1. Обязательно представиться на русском языке кириллицей (заполнить поле "Имя").
  2. Фиктивные имена мы не приветствуем. Ивановых и Пупкиных здесь уже достаточно.
  3. Не надо писать свой вопрос в первую попавшуюся тему - всегда лучше создать новую тему.
  4. За поиск, предложение и обсуждение пиратского ПО и средств взлома - бан без предупреждения. Непонятно? - Читать здесь.
  5. Рекламу и частные объявления "куплю/продам/есть халтура" мы не размещаем ни на каких условиях.
  6. Перед тем как что-то написать - читать здесь, а затем здесь и здесь.
  7. Не надо писать в ЛС администраторам свои технические вопросы. Администраторы форума отлично знают как работает форум, а не все-все контроллеры, о которых тут пишут.

KVM как защита от нецелевого использования АРМ

Модератор: Глоб.модераторы

Закрыто
Аватара пользователя

Автор темы
megavolt86
эксперт
эксперт
Сообщения: 1172
Зарегистрирован: 14 ноя 2013, 20:35
Имя: Анатолий Сергеевич
Страна: Россия
город/регион: Башкортостан
Благодарил (а): 13 раз
Поблагодарили: 68 раз

KVM как защита от нецелевого использования АРМ

Сообщение megavolt86 »

Здравствуйте господа и дамы если есть!)))
Вопрос возник к бывалым. Используете ли вы в работе kvm-удлинители? Какова их надежность и есть ли подводные камни?
Занимаюсь проектированием, внедрением и обслуживанием средств АСУТП, но в связи с увеличением компьютерной грамотности операторов необходимо оградить армы от их нецелевого использования (неоднократно были выявлены факты просмотра фильмов, фото в ночное и вечернее время). Так вот хочется монтировать станции в 19' стойку, ставить kvm и закрывать в шкафу, чтоб не лазили.
Так то на предприятии эксплуатируются в одном месте два комплекта, но один практически сразу вышел из строя, другой уже лет 8 работает, так что мнение 50 на 50)))
:ext_secret:

Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 5790
Зарегистрирован: 07 окт 2011, 09:12
Имя: Гаско Вячеслав Эриевич
Страна: Россия
город/регион: Рязань
Благодарил (а): 673 раза
Поблагодарили: 841 раз

Re: KVM как защита от нецелевого использования АРМ

Сообщение Ryzhij »

С приходом нового руководства стали внедрять KVM.
Надёжность такого решения, как оказалось, мягко говоря, оставляет желать лучшего.
На АРМ, снабженных помышленной мебелью, с установленными в консоль оператора рабочими станциями отказов меньше.
Honeywell, кстати, именно такие решения и продолжает использовать.
"И ведь не дураки!" (с) Е.Гришковец

Что же касается нецелевого использования АРМ, то, как я уже неоднократно писал, далеко не все вопросы эффективно решаются технически - иногда требуются организационные методы.
Например такие как:
1. Не брать дураков на работу;
2. Наказывать и предавать огласке случаи нецелевого использования КТС;
3. Помнить, что ИТР работает не с техникой, как заблуждаются студенты, а с людьми и для людей. И этих людей надо дисциплинировать.
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)
Аватара пользователя

Exactamente
частый гость
частый гость
Сообщения: 409
Зарегистрирован: 20 ноя 2012, 13:45
Имя: :.О.N.Ф
Страна: Россия
Благодарил (а): 3 раза
Поблагодарили: 7 раз

Re: KVM как защита от нецелевого использования АРМ

Сообщение Exactamente »

Неоднозначный, но вполне работающий финт ушами - таки выделить несчастным древнюю машинку для "нецелевого использования". Формально - для составления какой-нибудь документации, отчётов и т.п.

Однозначный и работающий - отрубить ЮСБ. Надо учесть, что и в квмах бывают вынесенные юсб)

С KVM'ми, как с любым оборудованием, вопрос выбора оборудования) Были, работали, никаких особых проблем, два из примерно десятка за год вышли из строя.
«Сразу видно внимание к каждой мелочи, неиспорченным не осталось ничто».

sve
здесь недавно
здесь недавно
Сообщения: 49
Зарегистрирован: 18 дек 2013, 12:11
Имя: Вадим
Благодарил (а): 2 раза
Поблагодарили: 2 раза

Re: KVM как защита от нецелевого использования АРМ

Сообщение sve »

А не лучше для этих целей соответствующим образом настроить политику безопасности Windows для конкретных пользователей, ограничив этим функционал операторов ?

