Lockdown / Блокировка ПО

[izhidkov]

Добрый день, подскажите какие варианты сейчас распространены блокировки ( lockdown & branding ) ПК под конкретное приложение SCADA-системы для Windows?

Т.е. какие комбинации клавиш,и фич разных обычно блокируются как вручную (так и средствами самой SCADA) чтобы пользователь не поправил структуру каталогов, или в тетрис поиграл и т.п.? или например чтобы обновление не стало ставиться в момент когда идет тех.процесс )?
Может кто знает спец.ПО которое настраивает запуск только определенных приложений на ПК?

Кроме этого интересует, как настраивается работа с приложениями вроде Excel,Word, Печати, на ПК на которых расположены различные программные компоненты SCADA, т.к. например по-умолчанию тот же Excel можно вызвать, например, диалоговые окна открытия файлов, в которых например можно удалять и создавать файлы, и т.п.

Может кто знает какие либо "дыры" в SCADA-х которые позволяю запустить левое ПО на ПК?

[Ryzhij]

Странный интерес...
Чем он вызван, поведать нам можете?

[Romcheg]

Не раз сталкивались с требованиями блокировки всего что возможно, чтобы оператор только в интерфейсе АРМа работал и не мог ничего ни запустить, ни переключиться, ни закрыть. У нас в скаде для этого даже специальные решения есть, которые позволяют организовать такое. Причем уже два раза прошли проверки серьезные решений с этими наработками. У многих скада-систем есть штатные функции для этого, но если есть грамотные ИТшники - могут даже винду так настроить, что и в скаде ничего не надо будет делать.
А вот с запуском стороннего ПО в таких решениях придется искать варианты другие - тот же диалог открытия файла чуть ли не на 90% функции Эксплорера выполняет.

Из нестандартных решений про которые мне рассказывали - просто выламывают на клавиатуре клавиши, которые участвуют в комбинациях. А еще есть клавиатуры, где на уровне специализированного ПО для этой клавы через ее драйвер можно выполнить блокировку нужных комбинаций. Есть очень банальное решение - убивать процесс Explorer тогда АРМ может болтаться как единственное приложением в системе, но не везде прокатит. Тут еще очень многое от версии ОСи зависит.

А про "дыры" и прочие настройки - сомневаюсь, что кто-то станет описывать подробности, Вы как-то не так вопрос задали.

[izhidkov]

Странный интерес...
Чем он вызван, поведать нам можете?

Нужно нарисовать небольшую программку для станка, не хочу заморачиваться с Windows IoT/Embedded, где lockdown настраивается "из коробки", и поставить на Windows 8/10. Собственно и думаю, что нужно блокировать, и что может помочь.
- я например, не знаю WinCC блокирует Alt+F4, Ctrl+Alt+Del и т.п.
- помню что можно было запустить диспетчер задач (ctr+shift+esc) и из него клацнуть "новая задача" а там простор для мысли.

Где-то читал что "Учетные политики" программ в Виндах настраиваются так что можно как указывать конкретные программы которые можно запускать, так и программы которые нельзя запускать, так и вообще в целом подменить explorer как оболочку на свою программу.
Как-то так.

[alex_ugrumov]

Я делал так. Можно подменить запуск эксплорера запуском своей программы. Например, http://www.adminworld.ru/windows/zamena ... ndows.html. Ещё порыскайте в поисковиках на тему "подмены эксплорера" (там есть такая сложность, что нитка реестра, в которой прописывается запуск оболочки, привязана в реестре к текущему сеансу. И подменить-то вы сможете, но а назад как ? :) для этого из другой учётки подгружается ветка реестра от боевой и меняется назад. в общем есть нюансы. и помниться мне, была какая-то тулзень, которая подмену эксплорера делает.)
Что в результате? логинетесь в учётку оператора и вместо рабочего стола запускается СКАДА. Если СКАДА закрыть, то будет логаут.
+ запрет в реестре работы сочетаний горячих клавиш. Например, http://forum.oszone.net/post-2587086.html (предложение выламывать клавиши повеселило:)
Да, с диалогами открытия / сохранения файлов есть сложности, но либо исключить их логикой приложения. Либо может такие же методы есть?

[izhidkov]

qwe

Можно подменить запуск эксплорера

А есть варианты без затрагивания эксплореров и изменения сессий? Мне кажется желательно все-таки иметь возможность выходить в привычный рабочий стол по необходимости без перезагрузок и смены сессий и т.п.
(для определенных пользователей,видел однажды - вводишь пароль и появляется кнопка сворачивания приложения)

[Exactamente]

- я например, не знаю WinCC блокирует Alt+F4, Ctrl+Alt+Del и т.п.

Да, WinCC это умеет. И можно нарисовать кнопку для сворачивания, которая будет доступна определённым учёткам.

[izhidkov]

Да, WinCC это умеет.

Выяснить бы как она это делает )

[alex_ugrumov]

qwe

Можно подменить запуск эксплорера

А есть варианты без затрагивания эксплореров и изменения сессий? Мне кажется желательно все-таки иметь возможность выходить в привычный рабочий стол по необходимости без перезагрузок и смены сессий и т.п.

