plcforum.uz.ua
http://plcforum.uz.ua/

Как защититься от "врагов" и дураков в WinCC RT ?
http://plcforum.uz.ua/viewtopic.php?f=10&t=25346
Page 1 of 1

Author:  Alex3110 [ Wed Jul 19, 2017 10:20 am ]
Post subject:  Как защититься от "врагов" и дураков в WinCC RT ?

Всем привет !

Знаю, как сделать так, чтобы при работающем WinCC RT были заблокированы комбинации клавиш (а также клавиша “Windows») нажатие на которые переводят в другие окна Windows (меню «Пуск», «Рабочий стол» и др.) либо в окна других рабо-тающих приложений.
Это предотвращает несанкционированное закрытие WinCC RT, либо доступ к ресурсам OS Windows.
Но как тогда я сам смогу временно, для служебных целей, переключиться с WinCC RT (не останавливая его) к ресурсам OS Windows, а потом снова заблокиро-вать те комбинации клавиш и вернуться назад в WinCC RT ?

Как это настроить ?

Это возможно только с помощью скрипта или есть другие варианты ?
Использую WinCC 7.0 + SP3+Upd1.

Author:  Usver [ Wed Jul 19, 2017 2:53 pm ]
Post subject:  Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?

Можно оставить ALT+TAB включенным, а в проекте сделать кнопочку, вызывающую WinCC explorer.

Author:  quqdron [ Thu Jul 20, 2017 6:44 am ]
Post subject:  Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?

Подключится удаленно (rdp например) под другим пользователем.

Author:  Dfcz [ Thu Jul 20, 2017 11:09 am ]
Post subject:  Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?

Создать кнопку с паролем выхода из RT.
Создать кнопку с паролем для запуска стороннего приложения.

Author:  Alex3110 [ Wed Aug 16, 2017 9:55 am ]
Post subject:  Re: Как защититься от "врагов" и дураков в WinCC RT ?

Спасибо всем !

Мне с форума SIEMENS один "забугорный" хлопец ответил, что скрипт - это единственный способ быстрого "тудым-сюдым".
https://support.industry.siemens.com/cs ... tia-portal)-with-windows-7-windows-8-1-windows-server-2008-and-windows-server-2012-?dti=0&lc=en-WW

Т.е. где-то в укромном месте, на каком-то экране, надо создать кнопку и к её "кликам" привязать оные скрипты. Например, для левой кнопки мыши - разблокировка, для правой - блокировка. Сам я не стал голову ломать, обошелся методой попроще. Но ежли хто рискнёт, то было-бы любопытно.
Так как стандартные методы всё же оставляют лазейки для "супостатов" :)

Author:  Alex3110 [ Wed Aug 16, 2017 9:58 am ]
Post subject:  Re: Как защититься от "врагов" и дураков в WinCC RT ?

Usver wrote:
Можно оставить ALT+TAB включенным, а в проекте сделать кнопочку, вызывающую WinCC explorer.

Да, путём научных (и не очень) исследований я тоже пришел к выводу, что надо оставить работающей только комбинацию ALT+TAB . Это оптимальный вариант. Хотя, если про неё прознает "супостат", то кирдык всему :)

Author:  Usver [ Tue Aug 22, 2017 8:11 pm ]
Post subject:  Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?

Ну так-то конечно эта комбинация известна многим, но можно клавиши переносить с одной на другую (делается через реестр), но это только под свою клавиатуру (скан-коды от клавы необходимо знать) :wink:
Да и вообще в добавок можно батником при запуске рантайма вырубить эксплорер.ехе Неподготовленному челу сложнее будет подобраться.

Author:  Alex3110 [ Tue Aug 22, 2017 8:53 pm ]
Post subject:  Re: Как защититься от "врагов" и дураков в WinCC RT ?

Usver wrote:
Да и вообще в добавок можно батником при запуске рантайма вырубить эксплорер.ехе Неподготовленному челу сложнее будет подобраться.

Так тогда получу чистый синий рабочий стол без всяких ярлыков. И как потом самому из этой "засады" выбраться ? Только через CNTR+ALT+DEL ? Последнее крайне нежелательно. А вот перекодировка клавиш - это, похоже, 100% - ый вариант.

Author:  Usver [ Tue Aug 22, 2017 9:31 pm ]
Post subject:  Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?

Ну то спасет комбинация Win+U. Главное - это открыть справку от винды! Затем щелкаешь правой кнопочкой мышки по левому верхнему углу на самой справке и выбираешь jump to url, где вводишь путь к папке винды (C:\WINDOWS). Там лежит эксплорер.ехе. Запускаешь и делаешь что хотишь :)))))))))))))) Т.е. рабочий стол буде доступен )))
Короче, главное - это запустить процесс експлорера, а затем его убить, когда будет не нужен.

