- Обязательно представиться на русском языке кириллицей (заполнить поле "Имя").
- Фиктивные имена мы не приветствуем. Ивановых и Пупкиных здесь уже достаточно.
- Не надо писать свой вопрос в первую попавшуюся тему - всегда лучше создать новую тему.
- За поиск, предложение и обсуждение пиратского ПО и средств взлома - бан без предупреждения. Непонятно? - Читать здесь.
- Рекламу и частные объявления "куплю/продам/есть халтура" мы не размещаем ни на каких условиях.
- Перед тем как что-то написать - читать здесь, а затем здесь и здесь.
- Не надо писать в ЛС администраторам свои технические вопросы. Администраторы форума отлично знают как работает форум, а не все-все контроллеры, о которых тут пишут.
KVM как защита от нецелевого использования АРМ
Модератор: Глоб.модераторы
-
- эксперт
- Сообщения: 1172
- Зарегистрирован: 14 ноя 2013, 20:35
- Имя: Анатолий Сергеевич
- Страна: Россия
- город/регион: Башкортостан
- Благодарил (а): 13 раз
- Поблагодарили: 68 раз
KVM как защита от нецелевого использования АРМ
Здравствуйте господа и дамы если есть!)))
Вопрос возник к бывалым. Используете ли вы в работе kvm-удлинители? Какова их надежность и есть ли подводные камни?
Занимаюсь проектированием, внедрением и обслуживанием средств АСУТП, но в связи с увеличением компьютерной грамотности операторов необходимо оградить армы от их нецелевого использования (неоднократно были выявлены факты просмотра фильмов, фото в ночное и вечернее время). Так вот хочется монтировать станции в 19' стойку, ставить kvm и закрывать в шкафу, чтоб не лазили.
Так то на предприятии эксплуатируются в одном месте два комплекта, но один практически сразу вышел из строя, другой уже лет 8 работает, так что мнение 50 на 50)))
Вопрос возник к бывалым. Используете ли вы в работе kvm-удлинители? Какова их надежность и есть ли подводные камни?
Занимаюсь проектированием, внедрением и обслуживанием средств АСУТП, но в связи с увеличением компьютерной грамотности операторов необходимо оградить армы от их нецелевого использования (неоднократно были выявлены факты просмотра фильмов, фото в ночное и вечернее время). Так вот хочется монтировать станции в 19' стойку, ставить kvm и закрывать в шкафу, чтоб не лазили.
Так то на предприятии эксплуатируются в одном месте два комплекта, но один практически сразу вышел из строя, другой уже лет 8 работает, так что мнение 50 на 50)))
-
- почётный участник форума
- Сообщения: 5790
- Зарегистрирован: 07 окт 2011, 09:12
- Имя: Гаско Вячеслав Эриевич
- Страна: Россия
- город/регион: Рязань
- Благодарил (а): 673 раза
- Поблагодарили: 840 раз
Re: KVM как защита от нецелевого использования АРМ
С приходом нового руководства стали внедрять KVM.
Надёжность такого решения, как оказалось, мягко говоря, оставляет желать лучшего.
На АРМ, снабженных помышленной мебелью, с установленными в консоль оператора рабочими станциями отказов меньше.
Honeywell, кстати, именно такие решения и продолжает использовать.
"И ведь не дураки!" (с) Е.Гришковец
Что же касается нецелевого использования АРМ, то, как я уже неоднократно писал, далеко не все вопросы эффективно решаются технически - иногда требуются организационные методы.
Например такие как:
1. Не брать дураков на работу;
2. Наказывать и предавать огласке случаи нецелевого использования КТС;
3. Помнить, что ИТР работает не с техникой, как заблуждаются студенты, а с людьми и для людей. И этих людей надо дисциплинировать.
Надёжность такого решения, как оказалось, мягко говоря, оставляет желать лучшего.
На АРМ, снабженных помышленной мебелью, с установленными в консоль оператора рабочими станциями отказов меньше.
Honeywell, кстати, именно такие решения и продолжает использовать.
"И ведь не дураки!" (с) Е.Гришковец
Что же касается нецелевого использования АРМ, то, как я уже неоднократно писал, далеко не все вопросы эффективно решаются технически - иногда требуются организационные методы.
