Профиль должен быть заполнен на русском языке кириллицей. Заполнение профиля заведомо ложными или некорректными данными - причина возможного отказа в регистрации на форуме.

Lockdown / Блокировка ПО

SCADA, серверы, АРМ верхнего уровня, диспетчерские
Аватара пользователя

Автор темы
izhidkov
осмотрелся
осмотрелся
Сообщения: 163
Зарегистрирован: 25 фев 2016, 12:18
Ф.И.О.: Жидков Игорь Алексеевич
Благодарил (а): 1 раз
Поблагодарили: 5 раз
Контактная информация:

Lockdown / Блокировка ПО

Сообщение izhidkov » 29 июл 2016, 17:15

Добрый день, подскажите какие варианты сейчас распространены блокировки ( lockdown & branding ) ПК под конкретное приложение SCADA-системы для Windows?

Т.е. какие комбинации клавиш,и фич разных обычно блокируются как вручную (так и средствами самой SCADA) чтобы пользователь не поправил структуру каталогов, или в тетрис поиграл и т.п.? или например чтобы обновление не стало ставиться в момент когда идет тех.процесс )?
Может кто знает спец.ПО которое настраивает запуск только определенных приложений на ПК?

Кроме этого интересует, как настраивается работа с приложениями вроде Excel,Word, Печати, на ПК на которых расположены различные программные компоненты SCADA, т.к. например по-умолчанию тот же Excel можно вызвать, например, диалоговые окна открытия файлов, в которых например можно удалять и создавать файлы, и т.п.

Может кто знает какие либо "дыры" в SCADA-х которые позволяю запустить левое ПО на ПК?
want to have ultimate control, and the sky is the limit!


Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 2555
Зарегистрирован: 07 окт 2011, 08:12
Ф.И.О.: Гаско Вячеслав Эриевич
Откуда: Рязань, Россия
Благодарил (а): 41 раз
Поблагодарили: 70 раз

Lockdown / Блокировка ПО

Сообщение Ryzhij » 29 июл 2016, 18:13

Странный интерес...
Чем он вызван, поведать нам можете?
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может». Жан-Поль Сартр


Romcheg
SCADA+
SCADA+
Сообщения: 520
Зарегистрирован: 05 ноя 2009, 11:18
Ф.И.О.: Бузинов Роман Анатольевич
Благодарил (а): 5 раз
Поблагодарили: 14 раз

Lockdown / Блокировка ПО

Сообщение Romcheg » 29 июл 2016, 19:13

Не раз сталкивались с требованиями блокировки всего что возможно, чтобы оператор только в интерфейсе АРМа работал и не мог ничего ни запустить, ни переключиться, ни закрыть. У нас в скаде для этого даже специальные решения есть, которые позволяют организовать такое. Причем уже два раза прошли проверки серьезные решений с этими наработками. У многих скада-систем есть штатные функции для этого, но если есть грамотные ИТшники - могут даже винду так настроить, что и в скаде ничего не надо будет делать.
А вот с запуском стороннего ПО в таких решениях придется искать варианты другие - тот же диалог открытия файла чуть ли не на 90% функции Эксплорера выполняет.

Из нестандартных решений про которые мне рассказывали - просто выламывают на клавиатуре клавиши, которые участвуют в комбинациях. А еще есть клавиатуры, где на уровне специализированного ПО для этой клавы через ее драйвер можно выполнить блокировку нужных комбинаций. Есть очень банальное решение - убивать процесс Explorer тогда АРМ может болтаться как единственное приложением в системе, но не везде прокатит. Тут еще очень многое от версии ОСи зависит.

А про "дыры" и прочие настройки - сомневаюсь, что кто-то станет описывать подробности, Вы как-то не так вопрос задали.
SCADA+

Аватара пользователя

Автор темы
izhidkov
осмотрелся
осмотрелся
Сообщения: 163
Зарегистрирован: 25 фев 2016, 12:18
Ф.И.О.: Жидков Игорь Алексеевич
Благодарил (а): 1 раз
Поблагодарили: 5 раз
Контактная информация:

Lockdown / Блокировка ПО

Сообщение izhidkov » 29 июл 2016, 19:25

Ryzhij писал(а):Источник цитаты Странный интерес...
Чем он вызван, поведать нам можете?

