Page 1 of 1
Как защититься от "врагов" и дураков в WinCC RT ?
Posted: Wed Jul 19, 2017 7:20 am
by Alex3110
Всем привет !
Знаю, как сделать так, чтобы при работающем WinCC RT были заблокированы комбинации клавиш (а также клавиша “Windows») нажатие на которые переводят в другие окна Windows (меню «Пуск», «Рабочий стол» и др.) либо в окна других рабо-тающих приложений.
Это предотвращает несанкционированное закрытие WinCC RT, либо доступ к ресурсам OS Windows.
Но как тогда я сам смогу временно, для служебных целей, переключиться с WinCC RT (не останавливая его) к ресурсам OS Windows, а потом снова заблокиро-вать те комбинации клавиш и вернуться назад в WinCC RT ?
Как это настроить ?
Это возможно только с помощью скрипта или есть другие варианты ?
Использую WinCC 7.0 + SP3+Upd1.
Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?
Posted: Wed Jul 19, 2017 11:53 am
by Usver
Можно оставить ALT+TAB включенным, а в проекте сделать кнопочку, вызывающую WinCC explorer.
Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?
Posted: Thu Jul 20, 2017 3:44 am
by quqdron
Подключится удаленно (rdp например) под другим пользователем.
Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?
Posted: Thu Jul 20, 2017 8:09 am
by Dfcz
Создать кнопку с паролем выхода из RT.
Создать кнопку с паролем для запуска стороннего приложения.
Re: Как защититься от "врагов" и дураков в WinCC RT ?
Posted: Wed Aug 16, 2017 6:55 am
by Alex3110
Спасибо всем !
Мне с форума SIEMENS один "забугорный" хлопец ответил, что скрипт - это единственный способ быстрого "тудым-сюдым".
https://support.industry.siemens.com/cs ... 0&lc=en-WW
Т.е. где-то в укромном месте, на каком-то экране, надо создать кнопку и к её "кликам" привязать оные скрипты. Например, для левой кнопки мыши - разблокировка, для правой - блокировка. Сам я не стал голову ломать, обошелся методой попроще. Но ежли хто рискнёт, то было-бы любопытно.
Так как стандартные методы всё же оставляют лазейки для "супостатов"
Re: Как защититься от "врагов" и дураков в WinCC RT ?
Posted: Wed Aug 16, 2017 6:58 am
by Alex3110
Usver wrote:Можно оставить ALT+TAB включенным, а в проекте сделать кнопочку, вызывающую WinCC explorer.
Да, путём научных (и не очень) исследований я тоже пришел к выводу, что надо оставить работающей только комбинацию
ALT+TAB . Это оптимальный вариант. Хотя, если про неё прознает "супостат", то кирдык всему
Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?
Posted: Tue Aug 22, 2017 5:11 pm
by Usver
Ну так-то конечно эта комбинация известна многим, но можно клавиши переносить с одной на другую (делается через реестр), но это только под свою клавиатуру (скан-коды от клавы необходимо знать)
Да и вообще в добавок можно батником при запуске рантайма вырубить эксплорер.ехе Неподготовленному челу сложнее будет подобраться.
Re: Как защититься от "врагов" и дураков в WinCC RT ?
Posted: Tue Aug 22, 2017 5:53 pm
by Alex3110
Usver wrote:Да и вообще в добавок можно батником при запуске рантайма вырубить эксплорер.ехе Неподготовленному челу сложнее будет подобраться.
Так тогда получу чистый синий рабочий стол без всяких ярлыков. И как потом самому из этой "засады" выбраться ? Только через CNTR+ALT+DEL ? Последнее крайне нежелательно. А вот перекодировка клавиш - это, похоже, 100% - ый вариант.
Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?
Posted: Tue Aug 22, 2017 6:31 pm
by Usver
Ну то спасет комбинация Win+U. Главное - это открыть справку от винды! Затем щелкаешь правой кнопочкой мышки по левому верхнему углу на самой справке и выбираешь jump to url, где вводишь путь к папке винды (C:\WINDOWS). Там лежит эксплорер.ехе. Запускаешь и делаешь что хотишь
))))))))))))) Т.е. рабочий стол буде доступен )))
Короче, главное - это запустить процесс експлорера, а затем его убить, когда будет не нужен.
Кстати, таск манагер включен чтоли? Там же вообще чего хочешь, то и делай! Его отключать желательно.
Есть конечно еще вариант с подобными приколами с эксплорером, но тогда долго будет загружаться автозапуск рантайма(это не интересно).
Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?
Posted: Wed Aug 23, 2017 6:50 am
by Answers to FAQs
Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?
Posted: Wed Aug 23, 2017 6:49 pm
by Dfcz
На самом деле ничего не спасет, всегда найдется вариант.
Например, я так делаю на чужой "заблокированной" станции: вставить флешку (флопик, сд диск, зип устройство, картридер и т.д.
), и на любой винде запустится эксплориер поверх любого окна любого приложения.
Поэтому рекомендую помимо комбинации клавиш для себя (и прочей хрени, рекомендованной Семеном), выключить все устройства в биос и поставить пароль на биос для работника.
Re: Как защититься от "врагов" и дураков в WinCC RT ?
Posted: Fri Aug 25, 2017 9:45 am
by Alex3110
Usver wrote:Ну так-то конечно эта комбинация известна многим...
Да, Вы правы. Почему-то ALT+TAB мне показалась более симпатишной. Хотя, как выясняется CNTR+ESC - менее знакома юзерам, поэтому лучше использовать её в качестве "путей для отхода". Но напоминаю, что для того, чтобы всё работало, как ожидается, ОБЯЗАТЕЛЬНО должна быть включена опция «
Full screen», во вкладке «Graphics Runtime». Иначе любые варианты запретов на комбинации клавиш во вкладке "Parameters" НЕ ДЕЙСТВУЮТ. Т.е. при любых «раскладах» этих запретов, на рабочий стол, в меню ПУСК и панель задач из WinCC RT можно выйти и по «CNTRL+ESC» и по «ALT+TAB», если опция «Full screen», во вкладке «Graphics Runtime», деактивирована. Проверено (в WinCC v.7.0 SP3+UPD1).
Dfcz wrote:Создать кнопку с паролем выхода из RT.
Создать кнопку с паролем для запуска стороннего приложения.
А разве есть конфигураторе WinCC такая спец. кнопка ?
Или кнопка, в свойствах которой есть "Выход в Windows, не прерывая WinCC RT" ?
В WinCC Flexible точно есть, сам делал и пользовался.
Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?
Posted: Sat Aug 26, 2017 3:55 am
by Usver
Кнопка самая обычная. Нужно просто на ее нажатие повесить скрипт (C-Action):
для выхода из рантайма - DeactivateRTProject();
для запуска любого приложения ProgramExecute("ЛюбоеПриложение.exe");.
Например, для запуска winccexplorer ProgramExecute("WinCCExplorer.exe");
Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?
Posted: Sat Aug 26, 2017 5:50 am
by Usver
Dfcz wrote:На самом деле ничего не спасет, всегда найдется вариант.
Например, я так делаю на чужой "заблокированной" станции: вставить флешку (флопик, сд диск, зип устройство, картридер и т.д.
), и на любой винде запустится эксплориер поверх любого окна любого приложения.
Поэтому рекомендую помимо комбинации клавиш для себя (и прочей хрени, рекомендованной Семеном), выключить все устройства в биос и поставить пароль на биос для работника.
Да. Действительно так оно и есть. Поэтому банку нужно ставить в другое закрытое помещение или сейф, к которому доступа не будет у юзеров и юзверей. А так-то туда можно и свисток засунуть (и да будет интернет). И проект нужно делать так, чтобы не выскакивали дополнительные окна (например, при не верной регистрации пользователя в системе, использование диалоговых окон Винды или веб браузер в проекте, по правому клику мыши которого можно вызвать текстовый редактор) и т.д и т.п. Т.е. задача (по большому счету) состоит в усложнении доступа пользователя к ОС, но все равно могут найтись умельцы, которые смогут все это обойти.
Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?
Posted: Sat Aug 26, 2017 12:50 pm
by ppp
Так проще реест подправить. Только для юзера. Под другим юзером ограничений не будет
Code: Select all
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoRun"=dword:00000001
"NoCommonGroups"=dword:00000001
"NoSetFolders"=dword:00000001
"NoViewContextMenu"=dword:00000001
"NoTrayContextMenu"=dword:00000001
"NoSetTaskbar"=dword:00000001
"NoDrives"=dword:03ffffff
"NoFind"=dword:00000001
"NoDesktop"=dword:00000001
"NoSMHelp"=dword:00000001
"NoFolderOptions"=dword:00000001
"NoControlPanel"=dword:00000000
"HideClock"=dword:00000001
"NoTrayItemsDisplay"=dword:00000001
"NoWinKeys"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispCPL"=dword:00000001
"DisableTaskMgr"=dword:00000001
"DisableRegistryTools"=dword:00000001
"DisableLockWorkstation"=dword:00000001
"DisableChangePassword"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"NoUpdateCheck"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"EnableBalloonTips"=dword:00000000
"StartMenuFavorites"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Desktop\CleanupWiz]
"NoRun"=dword:00000001
Re: Как защититься от "врагов" и дураков в WinCC RT ?