Кстати, таск манагер включен чтоли? Там же вообще чего хочешь, то и делай! Его отключать желательно.
Есть конечно еще вариант с подобными приколами с эксплорером, но тогда долго будет загружаться автозапуск рантайма(это не интересно).

Author:  Answers to FAQs [ Wed Aug 23, 2017 9:50 am ]
Post subject:  Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?

https://support.industry.siemens.com/cs ... iew/332356

Author:  Dfcz [ Wed Aug 23, 2017 9:49 pm ]
Post subject:  Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?

На самом деле ничего не спасет, всегда найдется вариант.
Например, я так делаю на чужой "заблокированной" станции: вставить флешку (флопик, сд диск, зип устройство, картридер и т.д. :)), и на любой винде запустится эксплориер поверх любого окна любого приложения.
Поэтому рекомендую помимо комбинации клавиш для себя (и прочей хрени, рекомендованной Семеном), выключить все устройства в биос и поставить пароль на биос для работника.

Author:  Alex3110 [ Fri Aug 25, 2017 12:45 pm ]
Post subject:  Re: Как защититься от "врагов" и дураков в WinCC RT ?

Usver wrote:
Ну так-то конечно эта комбинация известна многим...

Да, Вы правы. Почему-то ALT+TAB мне показалась более симпатишной. Хотя, как выясняется CNTR+ESC - менее знакома юзерам, поэтому лучше использовать её в качестве "путей для отхода". Но напоминаю, что для того, чтобы всё работало, как ожидается, ОБЯЗАТЕЛЬНО должна быть включена опция «Full screen», во вкладке «Graphics Runtime». Иначе любые варианты запретов на комбинации клавиш во вкладке "Parameters" НЕ ДЕЙСТВУЮТ. Т.е. при любых «раскладах» этих запретов, на рабочий стол, в меню ПУСК и панель задач из WinCC RT можно выйти и по «CNTRL+ESC» и по «ALT+TAB», если опция «Full screen», во вкладке «Graphics Runtime», деактивирована. Проверено (в WinCC v.7.0 SP3+UPD1).

Dfcz wrote:
Создать кнопку с паролем выхода из RT.
Создать кнопку с паролем для запуска стороннего приложения.

А разве есть конфигураторе WinCC такая спец. кнопка ?
Или кнопка, в свойствах которой есть "Выход в Windows, не прерывая WinCC RT" ?

В WinCC Flexible точно есть, сам делал и пользовался.

Author:  Usver [ Sat Aug 26, 2017 6:55 am ]
Post subject:  Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?

Кнопка самая обычная. Нужно просто на ее нажатие повесить скрипт (C-Action):
для выхода из рантайма - DeactivateRTProject();
для запуска любого приложения ProgramExecute("ЛюбоеПриложение.exe");.
Например, для запуска winccexplorer ProgramExecute("WinCCExplorer.exe");

Author:  Usver [ Sat Aug 26, 2017 8:50 am ]
Post subject:  Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?

Dfcz wrote:
На самом деле ничего не спасет, всегда найдется вариант.
Например, я так делаю на чужой "заблокированной" станции: вставить флешку (флопик, сд диск, зип устройство, картридер и т.д. :)), и на любой винде запустится эксплориер поверх любого окна любого приложения.
Поэтому рекомендую помимо комбинации клавиш для себя (и прочей хрени, рекомендованной Семеном), выключить все устройства в биос и поставить пароль на биос для работника.


Да. Действительно так оно и есть. Поэтому банку нужно ставить в другое закрытое помещение или сейф, к которому доступа не будет у юзеров и юзверей. А так-то туда можно и свисток засунуть (и да будет интернет). И проект нужно делать так, чтобы не выскакивали дополнительные окна (например, при не верной регистрации пользователя в системе, использование диалоговых окон Винды или веб браузер в проекте, по правому клику мыши которого можно вызвать текстовый редактор) и т.д и т.п. Т.е. задача (по большому счету) состоит в усложнении доступа пользователя к ОС, но все равно могут найтись умельцы, которые смогут все это обойти.

Author:  ppp [ Sat Aug 26, 2017 3:50 pm ]
Post subject:  Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?

Так проще реест подправить. Только для юзера. Под другим юзером ограничений не будет
Code:
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoRun"=dword:00000001
"NoCommonGroups"=dword:00000001
"NoSetFolders"=dword:00000001
"NoViewContextMenu"=dword:00000001
"NoTrayContextMenu"=dword:00000001
"NoSetTaskbar"=dword:00000001
"NoDrives"=dword:03ffffff
"NoFind"=dword:00000001
"NoDesktop"=dword:00000001
"NoSMHelp"=dword:00000001
"NoFolderOptions"=dword:00000001
"NoControlPanel"=dword:00000000
"HideClock"=dword:00000001
"NoTrayItemsDisplay"=dword:00000001
"NoWinKeys"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispCPL"=dword:00000001
"DisableTaskMgr"=dword:00000001
"DisableRegistryTools"=dword:00000001
"DisableLockWorkstation"=dword:00000001
"DisableChangePassword"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"NoUpdateCheck"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"EnableBalloonTips"=dword:00000000
"StartMenuFavorites"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Desktop\CleanupWiz]
"NoRun"=dword:00000001

Author:  Alex3110 [ Sun Aug 27, 2017 12:46 pm ]
Post subject:  Re: Как защититься от "врагов" и дураков в WinCC RT ?

Usver wrote:
Кнопка самая обычная. Нужно просто на ее нажатие повесить скрипт (C-Action):
для выхода из рантайма - DeactivateRTProject()

А как выйти в "винду" не закрывая WinCC RT ?
А потом вернуться обратно.
Т.е. "элегантно сделать "тудым-сюдым".
А если в WinCC RT запустить кнопкой от скрипта "виндовый" процесс explorer.exe , будет ли после этого доступ к меню "ПУСК", панели задач или рабочему столу ?

Я проверял, можно вообще всё напрочь заблокировать (задействовать все комбинации клавиш, которые предлагается в свойствах компьютера в WinCC CS) да так, что единственным способом будет отключение ПК аппаратной кнопкой питания. Это 100% -ный вариант. Но это "не наш метод", как сказал подопечный Шурика, перед экзекуцией его розгами :-) . ("Шурик, но это же наш метод" ). , т.к. и сам программер тоже "обломается" в этом случае.

Ну разве что вставлять внешнее USB-устройство, как предлагает Dfcz . Хотя в "винде" можно настроить отключение автозапуска USB-флеш-накопителей. И что, разве при таких настройках всё равно какое-то окошко вылезет ?
Ан-нет. Проверил на Win7, заблокировал автозапуск внешних USB-устройств через панель устройств. Никакого окошка при подключении не выскакивает. Так шо усё чики-пуки :)

Author:  Alex3110 [ Sun Aug 27, 2017 2:12 pm ]
Post subject:  Re: Как защититься от "врагов" и дураков в WinCC RT ?

ppp wrote:
Так проще реест подправить. Только для юзера. Под другим юзером ограничений не будет

"для юзера" - имеете ввиду для учётной записи с правами "Users" ?
А что в этой "подправке" делается ?

Author:  Dfcz [ Sun Aug 27, 2017 7:13 pm ]
Post subject:  Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?

Alex3110 wrote:
А как выйти в "Ну разве что вставлять внешнее USB-устройство, как предлагает Dfcz . Хотя в "винде" можно настроить отключение автозапуска USB-флеш-накопителей. И что, разве при таких настройках всё равно какое-то окошко вылезет ?
Ан-нет. Проверил на Win7, заблокировал автозапуск внешних USB-устройств через панель устройств. Никакого окошка при подключении не выскакивает. Так шо усё чики-пуки :)

Ага, так видимо думал и тот программер, который якобы заблокировал одну из станций, в которую я вставляю флешнакопитель, и эксплориер выскакивает как миленький.
Есть куча нюансов как с самими накопителями, так и с версиями виндоузов коллега.
П.С. Он тоже проверял СВОЕЙ флешкой, видимо. ха-ха-ха

Author:  Dfcz [ Sun Aug 27, 2017 7:29 pm ]
Post subject:  Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?

Alex3110 wrote:
...А как выйти в "винду" не закрывая WinCC RT ?
А потом вернуться обратно.
Т.е. "элегантно сделать "тудым-сюдым".

Вот, как мне кажется, не закрывая и тудым-сюдым никак не получится. Только через закрывание.

Author:  Alex3110 [ Wed Aug 30, 2017 10:04 am ]
Post subject:  Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?

Dfcz wrote:
Ага, так видимо думал и тот программер, который якобы заблокировал одну из станций, в которую я вставляю флешнакопитель, и эксплориер выскакивает как миленький.
Есть куча нюансов как с самими накопителями, так и с версиями виндоузов коллега.
П.С. Он тоже проверял СВОЕЙ флешкой, видимо. ха-ха-ха

Ну, остаётся надеяться, что у злопыхателя или бестолкового оператора не будет такого супер-флешнакопителя :)

А ежли присовокупить Касперского на АРМ, да и запретить в ём "USB" (и "до кучи" все остальные внешние устройства) ?
При таком раскладе, даже при разрешённом автозапуске и появившемся окошке автозапуска, тыкаю в ".... используя Проводник" - и "фигвам", перехода в "Проводник" нетути.
А с Вашим флешнакопителем как, так же или "сильвупле" ? :)

Author:  Alex3110 [ Fri Sep 01, 2017 12:43 pm ]
Post subject:  Re: Как защититься от "врагов" и дураков в WinCC RT ?

Кто-нибудь настраивал unlock/lock комбинации Windows-клавиш для работающего WinCC RT согласно этому : https://support.industry.siemens.com/cs/document/332356/with-windows-server-2000-2003-windows-2000-professional-windows-xp-professional-and-windows-vista-what-should-you-do-if-disabling-the-key-combinations-is-ineffective-in-wincc-?dti=0&lc=en-WW
а именно п.2 “How can you have event-triggered disabling/enabling of Windows key combinations at Runtime?”

Author:  Dfcz [ Sun Sep 03, 2017 8:22 pm ]
Post subject:  Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?

Alex3110 wrote:
...А ежли присовокупить Касперского на АРМ, да и запретить в ём "USB" (и "до кучи" все остальные внешние устройства) ?
При таком раскладе, даже при разрешённом автозапуске и появившемся окошке автозапуска, тыкаю в ".... используя Проводник" - и "фигвам", перехода в "Проводник" нетути.
А с Вашим флешнакопителем как, так же или "сильвупле" ? :)

Автозапуск тут ни при чем, соответственно касперский идет лесом.

Author:  Alex3110 [ Tue Sep 12, 2017 8:14 am ]
Post subject:  Re: Как защититься от "врагов" и дураков в WinCC RT ?

Dfcz wrote:
Автозапуск тут ни при чем, соответственно касперский идет лесом.

Тогда что тут "при чём" ?
Мы, в основном, используем ПК с WinXP 2002 Profess. SP3 и Win7 Profess. SP1.
Какие USB-устройства можно подключить к таким ПК (где отключен автозапуск для всего не только в самой "винде", но и в Касперском KES10), чтобы при их подключении всё равно появлялось окошко Explorer-ра ?? (считаем, что в BIOS USB-порты разрешены).
Или это какой-то особый "флэшнакопитель", который обычный оператор никогда не станет вставлять в ПК (например, стоит очень дорого, либо достаточно габаритный, чтобы таскать его через заводскую проходную, рискуя быть пойманным).
Самый реальный вариант того, что оператор может засунуть в USB-порт - это флэшка или его мобильный телефон. Если речь не о них, то это внушит оптимизЬм :)

Author:  Dfcz [ Tue Sep 12, 2017 1:06 pm ]
Post subject:  Re: Как защититься от "врагов" и дураков в WinCC RT ?

Когда-то давным-давно, когда деревья были еще молодыми, Эксплорера не было.
А был ВеликийДиспетчерЗадач, через который запускали в том числе и файловые менеджеры (типа Эксплорер).
Воткните в ЮСБ любое устройство (см. выше) и будет вам счастье.
Никаких суперфлешек не надо (хотя они и рулят :))), просто втыкаем, например ЮСБ-дисковод.
Т.е. надо заставить среагировать ВеликийДиспетчерЗадач.
П.С. Кстати мобильный телефон тоже подойдет. :)
П.С.С. Кстати еще раз, по компу путешествовать и работать можно и без какого-то ни было менеджера файлов. Это дело привычки.

Author:  Dfcz [ Tue Sep 12, 2017 1:10 pm ]
Post subject:  Re: Как защититься от "врагов" и дураков в WinCC RT ?

Alex3110 wrote:
Кто-нибудь настраивал unlock/lock комбинации Windows-клавиш для работающего WinCC RT согласно этому : https://support.industry.siemens.com/cs/document/332356/with-windows-server-2000-2003-windows-2000-professional-windows-xp-professional-and-windows-vista-what-should-you-do-if-disabling-the-key-combinations-is-ineffective-in-wincc-?dti=0&lc=en-WW
а именно п.2 “How can you have event-triggered disabling/enabling of Windows key combinations at Runtime?”

Анлок не настраивал, а Лок отлично работает.

Author:  sbalymov [ Tue Sep 12, 2017 9:11 pm ]
Post subject:  Re: Как защититься от "врагов" и дураков в WinCC RT ?

У нас скриптом выведены две кнопки диспетчер задач и проводник, которые разрешены только администраторам

Author:  Usver [ Fri Sep 15, 2017 8:28 pm ]
Post subject:  Re: Как защититься от "врагов" и дураков в WinCC RT ?

Dfcz wrote:
Когда-то давным-давно, когда деревья были еще молодыми, Эксплорера не было.
А был ВеликийДиспетчерЗадач, через который запускали в том числе и файловые менеджеры (типа Эксплорер).
Воткните в ЮСБ любое устройство (см. выше) и будет вам счастье.
Никаких суперфлешек не надо (хотя они и рулят :))), просто втыкаем, например ЮСБ-дисковод.
Т.е. надо заставить среагировать ВеликийДиспетчерЗадач.
П.С. Кстати мобильный телефон тоже подойдет. :)
П.С.С. Кстати еще раз, по компу путешествовать и работать можно и без какого-то ни было менеджера файлов. Это дело привычки.


ДиспетчерЗадач настраивается (можно выключить) при старте проекта. Эксплорер можно вырубать постоянно (циклически) и (или) динамически при изменении тега @CurrentUser (или не этот тег, точно не помню и хрен с ним). Главное, что пользователь не сможет добраться до консоли и меню "Пуск".
Ну воткнул он флешку, через секунду, если включается эксплорер, он тут же отключается. Пишется простой скрипт на проверку текущего пользователя, и если он не подпадает под условия, то все в твоих руках! В чем проблемы? Это же не от хакеров обезопасить..., а от пользователя. В конце концов, если что-то не прокатит, наверняка узнаешь и предпримешь меры.

Author:  Usver [ Fri Sep 15, 2017 8:43 pm ]
Post subject:  Re: Как защититься от "врагов" и дураков в WinCC RT ?

Повторюсь. Комп лучше держать под замком, а то если он на руках, то делай с ним чего хочешь!

Author:  Dfcz [ Mon Sep 18, 2017 12:21 pm ]
Post subject:  Re: Как защититься от "врагов" и дураков в WinCC RT ?

Usver wrote:
...Ну воткнул он флешку, через секунду, если включается эксплорер, он тут же отключается. ....

Ну повторюсь: автозапуск (и соответственно ваш любимый эксплорер) тут ни при делах.
П.С.Попробуй запрети диспетчерзадач (интересно было бы посмотреть :)), и возьми у знакомого флешку и воткни, и все поймешь.
П.С.С, Кажется мы далеко ушли?

Author:  Dfcz [ Mon Sep 18, 2017 12:37 pm ]
Post subject:  Re: Как защититься от "врагов" и дураков в WinCC RT ?

Usver wrote:
Повторюсь. Комп лучше держать под замком, а то если он на руках, то делай с ним чего хочешь!

Мы так и делаем. :)
И что удивительно, никто даже не пытается что-то сделать с замком. Вешаем самые дешевые маленькие китайские замочки - дерни и откроется.

Author:  Alex3110 [ Thu Sep 21, 2017 7:33 pm ]
Post subject:  Re: Как защититься от "врагов" и дураков в WinCC RT ?

Usver wrote:
ДиспетчерЗадач настраивается (можно выключить) при старте проекта. Эксплорер можно вырубать постоянно (циклически) ....

Эксплорер эт, канэшн, хорошее решение, но не надо забывать , что есть несколько стандартных комбинаций клавиш Windows, которые работают даже при выключенном Эксплорере !!! Я не имею ввиду те, которые можно отключить в WinCC Explorer -ре (в свойствах компа-сервера). Есть ещё 5...6 комбинаций и в WinXP и в Win7, используя которые можно добраться до "Панели инструментов" и "делай с ним, что хошь" (лап-табудиба-дудай :D )
Ещё также можно использовать DeskLock 2000 v.5.1 (но работает полноценно только в WinXP). Эта прога также отключает Эксплорер при своём автозапуске и контролирует автоматический или ручной (под паролем) запуск до 10 приложений.

Author:  Alex3110 [ Mon Sep 25, 2017 7:40 am ]
Post subject:  Re: Как защититься от "врагов" и дураков в WinCC RT ?

Но и в случае с DeskLock 2000 v.5.1 также остаются работающими некоторые комбинации клавиш, поэтому их тоже надо заблокировать.

Page 1 of 1 All times are UTC + 3 hours
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/