Нужно нарисовать небольшую программку для станка, не хочу заморачиваться с Windows IoT/Embedded, где lockdown настраивается "из коробки", и поставить на Windows 8/10. Собственно и думаю, что нужно блокировать, и что может помочь.
- я например, не знаю WinCC блокирует Alt+F4, Ctrl+Alt+Del и т.п.
- помню что можно было запустить диспетчер задач (ctr+shift+esc) и из него клацнуть "новая задача" а там простор для мысли.

Где-то читал что "Учетные политики" программ в Виндах настраиваются так что можно как указывать конкретные программы которые можно запускать, так и программы которые нельзя запускать, так и вообще в целом подменить explorer как оболочку на свою программу.
Как-то так.
want to have ultimate control, and the sky is the limit!


alex_ugrumov
почётный участник форума
почётный участник форума
Сообщения: 556
Зарегистрирован: 29 сен 2008, 16:05
Ф.И.О.: Алексей Угрюмов
Благодарил (а): 5 раз
Поблагодарили: 15 раз

Lockdown / Блокировка ПО

Сообщение alex_ugrumov » 30 июл 2016, 12:50

Я делал так. Можно подменить запуск эксплорера запуском своей программы. Например, http://www.adminworld.ru/windows/zamena-explorerexe-ili-izmenenie-defoltnoj-obolochki-windows.html. Ещё порыскайте в поисковиках на тему "подмены эксплорера" (там есть такая сложность, что нитка реестра, в которой прописывается запуск оболочки, привязана в реестре к текущему сеансу. И подменить-то вы сможете, но а назад как ? :) для этого из другой учётки подгружается ветка реестра от боевой и меняется назад. в общем есть нюансы. и помниться мне, была какая-то тулзень, которая подмену эксплорера делает.)
Что в результате? логинетесь в учётку оператора и вместо рабочего стола запускается СКАДА. Если СКАДА закрыть, то будет логаут.
+ запрет в реестре работы сочетаний горячих клавиш. Например, http://forum.oszone.net/post-2587086.html (предложение выламывать клавиши повеселило:)
Да, с диалогами открытия / сохранения файлов есть сложности, но либо исключить их логикой приложения. Либо может такие же методы есть?
Alex.

Аватара пользователя

Автор темы
izhidkov
осмотрелся
осмотрелся
Сообщения: 163
Зарегистрирован: 25 фев 2016, 12:18
Ф.И.О.: Жидков Игорь Алексеевич
Благодарил (а): 1 раз
Поблагодарили: 5 раз
Контактная информация:

Lockdown / Блокировка ПО

Сообщение izhidkov » 30 июл 2016, 13:52

qwe
alex_ugrumov писал(а):Источник цитаты Можно подменить запуск эксплорера


А есть варианты без затрагивания эксплореров и изменения сессий? Мне кажется желательно все-таки иметь возможность выходить в привычный рабочий стол по необходимости без перезагрузок и смены сессий и т.п.
(для определенных пользователей,видел однажды - вводишь пароль и появляется кнопка сворачивания приложения)
want to have ultimate control, and the sky is the limit!

Аватара пользователя

Exactamente
частый гость
частый гость
Сообщения: 409
Зарегистрирован: 20 ноя 2012, 12:45
Ф.И.О.: :.О.N.Ф
Благодарил (а): 3 раза
Поблагодарили: 3 раза

Lockdown / Блокировка ПО

Сообщение Exactamente » 30 июл 2016, 14:18

izhidkov писал(а):Источник цитаты - я например, не знаю WinCC блокирует Alt+F4, Ctrl+Alt+Del и т.п.

Да, WinCC это умеет. И можно нарисовать кнопку для сворачивания, которая будет доступна определённым учёткам.
«Сразу видно внимание к каждой мелочи, неиспорченным не осталось ничто».