Posted: Sun Aug 27, 2017 9:46 am
by Alex3110
Usver wrote:Кнопка самая обычная. Нужно просто на ее нажатие повесить скрипт (C-Action):
для выхода из рантайма - DeactivateRTProject()
А как выйти в "винду" не закрывая WinCC RT ?
А потом вернуться обратно.
Т.е. "элегантно сделать "тудым-сюдым".
А если в WinCC RT запустить кнопкой от скрипта "виндовый" процесс explorer.exe , будет ли после этого доступ к меню "ПУСК", панели задач или рабочему столу ?
Я проверял, можно вообще всё напрочь заблокировать (задействовать все комбинации клавиш, которые предлагается в свойствах компьютера в WinCC CS) да так, что единственным способом будет отключение ПК аппаратной кнопкой питания. Это 100% -ный вариант. Но это "не наш метод", как сказал подопечный Шурика, перед экзекуцией его розгами
. ("Шурик, но это же наш метод" ). , т.к. и сам программер тоже "обломается" в этом случае.
Ну разве что вставлять внешнее USB-устройство, как предлагает Dfcz . Хотя в "винде" можно настроить отключение автозапуска USB-флеш-накопителей. И что, разве при таких настройках всё равно какое-то окошко вылезет ?
Ан-нет. Проверил на Win7, заблокировал автозапуск внешних USB-устройств через панель устройств. Никакого окошка при подключении не выскакивает. Так шо усё чики-пуки
Re: Как защититься от "врагов" и дураков в WinCC RT ?
Posted: Sun Aug 27, 2017 11:12 am
by Alex3110
ppp wrote:Так проще реест подправить. Только для юзера. Под другим юзером ограничений не будет
"для юзера" - имеете ввиду для учётной записи с правами "Users" ?
А что в этой "подправке" делается ?
Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?
Posted: Sun Aug 27, 2017 4:13 pm
by Dfcz
Alex3110 wrote:
А как выйти в "Ну разве что вставлять внешнее USB-устройство, как предлагает Dfcz . Хотя в "винде" можно настроить отключение автозапуска USB-флеш-накопителей. И что, разве при таких настройках всё равно какое-то окошко вылезет ?
Ан-нет. Проверил на Win7, заблокировал автозапуск внешних USB-устройств через панель устройств. Никакого окошка при подключении не выскакивает. Так шо усё чики-пуки
Ага, так видимо думал и тот программер, который якобы заблокировал одну из станций, в которую я вставляю флешнакопитель, и эксплориер выскакивает как миленький.
Есть куча нюансов как с самими накопителями, так и с версиями виндоузов коллега.
П.С. Он тоже проверял СВОЕЙ флешкой, видимо. ха-ха-ха
Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?
Posted: Sun Aug 27, 2017 4:29 pm
by Dfcz
Alex3110 wrote:...А как выйти в "винду" не закрывая WinCC RT ?
А потом вернуться обратно.
Т.е. "элегантно сделать "тудым-сюдым".
Вот, как мне кажется, не закрывая и тудым-сюдым никак не получится. Только через закрывание.
Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?
Posted: Wed Aug 30, 2017 7:04 am
by Alex3110
Dfcz wrote:
Ага, так видимо думал и тот программер, который якобы заблокировал одну из станций, в которую я вставляю флешнакопитель, и эксплориер выскакивает как миленький.
Есть куча нюансов как с самими накопителями, так и с версиями виндоузов коллега.
П.С. Он тоже проверял СВОЕЙ флешкой, видимо. ха-ха-ха
Ну, остаётся надеяться, что у злопыхателя или бестолкового оператора не будет такого супер-флешнакопителя
А ежли присовокупить Касперского на АРМ, да и запретить в ём "USB" (и "до кучи" все остальные внешние устройства) ?
При таком раскладе, даже при разрешённом автозапуске и появившемся окошке автозапуска, тыкаю в ".... используя Проводник" - и "фигвам", перехода в "Проводник" нетути.