Например такие как:
1. Не брать дураков на работу;
2. Наказывать и предавать огласке случаи нецелевого использования КТС;
3. Помнить, что ИТР работает не с техникой, как заблуждаются студенты, а с людьми и для людей. И этих людей надо дисциплинировать.
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)
-
- частый гость
- Сообщения: 409
- Зарегистрирован: 20 ноя 2012, 13:45
- Имя: :.О.N.Ф
- Страна: Россия
- Благодарил (а): 3 раза
- Поблагодарили: 7 раз
Re: KVM как защита от нецелевого использования АРМ
Неоднозначный, но вполне работающий финт ушами - таки выделить несчастным древнюю машинку для "нецелевого использования". Формально - для составления какой-нибудь документации, отчётов и т.п.
Однозначный и работающий - отрубить ЮСБ. Надо учесть, что и в квмах бывают вынесенные юсб)
С KVM'ми, как с любым оборудованием, вопрос выбора оборудования) Были, работали, никаких особых проблем, два из примерно десятка за год вышли из строя.
Однозначный и работающий - отрубить ЮСБ. Надо учесть, что и в квмах бывают вынесенные юсб)
С KVM'ми, как с любым оборудованием, вопрос выбора оборудования) Были, работали, никаких особых проблем, два из примерно десятка за год вышли из строя.
«Сразу видно внимание к каждой мелочи, неиспорченным не осталось ничто».
-
- здесь недавно
- Сообщения: 48
- Зарегистрирован: 18 дек 2013, 12:11
- Имя: Вадим
- Благодарил (а): 2 раза
- Поблагодарили: 2 раза
Re: KVM как защита от нецелевого использования АРМ
А не лучше для этих целей соответствующим образом настроить политику безопасности Windows для конкретных пользователей, ограничив этим функционал операторов ?
-
- почётный участник форума
- Сообщения: 5790
- Зарегистрирован: 07 окт 2011, 09:12
- Имя: Гаско Вячеслав Эриевич
- Страна: Россия
- город/регион: Рязань
- Благодарил (а): 673 раза
- Поблагодарили: 840 раз
Re: KVM как защита от нецелевого использования АРМ
Понятия "политика безопасности" плохо совмещается не только с понятием "Windows", но но и с фактом возможности физического доступа к оборудованию.
Из практики.
Пересланные начальнику установки по корпоративной почте логи всё той же Винды, красноречиво свидетельстующие о запуске сторонних приложений технологическим персоналом, и адекватная реакция руководства на это, способны надолго отбить охоту заниматься на работе фигнёй.
Из практики.
Пересланные начальнику установки по корпоративной почте логи всё той же Винды, красноречиво свидетельстующие о запуске сторонних приложений технологическим персоналом, и адекватная реакция руководства на это, способны надолго отбить охоту заниматься на работе фигнёй.
---------------------------------------------------
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)
«У человека в душе дыра размером с Бога, и каждый заполняет её как может.» (Жан-Поль Сартр)
"Ту пустоту, которая остаётся в душе, когда в ней нет Бога, и весь мир не может заполнить." (святитель Николай Сербский)
-
- эксперт
- Сообщения: 1172
- Зарегистрирован: 14 ноя 2013, 20:35
- Имя: Анатолий Сергеевич
- Страна: Россия
- город/регион: Башкортостан
- Благодарил (а): 13 раз
- Поблагодарили: 68 раз
Re: KVM как защита от нецелевого использования АРМ
Юсб программно отрубить не получится, аппаратные ключи стоят.
Ограничить доступ до флешек обычным пользователям можно, но вот тот же трейсмоуд отказывается работать под юзером, админа подавай, а админа оставлять на общак не есть гуд!
Еще такой момент, весь интернет пестрит хелпами как можно узнать пароль админа...
Административными мерами пытались задавить тягу к противозаконному, но руководству цехов по барабану, вот если в результате какого нибудь вируса система упадет, тогда вот они одумаются, но не рушить же самим систему, что ктото зашевелился...
Есть еще выход физически отключить юсб а файлы скидывать в расшареную папку.
