» Ребенок и компьютер

Цель: программными средствами ограничить время работы компьютера ребенка, но не запретить вообще.

Операционная система: WinXP SP3
Средства: На компьютер был поставлен Watchdog 8.4.1 (http://www.watchdogpc.com) для ограничения пребывания за компьютером, как имеющая наибольшее количество вариаций настроек и наиболее надежная в использовании. С помощью этой программы (настройки) был запрещен запуск диспетчера задач, редактора реестра и MSDOS-мод. Программа устанавливает для каждого юзера вход по паролю и определенное количество времени пользование, задаваемое администратором.

Противодействие ребеночка:
1. Переставил дату в BIOS, играя сразу и за завтра, послезавтра и пр.
Попытка восстановления ограничений: На BIOS поставлен пароль.

2. Сбросил пароль BIOS через Clear CMOS.
Попытка восстановления ограничений: Корпус компьютера закрыт на замок.

3. Скачал программу XP Tweaker и хотя эта программа была запрещена к запуску программными средствами Watchdog, но оказалось, что в Watchdog 8.4.1. (и в Watchdog 9.3. тоже) не работает заявленная функция File checksum, которая предохраняет от переименования запрещенного файла. Переименовал файл запуска XP Tweaker, восстановил доступ к диспетчеру задач и остановил процесс Watchdog.
Так же уже узнан технический пароль на BIOS и применен.
Попытка восстановления ограничений: ?

Предлагаю и прошу подумать над ответным ходом. Автор, чье решение продержится более двух недель, будет награжден пивом. Автор, указавший окончательное решение, будет по итогам двух месяцев использования без взлома премирован американскими деньгами ($50).

jeam
!Окончательные решения!!!
Пистолет, нож, яд...
На $50 не претендую...

P/S Ветка скорее флейм ИМХО. Т.к. тот кто придумает указанное решение будет либо очень богатым либо мёртвым. Имея физический доступ к ПК и желание им воспользоваться приведёт к вскрытию корпуса со всеми вытекающими.
Да и ребёнок мне кажется тут какой то слишком уж не ребёнок.

Корпус закрыт на замок. (см. выше)

Решение: Собрать страрую машину, максимум 2-й пенек.

ЗЫ: Напоминает меня в детстве Может лучше поошрять? Гляди - админ вырастет!

Какой смысл собирать 2 пенек? Он же на нем играется, уроки делает, презентации.
И вообще разговор ведется об админских методах...
Админ может и вырастет, но раньше из школы выгонят.

Цитата:

Какой смысл собирать 2 пенек? Он же на нем играется, уроки делает, презентации.

Неинтересно ломать будет


Цитата:

Админ может и вырастет, но раньше из школы выгонят.

Меня же не выгнали! ))) И в ВУЗе не выгоняют


Цитата:

И вообще разговор ведется об админских методах...

А как насчет "соц-инженерии"?

jeam
HardLover
Блин! Чистые дети...
Выгонят не выгонят... Имея физический доступ к ПК - админские методы побоку, тем более "ребёнок" разбирается...
Цитата:

Переименовал файл запуска XP Tweaker, восстановил доступ к диспетчеру задач и остановил процесс Watchdog.

...
Разработчик защиты от таких "детей" оставив backdoor для себя/ГБ вынужден будет скрываться от желающих получить либо backdoor, либо технологию, что в первом случае приведёт к скорой и нехорошей смерти, а во втором к большим деньгам и не долгой жизни.


Добавлено:
jeam

Цитата:

Корпус закрыт на замок. (см. выше)

У "ребёнка" вскоре появится тяга к коллекционированию заготовок для ключей, натфилей, отмычек и др. приспособлений для вскрытия замков... Главное что бы до пластита не дошло.

Цитата:

А как насчет "соц-инженерии"?

В смысле ремень? Он уже ростом выше родителей, и потом, кроме озлобления, это ничего не вызовет. А так - борьба интеллектов, его это заводит на новые "подвиги" в ИТ.

