Защита компа от оператора.

[doza]

Давно волнует вопрос как защитить компьютер от оператора, из моей практики остановили оборудование механики с криками ура принялись что-то резать, менять и т.д., операторы остались без дела и решили посмотреть секас на рабочем машине которая контролировала установку находящеюся на данный момент в ремонте и как на зло все их шалости попались на глаза начальнику цеха, крайнем объявили меня (как особо трущегося возле компа), после чего я познал что такое секас по телефону.
Как грамотно настроить компьютер с установленной виндос хр, при этом не желательно устанавливать антивирус (в виду слабого проца и малой памятью), задействование паролей так-же неприемлемо, должна запускаться скада, приложения ворда, дополнительно драйвера, читаемость флешок, простое удаление проигрывателя и установка новых приложений под админом не прокатят операторы тоже продвинутые пользователи пк.

[Бондарев Михаил]

Пишется батник на старт-ап, в котором запускается скада(какая кстати?) и убивается explorer. Единственное в чем сомневаюсь - доступность флешки (для чего кстати?). Многие СКАДА имеют штатные функции блокирования доступа. Поподробней техническую сторону распишите.

[Никита]

Может им живую бабу привести? :)

[doza]

Наверное я не догнал мысль, в том что оператор не залезет в скаду и не натворит чего то там с этим проблем нету, живая баба это конечно хорошо но не избавляет от проблемы иного видео, да и игры (фермочки, арканойдики, контра и т.д.), проблема в том что раз в год приходится все перестанавливать.
Банник на старт ап что это поподробней я не ас какой программист, а флешки нужны для снятия данных для дальнейшего анализа данных или перенос на другую машину.

[Бондарев Михаил]

Не банник - БАТник, есть со времен MS-DOS такой формат файлов (ну типа скриптов в *nix-системах).
*.bat
на компьютере поищите - наверняка найдете, открываются текстовым редактором.
Для выгрузки эксплорера может потребоваться сторонняя программа.
Но вот будут ли работать флешки, я не уверен.

проблема в том что раз в год приходится все перестанавливать.

Ну заведите себе исходный образ диска и накатывайте хоть раз в неделю, хоть по сети при загрузке. Главное информацию
нужную правильно сохраняйте.

[CHANt]

Оболочку Explorer можно убить через реестр, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
изменяете (убиваете или заменяете на программу) значение строкового параметра Shell.
Но, не рекомендую этого делать, потом достать regedit и вернуть все взад, будет секасно)))
Рекомендую посмотреть альтернативные Explorer оболочки - http://www.astonshell.ru/
Там вроде настраивается масса всего, надо только поковырять, ну и GUI дружелюбный

[Бондарев Михаил]

Нинада в реестр лазить (только страницу кодировки если поправить))

Код: Выделить всё

C:\>taskkill /?

TASKKILL [/S <система> [/U <пользователь> [/P [<пароль>]]]]
         { [/FI <фильтр>] [/PID <процесс> | /IM <образ>] } [/F] [/T]

Описание:
  Эта команда позволяет завершить один или несколько процессов.
  Процесс может быть завершен по имени образа или по идентификатору процесса.

Список параметров:
   /S   <система>                  Подключаемый удаленный компьютер.

   /U   [<домен>\]<пользователь>  Пользовательский контекст, в котором
                                   должна выполняться эта команда.

   /P   <пароль>                   Пароль для этого пользовательского контекста.

                                   Запрашивает пароль, если он не задан.

   /F                              Принудительное завершение процесса


   /FI  <фильтр>                   Отображение задач, отвечающих
                                   указанному в фильтре критерию.

   /PID <процесс>                  Идентификатор процесса, который требуется
                                   завершить.

   /IM  <образ>                    Имя образа процесса, который требуется
                                   завершить. Для указания всех процессов
                                   можно использовать символ шаблона '*'.

   /T                              Завершение указанного процесса
                                   и всех его дочерних процессов.

   /?                              Вывод справки по использованию.

Фильтры:
    Имя фильтра   Допустимые операторы           Допустимые значения
    -----------   --------------------           -------------------
    STATUS        eq, ne                    RUNNING | NOT RESPONDING
    IMAGENAME     eq, ne                    Имя образа
    PID           eq, ne, gt, lt, ge, le    Значение PID
    SESSION       eq, ne, gt, lt, ge, le    Номер сессии
    CPUTIME       eq, ne, gt, lt, ge, le    Время CPU в формате
                                            hh:mm:ss.
                                            hh - часы,
                                            mm - минуты, ss - секунды
    MEMUSAGE      eq, ne, gt, lt, ge, le    Использование памяти в КБ
    USERNAME      eq, ne                    Имя пользователя в формате
                                            [<домен>\]<пользователь>
    MODULES       eq, ne                    Имя DLL
    SERVICES      eq, ne                    Имя службы
    WINDOWTITLE   eq, ne                    Заголовок окна

Примечание: Символ '*' для параметра /IM применим только совместно с фильтрами.

