Профиль должен быть заполнен на русском языке кириллицей. Заполнение профиля заведомо ложными или некорректными данными - причина возможного отказа в регистрации на форуме.

KVM как защита от нецелевого использования АРМ

Аватара пользователя

Автор темы
megavolt86
специалист
специалист
Сообщения: 630
Зарегистрирован: 14 ноя 2013, 19:35
Ф.И.О.: Анатолий Сергеевич
Откуда: Башкортостан
Благодарил (а): 3 раза
Поблагодарили: 6 раз

KVM как защита от нецелевого использования АРМ

Сообщение megavolt86 » 16 фев 2015, 10:42

Здравствуйте господа и дамы если есть!)))
Вопрос возник к бывалым. Используете ли вы в работе kvm-удлинители? Какова их надежность и есть ли подводные камни?
Занимаюсь проектированием, внедрением и обслуживанием средств АСУТП, но в связи с увеличением компьютерной грамотности операторов необходимо оградить армы от их нецелевого использования (неоднократно были выявлены факты просмотра фильмов, фото в ночное и вечернее время). Так вот хочется монтировать станции в 19' стойку, ставить kvm и закрывать в шкафу, чтоб не лазили.
Так то на предприятии эксплуатируются в одном месте два комплекта, но один практически сразу вышел из строя, другой уже лет 8 работает, так что мнение 50 на 50)))
:ext_secret:


Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 2566
Зарегистрирован: 07 окт 2011, 08:12
Ф.И.О.: Гаско Вячеслав Эриевич
Откуда: Рязань, Россия
Благодарил (а): 43 раза
Поблагодарили: 71 раз

Re: KVM как защита от нецелевого использования АРМ

Сообщение Ryzhij » 16 фев 2015, 11:28

С приходом нового руководства стали внедрять KVM.
Надёжность такого решения, как оказалось, мягко говоря, оставляет желать лучшего.
На АРМ, снабженных помышленной мебелью, с установленными в консоль оператора рабочими станциями отказов меньше.
Honeywell, кстати, именно такие решения и продолжает использовать.
"И ведь не дураки!" (с) Е.Гришковец

Что же касается нецелевого использования АРМ, то, как я уже неоднократно писал, далеко не все вопросы эффективно решаются технически - иногда требуются организационные методы.
Например такие как:
1. Не брать дураков на работу;
2. Наказывать и предавать огласке случаи нецелевого использования КТС;
3. Помнить, что ИТР работает не с техникой, как заблуждаются студенты, а с людьми и для людей. И этих людей надо дисциплинировать.
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может». Жан-Поль Сартр

Аватара пользователя

Exactamente
частый гость
частый гость
Сообщения: 409
Зарегистрирован: 20 ноя 2012, 12:45
Ф.И.О.: :.О.N.Ф
Благодарил (а): 3 раза
Поблагодарили: 3 раза

Re: KVM как защита от нецелевого использования АРМ

Сообщение Exactamente » 16 фев 2015, 13:13

Неоднозначный, но вполне работающий финт ушами - таки выделить несчастным древнюю машинку для "нецелевого использования". Формально - для составления какой-нибудь документации, отчётов и т.п.

Однозначный и работающий - отрубить ЮСБ. Надо учесть, что и в квмах бывают вынесенные юсб)

С KVM'ми, как с любым оборудованием, вопрос выбора оборудования) Были, работали, никаких особых проблем, два из примерно десятка за год вышли из строя.
«Сразу видно внимание к каждой мелочи, неиспорченным не осталось ничто».


sve
здесь недавно
здесь недавно
Сообщения: 26
Зарегистрирован: 18 дек 2013, 11:11
Ф.И.О.: Вадим

Re: KVM как защита от нецелевого использования АРМ

Сообщение sve » 16 фев 2015, 13:57

А не лучше для этих целей соответствующим образом настроить политику безопасности Windows для конкретных пользователей, ограничив этим функционал операторов ?


Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 2566
Зарегистрирован: 07 окт 2011, 08:12
Ф.И.О.: Гаско Вячеслав Эриевич
Откуда: Рязань, Россия
Благодарил (а): 43 раза
Поблагодарили: 71 раз

Re: KVM как защита от нецелевого использования АРМ

Сообщение Ryzhij » 16 фев 2015, 15:55

Понятия "политика безопасности" плохо совмещается не только с понятием "Windows", но но и с фактом возможности физического доступа к оборудованию.