Читал топик. Улыбался – улыбался очень сильно, но по-доброму. Получил заряд позитива. Дело все в том, что у самого растет один товарищ. Посему проблема очень актуальна - ограничение нежелательных сайтов, обязательно ограничение времени ограничение работы на компьютере.
Итак, техническая составляющая.
1.    Работать ребенок должен только под пользователем с ограниченными правами. Иначе он там такое поустанавливает, что вся последующая борьба проста бессмысленна. Администрирование пользователей должно начинаться с самой ОС. Иначе все сторонние софтины заранее уже уязвимы.
2.     Должна стоять программа типа keylogger, тогда будет видно что он делает.
3.    Все эти механизмы намного мощнее проработаны в VISTA. Там родительский контроль уже изначально встроен на уровне ОС. Создается учетная запись для ребенка. И пусть ломает Висту сколько влезет. Сломает-получит медаль от дядюшки Билли.
4.     Доступ к BIOS можно тоже ограничить. Зашифровать жесткий диск каким-нибудь очень злым TrueCrypt . Поставить принудительную синхронизацию времени и т.д.
Но….
Педогагическая составляющая
Мы же не в Пентагоне правда да??? Зачем эти компьютерные войны с собственным ребенком. Это уже заранее порождает чувство противодействия и чувство отрицания. А я вот сейчас моих предков лохану.. клево да?? Я бы не хотел, чтобы мой сын по любой из тем пытался меня обмануть, а строил бы отношения, основанные больше на доверии. Попытался бы ему «без ремня и криков» объяснить, что данную ситуацию расцениваю как попытку меня обмануть, что подрывает наши отношения и причиняет мне да и ему наверно боль. А ограничиваю его я на правах не админа, а родителя, так как бесконтрольная работа на компьютере приносит вред его учебе, здоровью и т.д. А стимулировать новые ИТ подвиги чес слово можно и по-другому и наверняка не менее эффективно.

У меня была знакомая, которая, уходя на работу, кидала себе в сумочку кабель от моника... Причем самое смешное - что каждый раз новый кабель - ребенок в свои 12 лет наверно скупил все в округе )))

Пароль на биос,
Системный блок на замок.
Кстати убрать в биосе загрузку с CD USB FLOPPY
Ато сына овладеет админскими провами.
Сделать сына юзверем - отобрать админские права, если они еще у Вас есть конечно.
Запрет на создание и модификацию файлов на диске C:D итд
А вообще не удивлюсь если вы завтра включите компьютер а там будет стоять FreeBSD или линукс какой нить .



Добавлено:
а на счет запрета запуска каких нить программ поковыряйте gpedit.msc там есть все и ограничение пользователей и запрет запуска программ


Добавлено:
и еще поставить какую нить прогу типо tmetr и выкатить сыне квоту на интернет а потом еще смотреть статистику посещений сайтов и люлей навешивать .

Добавлено:
причем сделать это сразу и комплексно с переустановкой виндовса

Цитата:

Улыбался – улыбался очень сильно, но по-доброму. Получил заряд позитива. Дело все в том, что у самого растет один товарищ.

Я тоже улыбнулся сначала, потом о своей дочке подумал...
У меня немного проще - сайты на уровне железки (маршрутизатора) режутся, но он phrase content не сканит . Раз пришёл домой маршрутизатор сброшен в дефолт - друзья посоветовали.
Так что у меня тоже такая же проблема.
Но когда "ребёнок" понимает что нужно сменить имя файла для его запуска - с этим особо административными методами не поборешься.


Цитата:

1. Работать ребенок должен только под пользователем с ограниченными правами.

Цитата:

2. Должна стоять программа типа keylogger, тогда будет видно что он делает.

Цитата:

3. Все эти механизмы намного мощнее проработаны в VISTA.

Цитата:

4. Доступ к BIOS можно тоже ограничить....

Цитата:

Пароль на биос,
Системный блок на замок.
Кстати убрать в биосе загрузку с CD USB FLOPPY
Ато сына овладеет админскими провами.
Сделать сына юзверем - отобрать админские права, если они еще у Вас есть конечно.
Запрет на создание и модификацию файлов на диске C:D итд
А вообще не удивлюсь если вы завтра включите компьютер а там будет стоять FreeBSD или линукс какой нить .

Все советы правильные - однозначно, НО задайте себе вопрос - "Что бы я сделал что бы обойти все эти ограничения?" И проверьте сколько пунктов останется после ответа на него.

Как правильно заметил HardLover

Цитата:

А как насчет "соц-инженерии"?

Только так можно что то добиться...

При наличии физического доступа к системному блоку все программные методы не эффективны и обходятся без особых проблем

Прочитав все это, а колики в животе начались Уржаться можно! ))

[q][/q]
Системный блок на замке про какой физический доступ вы толкуете .
Про болгарку и зубила с молотком думаю вопрос не рассматривается.