Аватара пользователя

Автор темы
izhidkov
осмотрелся
осмотрелся
Сообщения: 163
Зарегистрирован: 25 фев 2016, 12:18
Ф.И.О.: Жидков Игорь Алексеевич
Благодарил (а): 1 раз
Поблагодарили: 5 раз
Контактная информация:

Lockdown / Блокировка ПО

Сообщение izhidkov » 30 июл 2016, 14:48

Exactamente писал(а):Источник цитаты Да, WinCC это умеет.

Выяснить бы как она это делает )
want to have ultimate control, and the sky is the limit!


alex_ugrumov
почётный участник форума
почётный участник форума
Сообщения: 556
Зарегистрирован: 29 сен 2008, 16:05
Ф.И.О.: Алексей Угрюмов
Благодарил (а): 5 раз
Поблагодарили: 15 раз

Lockdown / Блокировка ПО

Сообщение alex_ugrumov » 30 июл 2016, 17:03

izhidkov писал(а):Источник цитаты qwe
alex_ugrumov писал(а):Источник цитаты Можно подменить запуск эксплорера


А есть варианты без затрагивания эксплореров и изменения сессий? Мне кажется желательно все-таки иметь возможность выходить в привычный рабочий стол по необходимости без перезагрузок и смены сессий и т.п.

Я описывал свой опыт решения такой задачи, и такой подход для мой задачи был достаточный. Не настаиваю в его абсолютной правильности, но это было простое, бесплатное решение. Особой проблемы в смене учётки не было: оператору это не нужно, он работает только в его UI. Наладчик работает в своей учётке, где есть стол и можно запустить СКАДУ и посмотреть, как выглядит. Так что переключений между учётками по сути не было.
Alex.

Аватара пользователя

Автор темы
izhidkov
осмотрелся
осмотрелся
Сообщения: 163
Зарегистрирован: 25 фев 2016, 12:18
Ф.И.О.: Жидков Игорь Алексеевич
Благодарил (а): 1 раз
Поблагодарили: 5 раз
Контактная информация:

Lockdown / Блокировка ПО

Сообщение izhidkov » 31 июл 2016, 11:19

alex_ugrumov писал(а):Источник цитаты Так что переключений между учётками по сути не было.

Так как м/у учетками переключение шло? Тут дело не в том что-либо нужно оператору или нет,а в том чтобы и случайное или преднамеренное закрытие рабочего приложения затруднить, т.к. это не только UI но и soft-plc (пускай в 100 строк кода).
want to have ultimate control, and the sky is the limit!

Аватара пользователя

Автор темы
izhidkov
осмотрелся
осмотрелся
Сообщения: 163
Зарегистрирован: 25 фев 2016, 12:18
Ф.И.О.: Жидков Игорь Алексеевич
Благодарил (а): 1 раз
Поблагодарили: 5 раз
Контактная информация:

Lockdown / Блокировка ПО

Сообщение izhidkov » 31 июл 2016, 14:10

Поковырялся с hook'ами Windows. В общем запустил процесс (exe) который фильтрует события alt+tab, т.е. окно "переключения приложений" вообще не запускается.
Таже фича с ctrl+shift+esc ) - фильтруется нажатие кнопки esc (когда ctrl и alt нажаты) и диспетчер задач даже не стартует.
alt+f4 тоже рубится на корню.

ctrl+alt+del не вышло отключить таким образом.

Конечно пока горячие клавиши отключены для всей системы, думаю можно для конкретного процесса отключить.

Чтобы все заработало обратно, нужно просто закрыть эту программу.
want to have ultimate control, and the sky is the limit!

Аватара пользователя

Exactamente
частый гость
частый гость
Сообщения: 409
Зарегистрирован: 20 ноя 2012, 12:45
Ф.И.О.: :.О.N.Ф
Благодарил (а): 3 раза
Поблагодарили: 3 раза

Lockdown / Блокировка ПО

Сообщение Exactamente » 01 авг 2016, 07:57

izhidkov писал(а):Источник цитаты
Exactamente писал(а):Источник цитаты Да, WinCC это умеет.

