Ограничение прав доступа для разных юзеров.

банкоматы компании Wincor
gy1610
Специалист
Сообщения: 412
Зарегистрирован: 21 апр 2011, 00:32
Откуда: Грузия, Тбилиси
Благодарил (а): 14 раз
Поблагодарили: 8 раз

Ограничение прав доступа для разных юзеров.

Непрочитанное сообщение gy1610 »

Добрый день!
Задача в следующем: для каждой группы сотрудников, имеющих доступ к банкомату, необходимы различные права доступа. Наивысшими правами обладают сотрудники из департамента рисков, наименьшими - банкоматчики. Т.е., банкоматчики не должны видеть и уж тем более менять некоторые ветки регистров, некоторые папки и т.д. Вполне устраивает схема, реализованная на NCR, где банкомат работает под SST1 с достаточно ограниченными правами доступа.(кто не знает что это такое(SST1), смотрите в документации NCR мануал 6199(Security Security on Windows NT®User’s Guide)). В принципе, средствами Win XP это вполне решаемо, но загвоздка в том, что Proinstall грузится под администратором, и если меняем логин и пароль, то система перестаёт загружаться. Никак не соображу, как заставить такую схему работать. Если у кого есть интересные мысли по этому поводу или, что ещё лучше, рабочая схема, то буду очень признателен за помощь. :-)
Lucky
Модератор
Модератор
Сообщения: 2233
Зарегистрирован: 04 ноя 2010, 05:21
Благодарил (а): 37 раз
Поблагодарили: 51 раз

Re: Ограничение прав доступа для разных юзеров.

Непрочитанное сообщение Lucky »

gy1610 писал(а):меняем логин и пароль
А в реестре при этом эти параметры устанавливаются в качестве используемой по умолчанию учетки?
gy1610
Специалист
Сообщения: 412
Зарегистрирован: 21 апр 2011, 00:32
Откуда: Грузия, Тбилиси
Благодарил (а): 14 раз
Поблагодарили: 8 раз

Re: Ограничение прав доступа для разных юзеров.

Непрочитанное сообщение gy1610 »

Честно говоря, никогда не задавался таким вопросом. Скорее всего, что при инсталляции Proinstall меняет дефолтный админовский пароль на свой. Даже не скорее всего, а так оно и есть. А дефолтный пароль ставим при инсталляции винды мы сами. И запускается система обязательно под админом. Вот где это можно поменять на Винкоре потом, я не знаю :unknown:
Lucky
Модератор
Модератор
Сообщения: 2233
Зарегистрирован: 04 ноя 2010, 05:21
Благодарил (а): 37 раз
Поблагодарили: 51 раз

Re: Ограничение прав доступа для разных юзеров.

Непрочитанное сообщение Lucky »

В ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon есть
строковые параметры DefaultUserName и DefaultPassword, т.е. логин и пароль для автовхода.
Там же AutoAdminLogon=1, это админский автовход. Можно попробовать взять ключ из DefaultPassword и поиском найти ветку, где он еще упоминается. :???:
gy1610
Специалист
Сообщения: 412
Зарегистрирован: 21 апр 2011, 00:32
Откуда: Грузия, Тбилиси
Благодарил (а): 14 раз
Поблагодарили: 8 раз

Re: Ограничение прав доступа для разных юзеров.

Непрочитанное сообщение gy1610 »

Что-то не получилось найти.
Lucky
Модератор
Модератор
Сообщения: 2233
Зарегистрирован: 04 ноя 2010, 05:21
Благодарил (а): 37 раз
Поблагодарили: 51 раз

Re: Ограничение прав доступа для разных юзеров.

Непрочитанное сообщение Lucky »

gy1610 писал(а):не получилось найти
Что именно?
gy1610
Специалист
Сообщения: 412
Зарегистрирован: 21 апр 2011, 00:32
Откуда: Грузия, Тбилиси
Благодарил (а): 14 раз
Поблагодарили: 8 раз

Re: Ограничение прав доступа для разных юзеров.

Непрочитанное сообщение gy1610 »

ключ из default password в дргой ветке регистра
Lucky
Модератор
Модератор
Сообщения: 2233
Зарегистрирован: 04 ноя 2010, 05:21
Благодарил (а): 37 раз
Поблагодарили: 51 раз

Re: Ограничение прав доступа для разных юзеров.