А с Вашим флешнакопителем как, так же или "сильвупле" ?
Re: Как защититься от "врагов" и дураков в WinCC RT ?
Posted: Fri Sep 01, 2017 9:43 am
by Alex3110
Кто-нибудь настраивал unlock/lock комбинации Windows-клавиш для работающего WinCC RT согласно этому :
https://support.industry.siemens.com/cs ... 0&lc=en-WW
а именно
п.2 “How can you have event-triggered disabling/enabling of Windows key combinations at Runtime?”
Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?
Posted: Sun Sep 03, 2017 5:22 pm
by Dfcz
Alex3110 wrote:...А ежли присовокупить Касперского на АРМ, да и запретить в ём "USB" (и "до кучи" все остальные внешние устройства) ?
При таком раскладе, даже при разрешённом автозапуске и появившемся окошке автозапуска, тыкаю в ".... используя Проводник" - и "фигвам", перехода в "Проводник" нетути.
А с Вашим флешнакопителем как, так же или "сильвупле" ?
Автозапуск тут ни при чем, соответственно касперский идет лесом.
Re: Как защититься от "врагов" и дураков в WinCC RT ?
Posted: Tue Sep 12, 2017 5:14 am
by Alex3110
Dfcz wrote:Автозапуск тут ни при чем, соответственно касперский идет лесом.
Тогда что тут "при чём" ?
Мы, в основном, используем ПК с WinXP 2002 Profess. SP3 и Win7 Profess. SP1.
Какие USB-устройства можно подключить к таким ПК (где отключен автозапуск для всего не только в самой "винде", но и в Касперском KES10), чтобы при их подключении всё равно появлялось окошко Explorer-ра ?? (считаем, что в BIOS USB-порты разрешены).
Или это какой-то особый "флэшнакопитель", который обычный оператор никогда не станет вставлять в ПК (например, стоит очень дорого, либо достаточно габаритный, чтобы таскать его через заводскую проходную, рискуя быть пойманным).
Самый реальный вариант того, что оператор может засунуть в USB-порт - это флэшка или его мобильный телефон. Если речь не о них, то это внушит оптимизЬм
Re: Как защититься от "врагов" и дураков в WinCC RT ?
Posted: Tue Sep 12, 2017 10:06 am
by Dfcz
Когда-то давным-давно, когда деревья были еще молодыми, Эксплорера не было.
А был ВеликийДиспетчерЗадач, через который запускали в том числе и файловые менеджеры (типа Эксплорер).
Воткните в ЮСБ любое устройство (см. выше) и будет вам счастье.
Никаких суперфлешек не надо (хотя они и рулят
)), просто втыкаем, например ЮСБ-дисковод.
Т.е. надо заставить среагировать ВеликийДиспетчерЗадач.
П.С. Кстати мобильный телефон тоже подойдет.
П.С.С. Кстати еще раз, по компу путешествовать и работать можно и без какого-то ни было менеджера файлов. Это дело привычки.
Re: Как защититься от "врагов" и дураков в WinCC RT ?
Posted: Tue Sep 12, 2017 10:10 am
by Dfcz
Alex3110 wrote:Кто-нибудь настраивал unlock/lock комбинации Windows-клавиш для работающего WinCC RT согласно этому :
https://support.industry.siemens.com/cs ... 0&lc=en-WW
а именно
п.2 “How can you have event-triggered disabling/enabling of Windows key combinations at Runtime?”
Анлок не настраивал, а Лок отлично работает.
Re: Как защититься от "врагов" и дураков в WinCC RT ?
Posted: Tue Sep 12, 2017 6:11 pm
by sbalymov
У нас скриптом выведены две кнопки диспетчер задач и проводник, которые разрешены только администраторам
Re: Как защититься от "врагов" и дураков в WinCC RT ?
Posted: Fri Sep 15, 2017 5:28 pm
by Usver
Dfcz wrote:Когда-то давным-давно, когда деревья были еще молодыми, Эксплорера не было.
А был ВеликийДиспетчерЗадач, через который запускали в том числе и файловые менеджеры (типа Эксплорер).
Воткните в ЮСБ любое устройство (см. выше) и будет вам счастье.
Никаких суперфлешек не надо (хотя они и рулят
)), просто втыкаем, например ЮСБ-дисковод.
Т.е. надо заставить среагировать ВеликийДиспетчерЗадач.
П.С. Кстати мобильный телефон тоже подойдет.
