Система слежения за пользователями — Стахановец.

Направление программ слежения за пользователями в настоящее время переживает просто взрывной какой-то рост. То ли технологический уровень подтянулся, то ли кризис вынудил руководителей оптимизировать использование рабочего времени, а может быть, и то, и другое, и еще какое-нибудь третье привело к тому, что на поле, где в 2014 -м играли только LanAgent да StaffCop – не самые, скажем так, сильные игроки (успех «Стахановца» тогда был еще впереди), – в настоящий момент начинается реальная конкуренция.

Кроме уже упомянутых LanAgent, StaffCop и «Стахановца», здесь присутствуют зарубежные варианты на тему СМП (системы мониторинга пользователей) – NetVizor, Veriato 360 и другие, практически в России не известные, а также «пост-Стахановцы» – проекты, основанные людьми, в разное время из команды разработки «Стахановца» ушедшими, – KickIdler и EagerBeaver. Правда, последний проект, похоже, так и не достиг первого релиза.

Тем не менее «Стахановец» до сих пор умудряется держать баланс между функциональностью и ценой, и это притом что этот баланс все-таки был существенно поколеблен при переходе на версии 5.х и новую политику лицензирования.

Общее описание – что такое СМП, из чего оно обычно состоит и достаточно беглое описание существовавшей тогда версии «Стахановца» – было приведено в журнале «системный администратор за 2014г». Основной его функционал не изменился, появились некоторые дополнительные модули, далеко не все из них полезны, некоторые несут чисто маркетинговую нагрузку – отличают продукт от программ конкурентов.

Мы рассмотрим более подробно порядок установки, настройки и особенности работы «Стахановца», а также юридические аспекты работы СМП вообще.

При рассмотрении работы «Стахановца» будем исходить из того, что служба информационной безопасности отделена от службы ИТ и последняя не подозревает (и не должна) о том, что в сети работает система мониторинга пользователей.

[ad name=»UMI 600×313″]

Закон суров, но это закон

Совершенно непонятно, откуда взялось убеждение «мой компьютер, и вы не можете мне указывать, что за ним делать». Но, как это ни странно, многие и многие пользователи почему-то до сих пор считают, что работодатель выделил им рабочее место, оснастил компьютером, а вот что они делают за этим самым компьютером – это не его, работодателя, дело. Возможно, корни этого убеждения восходят еще к тем временам, когда компьютеры были дорогим удовольствием, и увидеть их можно было только на рабочем месте.

Те времена давно прошли, но с таким отношением, особенно по вопросу электронной почты, до сих пор постоянно приходится сталкиваться.

Люди, искренне считающие, что работодатель не может контролировать собственную почту, обычно опираются на статью 23 Конституции РФ о тайне переписки и на статью 138 Уголовного кодекса, устанавливающую ответственность за нарушение тайны переписки, и упускают (или же нарочно замалчивают) один момент – тайна переписки распространяется на лиц, участвующих в ее процессе, только при оплате этих средств и услуг оператора связи самостоятельно. Работодатель же оплачивает услуги оператора связи и сам организовывает процесс чтения и доставки электронной почты, так что нарушения статьи 23 Конституции РФ здесь нет.

Более того, согласно части 2 статьи 22 Трудового кодекса работодатель обязан обеспечить работника оборудованием, документацией и иными техническими средствами для выполнения им работы. Компьютер и корпоративный почтовый ящик – это такой же инструмент, как молоток, осциллограф, телефон, и использоваться он должен только для работы.

При этом согласно части 1 статьи 22 Трудового кодекса работодатель имеет право контролировать целевое использование представленных сотруднику технических средств – будь то осциллограф или компьютер.

13 января 2016 года Европейский суд по правам человека (ЕСПЧ) принял прецедентное решение и фактически разрешил работодателю читать переписку сотрудников в деле румынского инженера Богдана Барбулеску против его работодателя. Это поставило окончательную точку в вопросе о законности чтения работодателем переписки сотрудника.

При рассмотрении доказательств, полученных через СМП, как правило, суды встают на сторону работодателя – множество примеров содержится здесь . Тем не менее сотрудник должен быть оповещен о том, что его деятельность за рабочим компьютером будет мониториться, и не использовать рабочее место для ведения личной переписки, потому что в случае непреднамеренного раскрытия персональных данных суд встанет на сторону работодателя.

[ad name=»Responbl»]

Особенности установки системы Стахановец.

Но довольно скучных юридических подробностей – мы все же не юристы. С сайта  скачивается дистрибутив stkh_setup.exe. Версий в названии нет, лучше всего его будет сразу переименовать. Несмотря на то что он назван демо-версией, на самом деле это версия полноценная, просто контролировать с ее помощью можно максимум один компьютер. Чтобы контролировать большее количество, нужно приобрести ключ, который генерируется индивидуально, в зависимости от числа купленных лицензий, и активируется через интернет.

stkh_setup.exe – это комплексный установщик, и не только. Почему-то разработчики не стали делать отдельную программу администратора, возложив часть ее функций, например установку агентов, на программу установки.