Ограничить доступ до флешек обычным пользователям можно, но вот тот же трейсмоуд отказывается работать под юзером, админа подавай, а админа оставлять на общак не есть гуд!
Еще такой момент, весь интернет пестрит хелпами как можно узнать пароль админа...
Административными мерами пытались задавить тягу к противозаконному, но руководству цехов по барабану, вот если в результате какого нибудь вируса система упадет, тогда вот они одумаются, но не рушить же самим систему, что ктото зашевелился...
Есть еще выход физически отключить юсб а файлы скидывать в расшареную папку.
-
- администратор
- Сообщения: 18747
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 972 раза
- Поблагодарили: 1852 раза
Re: KVM как защита от нецелевого использования АРМ
На АРМе это может не пройти, т.к. ряд ПО требует админские права для работы.sve писал(а):А не лучше для этих целей соответствующим образом настроить политику безопасности Windows для конкретных пользователей, ограничив этим функционал операторов ?
Как уже выше писали:
1. закройте на АРМе все внешние порты не связанные с работой - это бесплатно.
2. Дисциплинируйте людей. Раз "были замечены случаи", то почему, вместо того чтобы их пресечь, Вы копаетесь в железке? Даже если автомобиль оснастить всеми мыслимыми системами безопасности, водитель-идиот устроит на нём ДТП и виноват будет водитель-идиот, а не отсутствие какой-нибудь ещё системы безопасности. АРМ работает с технологией, возможно опасной, поэтому на АРМе нечего развлекаться, и нарушение этого правила, если это действительно важно, должно пресекаться и караться. Железка тут ни при чём.
3. Поставьте операторам моноблок за 300 баксов, пусть заодно отчёты пишут какие-нибудь - это дешевле и проще. И полку с книжками и торшер в комнате отдыха.
По вопросам работы Форума можно обратиться по этим контактам.
-
- почётный участник форума
- Сообщения: 3971
- Зарегистрирован: 20 янв 2010, 22:23
- Имя: Никита
- Страна: РФ
- город/регион: Мурманск
- Благодарил (а): 21 раз
- Поблагодарили: 229 раз
Re: KVM как защита от нецелевого использования АРМ
А, собственно, нахрена это все?
Задача АРМа - предоставлять оператору информацию, на которую тот должен реагировать. Если он этого делать не хочет - технические решения тут не помогут. Можно вообще убрать ПК, поставить иконостас из лампочек, М1730 и КСД - так он на телефоне в игрушки играть будет или спать в углу на матрасе.
Опасная технология не должна зависеть от АРМа. Управление и защиты - сами по себе, "улучшение условий работы персонала" - само по себе.
Если же игрушки-вирусы нарушают работоспособность АРМа, то пара рапортов наверх от местного "эникейщика" не то чтобы совсем решат проблему, но значительно облегчат жизнь.
Задача АРМа - предоставлять оператору информацию, на которую тот должен реагировать. Если он этого делать не хочет - технические решения тут не помогут. Можно вообще убрать ПК, поставить иконостас из лампочек, М1730 и КСД - так он на телефоне в игрушки играть будет или спать в углу на матрасе.
Опасная технология не должна зависеть от АРМа. Управление и защиты - сами по себе, "улучшение условий работы персонала" - само по себе.
Если же игрушки-вирусы нарушают работоспособность АРМа, то пара рапортов наверх от местного "эникейщика" не то чтобы совсем решат проблему, но значительно облегчат жизнь.
Опыт - это когда на смену вопросам: "Что? Где? Когда? Как? Почему?" приходит единственный вопрос: "Нахрена? "
-
- эксперт
- Сообщения: 1172
- Зарегистрирован: 14 ноя 2013, 20:35
- Имя: Анатолий Сергеевич
- Страна: Россия
- город/регион: Башкортостан
- Благодарил (а): 13 раз
- Поблагодарили: 68 раз
Re: KVM как защита от нецелевого использования АРМ
Когда работа систем отлажена, то операторы превращаются в обезьян, которые думать не хотят и обучают этому новый персонал, а те в свою очередь начинают выдумывать себе развлечения.
