SIEMENS, DF&PD

Предыдущее посещение: Сб июн 11, 2016 13:19 Текущее время: Сб июн 11, 2016 13:19

Часовой пояс: UTC + 3 часа




 [ Сообщений: 28 ]  На страницу 1, 2  След.

Как Вы защищаете систему от вмешательства пользователя?
средствами WinCC 59%  59%  [ 26 ]
аппаратными 6%  6%  [ 3 ]
внешними программами 4%  4%  [ 2 ]
другое 29%  29%  [ 13 ]
Всего голосов : 44
Автор Сообщение
 Заголовок сообщения: Защита от пользователя
СообщениеДобавлено: Пт мар 25, 2011 14:57 
Не в сети
Известный Писатель

Зарегистрирован: Пт окт 30, 2009 10:27
Сообщения: 435
Откуда: Москва
Многие сталкивались с проблемой вмешательства неугомонных пользователей, приводящих к краху системы в целом.
Если есть желание, поделитесь своими мыслями и опытом по защите системы от несанкционированного доступа.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт мар 25, 2011 15:48 
Не в сети
Это точно не человек

Зарегистрирован: Чт фев 16, 2006 12:27
Сообщения: 7484
Откуда: Украина
Самое действенное наказание для неугомонных пользователей - наказание рублём. Некоторые по-другому не понимают. Это конечно не отменяет других мероприятий, но эффективно дополняет их.

Я пользуюсь бесплатной утилитой DeskLock от Rockwell Automation. Она подменяет штатный Explorer.
Чтобы чересчур грамотный оператор не вскрывал системный блок, последний необходимо хранить в комнате с ограниченным доступом, а консоль выносить на рабочее место.

P.S. Не хватает пункта "Комбинация приведенных выше мер".


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пт мар 25, 2011 15:56 
Не в сети
Известный Писатель

Зарегистрирован: Пт окт 30, 2009 10:27
Сообщения: 435
Откуда: Москва
Ну комбинацию мер можно отнести к последнему пункту: "другое" и желательно расписать что именно. На одном объекте заказчик упорно желал иметь пишущий привод, для сохранения архивов на диск. Утилитку бесплатную мы ему поставили. А закрыть комп теперь никуда не получится. Хотя тот же заказчик хотел защитить АРМ. Возникла дилема...
Спасибо за утилитку, попробуем.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт мар 29, 2011 6:10 
Не в сети
Известный Писатель

Зарегистрирован: Ср май 26, 2010 10:00
Сообщения: 113
AllProtectPolicy
отличная программка.
Возможность запрета всех приложений кроме добавлены в список.
Ограничения на USB,CD/DVD,A3
Блокировка изменения Реестра
Запрет установщиков
Изменении настроек по паролю
А самое главное русский и понятный интерфейс.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт мар 29, 2011 19:59 
Не в сети
Известный Писатель

Зарегистрирован: Пт дек 12, 2008 16:32
Сообщения: 123
Явно не хватает пункта "Не использую защиту от пользователей" :)


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср мар 30, 2011 7:01 
Не в сети
Известный Писатель

Зарегистрирован: Пт окт 30, 2009 10:27
Сообщения: 435
Откуда: Москва
Спасибо ONYX!
Программка действительно отличная.

Smitis, ну это когда вам не жалко потраченных усилий и есть время всё переделывать по несколько раз. И начальству объяснять не нужно, почему второй раз за месяц систему переустанавливаете.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср мар 30, 2011 8:00 
Не в сети
Известный Писатель

Зарегистрирован: Сб авг 16, 2008 11:22
Сообщения: 342
Была подобная проблема, обсуждалось тут
последовал совету уважаемого gre_m
gre_m писал(а):
в реестре стандартный Shell=explorer.exe подменяется строкой на запуск проекта Wincc, т.е shell= ....

и проблем не знаю.
На одном из экранов сделал кнопку вызова TotalCommander, с помощью которого выполняется любое обслуживание Windows.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср мар 30, 2011 8:43 
Не в сети
Известный Писатель

Зарегистрирован: Пт окт 30, 2009 10:27
Сообщения: 435
Откуда: Москва
Для запуска WinCC всё отлично, а если мне в РТ приходится запускать доп. приложения? Например, RECPRO от Siemens для просмотра осцилограмм с терминалов?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср мар 30, 2011 9:42 
Не в сети
Известный Писатель

Зарегистрирован: Пн окт 16, 2006 15:47
Сообщения: 145
Откуда: Москва
Подход, уже писали выше, подменяем штатный Explorer.exe в реестре на нашу строку автозапуска Runtime. Для запуска внешних приложений можно, если не отключать комбинации служебных клавиш, использовать диспетчер задач (Ctrl+Shift+Esc), через который можно все что угодно запустить, что на время пуско-наладки достаточно, а если по ходу работы необходимо, то можно вывести в инженерное меню или еще куда в самом проекте WinCC (и не забыть отключить комбинации служебные клавиш в проекте WinCC).


