KVM как защита от нецелевого использования АРМ

[megavolt86]

Здравствуйте господа и дамы если есть!)))
Вопрос возник к бывалым. Используете ли вы в работе kvm-удлинители? Какова их надежность и есть ли подводные камни?
Занимаюсь проектированием, внедрением и обслуживанием средств АСУТП, но в связи с увеличением компьютерной грамотности операторов необходимо оградить армы от их нецелевого использования (неоднократно были выявлены факты просмотра фильмов, фото в ночное и вечернее время). Так вот хочется монтировать станции в 19' стойку, ставить kvm и закрывать в шкафу, чтоб не лазили.
Так то на предприятии эксплуатируются в одном месте два комплекта, но один практически сразу вышел из строя, другой уже лет 8 работает, так что мнение 50 на 50)))

[Ryzhij]

С приходом нового руководства стали внедрять KVM.
Надёжность такого решения, как оказалось, мягко говоря, оставляет желать лучшего.
На АРМ, снабженных помышленной мебелью, с установленными в консоль оператора рабочими станциями отказов меньше.
Honeywell, кстати, именно такие решения и продолжает использовать.
"И ведь не дураки!" (с) Е.Гришковец

Что же касается нецелевого использования АРМ, то, как я уже неоднократно писал, далеко не все вопросы эффективно решаются технически - иногда требуются организационные методы.
Например такие как:
1. Не брать дураков на работу;
2. Наказывать и предавать огласке случаи нецелевого использования КТС;
3. Помнить, что ИТР работает не с техникой, как заблуждаются студенты, а с людьми и для людей. И этих людей надо дисциплинировать.

[Exactamente]

Неоднозначный, но вполне работающий финт ушами - таки выделить несчастным древнюю машинку для "нецелевого использования". Формально - для составления какой-нибудь документации, отчётов и т.п.

Однозначный и работающий - отрубить ЮСБ. Надо учесть, что и в квмах бывают вынесенные юсб)

С KVM'ми, как с любым оборудованием, вопрос выбора оборудования) Были, работали, никаких особых проблем, два из примерно десятка за год вышли из строя.

[sve]

А не лучше для этих целей соответствующим образом настроить политику безопасности Windows для конкретных пользователей, ограничив этим функционал операторов ?

[Ryzhij]

Понятия "политика безопасности" плохо совмещается не только с понятием "Windows", но но и с фактом возможности физического доступа к оборудованию.

Из практики.
Пересланные начальнику установки по корпоративной почте логи всё той же Винды, красноречиво свидетельстующие о запуске сторонних приложений технологическим персоналом, и адекватная реакция руководства на это, способны надолго отбить охоту заниматься на работе фигнёй.

[megavolt86]

Юсб программно отрубить не получится, аппаратные ключи стоят.
Ограничить доступ до флешек обычным пользователям можно, но вот тот же трейсмоуд отказывается работать под юзером, админа подавай, а админа оставлять на общак не есть гуд!
Еще такой момент, весь интернет пестрит хелпами как можно узнать пароль админа...

Административными мерами пытались задавить тягу к противозаконному, но руководству цехов по барабану, вот если в результате какого нибудь вируса система упадет, тогда вот они одумаются, но не рушить же самим систему, что ктото зашевелился...
Есть еще выход физически отключить юсб а файлы скидывать в расшареную папку.

[Jackson]

А не лучше для этих целей соответствующим образом настроить политику безопасности Windows для конкретных пользователей, ограничив этим функционал операторов ?

На АРМе это может не пройти, т.к. ряд ПО требует админские права для работы.

Как уже выше писали:
1. закройте на АРМе все внешние порты не связанные с работой - это бесплатно.
2. Дисциплинируйте людей. Раз "были замечены случаи", то почему, вместо того чтобы их пресечь, Вы копаетесь в железке? Даже если автомобиль оснастить всеми мыслимыми системами безопасности, водитель-идиот устроит на нём ДТП и виноват будет водитель-идиот, а не отсутствие какой-нибудь ещё системы безопасности. АРМ работает с технологией, возможно опасной, поэтому на АРМе нечего развлекаться, и нарушение этого правила, если это действительно важно, должно пресекаться и караться. Железка тут ни при чём.
3. Поставьте операторам моноблок за 300 баксов, пусть заодно отчёты пишут какие-нибудь - это дешевле и проще. И полку с книжками и торшер в комнате отдыха.

[Никита]

А, собственно, нахрена это все?
Задача АРМа - предоставлять оператору информацию, на которую тот должен реагировать. Если он этого делать не хочет - технические решения тут не помогут. Можно вообще убрать ПК, поставить иконостас из лампочек, М1730 и КСД - так он на телефоне в игрушки играть будет или спать в углу на матрасе.
Опасная технология не должна зависеть от АРМа. Управление и защиты - сами по себе, "улучшение условий работы персонала" - само по себе.
Если же игрушки-вирусы нарушают работоспособность АРМа, то пара рапортов наверх от местного "эникейщика" не то чтобы совсем решат проблему, но значительно облегчат жизнь.

