Promotic
WikipediaLinkedInYoutubeTwitterFacebook

Konfigurace počítače PC a OS Windows pro bezpečné provozování aplikací

Nároky systému PROMOTIC na HW:

Jakékoli PC, na kterém dobře funguje OS Windows 10/8/7/Vista/XP/Embedded/2003-16Server.

Výkon PC musí vyhovovat nárokům provozované aplikace.

Systém PROMOTIC sám nemá žádné praktické nároky týkající se velikosti paměti, rychlosti procesoru, velikosti disku atd. Vše závisí na konkrétní vytvořené PROMOTIC aplikaci.


Doporučené rozdělení disku pro systém PROMOTIC: umožňuje snadnou reinstalaci operačního systému bez ztráty dat
- Rozdělit disk alespoň na 2 oblasti (partitions):
1) systémovou oblast disku (C:\) - oblast do které se nainstaluje operační systém a programy
2) datovou oblast disku (D:\) - oblast do které se ukládají všechna data aplikace
- Používat NTFS souborový systém (tzn. nepoužívat systém FAT) pro systémovou i datovou oblast disku (nedochází k poškození souborů na disku při výpadku napájení počítače).

Dotyková obrazovka (touch screen):

Pokud je využívána dotyková obrazovka, pak je vhodné do aplikace PROMOTIC začlenit volání softwarové klavesnice, která umožní uživateli zadávat hodnoty bez potřeby fyzické klávesnice.

Viz: Jak používat klávesnici na obrazovce k zadávání hodnot myší (touchscreen).


Virtuální počítače:

Pro provoz aplikace na virtuálním počítači viz Systém PROMOTIC a virtuální počítače.


Vzdálená plocha Windows:

Pro provoz aplikace přes vzdálenou plochu viz Systém PROMOTIC a vzdálená plocha Windows.


Aktualizace OS Windows:

Aplikace PROMOTIC jsou často určené pro nepřetržitý běh a není žádoucí aby se OS Windows během provozu samy aktualizovaly. V OS Windows 10 je toto problematické.

Viz: Aktualizace OS Windows - nastavení.


OS Windows Embedded:

Viz: OS Windows Embedded a PROMOTIC.


SafeOper:

Pokud je požadováno, aby se uživatel nemohl dostat do OS Windows (tzn. aby nemohl například mazat soubory, hrát hry, atd.), pak je vhodné provést nastavení podle popisu SafeOper.


Automatické přihlášení uživatele:

Dalším vhodným nastavením v OS Windows je automatické přihlášení uživatele do OS Windows. Při tomto nastavení pak například při startu (restartu) již počítač nebude vyžadovat zadávání uživatele a bez ptaní se nastaví zadaný uživatel. Toto nastavení provedete pro OS Windows 7/Vista/XP/Embedded/2003-12Server následovně:

V registrech Windows (do kterých se dostanete například programem regedit.exe) v sekci [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] nastavte (případně vytvořte) následující hodnoty typu REG_SZ:

- AutoAdminLogon=1
- DefaultPassword=Heslo uživatele
- DefaultUserName=Jméno uživatele
- DefaultDomainName=DomainUživatele (nezadávejte, pokud nepracujete s NT Domain security)

Po nastavení restartujte počítač.


Spouštění aplikace pod Windows uživatelem, který není administrátor:

Z bezpečnostního hlediska je velmi vhodné spouštět aplikaci v neadministrátorském režimu. Znamená to:

- Instalovat systém PROMOTIC pod uživatelem Administrator.
- Vytvořit nového Windows uživatele (např. s názvem Promotic) a zařadit ho například do skupiny Power User.
- Nastavit automatické přihlášení tohoto uživatele při startu OS Windows - viz pokyny výše.
- Editaci aplikace ve vývojovém prostředí PROMOTIC provádět pod uživatelem Administrator.

Protože je aplikace instalována pod uživatelem Administrator ale provozována pod uživatelem Promotic, musí být všechny soubory a složky aplikace přístupné uživateli Promotic pro čtení i zápis. Toto je splněno u souborového systému FAT32, kde nelze nastavovat práva u souborů a složek, ale u NTFS je nutno tuto podmínku zajistit (implicitně by nebyla splněna).

Pokud se nainstalují OS Windows na samostatný počítač (mimo doménu), pak OS Windows použijí zjednodušený model zabezpečení. U souborů a složek pak nelze ručně nastavovat uživatelská přístupová práva, ale existuje sdílená složka Windows (C:\Documents and Settings\All Users\Dokumenty), která má práva přednastavena tak, že složky a soubory v ní umístěné, jsou přístupné všem Windows uživatelům pro čtení i zápis. Z tohoto důvodu je vhodné umístit aplikaci, včetně složky s datovými soubory aplikace, do této sdílené složky.

Pokud jsou OS Windows zařazeny do domény, pak lze aplikaci nainstalovat kamkoliv, ale je nutno u složek a souborů aplikace povolit uživateli Promotic čtení i zápis a složku systému PROMOTIC (C:/Pm) a všechny její podsložky povolit jen pro čtení. V případě nutnosti se dá zjednodušený model zabezpečení sdílení souborů u OS Windows, které nejsou v doméně, vypnout pomocí 'Místních zásad zabezpečení' počítače.

Všechny tyto body nesouvisí s aplikací PROMOTIC. Je to jen nastavení OS Windows. Aplikace PROMOTIC se proto nemusí nijak měnit.


OS Windows bez pracovní plochy:

V OS Windows lze také nastavit, aby vůbec nebyla spuštěna pracovní plocha Windows a místo ní aby byla spuštěna aplikace PROMOTIC. Při tomto nastavení však již nelze využívat OS Windows běžným způsobem a tento systém je "degradován" pouze pro běh aplikace PROMOTIC. Toto nastavení provedete následovně:

- V registrech Windows (do kterých se dostanete například programem regedit.exe) v sekci [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] nastavte (případně vytvořte) hodnotu RunLogonScriptSync=1
- Vytvořte ve složce WindowsNT\System32\Repl\Import\Scripts soubor například logon.bat (pokud složky neexistují, pak je nutno je vytvořit)
- Obsah logon.bat, například:
@ echo off
C:
cd C:\PmProj\Test
C:\Pm\Promotic.exe C:\PmProj\Test\Test.pra
- Ve vlastnostech automaticky přihlašovaného uživatele nastavte vlastnost profile na logon.bat

© MICROSYS, spol. s r. o.Tavičská 845/21 703 00 Ostrava-Vítkovice