. По данным The Wall Street Journal, в Microsoft заявили, что инцидент может оказаться результатом вынужденного соглашения 2009 года между IT-гигантом и Евросоюзом.

Эксперты уже задаются вопросом, почему CrowdStrike, занимающейся решениями для обеспечения кибербезопасности, обеспечили доступ к ядру Windows на столь низком уровне, где ошибка может оказаться очень масштабной и дорого обойтись огромному числу пользователей.

Хотя Microsoft нельзя напрямую обвинить в появлении дефекта после обновления ПО компании CrowdStrike, ставшего причиной хаоса во всех сферах жизнедеятельности по всему миру, программная архитектура, позволяющая третьим сторонам глубоко интегрировать своё ПО в операционные системы Microsoft, вызывает немало вопросов и требует более пристального рассмотрения.

Как сообщает WSJ, в Microsoft отметили, что соглашение 2009 года компании с Еврокомиссией и стало причиной того, что ядро Windows не защищено так, как, например, ядро macOS компании Apple, прямой доступ к которому для разработчиков закрыт с 2020 года. Соглашение о совместимости фактически стало результатом повышенного внимания европейских регуляторов к деятельности Microsoft.

Источник изображения: Sunrise King/unsplash.com

В соответствии с одним из его пунктов, Microsoft обязана своевременно и на постоянной основе обеспечивать информацию об API, используемых её защитным ПО в Windows — пользовательских и серверных версиях. Соответствующая документация должна быть доступна и сторонним разработчикам антивирусного ПО для создания собственных решений, что должно способствовать честной конкуренции. Однако вместо использования API без доступа к ядру CrowdStrike и ей подобные предпочли работать напрямую с ядром ОС для максимизации возможностей своего защитного ПО. Правда, при этом велика вероятность, что в случае сбоя последствия могут быть чрезвычайно серьёзными — что и произошло.

Windows — не единственная операционная система, предлагающая доступ к ядру с возможностью вывести его из строя в случае некорректной работы. Тем не менее, повсеместное присутствие продуктов Microsoft приводит в случае сбоев в сторонних приложениях к массовым проблемам и большой огласке событий, даже если прямой вины компании в произошедшем нет.

«Лаборатория Касперского» сообщила о выпуске обновлённой операционной системы для тонких клиентов — Kaspersky Thin Client 2.0.

Kaspersky Thin Client представляет собой защищённую на уровне архитектуры платформу на базе KasperskyOS, которая может быть использована в организациях с большой филиальной сетью и географически распределённой инфраструктурой бизнеса. Для централизованного и безопасного управления инфраструктурой тонких клиентов используется единая консоль Kaspersky Security Center. Также она применяется для управления и другими продуктами «Лаборатории Касперского». Для подключения тонких клиентов к консоли предусмотрен модуль расширения Kaspersky Security Management Suite.

Источник изображения: «Лаборатория Касперского»

Включённые в состав новой версии Kaspersky Thin Client инструменты позволяют подключаться к удалённым средам, развёрнутым на платформе Citrix Workspace и инфраструктуре VMware Horizon, с использованием технологии HTML5. Также ОС поддерживает подключение к отдельным бизнес-приложениям на инфраструктуре Microsoft Remote Desktop Services, Windows Server и терминальных серверах, работающих под управлением Windows 10/11.

В числе прочих изменений отмечается возросшая скорость доставки приложений на удалённый рабочий стол и обновлений ОС — благодаря компактному размеру образа платформы. В дополнение к этому Kaspersky Thin Client 2.0 получила поддержку аудиоконференций и возможность печати документов из гостевой операционной системы. Доработкам также подвергся дизайн панели подключения к удалённой среде, появилась возможность персонализированной настройки интерфейса. Кроме того, в уведомлениях теперь отображаются детализированные сообщения об ошибках с советами по их устранению, сама система уведомлений расширена.