[megavolt86]

Когда работа систем отлажена, то операторы превращаются в обезьян, которые думать не хотят и обучают этому новый персонал, а те в свою очередь начинают выдумывать себе развлечения.

Лично за руку поймать не получается, потому что работаем только в дневное время, а хренью заниматься начинают уже в вечернюю и ночную смену, а когда собираешь инфу с армов когда были акты использования флешек, то становится не смешно, а докладные начальству цехов не помогают, это дело спускается на тормозах

[VADR]

1. Политики настраивать таки надо. Рекомендаций в этих наших интернетах - куча. В том числе по флешкам - можно сделать так, чтобы можно было использовать только ограниченный набор флешек, с которыми приходит по необходимости инженер (софт поставить, апдейты накатить, архивы скачать - мало ли, если обычной сети нет). Всякие разные CD/DVD прекрасно отключаются физически.
2. Политики не всегда помогают. Если, к примеру, установлен софт, имеющий диалоги открытия/сохранения файла - через него можно добраться до проводника/сапёра/пасьянса. Опять же - частично проблема решается скрытием дисков от пользователя, но не полностью.
3. Софта, который для обычной работы оператора требует админских прав, следует избегать по мере возможности. Ибо нефиг.

[megavolt86]

Вот не всегда софт выбираем мы сами, очень много проектов делали сторонние организации, они продают готовое решение....
Насчет прописки определенных носителей надо обкурить этот вопрос...

[Exactamente]

>Софта, который для обычной работы оператора требует админских прав, следует избегать по мере возможности. Ибо нефиг
Я бы даже не стал экспериментировать со скадами на юзерских правах. Ну то есть это как несколько антивирусов на одной машине - авось пронесёт.

Афтар, вы почему-то упорно игнорируете все дельные советы, отвечая только на общие рассуждения. Предположу, что как и вашему начальству, вам тоже флешки не особо мешают.

[VADR]

Вот не всегда софт выбираем мы сами, очень много проектов делали сторонние организации, они продают готовое решение....

А это можно на этапе подготовки ТЗ прописать. По крайней мере сейчас мы рассматриваем несколько разных СКАД как варианты для одной задачи, так те, которые требуют админских прав - сразу нафиг. У меня в эксплуатации довольно приличное количество операторских станций, так там в руководстве по инсталляции прописана процедура "политизирования" после установки. В итоге - все права у админа, а оператор может только то, что ему разрешено. Операторы всё равно смотрят кино и играют в игры, но используют для этого свои принесённые из дома планшеты :)

Насчет прописки определенных носителей надо обкурить этот вопрос...

Детально не помню, но суть примерно такая. На "незаполитизированной" машине поочерёдно вставляются флешки, которым надо оставить доступ. Их идентификаторы прописываются в реестр, после чего на раздел, в который пишутся эти идентификаторы, запрещается доступ на запись всем, включая LocalSystem.

[megavolt86]

Насчет планшетов у вас сказка просто для работников...у нас вышли правила внутриобьектового режима в новой редакции, так по этим правилам телефоны заносить на завод нельзя, со всех сторон народ ужимают, так я еще и последнюю радость хочу забрать - армы заблокировать )))

[Jackson]

Когда работа систем отлажена, то операторы превращаются в обезьян, которые думать не хотят и обучают этому новый персонал, а те в свою очередь начинают выдумывать себе развлечения.

Гнать в шею надо такой персонал. Дисциплина есть дисциплина. Это если строго. Если не строго, то все мы люди, и "если нельзя запретить или ограничить - надо возглавить". По-моему, решения уже даны все, но Вы упорно утверждаете что сделать ничего нельзя. Так не бывает.

Насчет планшетов у вас сказка просто для работников...у нас вышли правила внутриобьектового режима в новой редакции, так по этим правилам телефоны заносить на завод нельзя, со всех сторон народ ужимают, так я еще и последнюю радость хочу забрать - армы заблокировать )))

Хорошая дисциплина там у вас. Режимный объект, но бардак в операторской никого не интересует. Вот и шлите докладные не начальникам цехов, а общему отделу который занимается внутренним распорядком.

Ну или ждите аварии - что ещё сказать...

[megavolt86]

Можно, я просто как факт говорю, что персонал не ответственный, а вот идея с запретом флешек не разрешенных политикой безопасности мне понравилась, буду я пробовать.

[Jackson]

а вот идея с запретом флешек не разрешенных политикой безопасности мне понравилась, буду я пробовать.

Сами же и наступите на эти грабли, когда придёте срочно обслуживать АРМ с другой флешкой. :)

Есть ещё способ - контроль фокуса окна ПО. Если фокус теряется более чем на 10 минут - уведомление.

Но это всё лечение поноса пробкой. Потому что главное не запрет, а быстрая и неотвратимая реакция за его нарушение. Воспитывает не размер наказания, а его неотвратимость.