Вот это дискуссия ) коллеги я с вами прочитал весь топик )
У каждого свои +и- как уже писалось выше. Все верно пишете 445,135, открыты и политики берутся из ДС. Но опять если у вас уже есть структура МС и вам говорят что не будут перестраивать, то как вы будете рулить 50 АРМ, 10 серверов 10 станций разработки. Мне проще использовать уже действующую структуру и пробовать делать как правильно. В ДС распределить физ объекты по группам и навязывать на каждую свои политики и ограничения, так же удобно будет однотипные ОС завести в определенные группу и применять для них политики. А как вы все это будете руками делать? Потом обновления, WSUS, SCCM, централизованное управление АВЗ и все другие плюшки. С учетом всего этого надо посчитать сколько нужно купить всего дополнительно чтобы построить управление и контроль этого хозяйства с нуля.

Я не собираюсь вас учить, уж простите. То, что я вижу - уже написал выше :) Нет понимания ничего, но гонора много.

Я как понял @Anton_Chr Вы топите за то, что плохо в АСУ ТП использовать ОС Windows? Будь моя воля я бы отказался, но пока почти все в АСУ ТП построено на Windows.

Вы даже дц от плк не отличили по контексту, а заметил это непонимание взаимное я. Потому что пытаюсь прислушиваться к в независимости от того, что мне кажется в плане чьего-то гонора. Как правило, чужой гонор задевает тех, у кого его тоже с избытком, что там ввп про зеркало говорил.

Кто же вас в этом чате воли и субъекности лишил? Выскажитесь.

Антон, наши зарубежные коллеги используют AD,WSUS,SCCM,ATP от МС и поверьте у них опыта побольше нашего. Я тоже раньше не понимал зачем в АСУ ТП AD т.к. пришёл из эксплуатации. Но когда увидел хорошо настроенную (можно сказать правильную структуру по всем аудиторским проверкам от МС) то мне понравилось решение и как его масштабировать. А если в уже имеющейся структуре добавить мониторинг AD и ключевых точек то это становится более чем безопасно, но опять не буду говорить что все видел, может кто то сделал все это и без AD и это удобней, но пока так сказать не могу.

У нас уже были диалоги, в частности по кодингу, где вы, наверное, были правы, как человек практикующий и глубоко в теме. А я ежедневно имею дело как с офисными сетями, где скммарно далеко за 10к хостов, так и с асутп, стмис и прочее. И чему они подвержены и как технически с этим борятся, мониторят, файрволят и проч имею неплохое представление.

Да. Отличие AD от других решений (на опенсорсе, например) в том, что в нем есть концепция масштабирования и применения для очень многих сценариев.

Мне хоть и непонятно, что это значит, что-то молодежно-задорное, но спасибо

Это я читая все это

))) когда- то производственники и плк со скадой не хотели ставить, потому что не понимали зачем. и так ведь всё работает. энергетики например вообще баграми гоняли автоматизаторов, что те не лезли со своей микропроцессорной телемеханикой в их лампово-электро-механический мирок)))

Я не про чатик, а про реальную жизнь

Да, мне буквально вчера говорили - ты хочешь остановить прогресс, не получится, мол. Наверное.

Тогда у меня вопрос как вы группируете АРМы однотипные (одинаковые ОС, SCADA) допустим у вас 50 АРМ (из них ОС 10,7, XP) на них 3-4 SCADA. Как контролируете у.з. привилегии, разрешения с учетом того что локальные админы (инженеры АСУ могут с легкостью менять все что угодно и не всегда это правильно и нужно).? Далее выясняется что нужно в 3-4 месяца обновы ставить на 10, или допустим выяснилось что в новом проекте не поддерживается криптография и нужно срочно поменять ветку реестра?

Я сейчас больше испугать попробую.. были планы по интеграции ПЛК с IdM-системами. Внезапно появляется информативный журнал, кто что и где, а не лог где везде админ...админ.. админ...

вангую, что через 5-7 лет, они же будут требовать ад ставить и начнут лояльно относиться к AI )) а СЗИ для них уже будет как само собой разумеющееся

Далее у меня вопрос как вы проводите аудит регулярный на АРМ (что стоит, какие службы разрешены, кто что правил в реестре, локальные политики безопасности, журналы, какие обновления есть, какие надо ставит и прочее)?

эти задачи уже давно решают как сами вендоры асу , так и разработчики СЗИ, мы например можем это сделать с помощью решения SIEM+VM