Примечание: Завершение удаленных процессов всегда будет принудительным,
            независимо от того, был ли использован параметр /F или нет.

Примеры:
  TASKKILL /S <система> /F /IM notepad.exe /T
  TASKKILL /PID 1230 /PID 1241 /PID 1253 /T
  TASKKILL /F /IM notepad.exe /IM mspaint.exe
  TASKKILL /F /FI "PID ge 1000" /FI "WINDOWTITLE ne untitle*"
  TASKKILL /F /FI "USERNAME eq NT AUTHORITY\SYSTEM" /IM notepad.exe
  TASKKILL /S <система> /U <домен>\<пользователь> /FI "USERNAME ne NT*" /IM *
  TASKKILL /S <система> /U <пользователь> /P <пароль> /FI "IMAGENAME eq note*"

СHANt, занятная штуковина этот Aston. Мне всегда нравилось несколько рабочих столов иметь. А с прикладным софтом проблем не будет?

Doza, с флешкой скорее всего получится, если знать какая буква ей присваивается (и пользоваться этим портом), а копирование файлов прописать в скрипте САКДы

[Никита]

На самом деле, шутки шутками, но:
1. Чтоб голых баб не смотрели - вся технологическая сетка в худшем случае подключается через хороший брандмауэр (или firewall, кому какое слово больше нравится). В лучшем - вообще никаких выходов наружу.
2. Скада и прочие приложения, типа ворда - вещи несовместные. Ну неужели на производстве совсем денег нет чтобы для офисных приложений второй компьютер купить? Там пусть баб голых и смотрят. Эта же реплика по поводу антивируса и слабой аппаратной части. Делов-то - поставить один компьютер с интернетом, другой без оного. Как думаете, где народ будет ерундой заниматься?
3. Если Вам или вашей организации за обслуживание этого компа платят - права остальных обрезать до разумного минимума. Ибо нефиг. Если не платят - проблемы индейцев вообще шерифа не волнуют, на попытки секаса по телефону просто посылать.
4. Альтернативные оболочки и прочее - можно попробовать, но неизвестно что лучше. Explorer больше распространен да и фирма солиднее. А альтернативная если упадет - восстанавливать замучаетесь.
5. Выстраданная истина, впрочем тут не было вопросов, скорее всего соблюдается - Винде управление процессом не доверять в принципе. Максимум - взаимодействие с оператором, и то при наличии аппаратных кнопок аварийной остановки.
6. Организационные мероприятия. За лишнее на мониторе - лишение премии и т.п. И все логи периодически проверять. Про индивидуальные учетки для операторов уже не говорю.
7. Как дорогой вариант - все железо покупается в 19" исполнении и убирается в железный шкаф, закрытый на ключ. Остается только монитор(ы) и мышь-клавиатура. Ключ носить с собой. Отчеты формировать автоматически и складывать/отправлять куда надо без всяких флешек.
Решаемая проблема, на самом деле. Поначалу, когда на крупных предприятиях внедрение АСУТП началось после лихих 90-х, такой бардах был постоянно. И косынка вместо скады, и ключи от ТрейсМода USB-шные за флешки принимали и домой тащили и много чего еще. Но постепенно и для косынки техника отдельная появилась и сетки грамотно развели и сервера поставили с нужными правами чтоб флешек не было, и дрючить начали. И ничего, стабилизировалась ситуация... Но совсем без материальных затрат разрулить сложно

[CHANt]

СHANt, занятная штуковина этот Aston. Мне всегда нравилось несколько рабочих столов иметь. А с прикладным софтом проблем не будет?

Давно не пользовался, но, когда появилась вполне отлично работала. Последний раз гонял наWinXP

4. Альтернативные оболочки и прочее - можно попробовать, но неизвестно что лучше. Explorer больше распространен да и фирма солиднее. А альтернативная если упадет - восстанавливать замучаетесь.

В том то и фишка - Explorer не убивается, а просто отключается. Для аварийного восстановления Ctrl+Alt+Del - "Файл" - новая задача - вызываем regedit и правим (есс-но с правами админа). Ну тут кому как нравится.

2. Скада и прочие приложения, типа ворда - вещи несовместные. Ну неужели на производстве совсем денег нет чтобы для офисных приложений второй компьютер купить? Там пусть баб голых и смотрят. Эта же реплика по поводу антивируса и слабой аппаратной части. Делов-то - поставить один компьютер с интернетом, другой без оного. Как думаете, где народ будет ерундой заниматься?