Непрочитанное сообщение Lucky »

А если просто попробовать поменять пароль и указать его в этой ветке, будет софт загружаться или нет?
Аватара пользователя
chvap
Специалист
Сообщения: 246
Зарегистрирован: 29 ноя 2012, 17:04
Откуда: chvap2000@yandex.ru

Re: Ограничение прав доступа для разных юзеров.

Непрочитанное сообщение chvap »

Endless Quest
Я лично, против ограничения доступа банкоматчикам.
Не раз сталкивался с тем,что приходится звонить и клянчить,что бы какой-то дяденька снизошел до моих потребностей, и зашел удаленно под админом.
А потребности,действительно есть(подменить драйвер,переустановить что-либо).
Когда меня это начинает доставать -сбрасываю биос,админский пароль и пошли они все на .... :mad:
Безопасники, блин...
Снимаем винт,подключаем к ноуту по USB,и редактируем реестр удаленной машины.
ПРИВЕТ БЕЗОПАСНОСТИ.
Аватара пользователя
hijack
Ведущий специалист
Сообщения: 582
Зарегистрирован: 05 июн 2011, 21:36
Откуда: Сахалин
Благодарил (а): 75 раз
Поблагодарили: 51 раз

Re: Ограничение прав доступа для разных юзеров.

Непрочитанное сообщение hijack »

и действительно, когда у тебя есть физический доступ к машине, чего уж там безопасить-то :)
Аватара пользователя
chvap
Специалист
Сообщения: 246
Зарегистрирован: 29 ноя 2012, 17:04
Откуда: chvap2000@yandex.ru

Re: Ограничение прав доступа для разных юзеров.

Непрочитанное сообщение chvap »

hijack,
У них свое видение мира.
Вчера, начальник отделения вручил мне криптоключи в банке,даже на банкомат не выезжал.
А сегодня попросили чеки поправить,так кассир -партизанка ,аккуратно так,счетчики прикрыла, чтобы не узнал обьем загрузки.Еще и обиделась,какже- секрет! fp:|
gy1610
Специалист
Сообщения: 412
Зарегистрирован: 21 апр 2011, 00:32
Откуда: Грузия, Тбилиси
Благодарил (а): 14 раз
Поблагодарили: 8 раз

Re: Ограничение прав доступа для разных юзеров.

Непрочитанное сообщение gy1610 »

Endless Quest,
По поводу смены пароля в аккаунте и регистре, раньше делали такое, сейчас ещё раз перепроверил - работает. Главное не забыть поменять и в регистре тоже. Но в данном конкретном случае больше интересен вариант,при котором система будет загружаться как под админом с полными правами доступа, так и под юзером с ограниченным доступом. А тут как раз и не получается загрузить Protopas из-под другого, отличного от Administrator, логина.
chvap,
В бытность свою банкоматчиком, я имел полный доступ ко всем папкам и разделам регистра. Но тогда не стояла так актуально тема PCI DSS. А сейчас наше руководство блюдёт практически каждый пунктик из PCI. Вот и приходится урезать права банкоматчика. Хотя, и здесь абсолютно согласен с Вами, зная как сломать защиту не составит труда её поломать. Но здесь опять же достаточно несложно вычислить, кто несанкционированно влез в банкомат. Ну а дальше применить к данному индивидууму соответствующие карктельные меры. :evil:
Аватара пользователя
central
Модератор
Модератор
Сообщения: 2087
Зарегистрирован: 20 дек 2010, 04:59
Авто: Майбах
Благодарил (а): 32 раза
Поблагодарили: 90 раз

Re: Ограничение прав доступа для разных юзеров.

Непрочитанное сообщение central »

gy1610 писал(а):А сейчас наше руководство блюдёт практически каждый пунктик из PCI.
Скажите своему руководству, что софт надо обновить, там уже реализована функция необходимая вам. Софт грузится под пользователем проклассик с ограниченным функционалом. :???:
TROUBLE-SHOOTER
gy1610
Специалист
Сообщения: 412
Зарегистрирован: 21 апр 2011, 00:32
Откуда: Грузия, Тбилиси
Благодарил (а): 14 раз
Поблагодарили: 8 раз

Re: Ограничение прав доступа для разных юзеров.