Ryzhij
почётный участник форума
почётный участник форума
Сообщения: 5790
Зарегистрирован: 07 окт 2011, 09:12
Имя: Гаско Вячеслав Эриевич
Страна: Россия
город/регион: Рязань
Благодарил (а): 673 раза
Поблагодарили: 841 раз

Re: KVM как защита от нецелевого использования АРМ

Сообщение Ryzhij »

Понятия "политика безопасности" плохо совмещается не только с понятием "Windows", но но и с фактом возможности физического доступа к оборудованию.

Из практики.
Пересланные начальнику установки по корпоративной почте логи всё той же Винды, красноречиво свидетельстующие о запуске сторонних приложений технологическим персоналом, и адекватная реакция руководства на это, способны надолго отбить охоту заниматься на работе фигнёй.
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)
Аватара пользователя

Автор темы
megavolt86
эксперт
эксперт
Сообщения: 1172
Зарегистрирован: 14 ноя 2013, 20:35
Имя: Анатолий Сергеевич
Страна: Россия
город/регион: Башкортостан
Благодарил (а): 13 раз
Поблагодарили: 68 раз

Re: KVM как защита от нецелевого использования АРМ

Сообщение megavolt86 »

Юсб программно отрубить не получится, аппаратные ключи стоят.
Ограничить доступ до флешек обычным пользователям можно, но вот тот же трейсмоуд отказывается работать под юзером, админа подавай, а админа оставлять на общак не есть гуд!
Еще такой момент, весь интернет пестрит хелпами как можно узнать пароль админа...

Административными мерами пытались задавить тягу к противозаконному, но руководству цехов по барабану, вот если в результате какого нибудь вируса система упадет, тогда вот они одумаются, но не рушить же самим систему, что ктото зашевелился...
Есть еще выход физически отключить юсб а файлы скидывать в расшареную папку.
:ext_secret:
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Re: KVM как защита от нецелевого использования АРМ

Сообщение Jackson »

sve писал(а):А не лучше для этих целей соответствующим образом настроить политику безопасности Windows для конкретных пользователей, ограничив этим функционал операторов ?
На АРМе это может не пройти, т.к. ряд ПО требует админские права для работы.

Как уже выше писали:
1. закройте на АРМе все внешние порты не связанные с работой - это бесплатно.
2. Дисциплинируйте людей. Раз "были замечены случаи", то почему, вместо того чтобы их пресечь, Вы копаетесь в железке? Даже если автомобиль оснастить всеми мыслимыми системами безопасности, водитель-идиот устроит на нём ДТП и виноват будет водитель-идиот, а не отсутствие какой-нибудь ещё системы безопасности. АРМ работает с технологией, возможно опасной, поэтому на АРМе нечего развлекаться, и нарушение этого правила, если это действительно важно, должно пресекаться и караться. Железка тут ни при чём.
3. Поставьте операторам моноблок за 300 баксов, пусть заодно отчёты пишут какие-нибудь - это дешевле и проще. И полку с книжками и торшер в комнате отдыха.
По вопросам работы Форума можно обратиться по этим контактам.
Аватара пользователя

Никита
почётный участник форума
почётный участник форума
Сообщения: 3971
Зарегистрирован: 20 янв 2010, 22:23
Имя: Никита
Страна: РФ
город/регион: Мурманск
Благодарил (а): 21 раз
Поблагодарили: 229 раз

Re: KVM как защита от нецелевого использования АРМ

Сообщение Никита »

А, собственно, нахрена это все?
Задача АРМа - предоставлять оператору информацию, на которую тот должен реагировать. Если он этого делать не хочет - технические решения тут не помогут. Можно вообще убрать ПК, поставить иконостас из лампочек, М1730 и КСД - так он на телефоне в игрушки играть будет или спать в углу на матрасе.
Опасная технология не должна зависеть от АРМа. Управление и защиты - сами по себе, "улучшение условий работы персонала" - само по себе.
Если же игрушки-вирусы нарушают работоспособность АРМа, то пара рапортов наверх от местного "эникейщика" не то чтобы совсем решат проблему, но значительно облегчат жизнь.
Опыт - это когда на смену вопросам: "Что? Где? Когда? Как? Почему?" приходит единственный вопрос: "Нахрена? "
Аватара пользователя