А если так то копать яму метров сорок заливать бетоном , ставить терминальный сервер на компе.
А сыне выдать тонкий клиент бездисковую рабочую станцию + организовать видеонаблюдение и ситему контороля доступа.

Ребят о чем вы толкуете у меня 120 таких детей на работе которые так и наравят полавить кейлогер и стырить админский пароль, ппролезть через прокси сервер.
Воткнуть флешку в компьютер, сломать пароль на биос. пока никому не удалось иначе я не админ....

Бороться надо не со следствием а с причиной. а причина если рассматривать их операционку в том что сына админ на компе иначе у него небыло бы возможности переименовать файл и остановить или запустить службу .

Сборище садистов прямо.

Добавлено:
Сборище садистов прямо.

Ребенок уже делится опытом в ЖЖ: http://vlad-a-d.livejournal.com/1008.html


Цитата:

Пароль на биос,
Системный блок на замок.

По моему Вы невнимательно читали мой пост:
BIOS "проткнут" техническим паролем
А системный блок и так уже на замке.


Цитата:

Все эти механизмы намного мощнее проработаны в VISTA.

Согласен, но уж больно "тяжела" Vista.


Цитата:

Доступ к BIOS можно тоже ограничить.

Хотел бы я знать как?


Цитата:

А стимулировать новые ИТ подвиги чес слово можно и по-другому и наверняка не менее эффективно.

Пока ребенок не встанет перед фактом, что дальше играть нельзя, нифига делать не будет.
Начал я с обучения установки Windows. Три недели ребенок выл, скулил и плевался. Windows он конечно поставил, но это ж какое здоровье нужно иметь!


Цитата:

У меня была знакомая, которая, уходя на работу, кидала себе в сумочку кабель от моника...

Я пока вынимаю оперативку из компа.


Цитата:

Кстати убрать в биосе загрузку с CD USB FLOPPY

Не получится (см. выше)


Цитата:

Прочитав все это, а колики в животе начались Уржаться можно! ))

Свои дети есть? Судя по цитате - нет. Родишь - уржошься...


Цитата:

А сыне выдать тонкий клиент бездисковую рабочую станцию + организовать видеонаблюдение и ситему контороля доступа.

Ага... И компьютер запускать с ключа-таблетки. Уж больно затратно получается. Я спрашивал про программные способы.


Цитата:

Бороться надо не со следствием а с причиной. а причина если рассматривать их операционку в том что сына админ на компе иначе у него небыло бы возможности переименовать файл и остановить или запустить службу.

Согласен - моя недоработка - понадеялся на WatchDog.
Поможет ли это от загрузки с Live CD?


Цитата:

Сборище садистов прямо.

Ну либо лучший лицей в городе и нормальная карьера потом, либо средняя школа - армия -ПТУ.
Мы приведем вас к счастью железной рукой!

Ппц...
Долго следил за темой. Не выдержал - подключусь к этому флуду.
Я бы боролся до последнего, а когда комп тупо бы забрали, потому что ничего сделать не могут, забил бы болт на комп и нашел бы еще 1001 вариант чем заняться. Кроме того, что хотят от меня
Круче будет, коли сам отрок подключится к обсуждению

Значит так... Если вы облажались с биосом, то ограничить на 100% почти не получится. Либо менять мать на ту, у которой "нормальный" биос, без дыры с заводскими настройками, либо посмотреть последние версии биоса под эту мать. Последний вариант дешевле, но мало шансов, что в новом биосе дырень заделана. Пока вы этого не сделаете, не лишите доступа к методам загрузки - вертел бы я вас, с вашими паролями, урезанной учетной записью и вочдогами. ERD commander в руки и адиос!
Шаг номер два - урезание учетной записи Юзверь. Политиками мастдая и секуром NTFS зарезаем систему до необходимого минимума.
Вот и все.
Еще вариант - снять нафиг винт и сделать образ того же кнопикса - некуда записывать инфу, нет возможности поставить дополнительный софт. И без пароля рута вообще ничего не сделать.

Одна беда - я стырю у вас ключик (хоть тот же слепок). Или познакомлюсь с "пацанами", которые у меня под подьездом бухают и машины вскрывают - научусь взламывать замок, за фауст плодово-выгодного (кстати, на "хорошее" знакомство вы подталкиваете сами ).
Потом буду сбрасывать биос, втыкать недостающую планку памяти, спрошенную у друга, его же винт с набором последней "клубнички", новинками порно-индустрии и свежатинкой игрового мира. Или буду ходить в гости к нормальным людям в дом и там пользоваться компом (это еще очень адекватный вариант - веселее посмотреть на ваши вытянутые лица, когда отпрыска возьмут за филейные части на краже ноутбука).