Из практики.
Пересланные начальнику установки по корпоративной почте логи всё той же Винды, красноречиво свидетельстующие о запуске сторонних приложений технологическим персоналом, и адекватная реакция руководства на это, способны надолго отбить охоту заниматься на работе фигнёй.
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может». Жан-Поль Сартр

Аватара пользователя

Автор темы
megavolt86
специалист
специалист
Сообщения: 630
Зарегистрирован: 14 ноя 2013, 19:35
Ф.И.О.: Анатолий Сергеевич
Откуда: Башкортостан
Благодарил (а): 3 раза
Поблагодарили: 6 раз

Re: KVM как защита от нецелевого использования АРМ

Сообщение megavolt86 » 16 фев 2015, 18:09

Юсб программно отрубить не получится, аппаратные ключи стоят.
Ограничить доступ до флешек обычным пользователям можно, но вот тот же трейсмоуд отказывается работать под юзером, админа подавай, а админа оставлять на общак не есть гуд!
Еще такой момент, весь интернет пестрит хелпами как можно узнать пароль админа...

Административными мерами пытались задавить тягу к противозаконному, но руководству цехов по барабану, вот если в результате какого нибудь вируса система упадет, тогда вот они одумаются, но не рушить же самим систему, что ктото зашевелился...
Есть еще выход физически отключить юсб а файлы скидывать в расшареную папку.
:ext_secret:

Аватара пользователя

TEB
специалист по DEIF
специалист по DEIF
Сообщения: 7904
Зарегистрирован: 17 июн 2008, 15:01
Ф.И.О.: Евгений свет Брониславович
Благодарил (а): 38 раз
Поблагодарили: 65 раз
Контактная информация:

Re: KVM как защита от нецелевого использования АРМ

Сообщение TEB » 17 фев 2015, 05:54

sve писал(а):А не лучше для этих целей соответствующим образом настроить политику безопасности Windows для конкретных пользователей, ограничив этим функционал операторов ?

На АРМе это может не пройти, т.к. ряд ПО требует админские права для работы.

Как уже выше писали:
1. закройте на АРМе все внешние порты не связанные с работой - это бесплатно.
2. Дисциплинируйте людей. Раз "были замечены случаи", то почему, вместо того чтобы их пресечь, Вы копаетесь в железке? Даже если автомобиль оснастить всеми мыслимыми системами безопасности, водитель-идиот устроит на нём ДТП и виноват будет водитель-идиот, а не отсутствие какой-нибудь ещё системы безопасности. АРМ работает с технологией, возможно опасной, поэтому на АРМе нечего развлекаться, и нарушение этого правила, если это действительно важно, должно пресекаться и караться. Железка тут ни при чём.
3. Поставьте операторам моноблок за 300 баксов, пусть заодно отчёты пишут какие-нибудь - это дешевле и проще. И полку с книжками и торшер в комнате отдыха.
По вопросам работы Форума можно обратиться ко мне, или по этим контактам.

Аватара пользователя

Никита
почётный участник форума
почётный участник форума
Сообщения: 2499
Зарегистрирован: 20 янв 2010, 22:23
Ф.И.О.: Никита
Откуда: Мурманск
Благодарил (а): 3 раза
Поблагодарили: 13 раз
Контактная информация:

Re: KVM как защита от нецелевого использования АРМ

Сообщение Никита » 17 фев 2015, 09:43

А, собственно, нахрена это все?
Задача АРМа - предоставлять оператору информацию, на которую тот должен реагировать. Если он этого делать не хочет - технические решения тут не помогут. Можно вообще убрать ПК, поставить иконостас из лампочек, М1730 и КСД - так он на телефоне в игрушки играть будет или спать в углу на матрасе.
Опасная технология не должна зависеть от АРМа. Управление и защиты - сами по себе, "улучшение условий работы персонала" - само по себе.
Если же игрушки-вирусы нарушают работоспособность АРМа, то пара рапортов наверх от местного "эникейщика" не то чтобы совсем решат проблему, но значительно облегчат жизнь.
Опыт - это когда на смену вопросам: "Что? Где? Когда? Как? Почему?" приходит единственный вопрос: "Нахрена? "

Аватара пользователя

Автор темы
megavolt86
специалист
специалист
Сообщения: 630
Зарегистрирован: 14 ноя 2013, 19:35
Ф.И.О.: Анатолий Сергеевич
Откуда: Башкортостан
Благодарил (а): 3 раза
Поблагодарили: 6 раз

Re: KVM как защита от нецелевого использования АРМ

Сообщение megavolt86 » 17 фев 2015, 10:26

Когда работа систем отлажена, то операторы превращаются в обезьян, которые думать не хотят и обучают этому новый персонал, а те в свою очередь начинают выдумывать себе развлечения.