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср мар 30, 2011 19:10 
Не в сети

Зарегистрирован: Пт янв 08, 2010 15:48
Сообщения: 6
Развитие метода shell =...

Создаются два bat-файла
В WinCC делается вызов обоих по клику на значки.
1 - Запустить проводник
2 - Закрыть проводник

Содержание первого
Код:
@set @x=0 /*
@echo off

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v shell /t REG_SZ /d explorer.exe /f
start  explorer

cscript //nologo /e:jscript "%~f0" 90

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v shell /t REG_SZ /d "C:\Program Files\Siemens\WinCC\bin\AutoStartRT.exe Диск:\папка проекта\проект.mcp /Activ:yes /LANG=ENU /EnableBreak:yes" /f

goto:eof */  if(isFinite(WScript.Arguments(0))) WScript.Sleep(WScript.Arguments(0))


Содержание второго
Код:
taskkill.exe /F /IM explorer.exe


В результате пользователи WinCC, у которых достаточно прав, чтобы добраться до значка "Запуск проводника",
по клику получают обычный полноценный Windows. По клику значка "Закрыть проводник" получают обратно обрезанный Windows.
Bat'ы можно переделать в exe с соответствующими параметрами, чтобы не мешались окна консоли.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Защита от пользователя
СообщениеДобавлено: Чт мар 31, 2011 6:02 
Не в сети
Известный Писатель

Зарегистрирован: Ср фев 11, 2009 4:41
Сообщения: 249
Откуда: Калининград
RAN писал(а):
поделитесь своими мыслями и опытом по защите системы от несанкционированного доступа.

Отличную тему ковырнули. В мемориз адназначна :)
Политики, замена шелла - упомянуты.
Не давать сворачивать и закрывать окна - обязательно.
Ограничивать время и продолжительность входа пользователей - всегда.
Главное: стразу после установки и настройки клиента необходимо сделать полный бэкап раздела, чтобы потом накатывать его за 5 минут и не объяснять руководству, что 2 дня устанавливал и настраивал, потому что все такие все.
Административные меры - самые действенные. Поэтому обязательно логгирование всех действий.
Да! И желательно делать снимки/видео по ходу записи действий: они - члены профсоюзов - когда действуют, у них обычно полуулыбка на лице и язык слегка высунут... Я в этом уверен :)
P.S.: Как-то перезалил панельку с 2007-м флексом после того, как неправильно ввели пароль 3 раза. Отошёл на 5 (пять) минут в сторону (на 50 метров). Вернулся - Ъ!!! Снова пользователь заблокирован! Осмотрелся - только каска оранжевая мелькнула в пылевом облаке!


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт мар 31, 2011 12:48 
Не в сети

Зарегистрирован: Вт июл 13, 2010 14:58
Сообщения: 7
Откуда: Липецк
Тема очень актуальная!
Вот мой вклад в борьбу с пользователем.
Обязательно закрыть доступ (лучше в BIOSе) к приводу и USB. Иначе подгружается live CD с вожможностью редактир реестра, делается обратное изменения Shell и ....оле..оле.
Относительно USB - BIOSа не достаточно. У меня был случай, когда я заблокировал USB в ВIOSе и расслабился. Через некоторое время заметил просмотр видео. Долго ломал голову как это возможно. Оказалось пользователь вынимал с задней панели клаву или мышь (правда они были USB-ишные) включал в тотже разъем флеш и наслаждался видео.
Вот не плохоя ссылочка про блокировку USB http://support.microsoft.com/kb/823732/ru.
А по поводу всяких программ, так это проще простого - перезагружается комп в безопастном режиме и ...оле..оле.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт мар 31, 2011 14:57 
Не в сети
Писатель со стажем

Зарегистрирован: Пн май 16, 2005 7:41
Сообщения: 500
Откуда: Самара
У программных блокировок есть обратная сторона медали:
-- ограничиваешь себе доступ когда нужно - это я про блокировки запуска программ и закрытия дисков(носителей);
-- если ограничить запуск всех программ кроме избранных, то можно случайно запретить запуск нужных , которые используются WinCC.