Автор темы
megavolt86
эксперт
эксперт
Сообщения: 1172
Зарегистрирован: 14 ноя 2013, 20:35
Имя: Анатолий Сергеевич
Страна: Россия
город/регион: Башкортостан
Благодарил (а): 13 раз
Поблагодарили: 68 раз

Re: KVM как защита от нецелевого использования АРМ

Сообщение megavolt86 »

Когда работа систем отлажена, то операторы превращаются в обезьян, которые думать не хотят и обучают этому новый персонал, а те в свою очередь начинают выдумывать себе развлечения.

Лично за руку поймать не получается, потому что работаем только в дневное время, а хренью заниматься начинают уже в вечернюю и ночную смену, а когда собираешь инфу с армов когда были акты использования флешек, то становится не смешно, а докладные начальству цехов не помогают, это дело спускается на тормозах
:ext_secret:
Аватара пользователя

VADR
администратор
администратор
Сообщения: 4909
Зарегистрирован: 25 июл 2008, 07:12
Имя: Диев Александр Васильевич
Страна: Россия
город/регион: г. Сегежа, Карелия
Благодарил (а): 236 раз
Поблагодарили: 425 раз

Re: KVM как защита от нецелевого использования АРМ

Сообщение VADR »

1. Политики настраивать таки надо. Рекомендаций в этих наших интернетах - куча. В том числе по флешкам - можно сделать так, чтобы можно было использовать только ограниченный набор флешек, с которыми приходит по необходимости инженер (софт поставить, апдейты накатить, архивы скачать - мало ли, если обычной сети нет). Всякие разные CD/DVD прекрасно отключаются физически.
2. Политики не всегда помогают. Если, к примеру, установлен софт, имеющий диалоги открытия/сохранения файла - через него можно добраться до проводника/сапёра/пасьянса. Опять же - частично проблема решается скрытием дисков от пользователя, но не полностью.
3. Софта, который для обычной работы оператора требует админских прав, следует избегать по мере возможности. Ибо нефиг.
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.
Аватара пользователя

Автор темы
megavolt86
эксперт
эксперт
Сообщения: 1172
Зарегистрирован: 14 ноя 2013, 20:35
Имя: Анатолий Сергеевич
Страна: Россия
город/регион: Башкортостан
Благодарил (а): 13 раз
Поблагодарили: 68 раз

Re: KVM как защита от нецелевого использования АРМ

Сообщение megavolt86 »

Вот не всегда софт выбираем мы сами, очень много проектов делали сторонние организации, они продают готовое решение....
Насчет прописки определенных носителей надо обкурить этот вопрос...
:ext_secret:
Аватара пользователя

Exactamente
частый гость
частый гость
Сообщения: 409
Зарегистрирован: 20 ноя 2012, 13:45
Имя: :.О.N.Ф
Страна: Россия
Благодарил (а): 3 раза
Поблагодарили: 7 раз

Re: KVM как защита от нецелевого использования АРМ

Сообщение Exactamente »

>Софта, который для обычной работы оператора требует админских прав, следует избегать по мере возможности. Ибо нефиг
Я бы даже не стал экспериментировать со скадами на юзерских правах. Ну то есть это как несколько антивирусов на одной машине - авось пронесёт.

Афтар, вы почему-то упорно игнорируете все дельные советы, отвечая только на общие рассуждения. Предположу, что как и вашему начальству, вам тоже флешки не особо мешают.
«Сразу видно внимание к каждой мелочи, неиспорченным не осталось ничто».
Аватара пользователя

VADR
администратор
администратор
Сообщения: 4909
Зарегистрирован: 25 июл 2008, 07:12
Имя: Диев Александр Васильевич
Страна: Россия
город/регион: г. Сегежа, Карелия
Благодарил (а): 236 раз
Поблагодарили: 425 раз