Лично за руку поймать не получается, потому что работаем только в дневное время, а хренью заниматься начинают уже в вечернюю и ночную смену, а когда собираешь инфу с армов когда были акты использования флешек, то становится не смешно, а докладные начальству цехов не помогают, это дело спускается на тормозах
:ext_secret:

Аватара пользователя

VADR
администратор
администратор
Сообщения: 2411
Зарегистрирован: 25 июл 2008, 06:12
Ф.И.О.: Диев Александр Васильевич
Благодарил (а): 19 раз
Поблагодарили: 26 раз

Re: KVM как защита от нецелевого использования АРМ

Сообщение VADR » 17 фев 2015, 10:48

1. Политики настраивать таки надо. Рекомендаций в этих наших интернетах - куча. В том числе по флешкам - можно сделать так, чтобы можно было использовать только ограниченный набор флешек, с которыми приходит по необходимости инженер (софт поставить, апдейты накатить, архивы скачать - мало ли, если обычной сети нет). Всякие разные CD/DVD прекрасно отключаются физически.
2. Политики не всегда помогают. Если, к примеру, установлен софт, имеющий диалоги открытия/сохранения файла - через него можно добраться до проводника/сапёра/пасьянса. Опять же - частично проблема решается скрытием дисков от пользователя, но не полностью.
3. Софта, который для обычной работы оператора требует админских прав, следует избегать по мере возможности. Ибо нефиг.
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.

Аватара пользователя

Автор темы
megavolt86
специалист
специалист
Сообщения: 630
Зарегистрирован: 14 ноя 2013, 19:35
Ф.И.О.: Анатолий Сергеевич
Откуда: Башкортостан
Благодарил (а): 3 раза
Поблагодарили: 6 раз

Re: KVM как защита от нецелевого использования АРМ

Сообщение megavolt86 » 17 фев 2015, 20:42

Вот не всегда софт выбираем мы сами, очень много проектов делали сторонние организации, они продают готовое решение....
Насчет прописки определенных носителей надо обкурить этот вопрос...
:ext_secret:

Аватара пользователя

Exactamente
частый гость
частый гость
Сообщения: 409
Зарегистрирован: 20 ноя 2012, 12:45
Ф.И.О.: :.О.N.Ф
Благодарил (а): 3 раза
Поблагодарили: 3 раза

Re: KVM как защита от нецелевого использования АРМ

Сообщение Exactamente » 17 фев 2015, 21:57

>Софта, который для обычной работы оператора требует админских прав, следует избегать по мере возможности. Ибо нефиг
Я бы даже не стал экспериментировать со скадами на юзерских правах. Ну то есть это как несколько антивирусов на одной машине - авось пронесёт.

Афтар, вы почему-то упорно игнорируете все дельные советы, отвечая только на общие рассуждения. Предположу, что как и вашему начальству, вам тоже флешки не особо мешают.
«Сразу видно внимание к каждой мелочи, неиспорченным не осталось ничто».

Аватара пользователя

VADR
администратор
администратор
Сообщения: 2411
Зарегистрирован: 25 июл 2008, 06:12
Ф.И.О.: Диев Александр Васильевич
Благодарил (а): 19 раз
Поблагодарили: 26 раз

Re: KVM как защита от нецелевого использования АРМ

Сообщение VADR » 17 фев 2015, 22:59

megavolt86 писал(а):Вот не всегда софт выбираем мы сами, очень много проектов делали сторонние организации, они продают готовое решение....

А это можно на этапе подготовки ТЗ прописать. По крайней мере сейчас мы рассматриваем несколько разных СКАД как варианты для одной задачи, так те, которые требуют админских прав - сразу нафиг. У меня в эксплуатации довольно приличное количество операторских станций, так там в руководстве по инсталляции прописана процедура "политизирования" после установки. В итоге - все права у админа, а оператор может только то, что ему разрешено. Операторы всё равно смотрят кино и играют в игры, но используют для этого свои принесённые из дома планшеты :)
megavolt86 писал(а):Насчет прописки определенных носителей надо обкурить этот вопрос...