Я описывал свой опыт решения такой задачи, и такой подход для мой задачи был достаточный. Не настаиваю в его абсолютной правильности, но это было простое, бесплатное решение. Особой проблемы в смене учётки не было: оператору это не нужно, он работает только в его UI. Наладчик работает в своей учётке, где есть стол и можно запустить СКАДУ и посмотреть, как выглядит. Так что переключений между учётками по сути не было.

[izhidkov]

Так что переключений между учётками по сути не было.

Так как м/у учетками переключение шло? Тут дело не в том что-либо нужно оператору или нет,а в том чтобы и случайное или преднамеренное закрытие рабочего приложения затруднить, т.к. это не только UI но и soft-plc (пускай в 100 строк кода).

[izhidkov]

Поковырялся с hook'ами Windows. В общем запустил процесс (exe) который фильтрует события alt+tab, т.е. окно "переключения приложений" вообще не запускается.
Таже фича с ctrl+shift+esc ) - фильтруется нажатие кнопки esc (когда ctrl и alt нажаты) и диспетчер задач даже не стартует.
alt+f4 тоже рубится на корню.

ctrl+alt+del не вышло отключить таким образом.

Конечно пока горячие клавиши отключены для всей системы, думаю можно для конкретного процесса отключить.

Чтобы все заработало обратно, нужно просто закрыть эту программу.

[Exactamente]

Да, WinCC это умеет.

Выяснить бы как она это делает )

для версий 6-7 так, в TIA Portal / Step 7 не знаю, не работал с ними.

WinCC Explorer Computers Properties Graphics Runtime Turn Off

wcc.PNG

WinCC Explorer Computers Properties Parameters Disable Keys

wcc2.PNG

Конечно пока горячие клавиши отключены для всей системы, думаю можно для конкретного процесса отключить.

В чём смысл? :) Посмотрите ODK, там есть примеры как через API вытащить залогиненного юзера - тогда в вашем приложении можно можно сделать отключаемые хуки, если залогинен админ.

[kaskad]

Написали ути

Добрый день, подскажите какие варианты сейчас распространены блокировки ( lockdown & branding ) ПК под конкретное приложение SCADA-системы для Windows?

Т.е. какие комбинации клавиш,и фич разных обычно блокируются как вручную (так и средствами самой SCADA) чтобы пользователь не поправил структуру каталогов, или в тетрис поиграл и т.п.? или например чтобы обновление не стало ставиться в момент когда идет тех.процесс )?
Может кто знает спец.ПО которое настраивает запуск только определенных приложений на ПК?

Кроме этого интересует, как настраивается работа с приложениями вроде Excel,Word, Печати, на ПК на которых расположены различные программные компоненты SCADA, т.к. например по-умолчанию тот же Excel можно вызвать, например, диалоговые окна открытия файлов, в которых например можно удалять и создавать файлы, и т.п.

Может кто знает какие либо "дыры" в SCADA-х которые позволяю запустить левое ПО на ПК?

Для блокировки не желательных действий оператора, написали утилиту для работы с групповой политикой на машине. Чтобы каждый раз не лазить в ней, выручает. А так иногда вопрос оставляем на волю системных администраторов. У них и полномочий и знаний больше.

[izhidkov]

Кстати как может решаться вопрос выключения ПК с центральным приложением?
Просто мысль такая появляется: если мы запускаем shutdown ПК и какое либо приложение зависает , то Windows выводит сообщение (и кажется в этой ситуации можно прервать выключение).. Как такую ситуацию обрабатывать?

[Exactamente]

запускать shutdown с ключом /f

[izhidkov]

запускать shutdown с ключом /f

Тоже неплохо, но winapi ExitWindowsEx ближе конечно. Думал может есть "настройка" ОС которая по-умолчанию убивает мертвые процессы при выключении.

[Exactamente]

запускать shutdown с ключом /f

ExitWindowsEx ближе.

нуок, https://msdn.microsoft.com/ru-ru/librar ... s.85).aspx - разве как тут написано не робит?

EWX_FORCEIFHUNG
0x00000010
Forces processes to terminate if they do not respond to the WM_QUERYENDSESSION or WM_ENDSESSION message within the timeout interval. For more information, see the Remarks.

или так: https://support.lenovo.com/ru/ru/documents/ht070943

1. Press "Window +R" keys to start "Run" dialogue box and type "gpedit.msc" in the dialogue box.

2. Click "OK", "Local Group Policy Editor" window will pop up.

3. Navigate to "Computer Configuration" --> "Administrative Templates" --> "System" --> "Shutdown Options". Double-click "Turn off automatic termination of applications that block or cancel shutdown" on the right panel. In the new dialogue box popped up, set configuration option as "Enabled".

4. Next time when you shut down your machine, the machine will be shut down directly without prompt.

[izhidkov]

the machine will be shut down directly without prompt.

вроде то что нужно

[izhidkov]

В общем добрался до custom_shell .
Есть один вопрос, может кто знает как Desktop Windows 8.1 professional настроить так чтобы она перезапускала "custom shell" или сама перезагружалась если оболочка зависнет/(т.е. закроется). (если вообще можно настройкой обойтись, т.е. что-нибудь в реестре прописать)

Собственно делал как указано тут:
"https://msdn.microsoft.com/en-us/librar ... ed.5).aspx"

[izhidkov]

Если СКАДА закрыть, то будет логаут.

Пока автоматом не происходит ) Просто чОрный экран.