Выяснить бы как она это делает )

для версий 6-7 так, в TIA Portal / Step 7 не знаю, не работал с ними.

WinCC Explorer -> Computers -> Properties -> Graphics Runtime -> Turn Off
wcc.PNG


WinCC Explorer -> Computers -> Properties -> Parameters -> Disable Keys
wcc2.PNG



Конечно пока горячие клавиши отключены для всей системы, думаю можно для конкретного процесса отключить.
В чём смысл? :) Посмотрите ODK, там есть примеры как через API вытащить залогиненного юзера - тогда в вашем приложении можно можно сделать отключаемые хуки, если залогинен админ.
У вас нет необходимых прав для просмотра вложений в этом сообщении.
«Сразу видно внимание к каждой мелочи, неиспорченным не осталось ничто».

Аватара пользователя

kaskad
здесь недавно
здесь недавно
Сообщения: 12
Зарегистрирован: 28 июл 2016, 13:50
Ф.И.О.: Сермеев Михаил Юрьевич

Lockdown / Блокировка ПО

Сообщение kaskad » 05 авг 2016, 21:28

Написали ути
izhidkov писал(а):Источник цитаты Добрый день, подскажите какие варианты сейчас распространены блокировки ( lockdown & branding ) ПК под конкретное приложение SCADA-системы для Windows?

Т.е. какие комбинации клавиш,и фич разных обычно блокируются как вручную (так и средствами самой SCADA) чтобы пользователь не поправил структуру каталогов, или в тетрис поиграл и т.п.? или например чтобы обновление не стало ставиться в момент когда идет тех.процесс )?
Может кто знает спец.ПО которое настраивает запуск только определенных приложений на ПК?

Кроме этого интересует, как настраивается работа с приложениями вроде Excel,Word, Печати, на ПК на которых расположены различные программные компоненты SCADA, т.к. например по-умолчанию тот же Excel можно вызвать, например, диалоговые окна открытия файлов, в которых например можно удалять и создавать файлы, и т.п.

Может кто знает какие либо "дыры" в SCADA-х которые позволяю запустить левое ПО на ПК?

Для блокировки не желательных действий оператора, написали утилиту для работы с групповой политикой на машине. Чтобы каждый раз не лазить в ней, выручает. А так иногда вопрос оставляем на волю системных администраторов. У них и полномочий и знаний больше.

Аватара пользователя

Автор темы
izhidkov
осмотрелся
осмотрелся
Сообщения: 163
Зарегистрирован: 25 фев 2016, 12:18
Ф.И.О.: Жидков Игорь Алексеевич
Благодарил (а): 1 раз
Поблагодарили: 5 раз
Контактная информация:

Lockdown / Блокировка ПО

Сообщение izhidkov » 07 авг 2016, 11:17

Кстати как может решаться вопрос выключения ПК с центральным приложением?
Просто мысль такая появляется: если мы запускаем shutdown ПК и какое либо приложение зависает , то Windows выводит сообщение (и кажется в этой ситуации можно прервать выключение).. Как такую ситуацию обрабатывать?
want to have ultimate control, and the sky is the limit!

Аватара пользователя

Exactamente
частый гость
частый гость
Сообщения: 409
Зарегистрирован: 20 ноя 2012, 12:45
Ф.И.О.: :.О.N.Ф
Благодарил (а): 3 раза
Поблагодарили: 3 раза

Lockdown / Блокировка ПО

Сообщение Exactamente » 07 авг 2016, 11:47

запускать shutdown с ключом /f
«Сразу видно внимание к каждой мелочи, неиспорченным не осталось ничто».

Аватара пользователя

Автор темы
izhidkov
осмотрелся
осмотрелся
Сообщения: 163
Зарегистрирован: 25 фев 2016, 12:18
Ф.И.О.: Жидков Игорь Алексеевич
Благодарил (а): 1 раз
Поблагодарили: 5 раз
Контактная информация:

Lockdown / Блокировка ПО

Сообщение izhidkov » 07 авг 2016, 12:42

Exactamente писал(а):Источник цитаты запускать shutdown с ключом /f

Тоже неплохо, но winapi ExitWindowsEx ближе конечно. Думал может есть "настройка" ОС которая по-умолчанию убивает мертвые процессы при выключении.
want to have ultimate control, and the sky is the limit!