Лично за руку поймать не получается, потому что работаем только в дневное время, а хренью заниматься начинают уже в вечернюю и ночную смену, а когда собираешь инфу с армов когда были акты использования флешек, то становится не смешно, а докладные начальству цехов не помогают, это дело спускается на тормозах
Лично за руку поймать не получается, потому что работаем только в дневное время, а хренью заниматься начинают уже в вечернюю и ночную смену, а когда собираешь инфу с армов когда были акты использования флешек, то становится не смешно, а докладные начальству цехов не помогают, это дело спускается на тормозах
-
- администратор
- Сообщения: 4903
- Зарегистрирован: 25 июл 2008, 07:12
- Имя: Диев Александр Васильевич
- Страна: Россия
- город/регион: г. Сегежа, Карелия
- Благодарил (а): 236 раз
- Поблагодарили: 425 раз
Re: KVM как защита от нецелевого использования АРМ
1. Политики настраивать таки надо. Рекомендаций в этих наших интернетах - куча. В том числе по флешкам - можно сделать так, чтобы можно было использовать только ограниченный набор флешек, с которыми приходит по необходимости инженер (софт поставить, апдейты накатить, архивы скачать - мало ли, если обычной сети нет). Всякие разные CD/DVD прекрасно отключаются физически.
2. Политики не всегда помогают. Если, к примеру, установлен софт, имеющий диалоги открытия/сохранения файла - через него можно добраться до проводника/сапёра/пасьянса. Опять же - частично проблема решается скрытием дисков от пользователя, но не полностью.
3. Софта, который для обычной работы оператора требует админских прав, следует избегать по мере возможности. Ибо нефиг.
2. Политики не всегда помогают. Если, к примеру, установлен софт, имеющий диалоги открытия/сохранения файла - через него можно добраться до проводника/сапёра/пасьянса. Опять же - частично проблема решается скрытием дисков от пользователя, но не полностью.
3. Софта, который для обычной работы оператора требует админских прав, следует избегать по мере возможности. Ибо нефиг.
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.
-
- эксперт
- Сообщения: 1172
- Зарегистрирован: 14 ноя 2013, 20:35
- Имя: Анатолий Сергеевич
- Страна: Россия
- город/регион: Башкортостан
- Благодарил (а): 13 раз
- Поблагодарили: 68 раз
Re: KVM как защита от нецелевого использования АРМ
Вот не всегда софт выбираем мы сами, очень много проектов делали сторонние организации, они продают готовое решение....
Насчет прописки определенных носителей надо обкурить этот вопрос...
Насчет прописки определенных носителей надо обкурить этот вопрос...
-
- частый гость
- Сообщения: 409
- Зарегистрирован: 20 ноя 2012, 13:45
- Имя: :.О.N.Ф
- Страна: Россия
- Благодарил (а): 3 раза
- Поблагодарили: 7 раз
Re: KVM как защита от нецелевого использования АРМ
>Софта, который для обычной работы оператора требует админских прав, следует избегать по мере возможности. Ибо нефиг
Я бы даже не стал экспериментировать со скадами на юзерских правах. Ну то есть это как несколько антивирусов на одной машине - авось пронесёт.
Афтар, вы почему-то упорно игнорируете все дельные советы, отвечая только на общие рассуждения. Предположу, что как и вашему начальству, вам тоже флешки не особо мешают.
Я бы даже не стал экспериментировать со скадами на юзерских правах. Ну то есть это как несколько антивирусов на одной машине - авось пронесёт.
Афтар, вы почему-то упорно игнорируете все дельные советы, отвечая только на общие рассуждения. Предположу, что как и вашему начальству, вам тоже флешки не особо мешают.
«Сразу видно внимание к каждой мелочи, неиспорченным не осталось ничто».
-
- администратор
- Сообщения: 4903
- Зарегистрирован: 25 июл 2008, 07:12
- Имя: Диев Александр Васильевич
- Страна: Россия
- город/регион: г. Сегежа, Карелия
- Благодарил (а): 236 раз
- Поблагодарили: 425 раз
Re: KVM как защита от нецелевого использования АРМ
А это можно на этапе подготовки ТЗ прописать. По крайней мере сейчас мы рассматриваем несколько разных СКАД как варианты для одной задачи, так те, которые требуют админских прав - сразу нафиг. У меня в эксплуатации довольно приличное количество операторских станций, так там в руководстве по инсталляции прописана процедура "политизирования" после установки. В итоге - все права у админа, а оператор может только то, что ему разрешено. Операторы всё равно смотрят кино и играют в игры, но используют для этого свои принесённые из дома планшеты :)megavolt86 писал(а):Вот не всегда софт выбираем мы сами, очень много проектов делали сторонние организации, они продают готовое решение....