«Стахановец» – это классическая программа агентского наблюдения, когда существующий на компьютере агент периодически передает информацию в центральную базу, в которой проводит аналитику сервер или же оператор баз данных.

Надо сказать, защите от обнаружения «Стахановца» уделено было достаточно внимания. Его агент до сих пор не обнаруживается «Лабораторией Касперского», несмотря на то что компания подписана на все последние обновления (а может, как раз и потому). Ну а возможность переименования службы агента и еще некоторые другие приемы превращают его вообще в стопроцентный стелс.

Для хранения данных может использоваться MS SQL либо MySQL. Версию с MySQL я не проверял, поскольку она предполагает, как обычно, ручное создание БД, пользователя, выдачу прав на БД и т.д. Использовалась раздаваемая с сервера «Стахановца» версия MS SQL Express.

Отмечу сразу: если планируется контролировать больше 50 компьютеров при горизонте хранения месяца три и больше, не ставьте Express, только время потеряете. Ставьте либо платную версию, либо как минимум Express R2. Почему? Максимальный размер БД у Express – 4G, у Express R2 – 8G. Мне кажется, есть разница.

Перед началом установки крайне желательно почитать документацию. По совершенно непонятным причинам документация устанавливается тем же инсталлятором, только при запуске инсталлятора нужно выбрать пункт «Документация» (последний).

Установка «Стахановца» выглядит непритязательно. Сначала устанавливается Администратор. Он установит собственно сервер, веб-сервер Apache, причем даже и не поинтересуется, а может, Apache уже стоит. После установки сервер будет запущен – там еще ничего нет, но пока и не надо.

Если Apache уже установлен, то поставленный инсталлятором можно не трогать – пусть так и занимает место, а настраивать свой. Инсталлятор устанавливает Apache 2.2.17, мы же установим 2.4.4.

После Администратора устанавливается Сервер. Это наша основная программа для настройки СМП, именно она загружает в базу данных подготовленную схему, и именно она запрашивает номер лицензии. Если номер лицензии не указать, то можно наблюдать за одним компьютером. Лицензии считаются по подключениям – как только число подключений превышено, агенты на компьютерах перестают приниматься сервером, вместо это постоянно выдается оповещение «Превышено число подключений».

Обратите внимание на то, что при вводе лицензии она проверяется через интернет. Кроме проверки через интернет, есть и офлайновые методы. Это отличие появилось после выпуска версии 5.х, в версиях 4.х этого не было.

После установки Сервера фактически комплекс готов к работе. Можно создавать пользователей, которые будут подключаться к веб-интерфейсу, и устанавливать агентов.

[ad name=»MiBand2″]

Особенности настройки

Отдельной программы для установки агентов нет – этот функционал берет на себя инсталлятор. Да-да, установка агента – часть инсталлятора, несмотря на то что это, вообще говоря, постоянная рутинная работа. При запуске инсталлятора нужно выбрать «Клиентская часть (удаленная установка)». Для установки агента существует аж пять способов, но я всегда использовал первый, иногда второй. Почему? Факт установки агентов нужно скрыть ото всех, кроме тех, кому это должно знать, в том числе и от админов. А наличие какого-то странного MSI-пакета или команды в System Center скрыть вряд ли удастся.

Перед тем, как начать устанавливать агенты, нужно провести некоторые настройки – в частности, настроить переименование службы и создать пользователей. Запускаем «Глобальные настройки». В версии 5.х появилась возможность войти в них с правами текущей учетной записи Windows – если она имеет права администратора. Обратите внимание: права текущей учетной записи Windows будут распространяться на возможность редактирования настроек «Стахановца», а НЕ на возможность зайти в его интерфейс!

Пункт первый – «Пользователи базы». Здесь мы создаем локальных пользователей – никакой интеграции с AD не предусмотрено. Права у пользователей настраиваются в широких пределах – можно разрешать пользователю только определенные типы отчетов или мониторинг только определенных пользователей.

Пункт второй – «Настройки комплекса». Это самый обширный раздел, где можно задать общие настройки всего «Стахановца», настройки для всех компьютеров, для всех пользователей, для группы пользователей.

Настроек всего сервера немного – это в основном задание путей для хранения снимков экрана, записей прослушки и снимков веб-камер, а также файлов теневого копирования и настройки генератора отчетов. С некоторых пор агент имеет защиту от удаления, правда, работает она пока из рук вон плохо – как только на ощутимое время пропадает связь между компьютером и сервером, агент сразу диагностирует возможное удаление клиента.