Аватара пользователя

Exactamente
частый гость
частый гость
Сообщения: 409
Зарегистрирован: 20 ноя 2012, 12:45
Ф.И.О.: :.О.N.Ф
Благодарил (а): 3 раза
Поблагодарили: 3 раза

Lockdown / Блокировка ПО

Сообщение Exactamente » 08 авг 2016, 12:23

izhidkov писал(а):Источник цитаты
Exactamente писал(а):Источник цитаты запускать shutdown с ключом /f

ExitWindowsEx ближе.

нуок, https://msdn.microsoft.com/ru-ru/library/windows/desktop/aa376868(v=vs.85).aspx - разве как тут написано не робит?
EWX_FORCEIFHUNG
0x00000010
Forces processes to terminate if they do not respond to the WM_QUERYENDSESSION or WM_ENDSESSION message within the timeout interval. For more information, see the Remarks.


или так: https://support.lenovo.com/ru/ru/documents/ht070943

1. Press "Window +R" keys to start "Run" dialogue box and type "gpedit.msc" in the dialogue box.

2. Click "OK", "Local Group Policy Editor" window will pop up.

3. Navigate to "Computer Configuration" --> "Administrative Templates" --> "System" --> "Shutdown Options". Double-click "Turn off automatic termination of applications that block or cancel shutdown" on the right panel. In the new dialogue box popped up, set configuration option as "Enabled".

4. Next time when you shut down your machine, the machine will be shut down directly without prompt.
«Сразу видно внимание к каждой мелочи, неиспорченным не осталось ничто».

Аватара пользователя

Автор темы
izhidkov
осмотрелся
осмотрелся
Сообщения: 163
Зарегистрирован: 25 фев 2016, 12:18
Ф.И.О.: Жидков Игорь Алексеевич
Благодарил (а): 1 раз
Поблагодарили: 5 раз
Контактная информация:

Lockdown / Блокировка ПО

Сообщение izhidkov » 08 авг 2016, 17:56

Exactamente писал(а):Источник цитаты the machine will be shut down directly without prompt.

вроде то что нужно
want to have ultimate control, and the sky is the limit!

Аватара пользователя

Автор темы
izhidkov
осмотрелся
осмотрелся
Сообщения: 163
Зарегистрирован: 25 фев 2016, 12:18
Ф.И.О.: Жидков Игорь Алексеевич
Благодарил (а): 1 раз
Поблагодарили: 5 раз
Контактная информация:

Lockdown / Блокировка ПО

Сообщение izhidkov » 28 авг 2016, 11:31

В общем добрался до custom_shell .
Есть один вопрос, может кто знает как Desktop Windows 8.1 professional настроить так чтобы она перезапускала "custom shell" или сама перезагружалась если оболочка зависнет/(т.е. закроется). (если вообще можно настройкой обойтись, т.е. что-нибудь в реестре прописать)

Собственно делал как указано тут:
"https://msdn.microsoft.com/en-us/library/ms838576(v=winembedded.5).aspx"
Последний раз редактировалось izhidkov 28 авг 2016, 11:38, всего редактировалось 4 раза.
want to have ultimate control, and the sky is the limit!

Аватара пользователя

Автор темы
izhidkov
осмотрелся
осмотрелся
Сообщения: 163
Зарегистрирован: 25 фев 2016, 12:18
Ф.И.О.: Жидков Игорь Алексеевич
Благодарил (а): 1 раз
Поблагодарили: 5 раз
Контактная информация:

Lockdown / Блокировка ПО

Сообщение izhidkov » 28 авг 2016, 11:34

alex_ugrumov писал(а):Источник цитаты Если СКАДА закрыть, то будет логаут.

Пока автоматом не происходит ) Просто чОрный экран.
want to have ultimate control, and the sky is the limit!


Вернуться в «Верхний уровень автоматизации»



Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 0 гостей