П.С.С. Кстати еще раз, по компу путешествовать и работать можно и без какого-то ни было менеджера файлов. Это дело привычки.
ДиспетчерЗадач настраивается (можно выключить) при старте проекта. Эксплорер можно вырубать постоянно (циклически) и (или) динамически при изменении тега @CurrentUser (или не этот тег, точно не помню и хрен с ним). Главное, что пользователь не сможет добраться до консоли и меню "Пуск".
Ну воткнул он флешку, через секунду, если включается эксплорер, он тут же отключается. Пишется простой скрипт на проверку текущего пользователя, и если он не подпадает под условия, то все в твоих руках! В чем проблемы? Это же не от хакеров обезопасить..., а от пользователя. В конце концов, если что-то не прокатит, наверняка узнаешь и предпримешь меры.
Re: Как защититься от "врагов" и дураков в WinCC RT ?
Posted: Fri Sep 15, 2017 5:43 pm
by Usver
Повторюсь. Комп лучше держать под замком, а то если он на руках, то делай с ним чего хочешь!
Re: Как защититься от "врагов" и дураков в WinCC RT ?
Posted: Mon Sep 18, 2017 9:21 am
by Dfcz
Usver wrote:...Ну воткнул он флешку, через секунду, если включается эксплорер, он тут же отключается. ....
Ну повторюсь: автозапуск (и соответственно ваш любимый эксплорер) тут ни при делах.
П.С.Попробуй запрети диспетчерзадач (интересно было бы посмотреть
), и возьми у знакомого флешку и воткни, и все поймешь.
П.С.С, Кажется мы далеко ушли?
Re: Как защититься от "врагов" и дураков в WinCC RT ?
Posted: Mon Sep 18, 2017 9:37 am
by Dfcz
Usver wrote:Повторюсь. Комп лучше держать под замком, а то если он на руках, то делай с ним чего хочешь!
Мы так и делаем.
И что удивительно, никто даже не пытается что-то сделать с замком. Вешаем самые дешевые маленькие китайские замочки - дерни и откроется.
Re: Как защититься от "врагов" и дураков в WinCC RT ?
Posted: Thu Sep 21, 2017 4:33 pm
by Alex3110
Usver wrote:ДиспетчерЗадач настраивается (можно выключить) при старте проекта. Эксплорер можно вырубать постоянно (циклически) ....
Эксплорер эт, канэшн, хорошее решение, но не надо забывать , что есть несколько стандартных комбинаций клавиш Windows, которые работают даже при выключенном Эксплорере !!! Я не имею ввиду те, которые можно отключить в WinCC Explorer -ре (в свойствах компа-сервера). Есть ещё 5...6 комбинаций и в WinXP и в Win7, используя которые можно добраться до "Панели инструментов" и "делай с ним, что хошь" (лап-табудиба-дудай
)
Ещё также можно использовать DeskLock 2000 v.5.1 (но работает полноценно только в WinXP). Эта прога также отключает Эксплорер при своём автозапуске и контролирует автоматический или ручной (под паролем) запуск до 10 приложений.
Re: Как защититься от "врагов" и дураков в WinCC RT ?
Posted: Mon Sep 25, 2017 4:40 am
by Alex3110
Но и в случае с DeskLock 2000 v.5.1 также остаются работающими некоторые комбинации клавиш, поэтому их тоже надо заблокировать.
Re: Как защититься от "врагов" и дураков в WinCC RT ?
Posted: Sat Sep 30, 2017 7:25 pm
by Usver
Есть ещё 5...6 комбинаций и в WinXP и в Win7, используя которые можно добраться до "Панели инструментов" и "делай с ним, что хошь" (лап-табудиба-дудай
)
Будет конечно тоже интересно, если Вы не компе запустите лишь только калькулятор (при запуске) таким методом: HKCU/Software/Microsoft/WindowsNT/CurrentVersion/Winlogon "Shell"=RegSZ:"calc.exe", эти 5-6 штук будут работать? (разумеется при этом будут выключены 3 волшебные ctrl-alt-del, а также предприняты все меры со флэшками и т.д и т.п.). У Вас загрузится только ядро винды + увидите калькулятор. Какие действия 5-6 штук могут быть (Win+U не учитывая)? Да и флэшки тут не причем, ведь банка должна быть под замком.
Разумеется должен быть комплекс мер, но только до той степени, которая Вам будет удобна и неудобна пользователю.
А что это за комбинации 5-6 штук? Вы напишите, а то мне интересно стало.