Детально не помню, но суть примерно такая. На "незаполитизированной" машине поочерёдно вставляются флешки, которым надо оставить доступ. Их идентификаторы прописываются в реестр, после чего на раздел, в который пишутся эти идентификаторы, запрещается доступ на запись всем, включая LocalSystem.
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.

Аватара пользователя

Автор темы
megavolt86
специалист
специалист
Сообщения: 630
Зарегистрирован: 14 ноя 2013, 19:35
Ф.И.О.: Анатолий Сергеевич
Откуда: Башкортостан
Благодарил (а): 3 раза
Поблагодарили: 6 раз

Re: KVM как защита от нецелевого использования АРМ

Сообщение megavolt86 » 18 фев 2015, 04:53

Насчет планшетов у вас сказка просто для работников...у нас вышли правила внутриобьектового режима в новой редакции, так по этим правилам телефоны заносить на завод нельзя, со всех сторон народ ужимают, так я еще и последнюю радость хочу забрать - армы заблокировать )))
:ext_secret:

Аватара пользователя

TEB
специалист по DEIF
специалист по DEIF
Сообщения: 7904
Зарегистрирован: 17 июн 2008, 15:01
Ф.И.О.: Евгений свет Брониславович
Благодарил (а): 38 раз
Поблагодарили: 65 раз
Контактная информация:

Re: KVM как защита от нецелевого использования АРМ

Сообщение TEB » 18 фев 2015, 05:14

megavolt86 писал(а):Когда работа систем отлажена, то операторы превращаются в обезьян, которые думать не хотят и обучают этому новый персонал, а те в свою очередь начинают выдумывать себе развлечения.

Гнать в шею надо такой персонал. Дисциплина есть дисциплина. Это если строго. Если не строго, то все мы люди, и "если нельзя запретить или ограничить - надо возглавить". По-моему, решения уже даны все, но Вы упорно утверждаете что сделать ничего нельзя. Так не бывает.

megavolt86 писал(а):Насчет планшетов у вас сказка просто для работников...у нас вышли правила внутриобьектового режима в новой редакции, так по этим правилам телефоны заносить на завод нельзя, со всех сторон народ ужимают, так я еще и последнюю радость хочу забрать - армы заблокировать )))

Хорошая дисциплина там у вас. Режимный объект, но бардак в операторской никого не интересует. Вот и шлите докладные не начальникам цехов, а общему отделу который занимается внутренним распорядком.

Ну или ждите аварии - что ещё сказать...
По вопросам работы Форума можно обратиться ко мне, или по этим контактам.

Аватара пользователя

Автор темы
megavolt86
специалист
специалист
Сообщения: 630
Зарегистрирован: 14 ноя 2013, 19:35
Ф.И.О.: Анатолий Сергеевич
Откуда: Башкортостан
Благодарил (а): 3 раза
Поблагодарили: 6 раз

Re: KVM как защита от нецелевого использования АРМ

Сообщение megavolt86 » 18 фев 2015, 05:52

Можно, я просто как факт говорю, что персонал не ответственный, а вот идея с запретом флешек не разрешенных политикой безопасности мне понравилась, буду я пробовать.
:ext_secret:

Аватара пользователя

TEB
специалист по DEIF
специалист по DEIF
Сообщения: 7904
Зарегистрирован: 17 июн 2008, 15:01
Ф.И.О.: Евгений свет Брониславович
Благодарил (а): 38 раз
Поблагодарили: 65 раз
Контактная информация:

Re: KVM как защита от нецелевого использования АРМ

Сообщение TEB » 18 фев 2015, 06:19

а вот идея с запретом флешек не разрешенных политикой безопасности мне понравилась, буду я пробовать.

Сами же и наступите на эти грабли, когда придёте срочно обслуживать АРМ с другой флешкой. :)

Есть ещё способ - контроль фокуса окна ПО. Если фокус теряется более чем на 10 минут - уведомление.

Но это всё лечение поноса пробкой. Потому что главное не запрет, а быстрая и неотвратимая реакция за его нарушение. Воспитывает не размер наказания, а его неотвратимость.
По вопросам работы Форума можно обратиться ко мне, или по этим контактам.


Вернуться в «Безопасность»



Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 0 гостей