Запрещай, но проверяй В 2009 году мы подсели на терминальные решения. Это когда на рабочем месте стоит тонкий клиент — мини-ПК, а сам пользователь работает на удалённом рабочем столе. Тонкие клиенты на Windows Embedded, домен, фильтр записи, запрет всего лишнего — и на выходе получаем устройство, которое пользователь не может сломать. Он заходит под доменной учётной записью → двойной клик → SSO → работает на сервере. Если что-то пошло не так — перезагрузил, и всё снова чисто. Решение получилось настолько удачным, что мы годами обслуживали филиалы без выездов. Но был нюанс. Пароль локального администратора — одинаковый на всех устройствах. Классика: получил хэш → пошёл гулять по сети. Поэтому мы сделали «как правильно»: запретили сетевой доступ для локальных учётных записей. И на этом успокоились. Спойлер: зря. Наступил 2026 год Один из тонких клиентов внезапно вываливается из домена. Инженер начинает разбираться и… заходит на него по сети под локальным администратором. Стоп. А как?! Начинаем копать — и находим ещё устройства, куда можно зайти так же (те самые Pwn3d!) Оказалось, всё банально. Политика, которая запрещает сетевой доступ для локальных администраторов, работает только начиная с патча KB2871997 (2014 год). А клиенты, развёрнутые до 2014 года, обновления не получали, живя своей «законсервированной» жизнью. В итоге: политика есть → защиты нет. Вывод: мы — лошары Не обновляли устройства, не списывали устаревшее и главное — не проверяли, что наши меры защиты реально работают. И при этом ещё других учили как жить J) Так что вы не будьте как мы. Проверяйте применимость мер: не «включена политика», а «работает ли она». Регулярно тестируйте сценарии обхода — хотя бы базовые. Учитывайте технический долг как риск, а не «ну работает же». P.S. В идеальном мире эти 500 тонких клиентов надо списывать. Современная ОС, обновления, 802.1X и дальше по списку. В реальности: это дорого, сложно и ломает текущую модель эксплуатации. Поэтому мы пока живем с этим. Но без иллюзий, что «у нас всё запрещено».