Jackson писал(а): ↑29 апр 2021, 22:27
Лучший контроль - это админ, который доложит начальству, кто на работе х.ней занимался.
Так для этого и нужен. В нашей сети порядка трех сотен компов, админ физически не в состоянии уследить за всеми, особенно с учетом того что он и сам хрен знает чем занимается - изготовлением патч-кордов, заменой картриджей, подержкой юзеров и т.д. И в этом плане просигнализировать и занести в логи - как раз полезная функция.
Jackson писал(а): ↑29 апр 2021, 22:27
Даже брандмауер на производственном ПК не нужен. На офисном он может доставить головной боли админу.
А в случае офисной сети он на компах и не нужен. Это пограничное устройство.
Полезнее всего в данном случае именно сканер, проверяющий почтовые вложения и скачиваемый контент. А также ограничивающие инструменты, которые по тем или иным причинам не могут быть настроены штатными средствами ОС. Или, опять же нужна громкая сигнализация об обходе или попытках обхода этих блокировок.
Уже сам факт срабатывания локального антивируса на пользовательском АРМ при том, что периметральные не отреагировали, говорит о том, что где-то дыра и необходимо ее искать.
Jackson писал(а): ↑29 апр 2021, 22:27
Если человек захочет посмотреть порно - он его посмотрит так или иначе. И если человек захочет угробить установку - он и это сделает.
Если человеку для того, чтобы посмотреть на голую бабу проще принести свой планшет со своей симкой, чем ковыряться с ограничениями - он его и посмотрит с планшета. А вот если у него на рабочем месте неограниченный безлимит - он и за планшетом лезть поленится. Намеренное вредительство - отдельная история, там и квалификация вредителей другая, и кое-какая информация о системах защиты обычно предварительно добывается. И опять же, для специалистов есть другие способы угробить - возвращаясь к известному примеру - ну зачем "хакеру" подключаться к релейке и ковырять 61850, если при наличии физического доступа проще на шинах гаечный ключ оставить.
А вот от разнообразных любопытствующих - полазить по сети и посмотреть что там есть, или опробовать информацию из очередной заметки про хакеров и уязвимости) причем обычно изнутри (ночной смене скучно, да и на границе брандмауэр стоит) - вполне себе защита. Не спасет, так просигнализирует и в журнал запишет.
Jackson писал(а): ↑29 апр 2021, 22:27Откуда вообще интернет и внешние носители на производственных компах?
А это смотря, какие компы. У диспетчеров часто стоят обычные офисные, где USB на морде отключить еще можно, а вот задние на материнке требуют вмешательства в конструкцию. Интернет, кстати, берется оттуда же - USB-модемы из карманов.
Это левые носители. Есть и официальные - АИИСКУЭ по определению предполагает обмен информацией со сбытовой компанией. Осциллограмы с релейки должны автоматически собираться, а при разборе - отправляться в РДУ. Да, это делается человеком, но права на сменные носители у него есть. А в случае оптового рынка и отправка данных о потреблении должна идти автоматически.
А может быть и еще смешнее - для связи с РДУ и сетевой используются арендуемые у опсоса каналы и устанавливаемое им оборудование. Так вот, на тех интерфейсах, которые используются для связи - все хорошо и красиво, VPN до нужной точки. А на остальных портах операторского оборудования обнаружился вполне себе приличный интернет с DHCP, причем, похоже, бездоговорной.
И легким движением руки с патч-кордом вся производственная сеть превращается в интернет-кафе. Да, потом будет выснение причин обрыва технологической связи и наказание участников, но это уже потом.
Еще из недавних приколов - для того, чтобы подключиться к контроллеру от AllenBraldley нужно зарегистрироваться на роквеловком сайте, ввести серийники, скачать оттуда некий DownloadManager, запустить его и тот уже сам неизвестно откуда и как скачивает необходимый набор пакетов. А потом как-то перенести его на инженерский ноутбук.
А там написано:
