Page 1 of 1

Как защититься от "врагов" и дураков в WinCC RT ?

Posted: Wed Jul 19, 2017 7:20 am
by Alex3110
Всем привет !

Знаю, как сделать так, чтобы при работающем WinCC RT были заблокированы комбинации клавиш (а также клавиша “Windows») нажатие на которые переводят в другие окна Windows (меню «Пуск», «Рабочий стол» и др.) либо в окна других рабо-тающих приложений.
Это предотвращает несанкционированное закрытие WinCC RT, либо доступ к ресурсам OS Windows.
Но как тогда я сам смогу временно, для служебных целей, переключиться с WinCC RT (не останавливая его) к ресурсам OS Windows, а потом снова заблокиро-вать те комбинации клавиш и вернуться назад в WinCC RT ?

Как это настроить ?

Это возможно только с помощью скрипта или есть другие варианты ?
Использую WinCC 7.0 + SP3+Upd1.

Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?

Posted: Wed Jul 19, 2017 11:53 am
by Usver
Можно оставить ALT+TAB включенным, а в проекте сделать кнопочку, вызывающую WinCC explorer.

Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?

Posted: Thu Jul 20, 2017 3:44 am
by quqdron
Подключится удаленно (rdp например) под другим пользователем.

Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?

Posted: Thu Jul 20, 2017 8:09 am
by Dfcz
Создать кнопку с паролем выхода из RT.
Создать кнопку с паролем для запуска стороннего приложения.

Re: Как защититься от "врагов" и дураков в WinCC RT ?

Posted: Wed Aug 16, 2017 6:55 am
by Alex3110
Спасибо всем !

Мне с форума SIEMENS один "забугорный" хлопец ответил, что скрипт - это единственный способ быстрого "тудым-сюдым".
https://support.industry.siemens.com/cs ... 0&lc=en-WW

Т.е. где-то в укромном месте, на каком-то экране, надо создать кнопку и к её "кликам" привязать оные скрипты. Например, для левой кнопки мыши - разблокировка, для правой - блокировка. Сам я не стал голову ломать, обошелся методой попроще. Но ежли хто рискнёт, то было-бы любопытно.
Так как стандартные методы всё же оставляют лазейки для "супостатов" :)

Re: Как защититься от "врагов" и дураков в WinCC RT ?

Posted: Wed Aug 16, 2017 6:58 am
by Alex3110
Usver wrote:Можно оставить ALT+TAB включенным, а в проекте сделать кнопочку, вызывающую WinCC explorer.
Да, путём научных (и не очень) исследований я тоже пришел к выводу, что надо оставить работающей только комбинацию ALT+TAB . Это оптимальный вариант. Хотя, если про неё прознает "супостат", то кирдык всему :)

Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?

Posted: Tue Aug 22, 2017 5:11 pm
by Usver
Ну так-то конечно эта комбинация известна многим, но можно клавиши переносить с одной на другую (делается через реестр), но это только под свою клавиатуру (скан-коды от клавы необходимо знать) :wink:
Да и вообще в добавок можно батником при запуске рантайма вырубить эксплорер.ехе Неподготовленному челу сложнее будет подобраться.

Re: Как защититься от "врагов" и дураков в WinCC RT ?

Posted: Tue Aug 22, 2017 5:53 pm
by Alex3110
Usver wrote:Да и вообще в добавок можно батником при запуске рантайма вырубить эксплорер.ехе Неподготовленному челу сложнее будет подобраться.
Так тогда получу чистый синий рабочий стол без всяких ярлыков. И как потом самому из этой "засады" выбраться ? Только через CNTR+ALT+DEL ? Последнее крайне нежелательно. А вот перекодировка клавиш - это, похоже, 100% - ый вариант.

Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?

Posted: Tue Aug 22, 2017 6:31 pm
by Usver
Ну то спасет комбинация Win+U. Главное - это открыть справку от винды! Затем щелкаешь правой кнопочкой мышки по левому верхнему углу на самой справке и выбираешь jump to url, где вводишь путь к папке винды (C:\WINDOWS). Там лежит эксплорер.ехе. Запускаешь и делаешь что хотишь :)))))))))))))) Т.е. рабочий стол буде доступен )))
Короче, главное - это запустить процесс експлорера, а затем его убить, когда будет не нужен.

Кстати, таск манагер включен чтоли? Там же вообще чего хочешь, то и делай! Его отключать желательно.
Есть конечно еще вариант с подобными приколами с эксплорером, но тогда долго будет загружаться автозапуск рантайма(это не интересно).

Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?

Posted: Wed Aug 23, 2017 6:50 am
by Answers to FAQs

Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?

Posted: Wed Aug 23, 2017 6:49 pm
by Dfcz
На самом деле ничего не спасет, всегда найдется вариант.
Например, я так делаю на чужой "заблокированной" станции: вставить флешку (флопик, сд диск, зип устройство, картридер и т.д. :)), и на любой винде запустится эксплориер поверх любого окна любого приложения.
Поэтому рекомендую помимо комбинации клавиш для себя (и прочей хрени, рекомендованной Семеном), выключить все устройства в биос и поставить пароль на биос для работника.

Re: Как защититься от "врагов" и дураков в WinCC RT ?

Posted: Fri Aug 25, 2017 9:45 am
by Alex3110
Usver wrote:Ну так-то конечно эта комбинация известна многим...
Да, Вы правы. Почему-то ALT+TAB мне показалась более симпатишной. Хотя, как выясняется CNTR+ESC - менее знакома юзерам, поэтому лучше использовать её в качестве "путей для отхода". Но напоминаю, что для того, чтобы всё работало, как ожидается, ОБЯЗАТЕЛЬНО должна быть включена опция «Full screen», во вкладке «Graphics Runtime». Иначе любые варианты запретов на комбинации клавиш во вкладке "Parameters" НЕ ДЕЙСТВУЮТ. Т.е. при любых «раскладах» этих запретов, на рабочий стол, в меню ПУСК и панель задач из WinCC RT можно выйти и по «CNTRL+ESC» и по «ALT+TAB», если опция «Full screen», во вкладке «Graphics Runtime», деактивирована. Проверено (в WinCC v.7.0 SP3+UPD1).
Dfcz wrote:Создать кнопку с паролем выхода из RT.
Создать кнопку с паролем для запуска стороннего приложения.
А разве есть конфигураторе WinCC такая спец. кнопка ?
Или кнопка, в свойствах которой есть "Выход в Windows, не прерывая WinCC RT" ?

В WinCC Flexible точно есть, сам делал и пользовался.

Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?

Posted: Sat Aug 26, 2017 3:55 am
by Usver
Кнопка самая обычная. Нужно просто на ее нажатие повесить скрипт (C-Action):
для выхода из рантайма - DeactivateRTProject();
для запуска любого приложения ProgramExecute("ЛюбоеПриложение.exe");.
Например, для запуска winccexplorer ProgramExecute("WinCCExplorer.exe");

Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?

Posted: Sat Aug 26, 2017 5:50 am
by Usver
Dfcz wrote:На самом деле ничего не спасет, всегда найдется вариант.
Например, я так делаю на чужой "заблокированной" станции: вставить флешку (флопик, сд диск, зип устройство, картридер и т.д. :)), и на любой винде запустится эксплориер поверх любого окна любого приложения.
Поэтому рекомендую помимо комбинации клавиш для себя (и прочей хрени, рекомендованной Семеном), выключить все устройства в биос и поставить пароль на биос для работника.
Да. Действительно так оно и есть. Поэтому банку нужно ставить в другое закрытое помещение или сейф, к которому доступа не будет у юзеров и юзверей. А так-то туда можно и свисток засунуть (и да будет интернет). И проект нужно делать так, чтобы не выскакивали дополнительные окна (например, при не верной регистрации пользователя в системе, использование диалоговых окон Винды или веб браузер в проекте, по правому клику мыши которого можно вызвать текстовый редактор) и т.д и т.п. Т.е. задача (по большому счету) состоит в усложнении доступа пользователя к ОС, но все равно могут найтись умельцы, которые смогут все это обойти.

Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?

Posted: Sat Aug 26, 2017 12:50 pm
by ppp
Так проще реест подправить. Только для юзера. Под другим юзером ограничений не будет

Code: Select all

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoRun"=dword:00000001
"NoCommonGroups"=dword:00000001
"NoSetFolders"=dword:00000001
"NoViewContextMenu"=dword:00000001
"NoTrayContextMenu"=dword:00000001
"NoSetTaskbar"=dword:00000001
"NoDrives"=dword:03ffffff
"NoFind"=dword:00000001
"NoDesktop"=dword:00000001
"NoSMHelp"=dword:00000001
"NoFolderOptions"=dword:00000001
"NoControlPanel"=dword:00000000
"HideClock"=dword:00000001
"NoTrayItemsDisplay"=dword:00000001
"NoWinKeys"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"NoDispCPL"=dword:00000001
"DisableTaskMgr"=dword:00000001
"DisableRegistryTools"=dword:00000001
"DisableLockWorkstation"=dword:00000001
"DisableChangePassword"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"NoUpdateCheck"=dword:00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"EnableBalloonTips"=dword:00000000
"StartMenuFavorites"=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Desktop\CleanupWiz]
"NoRun"=dword:00000001

Re: Как защититься от "врагов" и дураков в WinCC RT ?

Posted: Sun Aug 27, 2017 9:46 am
by Alex3110
Usver wrote:Кнопка самая обычная. Нужно просто на ее нажатие повесить скрипт (C-Action):
для выхода из рантайма - DeactivateRTProject()
А как выйти в "винду" не закрывая WinCC RT ?
А потом вернуться обратно.
Т.е. "элегантно сделать "тудым-сюдым".
А если в WinCC RT запустить кнопкой от скрипта "виндовый" процесс explorer.exe , будет ли после этого доступ к меню "ПУСК", панели задач или рабочему столу ?

Я проверял, можно вообще всё напрочь заблокировать (задействовать все комбинации клавиш, которые предлагается в свойствах компьютера в WinCC CS) да так, что единственным способом будет отключение ПК аппаратной кнопкой питания. Это 100% -ный вариант. Но это "не наш метод", как сказал подопечный Шурика, перед экзекуцией его розгами :-) . ("Шурик, но это же наш метод" ). , т.к. и сам программер тоже "обломается" в этом случае.

Ну разве что вставлять внешнее USB-устройство, как предлагает Dfcz . Хотя в "винде" можно настроить отключение автозапуска USB-флеш-накопителей. И что, разве при таких настройках всё равно какое-то окошко вылезет ?
Ан-нет. Проверил на Win7, заблокировал автозапуск внешних USB-устройств через панель устройств. Никакого окошка при подключении не выскакивает. Так шо усё чики-пуки :)

Re: Как защититься от "врагов" и дураков в WinCC RT ?

Posted: Sun Aug 27, 2017 11:12 am
by Alex3110
ppp wrote:Так проще реест подправить. Только для юзера. Под другим юзером ограничений не будет
"для юзера" - имеете ввиду для учётной записи с правами "Users" ?
А что в этой "подправке" делается ?

Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?

Posted: Sun Aug 27, 2017 4:13 pm
by Dfcz
Alex3110 wrote: А как выйти в "Ну разве что вставлять внешнее USB-устройство, как предлагает Dfcz . Хотя в "винде" можно настроить отключение автозапуска USB-флеш-накопителей. И что, разве при таких настройках всё равно какое-то окошко вылезет ?
Ан-нет. Проверил на Win7, заблокировал автозапуск внешних USB-устройств через панель устройств. Никакого окошка при подключении не выскакивает. Так шо усё чики-пуки :)
Ага, так видимо думал и тот программер, который якобы заблокировал одну из станций, в которую я вставляю флешнакопитель, и эксплориер выскакивает как миленький.
Есть куча нюансов как с самими накопителями, так и с версиями виндоузов коллега.
П.С. Он тоже проверял СВОЕЙ флешкой, видимо. ха-ха-ха

Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?

Posted: Sun Aug 27, 2017 4:29 pm
by Dfcz
Alex3110 wrote:...А как выйти в "винду" не закрывая WinCC RT ?
А потом вернуться обратно.
Т.е. "элегантно сделать "тудым-сюдым".
Вот, как мне кажется, не закрывая и тудым-сюдым никак не получится. Только через закрывание.

Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?

Posted: Wed Aug 30, 2017 7:04 am
by Alex3110
Dfcz wrote: Ага, так видимо думал и тот программер, который якобы заблокировал одну из станций, в которую я вставляю флешнакопитель, и эксплориер выскакивает как миленький.
Есть куча нюансов как с самими накопителями, так и с версиями виндоузов коллега.
П.С. Он тоже проверял СВОЕЙ флешкой, видимо. ха-ха-ха
Ну, остаётся надеяться, что у злопыхателя или бестолкового оператора не будет такого супер-флешнакопителя :)

А ежли присовокупить Касперского на АРМ, да и запретить в ём "USB" (и "до кучи" все остальные внешние устройства) ?
При таком раскладе, даже при разрешённом автозапуске и появившемся окошке автозапуска, тыкаю в ".... используя Проводник" - и "фигвам", перехода в "Проводник" нетути.
А с Вашим флешнакопителем как, так же или "сильвупле" ? :)

Re: Как защититься от "врагов" и дураков в WinCC RT ?

Posted: Fri Sep 01, 2017 9:43 am
by Alex3110
Кто-нибудь настраивал unlock/lock комбинации Windows-клавиш для работающего WinCC RT согласно этому : https://support.industry.siemens.com/cs ... 0&lc=en-WW
а именно п.2 “How can you have event-triggered disabling/enabling of Windows key combinations at Runtime?”

Re: Как в WinCC RT разрешить заблок-ные ранее комбоклавиши ?

Posted: Sun Sep 03, 2017 5:22 pm
by Dfcz
Alex3110 wrote:...А ежли присовокупить Касперского на АРМ, да и запретить в ём "USB" (и "до кучи" все остальные внешние устройства) ?
При таком раскладе, даже при разрешённом автозапуске и появившемся окошке автозапуска, тыкаю в ".... используя Проводник" - и "фигвам", перехода в "Проводник" нетути.
А с Вашим флешнакопителем как, так же или "сильвупле" ? :)
Автозапуск тут ни при чем, соответственно касперский идет лесом.

Re: Как защититься от "врагов" и дураков в WinCC RT ?

Posted: Tue Sep 12, 2017 5:14 am
by Alex3110
Dfcz wrote:Автозапуск тут ни при чем, соответственно касперский идет лесом.
Тогда что тут "при чём" ?
Мы, в основном, используем ПК с WinXP 2002 Profess. SP3 и Win7 Profess. SP1.
Какие USB-устройства можно подключить к таким ПК (где отключен автозапуск для всего не только в самой "винде", но и в Касперском KES10), чтобы при их подключении всё равно появлялось окошко Explorer-ра ?? (считаем, что в BIOS USB-порты разрешены).
Или это какой-то особый "флэшнакопитель", который обычный оператор никогда не станет вставлять в ПК (например, стоит очень дорого, либо достаточно габаритный, чтобы таскать его через заводскую проходную, рискуя быть пойманным).
Самый реальный вариант того, что оператор может засунуть в USB-порт - это флэшка или его мобильный телефон. Если речь не о них, то это внушит оптимизЬм :)

Re: Как защититься от "врагов" и дураков в WinCC RT ?

Posted: Tue Sep 12, 2017 10:06 am
by Dfcz
Когда-то давным-давно, когда деревья были еще молодыми, Эксплорера не было.
А был ВеликийДиспетчерЗадач, через который запускали в том числе и файловые менеджеры (типа Эксплорер).
Воткните в ЮСБ любое устройство (см. выше) и будет вам счастье.
Никаких суперфлешек не надо (хотя они и рулят :))), просто втыкаем, например ЮСБ-дисковод.
Т.е. надо заставить среагировать ВеликийДиспетчерЗадач.
П.С. Кстати мобильный телефон тоже подойдет. :)
П.С.С. Кстати еще раз, по компу путешествовать и работать можно и без какого-то ни было менеджера файлов. Это дело привычки.

Re: Как защититься от "врагов" и дураков в WinCC RT ?

Posted: Tue Sep 12, 2017 10:10 am
by Dfcz
Alex3110 wrote:Кто-нибудь настраивал unlock/lock комбинации Windows-клавиш для работающего WinCC RT согласно этому : https://support.industry.siemens.com/cs ... 0&lc=en-WW
а именно п.2 “How can you have event-triggered disabling/enabling of Windows key combinations at Runtime?”
Анлок не настраивал, а Лок отлично работает.

Re: Как защититься от "врагов" и дураков в WinCC RT ?

Posted: Tue Sep 12, 2017 6:11 pm
by sbalymov
У нас скриптом выведены две кнопки диспетчер задач и проводник, которые разрешены только администраторам

Re: Как защититься от "врагов" и дураков в WinCC RT ?