Непрочитанное сообщение gy1610 »

central, а о каком софте речь?
Аватара пользователя
central
Модератор
Модератор
Сообщения: 2087
Зарегистрирован: 20 дек 2010, 04:59
Авто: Майбах
Благодарил (а): 32 раза
Поблагодарили: 90 раз

Re: Ограничение прав доступа для разных юзеров.

Непрочитанное сообщение central »

gy1610, Proinstal 2.0.
TROUBLE-SHOOTER
Lucky
Модератор
Модератор
Сообщения: 2233
Зарегистрирован: 04 ноя 2010, 05:21
Благодарил (а): 37 раз
Поблагодарили: 51 раз

Re: Ограничение прав доступа для разных юзеров.

Непрочитанное сообщение Lucky »

chvap писал(а):Endless Quest
Я лично, против ограничения доступа банкоматчикам.
И?
gy1610
Специалист
Сообщения: 412
Зарегистрирован: 21 апр 2011, 00:32
Откуда: Грузия, Тбилиси
Благодарил (а): 14 раз
Поблагодарили: 8 раз

Re: Ограничение прав доступа для разных юзеров.

Непрочитанное сообщение gy1610 »

central,
Впорос к Вам: нет ли у Вас часом документации по Proinstal 2.0. Ну, что-то типа user manual?
Кстати, по поводу банкоматчиков, а зачем технарю весь регистр? Например, те ветки, где пароли и профили хранятся? Меня спросить, делать им там нечего. Поверьте, у нас на фирме тоже сначала народ возмущался. А потом ничего, привыкли. А излишняя активность в этом вопросе порождает нездоровую подозрительность у руководства.
Аватара пользователя
central
Модератор
Модератор
Сообщения: 2087
Зарегистрирован: 20 дек 2010, 04:59
Авто: Майбах
Благодарил (а): 32 раза
Поблагодарили: 90 раз

Re: Ограничение прав доступа для разных юзеров.

Непрочитанное сообщение central »

gy1610, документации нет. Устанавливал в свое время одному из банков, поэтому знаком.
TROUBLE-SHOOTER
Аватара пользователя
chvap
Специалист
Сообщения: 246
Зарегистрирован: 29 ноя 2012, 17:04
Откуда: chvap2000@yandex.ru

Re: Ограничение прав доступа для разных юзеров.

Непрочитанное сообщение chvap »

gy1610,
вот,вроде здесь описывается
protect_v1340_manual_en.rar
То,что вас интересует инсталлится с двух дисков:1-Probase/C и 2-NDC/DDC 2x.xx
http://www.wincor-nixdorf.com/internet/ ... 6352%253D2 С соблюдением норм безопасности, изложенных в PCI(все как Вы и хотите)
gy1610 писал(а):сейчас наше руководство блюдёт практически каждый пунктик из PCI
Ну и пусть себе блюдет,на бумаге.Админский пароль у банкоматчика должен быть,пусть даже негласно.Невозможно обеспечить 100% работоспособность техники и ПО,не имея админского доступа.
Endless Quest писал(а):И?
Выразил свое мнение.Естесственно,повлиять на чье-то решение,где-то там.. не могу.
Но на своей территории,моя позиция бескомпромиссна.
to central,ProInstall ушел в небытие,последняя версия,которая мне попадалась была 41.хх
gy1610 писал(а):зачем технарю весь регистр? Например, те ветки, где пароли
,может Вы не обращали внимания,но пароля там нет,а только хеш.Трудно перечислить все случаи,когда необходим доступ к реестру,причем к разным его частям.По поводу "карктельных мер",когда клиента макаешь по уши в грязь,и техника простаивает,ему попросту не до них.
У вас нет необходимых прав для просмотра вложений в этом сообщении.
gy1610
Специалист
Сообщения: 412
Зарегистрирован: 21 апр 2011, 00:32
Откуда: Грузия, Тбилиси
Благодарил (а): 14 раз
Поблагодарили: 8 раз

Re: Ограничение прав доступа для разных юзеров.

Непрочитанное сообщение gy1610 »

Спасибо за документ. Очень интересно и на самом деле прямо по нашей проблеме. Знать бы ещё, сколько это программа стоит. :-)
Ответить