Вот-вот! С какой диспетчерской работаю, самый действенный способ избавится от "повышенного" внимания к SCADA, это установка второго компа. Даже рухлядь, доживать свой век, пойдет.

[VADR]

Есть варианты ограничения функционала Windows Explorer, как-нибудь соберу в кучу - выложу. По USB флешкам - есть даже вариант разрешить использование только ограниченного списка накопителей. Принцип такой: в комп поочерёдно втыкаются флешки, которые использовать можно, при каждом включении флешки в определённый раздел реестра пишется уникальный ID этой флешки. Затем на этот раздел реестра запрещается запись для всех, включая LocalSystem, после чего любое втыкание посторонней флешки приводит только к появлению в Event Log сообщения об ошибке.

[Свободный Инженер]

Господа, вы уже в такие дебри полезли как полувзломанные оболочки (полная херня на самом деле). А по делу вам сисадмин нужен нормальный, для которого словосочетание политики безопасности не пустой звук. Можно явно запретить любые экзешники, кроме разрешенных.
Но я так не делаю.Почему? Я изобрел гениальный способ! Я отобрал мышку и клаву, там где она не нужна!!! А там где нужна, пришлось ограничивать права юзеров и настраивать политики. Зря вы так на винду ругаетесь, это очень мощный инструмент в умелых руках. Но не для того чтобы ТП управлять без запасного хода, конечно же.

Кстати, статистика говорит, что компы без мыши\клавы работают гораздо стабильнее, чем с урезанными правами пользователя. Антивирус везде ставлю нод32, он менее тормозной.

[VADR]

Компом без клавы/мыши проблематично техпроцессом управлять :)

[CHANt]

Гениям и компы с мониторами не нужны Да и тех процесс, возможно лишний :D

[Ryzhij]

Где-то в году 84-м мне, молодому тогда специалисту, был преподан незабываемый урок о том, что не все производственные проблемы следует решать технически.
Некоторые нужно решать организационно.
Не брать дураков на работу, а среди персонала укреплять трудовую дисциплину.
Когда на одном из компьютеров у нас стали происходить подобные вещи, а молодой начальник смены покрывая операторов требовал от нас дополнительных мер по защите. Мы поступили проще - собрали логи, скриншоты, взяли график работы смен, подготовили служебную.
А потом на пальцах объяснили начальнику смены, что "люлей" за шаловливые ручонки своих подчинённых получит прежде всего он сам, а у нас есть чем заняться и помимо бесперспективной "кибер-войны" с его пацанами.
Всё. Как рукой сняло.

[doza]

Из всего прочитанного выявил только 2 умные фразы:

Можно явно запретить любые экзешники, кроме разрешенных.

По USB флешкам - есть даже вариант разрешить использование только ограниченного списка накопителей. Принцип такой: в комп поочерёдно втыкаются флешки, которые использовать можно, при каждом включении флешки в определённый раздел реестра пишется уникальный ID этой флешки. Затем на этот раздел реестра запрещается запись для всех, включая LocalSystem, после чего любое втыкание посторонней флешки приводит только к появлению в Event Log сообщения об ошибке.

Осталось только понять как такое чудо осуществить.
Но вот заниматься такой ерундой как собирать компромат с дальнейшим написанием докладных, по ночам бегать по цехам и следить за дисциплиной или запирать компы в сейф, не-туж спасибо не надо.

[Свободный Инженер]

Есть варианты ограничения функционала Windows Explorer, как-нибудь соберу в кучу - выложу. По USB флешкам - есть даже вариант разрешить использование только ограниченного списка накопителей. Принцип такой: в комп поочерёдно втыкаются флешки, которые использовать можно, при каждом включении флешки в определённый раздел реестра пишется уникальный ID этой флешки. Затем на этот раздел реестра запрещается запись для всех, включая LocalSystem, после чего любое втыкание посторонней флешки приводит только к появлению в Event Log сообщения об ошибке.

Если я правильно понял, то здесь ошибка. Разрешаются не конкретные флешки, а КЛАССЫ (производители) флешек.
http://www.netdocs.ru/articles/Windows- ... Part1.html
В этой статье как раз имеется соответсвующий пример.

А по приложениям, и В гугле на первой странице запроса "запуск только определенных программ"

[Ryzhij]

Но вот заниматься такой ерундой как собирать компромат с дальнейшим написанием докладных, по ночам бегать по цехам и следить за дисциплиной или запирать компы в сейф, не-туж спасибо не надо.

