Контроль пользователей

[admas]

У нас на предприятии есть система слежения за пользователями на Win ПК, особенно безопасники любят смотреть скриншоты
Хочется чтобы WtWare скидывала на сетевую шару скриншот через определенное время (например минута).
П.С.
Может быть есть варианты решения данной задачи. Сам накопать не смог.
Сейчас есть отдельная виртуалка на которой безопасники подключаются к пользователю по VNC в режиме просмотра и скрипт на PowerShell складывает скриншоты в нужную папку.
П.С.
знаю что мы еще те извращенцы )))

[aka]

Много раз уже эта тема поднималась, но никто никогда не осилил написать исчерпывающее техзадание, чтоб было более-менее универсально, а незаточено под конкретные привычки.

Сейчас по VNC можно, да.

[admas]

Видел подобные темы на форуме, думаю, что тема очень актуальна...
Попробую сформулировать техническое задание, может быть коллеги поправят\добавят.
Ведь WTware "Придумана коллективным разумом"(c)

Необходимо в автоматическом режиме выполнять снятие скриншотов экрана пользователя в формате jpeg.
Имя файла должно быть уникальным и включать в себя дату снятия скриншота, время и имя пользователя под которым выполнен вход (PetrovPP-DDMMYY-HHMMSS).
В конфигурационном файле можно предусмотреть настройки:
команда включения режима снятия скриншотов экрана (screenshot=on)
период снятия скриншота в секундах (screenshottime=xxxx)
путь для сохраниения скриншотов (screenshotfolder=XXX.XXX.XXX.XXX\folder)
после логина пользователя на терминале в папке XXX.XXX.XXX.XXX\folder создается папка, если еще нет, с именем пользователя (PetrovPP) и туда сохраняются скриншоты.
в итоге на сервере должно получиться: XXX.XXX.XXX.XXX\folder\PetrovPP\PetrovPP-23112017-133301.jpeg

[aka]

путь для сохраниения скриншотов (screenshotfolder=XXX.XXX.XXX.XXX\folder)
после логина пользователя на терминале в папке XXX.XXX.XXX.XXX\folder создается папка, если еще нет, с именем пользователя (PetrovPP) и туда сохраняются скриншоты.
в итоге на сервере должно получиться: XXX.XXX.XXX.XXX\folder\PetrovPP\PetrovPP-23112017-133301.jpeg

Вот в этом месте интересно. Что за сервер и как там авторизоваться?

[admas]

сервер в сети, с расшареной на запись для всех папочкой.
хоть бы и терминальный, wtware же к нему подключается...
П.С. я win-админ, сильно не пинайте

[aka]

П.С. я win-админ, сильно не пинайте

Сервер определённо должен быть виндовсом. "чтоб было более-менее универсально" (с) я. Но этот момент надо расписать подробнее.

Чтобы писать в расшареную папочку - надо иметь от неё пароль. В конфиге его хранить открытым текстом? Открыть папочку на запись всем? Заказчиком конструкции выступают безопасники. Безопасность никак не совместима с паролем в конфиге и открытой всем папочкой.

Втварь не знает пароль юзера, который логинится с терминала, если логин прошёл в интерфейсе виндовса.

Ещё варианты?

[admas]

Наши безопасники не против разрешения на запись для всех (создание папок и файлов).
Квотами можно разрулить запись только файлов определенного типа (*.jpeg) и ограничить размер папочек.
Дальше скриптами можно сделать все что угодно
Конечно о хранении паролей, а тем более о перехвате из контекста винды:) не может быть и речи.

У нас просто у безопасников нет своих айтишников и они не догоняют, как возможна работа на компьютере без жесткого диска
А для меня лично тема очень актуальна, веду несколько предприятий:) везде одно и тоже требование, чо там работяги делают на компах:)

[zhendosina]

О! Хорошую я тему пропустил. Тут как мне кажется есть сложность с процессом авторизации да. Как мне кажется более универсальный путь - использовать ftp. Он нативно поддерживается линуксом а сервак можно поднять вообще на любой системе. Хотелось бы да скриншоты, и кейлоггер, с нарастающим тхт файлом. А то в очередной раз система от небезызвестного ат**-безопасность не записала, доказательную базу.

[zhendosina]

Если пойти дальше мечтать, то можно было бы ftpd встроить в конфигуратор. По аналогии с tftpd и httpd

[aka]

Чтобы отломать наблюдение - достаточно взять из открытого всей сети конфига проль и заполнить от отказа диск?