Детально не помню, но суть примерно такая. На "незаполитизированной" машине поочерёдно вставляются флешки, которым надо оставить доступ. Их идентификаторы прописываются в реестр, после чего на раздел, в который пишутся эти идентификаторы, запрещается доступ на запись всем, включая LocalSystem.megavolt86 писал(а):Насчет прописки определенных носителей надо обкурить этот вопрос...
Повторное использование кода не отменяет повторного использования мозга при его повторном использовании.
-
- эксперт
- Сообщения: 1172
- Зарегистрирован: 14 ноя 2013, 20:35
- Имя: Анатолий Сергеевич
- Страна: Россия
- город/регион: Башкортостан
- Благодарил (а): 13 раз
- Поблагодарили: 68 раз
Re: KVM как защита от нецелевого использования АРМ
Насчет планшетов у вас сказка просто для работников...у нас вышли правила внутриобьектового режима в новой редакции, так по этим правилам телефоны заносить на завод нельзя, со всех сторон народ ужимают, так я еще и последнюю радость хочу забрать - армы заблокировать )))
-
- администратор
- Сообщения: 18747
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 972 раза
- Поблагодарили: 1852 раза
Re: KVM как защита от нецелевого использования АРМ
Гнать в шею надо такой персонал. Дисциплина есть дисциплина. Это если строго. Если не строго, то все мы люди, и "если нельзя запретить или ограничить - надо возглавить". По-моему, решения уже даны все, но Вы упорно утверждаете что сделать ничего нельзя. Так не бывает.megavolt86 писал(а):Когда работа систем отлажена, то операторы превращаются в обезьян, которые думать не хотят и обучают этому новый персонал, а те в свою очередь начинают выдумывать себе развлечения.
Хорошая дисциплина там у вас. Режимный объект, но бардак в операторской никого не интересует. Вот и шлите докладные не начальникам цехов, а общему отделу который занимается внутренним распорядком.megavolt86 писал(а):Насчет планшетов у вас сказка просто для работников...у нас вышли правила внутриобьектового режима в новой редакции, так по этим правилам телефоны заносить на завод нельзя, со всех сторон народ ужимают, так я еще и последнюю радость хочу забрать - армы заблокировать )))
Ну или ждите аварии - что ещё сказать...
По вопросам работы Форума можно обратиться по этим контактам.
-
- эксперт
- Сообщения: 1172
- Зарегистрирован: 14 ноя 2013, 20:35
- Имя: Анатолий Сергеевич
- Страна: Россия
- город/регион: Башкортостан
- Благодарил (а): 13 раз
- Поблагодарили: 68 раз
Re: KVM как защита от нецелевого использования АРМ
Можно, я просто как факт говорю, что персонал не ответственный, а вот идея с запретом флешек не разрешенных политикой безопасности мне понравилась, буду я пробовать.
-
- администратор
- Сообщения: 18747
- Зарегистрирован: 17 июн 2008, 16:01
- Имя: Евгений свет Брониславович
- Страна: Россия
- город/регион: Санкт-Петербург
- Благодарил (а): 972 раза
- Поблагодарили: 1852 раза
Re: KVM как защита от нецелевого использования АРМ
Сами же и наступите на эти грабли, когда придёте срочно обслуживать АРМ с другой флешкой. :)а вот идея с запретом флешек не разрешенных политикой безопасности мне понравилась, буду я пробовать.
Есть ещё способ - контроль фокуса окна ПО. Если фокус теряется более чем на 10 минут - уведомление.
Но это всё лечение поноса пробкой. Потому что главное не запрет, а быстрая и неотвратимая реакция за его нарушение. Воспитывает не размер наказания, а его неотвратимость.
По вопросам работы Форума можно обратиться по этим контактам.