Posted: Fri Sep 15, 2017 5:28 pm
by Usver
Dfcz wrote:Когда-то давным-давно, когда деревья были еще молодыми, Эксплорера не было.
А был ВеликийДиспетчерЗадач, через который запускали в том числе и файловые менеджеры (типа Эксплорер).
Воткните в ЮСБ любое устройство (см. выше) и будет вам счастье.
Никаких суперфлешек не надо (хотя они и рулят :))), просто втыкаем, например ЮСБ-дисковод.
Т.е. надо заставить среагировать ВеликийДиспетчерЗадач.
П.С. Кстати мобильный телефон тоже подойдет. :)
П.С.С. Кстати еще раз, по компу путешествовать и работать можно и без какого-то ни было менеджера файлов. Это дело привычки.
ДиспетчерЗадач настраивается (можно выключить) при старте проекта. Эксплорер можно вырубать постоянно (циклически) и (или) динамически при изменении тега @CurrentUser (или не этот тег, точно не помню и хрен с ним). Главное, что пользователь не сможет добраться до консоли и меню "Пуск".
Ну воткнул он флешку, через секунду, если включается эксплорер, он тут же отключается. Пишется простой скрипт на проверку текущего пользователя, и если он не подпадает под условия, то все в твоих руках! В чем проблемы? Это же не от хакеров обезопасить..., а от пользователя. В конце концов, если что-то не прокатит, наверняка узнаешь и предпримешь меры.

Re: Как защититься от "врагов" и дураков в WinCC RT ?

Posted: Fri Sep 15, 2017 5:43 pm
by Usver
Повторюсь. Комп лучше держать под замком, а то если он на руках, то делай с ним чего хочешь!

Re: Как защититься от "врагов" и дураков в WinCC RT ?

Posted: Mon Sep 18, 2017 9:21 am
by Dfcz
Usver wrote:...Ну воткнул он флешку, через секунду, если включается эксплорер, он тут же отключается. ....
Ну повторюсь: автозапуск (и соответственно ваш любимый эксплорер) тут ни при делах.
П.С.Попробуй запрети диспетчерзадач (интересно было бы посмотреть :)), и возьми у знакомого флешку и воткни, и все поймешь.
П.С.С, Кажется мы далеко ушли?

Re: Как защититься от "врагов" и дураков в WinCC RT ?

Posted: Mon Sep 18, 2017 9:37 am
by Dfcz
Usver wrote:Повторюсь. Комп лучше держать под замком, а то если он на руках, то делай с ним чего хочешь!
Мы так и делаем. :)
И что удивительно, никто даже не пытается что-то сделать с замком. Вешаем самые дешевые маленькие китайские замочки - дерни и откроется.

Re: Как защититься от "врагов" и дураков в WinCC RT ?

Posted: Thu Sep 21, 2017 4:33 pm
by Alex3110
Usver wrote:ДиспетчерЗадач настраивается (можно выключить) при старте проекта. Эксплорер можно вырубать постоянно (циклически) ....
Эксплорер эт, канэшн, хорошее решение, но не надо забывать , что есть несколько стандартных комбинаций клавиш Windows, которые работают даже при выключенном Эксплорере !!! Я не имею ввиду те, которые можно отключить в WinCC Explorer -ре (в свойствах компа-сервера). Есть ещё 5...6 комбинаций и в WinXP и в Win7, используя которые можно добраться до "Панели инструментов" и "делай с ним, что хошь" (лап-табудиба-дудай :D )
Ещё также можно использовать DeskLock 2000 v.5.1 (но работает полноценно только в WinXP). Эта прога также отключает Эксплорер при своём автозапуске и контролирует автоматический или ручной (под паролем) запуск до 10 приложений.

Re: Как защититься от "врагов" и дураков в WinCC RT ?

Posted: Mon Sep 25, 2017 4:40 am
by Alex3110
Но и в случае с DeskLock 2000 v.5.1 также остаются работающими некоторые комбинации клавиш, поэтому их тоже надо заблокировать.

Re: Как защититься от "врагов" и дураков в WinCC RT ?

Posted: Sat Sep 30, 2017 7:25 pm
by Usver
Есть ещё 5...6 комбинаций и в WinXP и в Win7, используя которые можно добраться до "Панели инструментов" и "делай с ним, что хошь" (лап-табудиба-дудай :D )
Будет конечно тоже интересно, если Вы не компе запустите лишь только калькулятор (при запуске) таким методом: HKCU/Software/Microsoft/WindowsNT/CurrentVersion/Winlogon "Shell"=RegSZ:"calc.exe", эти 5-6 штук будут работать? (разумеется при этом будут выключены 3 волшебные ctrl-alt-del, а также предприняты все меры со флэшками и т.д и т.п.). У Вас загрузится только ядро винды + увидите калькулятор. Какие действия 5-6 штук могут быть (Win+U не учитывая)? Да и флэшки тут не причем, ведь банка должна быть под замком.
Разумеется должен быть комплекс мер, но только до той степени, которая Вам будет удобна и неудобна пользователю.
А что это за комбинации 5-6 штук? Вы напишите, а то мне интересно стало.