[zhendosina]

Чтобы отломать наблюдение - достаточно взять из открытого всей сети конфига проль и заполнить от отказа диск?

Ну это как раз решается уже средствами самого ftp - сервера. И не является проблемой втвари.

[aka]

Проблемой втвари это станет, если решение средствами сервера нельзя объяснить в пару-тройку скриншотов. Я вот не представляю, как документацию писать про это.

[admas]

было бы о чем писать!
оформление мануала могу взять на себя

[amxs3]

а это не подходит? http://forum.wtware.ru/viewtopic.php?f=7&t=19896

[zhendosina]

а это не подходит? http://forum.wtware.ru/viewtopic.php?f=7&t=19896

Немного монструозное решение. Которое во-первых не дает возможности подключаться самому по vnc, во вторых не кейлогит, в третьих - пишет по расписанию, а не по действию.

[amxs3]

а это не подходит? http://forum.wtware.ru/viewtopic.php?f=7&t=19896

Немного монструозное решение. Которое во-первых не дает возможности подключаться самому по vnc, во вторых не кейлогит, в третьих - пишет по расписанию, а не по действию.

Вы чего-то странного хотите.

[akaplenko]

а нужели все это нельзя делать средствами самого windows server?

[aka]

было бы о чем писать!
оформление мануала могу взять на себя

Сначала мне объясни, потом оформлять будем.

Задача: настроить такое хранилище файлов, в которое:
1. Можно записывать по общепринятым протоколам. FTP или виндовые шары подойдут, но смотри дальше.
2. Пароль для доступа можно вывесить в сеть и он будет виден всем.
3. Известный всем пароль не позволяет просматривать записанное и не позволяет сделать никакое вредительство, например заполнить диск мусором или подкинуть скриншоты с недопустимым содержанием.
4. Настраивалось в несколько скриншотов. Безо всяких скриптов.

Лично мне кажется, что п.2 и п.3 несовместимы.

[aka]

а это не подходит? http://forum.wtware.ru/viewtopic.php?f=7&t=19896

Это ОЧЕНЬ сложно. Надо чтоб нажал на кнопку и поехало, и то не все кнопку найдут...

И с кейлоггером/мышелоггером это не подружить.

[admas]

Сначала мне объясни, потом оформлять будем.

Задача: настроить такое хранилище файлов, в которое:
1. Можно записывать по общепринятым протоколам. FTP или виндовые шары подойдут, но смотри дальше.
2. Пароль для доступа можно вывесить в сеть и он будет виден всем.
3. Известный всем пароль не позволяет просматривать записанное и не позволяет сделать никакое вредительство, например заполнить диск мусором или подкинуть скриншоты с недопустимым содержанием.
4. Настраивалось в несколько скриншотов. Безо всяких скриптов.

Лично мне кажется, что п.2 и п.3 несовместимы.

пока видится шара в сети и пользователь конкретно для скриншотов wtware, а пароль хранить в конфиге в виде хэш-функции от пароля (утилита уже есть в графическом конфигураторе).
да можно и так хранить, пароль же есть на https

"а это не подходит? viewtopic.php?f=7&t=19896" - сильно сложно, и не хочется пихать лишнего на терминальный сервер. После очередных обнов мелких отвалится фреймворк или терминальный сервер обновишь на новую версию и опять все перенастраивать...А wtware работает стабильно, к нему больше доверия:))))

[zhendosina]

1. Можно записывать по общепринятым протоколам. FTP или виндовые шары подойдут, но смотри дальше.
2. Пароль для доступа можно вывесить в сеть и он будет виден всем.
3. Известный всем пароль не позволяет просматривать записанное и не позволяет сделать никакое вредительство, например заполнить диск мусором или подкинуть скриншоты с недопустимым содержанием.
4. Настраивалось в несколько скриншотов. Безо всяких скриптов.
Лично мне кажется, что п.2 и п.3 несовместимы.

Видится мне, что задачу стоит разделить на 2.
1. Сделать собственно кейлоггер и скриншотер с загрузкой на фтп.
2. Навернуть ftpd в дистрибутив конфигуратора и в нем уже реализовать требования секьюрности. Тут как мне кажется есть варианты, так как конфигуратор знает ряд факторов о терминалах и вероятно может проверить, шлет скриншоты терминал или кто-то другой.