В настройках компьютеров – а там можно создавать множество профилей – как раз и задаются новое имя и новое описание клиентской службы. Рекомендую задать здесь имя и описание, напоминающее одну из многочисленных служб Windows. Присутствует здесь и большое количество других настроек.

Настройки пользователей – наиболее важный раздел, в нем настроек больше всего. В частности, тут находится раздел «Угрозы», который содержит список слов, фраз и регулярных выражений, на которые будет проверяться весь текст на экране пользователя. Так, например, если в него добавить текст «telegram», то каждый раз, когда пользователь введет этот текст на клавиатуре или же у него он отобразится на экране, администратор комплекса получит оповещение об этом. Здесь же можно задать тип наблюдения – явное или скрытое. Вообще в этом разделе достаточно много настроек, их все нужно внимательно читать.

Следующий пункт «Структура компании». В этом разделе создается структура компании, отображаемая в интерфейсе БОСС-Онлайн и БОСС-Офлайн. Можно создавать вложенные подразделения, но более одного уровня вложенности не рекомендую – очень сложно будет уместить это все на экран. В подразделения нижнего уровня добавляются компьютеры и пользователи из столбцов справа, вручную туда занести что-либо невозможно, попадают туда записи только тогда, когда к серверу подключается компьютер, который еще ни разу к нему не подключался. Сохранение изменений делается только при нажатии «Сохранить в базе».

Следующий пункт «Досье сотрудников». В текущей версии пункт чисто информационный, в предыдущей версии именно здесь задавалось наименование подразделения, к которому относился пользователь. Информация в него попадает при импорте из AD, ну и, конечно же, можно вручную занести.

Самый интересный и одновременно самый бестолковый пункт – это «Синхронизация с AD». Да, она работает. Но напоминает некое странное сложное устройство, которое вроде бы имеет знакомые кнопки и даже что-то полезное делает, но все его возможности реализуются только теми, кто знает.

[ad name=»Redmi»]

Практически все настройки на всех внутренних закладках самоочевидны и заполняются без проблем – если вы считаете, что их нужно заполнять. На закладке «Компьютеры» просто перечислены компьютеры, известные серверу, и дата последнего получения данных с них. Возможно, эта закладка планировалась в качестве средства установки агента на компьютеры, на которых его еще нет, но сделать тут ничего нельзя – информация о компьютерах без агентов все равно на эту страницу не попадает.

И еще очень важное замечание: https придется настраивать самим. Хорошо уже и то, что модуль mod_ssl нынче поставляется с дистрибутивом – в первых версиях 4.х его попросту не было. То есть идем в C:\Program Files\ Apache Software Foundation\Apache2.4\conf и настраиваем там основной сайт «Стахановца»:

Alias /stkh/ "C:/ProgramData/PBL/Stkh/Server/Web/" 
Alias /stkh "C:/ProgramData/PBL/Stkh/Server/Web/" 
<Directory "C:/ProgramData/PBL/Stkh/Server/Web">
AllowOverride None
Options FollowSymLinks ExecCGI SSLRequireSSL
Require all granted
</Directory>

Разумеется, не забываем о стандартных параметрах для https – указать сертификат, ключ сертификата, сертификат УЦ, список отзыва – это все делается по стандартному мануалу, и приводить это здесь смысла нет. Для большей безопасности можно включить запрос клиентских сертификатов.

Особенности эксплуатации

Первое и самое главное – нужно не забывать, что БД MS SQL Express имеет конечный размер и равен он 4 Gb. Это не такое уж и большое значение, при мониторинге достаточно большого количества пользователей, поэтому если число пользователей больше 50 – сразу ставьте Express R2, у которого максимальный размер БД 10 Gb.

Не следует забывать и о свободном месте под хранение отчетов, снимков с веб-камер, файлов прослушки, теневых копий. Все это занимает достаточно много места – например, для 70 пользователей при частоте снятия копий экрана 10 минут размер каталога данных составляет порядка 150 Gb

«Стахановец» не имеет никаких встроенных средств резервирования, поэтому БД нужно резервировать либо средствами MS SQL, либо средствами Windows, а каталог данных – средствами Windows ну или теми программами для резервирования, которые у вас используются.

«Стахановец» не имеет средств обнаружения новых компьютеров и компьютеров, на которых агент исчез после переустановки Windows. А по условиям задачи мы не можем просто так взять и попросить ИТ оповещать нас о том, что появился новый компьютер. Это самый большой недостаток, в необходимости как-то решить который я убеждаю разработчиков уже года полтора.

И только в последней версии был сделан контроль за наличием агента на компьютере. Правда, толку от него сейчас все равно нет – он постоянно выдает false positive, то есть сообщает о возможном удалении агента, когда никакого удаления не было.

Для себя я решил вопрос достаточно просто – написал скрипт на vbs, который просто проверяет все найденные в сетевом окружении компьютеры, если их имя не входит в специальный список, на наличие службы (причем используется ее настоящее имя, конечно же). Если служба не найдена, отправляется письмо.