Добавлено:
Еще немного подумал... Даже мой вариант стоит на коленях и воспроизводит "Deep Throat", как по учебнику, если не предусмотреть момент с изменением MBR'а.
Для примера погуглите SuperDOS и его метод загрузки. С ним я снесу любую ограничивающую программу ручками.

если биос пробит а системный блок на замке остается слабое место это фтопик сидиром и юзб порты.
Первое и второе отсоединить вообще либо внутри корпуса.
второе запаять только при условии что материнская плата умеет грузиться с юзб.
только так

jeam

Цитата:

Операционная система: WinXP SP3

пока вот это (или висто) стоит на клиенте - будет только один метод заставить узера работать, а не в игрульки играть - финансовый.
А все ограничения так или иначе обходятся.
Можно попробовать полставить какой-либо Линукс (только не блондиночью Убунту или Сусе). Опен офис есть. Гимп тоже. Остаётся - запустить под Вайном маткад и чота ещё. И сложный пароль Руту.

Цитата:

И сложный пароль Руту.

тоже скидывается как и у мастдая операционка это вторично главное не дать ему с чего нить загрузиться кроме операционки которая используется

Можно попробовать так. Поставь линукс (на ext3 или XFS) на него вмваре, на него уже винду, без всяких вотчдогов и пр. мусора, чистую + нужные игры/софт. В биосе запрет загрузки с сиди (очевидно, от LiveCD и т.д.). В /etc/cron.d прописать скрипт выключения машины в определенное время каждый день (либо каждые два часа, например: * */2 * * *, что лучше). Ну, есессно, у рута сложный пароль, и ребенок не рут. Также еще посмотреть в сторону конфига загрузчика ОС, чтобы не загрузил ядро и не сбросил пароль рута. Уверен на 2 недели точно хватит. Где 50 баксов?

Я же говорил - если есть доступ к биосу, то есть возможность менять МБР. Значит есть возможность грузиться в тот же SuperDOS.

без топик стартеру
первый метод это общение а всё остальное написано уже
если компьютер планируеться использовать и как игровой.
1. Машину на замок
2. BIOS под пароль
3. Пользователю пользовательские права в идеале гостевые
4. Shadow User + Acronis на машину
5. Програма по ограничению работы на компьютере
6. Батничек если есть инет по обновлению времени раз в 20-25 минут
7. Установка ПО только совместно с ребёнком(из под другой учётки)

Если ставить Линукс, то загрузчик лучче взять LILO, ибо он в mbr целиком. И он не такой навороченный, как grub

выход.... ремень и санкции не только касаемо компьютера. Вариант сломать при нем пару дисков, ему будет обидно..... есть кстати вариант с политиками безопасности gpedit.msc там сделать запрет на всё что касаемо запуска приложений, устройств, кроме вашего пользователя.... на ваш профиль поставьте пароль посложнее...

Цитата:

если есть доступ к биосу

В моем варианте к нему нет доступа даже близко. Блок на замке (тут уже на совесть родителя), под линуксом килл биос и прочая шняга работать не будет, а спец. утили без прав рута бессильны тоже, запуск таких программ на виртуалке с виндой очистит только пароль на биос этой самой виртуалки, которого там нет. Если он замок, конечно, спилит...

кстати, есть еще вариант. ребенок не дурак конечно но можно поступить так. Разбиваешь 2 логических диска хард. Оставляешь на системном 1-2 гига. Для того чтобы поставить норм игру не хватит всё равно. Граничишь доступ скажем это диск Д. Даешь только своему пользователю. Вариант может его сбить с толку.

а лучше купи материнку на 50 баков и не парь всем мозг

Добавлено:
Уже все сказали даже уже извращать начали.
первое самое основное ограничить запуск и подключение других носителей
второе сделать учетку пользовательскую
и все никаких линуксов нах не надо не в обиду линуксоидам сказано.
Просто человек спрашивал как защитить комп если биос сломан неважно какая операционка стоит
ответ только один физически или менять материнку

Цитата:

или менять материнку

А как понять до покупки новой матери проходит там инженерный пароль или нет?
И потом существуют программы awardcrack amicrack для определения установленного на Setup пароля.