Re: KVM как защита от нецелевого использования АРМ

Сообщение VADR »

megavolt86 писал(а):Вот не всегда софт выбираем мы сами, очень много проектов делали сторонние организации, они продают готовое решение....
А это можно на этапе подготовки ТЗ прописать. По крайней мере сейчас мы рассматриваем несколько разных СКАД как варианты для одной задачи, так те, которые требуют админских прав - сразу нафиг. У меня в эксплуатации довольно приличное количество операторских станций, так там в руководстве по инсталляции прописана процедура "политизирования" после установки. В итоге - все права у админа, а оператор может только то, что ему разрешено. Операторы всё равно смотрят кино и играют в игры, но используют для этого свои принесённые из дома планшеты :)
megavolt86 писал(а):Насчет прописки определенных носителей надо обкурить этот вопрос...
Детально не помню, но суть примерно такая. На "незаполитизированной" машине поочерёдно вставляются флешки, которым надо оставить доступ. Их идентификаторы прописываются в реестр, после чего на раздел, в который пишутся эти идентификаторы, запрещается доступ на запись всем, включая LocalSystem.
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.
Аватара пользователя

Автор темы
megavolt86
эксперт
эксперт
Сообщения: 1172
Зарегистрирован: 14 ноя 2013, 20:35
Имя: Анатолий Сергеевич
Страна: Россия
город/регион: Башкортостан
Благодарил (а): 13 раз
Поблагодарили: 68 раз

Re: KVM как защита от нецелевого использования АРМ

Сообщение megavolt86 »

Насчет планшетов у вас сказка просто для работников...у нас вышли правила внутриобьектового режима в новой редакции, так по этим правилам телефоны заносить на завод нельзя, со всех сторон народ ужимают, так я еще и последнюю радость хочу забрать - армы заблокировать )))
:ext_secret:
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Re: KVM как защита от нецелевого использования АРМ

Сообщение Jackson »

megavolt86 писал(а):Когда работа систем отлажена, то операторы превращаются в обезьян, которые думать не хотят и обучают этому новый персонал, а те в свою очередь начинают выдумывать себе развлечения.
Гнать в шею надо такой персонал. Дисциплина есть дисциплина. Это если строго. Если не строго, то все мы люди, и "если нельзя запретить или ограничить - надо возглавить". По-моему, решения уже даны все, но Вы упорно утверждаете что сделать ничего нельзя. Так не бывает.
megavolt86 писал(а):Насчет планшетов у вас сказка просто для работников...у нас вышли правила внутриобьектового режима в новой редакции, так по этим правилам телефоны заносить на завод нельзя, со всех сторон народ ужимают, так я еще и последнюю радость хочу забрать - армы заблокировать )))
Хорошая дисциплина там у вас. Режимный объект, но бардак в операторской никого не интересует. Вот и шлите докладные не начальникам цехов, а общему отделу который занимается внутренним распорядком.

Ну или ждите аварии - что ещё сказать...
По вопросам работы Форума можно обратиться по этим контактам.
Аватара пользователя

Автор темы
megavolt86
эксперт
эксперт
Сообщения: 1172
Зарегистрирован: 14 ноя 2013, 20:35
Имя: Анатолий Сергеевич
Страна: Россия
город/регион: Башкортостан
Благодарил (а): 13 раз
Поблагодарили: 68 раз

Re: KVM как защита от нецелевого использования АРМ

Сообщение megavolt86 »

Можно, я просто как факт говорю, что персонал не ответственный, а вот идея с запретом флешек не разрешенных политикой безопасности мне понравилась, буду я пробовать.
:ext_secret:
Аватара пользователя

Jackson
администратор
администратор
Сообщения: 18758
Зарегистрирован: 17 июн 2008, 16:01
Имя: Евгений свет Брониславович
Страна: Россия
город/регион: Санкт-Петербург
Благодарил (а): 973 раза
Поблагодарили: 1854 раза

Re: KVM как защита от нецелевого использования АРМ

Сообщение Jackson »

а вот идея с запретом флешек не разрешенных политикой безопасности мне понравилась, буду я пробовать.
Сами же и наступите на эти грабли, когда придёте срочно обслуживать АРМ с другой флешкой. :)

Есть ещё способ - контроль фокуса окна ПО. Если фокус теряется более чем на 10 минут - уведомление.

Но это всё лечение поноса пробкой. Потому что главное не запрет, а быстрая и неотвратимая реакция за его нарушение. Воспитывает не размер наказания, а его неотвратимость.
По вопросам работы Форума можно обратиться по этим контактам.
Закрыто

Вернуться в «Информационная безопасность»