Второй крайне неприятной проблемой является проблема с чтением шифрованной почты. Если подключение от клиента (почтовой программы) к серверу выполняется с использованием SSL, то «Стахановец» не то, что письмо прочитать не может – он не видит самого факта того, что куда-то отправлялось письмо! Нормально почта перехватывается только тогда, когда почтовой программой является MS Outlook, если же это любая другая программа – увы. Об этой проблеме многократно ставилась в известность техподдержка «Стахановца», но все их ответы до сих пор, к сожалению, сводятся к одной бессмертной фразе «мы работаем над этим».

Есть также проблема с захватом клавиатурного ввода – текст захватывается полностью, но при этом как-то странно перемешивается, так что читать его становится крайне затруднительно, хотя выделить пароль из всей этой массы вполне возможно.

Версия 4.х была значительно адаптирована для использования непосредственно в помещении, где находятся наблюдаемые сотрудники – можно было отключить логотипы, а пункты в меню были без пояснений. В версии 5.х поначалу логотипы подписи к значкам почему-то были неотключаемые и цветовая гамма оставляла желать лучшего, и только после моих неоднократных просьб цветовая гамма была скорректирована, а подписи к значкам сделаны отключаемыми. То есть техподдержка «Стахановца» работает, но не всегда в том направлении, в котором хотелось бы.

[ad name=»Responbl»]

Если у вас один монитор, а у наблюдаемого пользователя – два, то захваченное изображение будет смасштабировано под один экран. Это довольно неудобно, но какого-либо решения, кроме как поставить монитор побольше, я не нашел.

Ну и последнее, что может быть весьма неприятным сюрпризом, если для доступа к сайту используются https и персональные сертификаты.

Версия 4.х могла показывать наблюдение за экраном только в Internet Explorer через надстройку на ActiveX. После неоднократных доказательств, что это неправильно, от надстройки отказались и написали вспомогательный модуль, работающий в трее. И, казалось бы, все хорошо – поставил модуль и работай в любом браузере. Но не тут-то было.

Внезапно всплыла совершенно непонятно как относящаяся сюда ошибка: если в системе установлено больше одного персонального сертификата на одного человека (например, установлено два – действующий и просроченный), то вспомогательный модуль не подключается к серверу. Просто не подключается и все. Выдает некую ошибку, которую если расшифровать, то получается использование недействительного сертификата.

На эту ошибку было указано техподдержке, но техподдержка ответила, что использует стандартные API для работы с хранилищем сертификатов Windows и ошибку возвращает API. Это, конечно, не совсем соответствует, и ни одна не выдает такой ошибки, но я пока оставил это на их совести – просто имейте в виду, что если используются персональные сертификаты, то для того, чтобы нормально работал вспомогательный модуль, придется держать отдельную виртуальную машину, в которой только просматривать данные «Стахановца».

[ad name=»Umi 600×217″]

Есть ли жизнь после «Стахановца»?

Рынок СМП сейчас набирает обороты. Сейчас он еще в значительной мере пуст, но появление «Стахановца» обозначило, можно сказать, некий барьер, уровень, стандарт, на который начинают ориентироваться другие российские производители. Я намеренно не упоминаю о зарубежных производителях, поскольку они рассчитывают в первую очередь на локальные рынки, а за рубежом в отношении СМП может быть все по-другому.

StaffCop и LanAgent изначально проигрывали «Стахановцу», и в настоящий момент для более-менее серьезных установок (50 компьютеров и более) я бы не советовал их рассматривать даже в качестве проформы – по уровню они значительно недотягивают.

Поскольку разработка продукта, такого как «Стахановец», – дело достаточно длинное, то неизбежно появляются люди, которые считают, что разработка проекта пошла «не туда», и попытаются создать аналогичный, но направленный «туда». То же было и со «Стахановцем».

Сначала появился EagerBeaver. Он не дотянул даже до первого релиза, хотя возможности у него были прелюбопытнейшние.

Потом появился KickIdler. Проект был основан бывшим лидером команды разработки «Стахановца», но со своим собственным уклоном – основная ставка здесь делается на постоянную видеозапись всего, что происходит на мониторе, и аналитику этой видеозаписи. Аналитический модуль KickIdler – вещь чрезвычайно мощная, но в ней, к сожалению, пока отсутствует перехват электронной почты.

«Стахановец» – система непростая, да, собственно, она особо и не рассчитывалась на неграмотного пользователя. Для того чтобы ее запустить и получать реальную отдачу, придется приложить усилия, затратить время и весьма немалое количество денег на лицензии. Но, если вы вообще задумались о внедрении СМП, в настоящий момент по соотношению стоимости и возможностей «Стахановец» все еще далеко оставляет позади всех конкурентов.