:D Никуда бегать не надо.
Просто выясните хотя бы для себя, где в "Форточках" системные логи хранятся.
И всё.
А за дисциплиной пусть начальник над операторами (у нас это начальник смены) следит - ему за это деньги платят.
Можете им ещё 28 главу УК РФ в качестве памятки распечатать. С постатейными комментариями.
Особливо статью 274. "Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети"

[VADR]

Если я правильно понял, то здесь ошибка. Разрешаются не конкретные флешки, а КЛАССЫ (производители) флешек.

Есть и такой вариант и он менее "травматичный" для системы.
Насчёт конкретных флешек - тоже фишка есть. Принцип такой: при включении флешки в систему куда-то в реестр прописывается её UUID (точно раздел реестра не помню, надо будет по старым записям порыскать). Каждый раз при подключении флешки система смотрит эту ветку и если нужного UUID там нет, то прописывает, после чего разрешает с этим устройством работать. Если записать значение в реестр не удалось - сообщение об ошибке в EventLog и отказ в загрузке драйвера.

[Степа]

статистика говорит, что компы без мыши\клавы работают гораздо стабильнее, чем с урезанными правами пользователя

Подтверждаю: с одной мышкой компьютер с Win`95 живет без проблем уже лет семь... Шалуны, правда, в одном месте как-то насобачились запускать Обозреватель, так их в три секунды вычислили и показательно выдрали.

Можно явно запретить любые экзешники, кроме разрешенных.

Я делал так:
"для всех":
1. В разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer создавал два параметра типа DWORD с именами NoRun и RestrictRun, присваивал им значение "1".
2. В разделе HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer создавал раздел RestrictRun, а в нем создавал строковые параметры "1", "2" и т.д. Каждому параметру присваивалось имя разрешенного к запуску экзешника.
"для конкретного пользователя": загружался под этим пользователем и в ветке HKEY_CURRENT_USER делал все вышеперечисленное /разбираться лень было, как править под конкретного пользователя без загрузки под нужным пользователем/.

Тут следует иметь в виду, что в списке должны присутствовать все так или иначе запускаемые экзешники: если в списке отсутствует, скажем, regedit.exe /или альтернативный редактор реестра/, то поправить реестр из-под выбранного пользователя /или всех пользователей/ уже не удастся. Посему рекомендую сначала попробовать на той машине, которую не жалко /чтобы при возможном восстановлении ОС не тратить время на спасение важных данных/.

Принцип такой: в комп поочерёдно втыкаются флешки, которые использовать можно, при каждом включении флешки в определённый раздел реестра пишется уникальный ID этой флешки. Затем на этот раздел реестра запрещается запись для всех, включая LocalSystem, после чего любое втыкание посторонней флешки приводит только к появлению в Event Log сообщения об ошибке.

Если не ошибаюсь, то это HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR /WinXP/.
Во всяком случае, я через этот раздел смотрю, какие и когда флешки подключались. В разделе список идентификаторов, а вот в этих подразделах идут коды когда-либо подключенных по USB устройств данного идентификатора.

[doza]

всем кто задал верное направление, описав все что мне нужно знакомому программисту, который посоветовал
XPTweaker установить в директории C:\WINDOWS\system32 чтоб спокойно вызывать через Пуск->Выполнить.

Незнание имени программы, нельзя что-то сделать.

[Никита]

Времянка это все. Рано или поздно все равно придете к нормальной сетке, домену, администрированию и правам. А пока тут запретить, там заблокировать.. Ну все равно, что всем известное изделие штопать. Один стежок и две новых дырки.. Как только количество АРМов Я(включая главного инженера, энергетика и пр.) превысит четыре-пять - опять задумаетесь. Лучше не жмотиться а с нуля разворачивать полнофункциональную систему.

[doza]

Возможно Никита вы правы, но пока мне и этого хватит, все-же лучше чем было.

[Никита]

Да. Но, готов поспорить, в течение пары кварталов встанет вопрос о добавлении за пару копеек пары сигналов. А дальше по нарастающей. Я думал у меня прогрессия будет, но после сегодняшней совещалки уже факториалом от числа (даты) в феврале запахло :)
Еще раз - не жмотьтесь на scada и верх. Сегодня в очередной раз ткнулся в убогий Genie. Да, он собирает данные с в\в и отображает их на локальном АРМ. За несколько десятков долларов. А вот выше передать - все, п..ц. Полный. Надо дублироваться. везде. Ну.конкурсы же,б...ь,Ну будем мужиками, из-за копеек друг другу гемор делать...

[Ryzhij]

И-э-х, родной, на тех же колёсах по новому кругу?
Да кто ж нас, технарей, спрашивает на тендер-мендерах этих?!

[green_3mii]

А нельзя просто объявление повесить - "За просмотр прона - депремирование на 1000 рублей! Администрация!" ?

И муляж IP-видеокамеры.