На одном из объектов применили следующие меры:

--оставили открытым всё, кроме разграничения прав внутри WinCC;
-- предупредили, что в случае выхода из строя, или если заметят постороннее ПО, фильмы, музыку и др., будет проведен "ректальный анализ" среди всех отвественных и если виновные не будут обнаружены, ответят все;
-- оставили конфигурационный ноутбук и разрешили пользоваться своим кноутбуком (на работе в свободное от работы время), так сказать "подобытный" и "жертва".

Эффект от этих мер есть. Жалоб, на то что чё-то сломалось или отвалилось пока не было (тьфу-тьфу).


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн апр 04, 2011 12:22 
Не в сети
Писатель со стажем

Зарегистрирован: Сб ноя 08, 2008 4:18
Сообщения: 545
Откуда: Айхал
Как мы только не загораживались.... Пока одного умника-технолога на 100% премии не хлопнули - ничего не помогало. Потом год такая "блокировка" продержалась. Наверно надо повторить. ИМХО - административные меры самые действенные. Ну и + минимум мер защиты програмных


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн апр 04, 2011 13:00 
Не в сети
Известный Писатель

Зарегистрирован: Пт окт 30, 2009 10:27
Сообщения: 435
Откуда: Москва
Наверное, большинство правы по поводу административных мер...

Просто я сам по себе противник такого отношения к рабочим. Человек работает весь месяц, а в конце его лишают чуть-ли не половины зарплаты. И так они не очень-то уж и большие.
Опять же, ряд действенных мер предотвращает поломку системы и сберегает работникам часть зРЯплаты. Вот и получается, что позаботиться о них и о себе - это наша задача.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт апр 05, 2011 1:55 
Не в сети
Писатель со стажем

Зарегистрирован: Сб ноя 08, 2008 4:18
Сообщения: 545
Откуда: Айхал
RAN писал(а):
Наверное, большинство правы по поводу административных мер...

Просто я сам по себе противник такого отношения к рабочим. Человек работает весь месяц, а в конце его лишают чуть-ли не половины зарплаты. И так они не очень-то уж и большие.
Опять же, ряд действенных мер предотвращает поломку системы и сберегает работникам часть зРЯплаты. Вот и получается, что позаботиться о них и о себе - это наша задача.

Ну так я и говорю что минимальные меры необходимы. Но сидеть и придумывать свупер методы бессмысленно. У операторов есть одно преимущество - неограниченный запас времени. За пару-тройку-десяток ночных смен, когда никто не мешает можно черта лысого взломать


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт апр 05, 2011 8:29 
Не в сети
Известный Писатель

Зарегистрирован: Пн окт 18, 2010 9:28
Сообщения: 158
Откуда: Казахстан
Не знаю как вам, но я вполне доволен доменной системы (Active Directory). Система заслуживает уважение. Где у каждого пользователя свои уникальные права, где чужой как говорится "не в пролом". По началу конечно "геморно" создавать и пересматривать политику каждому, но оно такого стоит. Да и Информационная Безопасность на высоте, который является на сегодняшний день один из самых важных задач любого промышленного объекта!


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт апр 05, 2011 11:42 
Не в сети
Написал больше чем Вы читали

Зарегистрирован: Вс янв 25, 2009 22:05
Сообщения: 1898
Откуда: Киров
Домен это хорошо, если Вы его администрируете... А в ситуации когда объект, сеть и домен в ней находятся в ведении и владении заказчика, то уж увольте - каждый раз обращаться к администратору за какой-нибудь необходимостью... Сразу все нюансы сложно предусмотреть...


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт апр 05, 2011 12:06 
Не в сети
Известный Писатель

Зарегистрирован: Пн окт 18, 2010 9:28
Сообщения: 158
Откуда: Казахстан
Я сам админ и заказчик! =) Но бывает моменты, конечно! Заранее можно создать политики для разных категории и групп, с условными правами как локально так и глобально! Иного равносильного домену пока не повстречал!


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн ноя 19, 2012 15:01 
Не в сети
Новый писатель

Зарегистрирован: Ср май 12, 2010 12:25
Сообщения: 11
Ставил десклок от роквела, неработает автостарт.
Так же не запускается через wincc explorer, виснет на полпути.
wincc v7.0 sp3.

можно по подробнее про настройку десклока


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
 [ Сообщений: 28 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot], Yahoo [Bot] и гости: 0


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения

Перейти:  
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group