Михаил Лялин

Безопасность не абстрактная вещь и не может быть реализована только программными средствами. Безопасность это точно не криптография, хотя она будет использоваться под капотом, вам нужно комплексное програмно-аппаратное решение плюс регламенты.

Так как вы ничего не сказали про вашу задачу, задавать наводящие вопросы это долго, я придумаю ответы за вас, и дам выжимку:

Вам нужна аутентификация пользователя, т.е. надежный способ идентифицировать пользователя, что бы в приложении можно было выбрать (авторизация), что пользователю доступно или к примеру блокировать доступ при его отзыве.

Вам нужна минимальная защита компроментации рабочего места, в зависимости от типа компроментации будет выбираться способ аутентификации и аппаратные решения.

Например если у вас с гарантией рабочее место защищено (обыски при входе в помещение, видеонаблюдение, личная ответственность и т.п.) то может хватить и пароля или пассивной карты доступа, в т.ч. на базе тупого qr/bar-кода + пинкод. Недостатки подхода - пароли или карты с qr-кодом нужно часто менять (интервал времени меньше чем время для доступа к рабочему месту после приема на работу/проверки службой безопасности, что бы злоумышленник, сначала скопировав карту доступа, не поступил на работу и не получил бы доступ к рабочему месту).

Более сложный и надежный способ - не пассивное устройство с чипом шифрования (карта доступа или usb токен), в этом случае для компроментации доступа нужна физическая кража устройства или проксируемый доступ снаружи и физический доступ с подменой карт ридера на рабочем месте (обламывается регламентами, обысками и слежкой).

Я рекомендую не пассивный usb токен авторизации, на базе FIDO2 (CTAP2) USB‑ключа (есть карты но тогда нужно покупать еще и ридер), библиотеки есть по до все, например открытая libfido2, стоимость токена порядка 1-2т.р. (может есть дешевле при оптовых покупках). В приложении заложить логику, ввода пин кода (с экрана, что бы усложнить компроментацию, а то с клавиатурой это не сложно) при вставке, и поддерживать доступ к приложению и данным только пока устройство подключено.

Токен будет позволять выдавать ключ шифрования и защищает его от копирования при его краже. Управление правами доступа (добавление или отзыв доступа) при оффлайн работе приложения придется делать на нем же (т.е. администратор использует свой ключ доступа, авторизуясь, получает у приложения доступ на управление списками доступа и регистрацию новых ключей).

SATA-USB адаптер это ровно то что тебе нужно, ты правильно нагуглил. Бери с USB 3.0 и обязательно с внешним блоком питания — 3.5" десктопные диски от USB порта не раскрутятся. На маркетплейсах за 500-1500₽ полно вариантов, ищи «USB SATA 3.5 с БП». Раз дискам уже 10+ лет и сыпались ошибки, сливай сначала самое ценное на всякий случай.

Точек восстановления на компьютере нет. Можно ли что-то сделать в этом случае чтобы вернуть данные? Или где-то найти бекапы? Или другим способом помимо точек восстановления вернуть все как было?

Если не были сделаны бекапы профиля, то всё..
И точки восстановления винды в данном случае и не помогли бы. Они не затрагивают пользовательские данные коими являются и данные браузера.

Однако вся это история не могла повлиять на сайты.

Скорее всего проблема на стороне провайдера, а не бан Samsung. У тебя 200 приходит, но данные обрываются после 30кб — похоже на DPI или какую-то фильтрацию на маршруте. Попробуй для начала через мобильный интернет без VPN, чтобы подтвердить что дело в провайдере. А обновиться проще всего через Smart Switch на ПК, он качает прошивку напрямую и не зависит от этих проблем.

Тут фишка в том, что не надо следить за абсолютным цветом. Смотри разницу между двумя датчиками: линия всегда контрастирует с фоном, поэтому по знаку (sensor1 минус sensor2) рулишь влево-вправо. Когда робот пересекает границу клетки, оба цвета инвертируются одновременно, так что контраст сохраняется. Если разность близка к нулю (стык клеток, шум), просто едешь прямо. Ну и порог подбирай под своё освещение, иначе на границах будет дёргаться.

Если все настроено правильно, то коды маркировки пришли.
А красные они, именно потому, что по правилам нужно осуществить приемку и проверку кодов (те просканировать каждую марку), а 1с проверит что марки на товарах соответствуют тем, что пришли в документе.

1. win10 или win11 - это рабочие ревизии windows, в которых есть ограничение на одно одновременное подключение, обходится хаками, майкрософт борется с ними, если обновления отключить, точнее ставить их вручную, отключив то самое что ломает все, то можно воспользоваться вот этим https://github.com/stascorp/rdpwrap (это не патч как делают другие, а как легальное приложение, использующее штатный функционал windows (естественно на них наехали и с ними боролись, с какой то версии windows 10 это сломалось)

2. серверные ревизии windows, легально и очень дорого, одни лицензии будут стоить как средний офисный компьютер без монитора (лицензируется на рабочее место или пользователя, подробно не помню, мир лицензий windows это что то на богатом, когда есть деньги и ты их выкидываешь, и вроде бы по делу... только не когда у тебя маленькая компания на 10-20 рабочих мест)

У rdp есть фатальный недостаток, у него высокие требования к сети, последние версии и требования к ускорителю на сервере (если передачу изображения вести со сжатием как видеопоток иначе лаги, старые версии rdp создавались не для современного софта), а это так же деньги.

3. Моя рекомендация - ibik aster, до 12 рабочих мест (лимиты лучше на офф сайте смотреть), когда реализовывать аппаратно несколько рабочих мест к одному компьютеру, буквально подключить несколько мониторов+клавиатур+мышек например по usb и dp/hdmi (например dell мониторы имеют usb хаб работающий по displayport и позволяющих каскадно подключать мониторы друг к другу). Это работает даже на домашних ревизиях win10-11 (со времен winxp), работает без лагов и артефактов сжатия (т.е. буквально можно делать 4k монитор, gpu ускорение и т.п.), можно подключать несколько рабочих мест к одной видеокарте (пока хватит коннекторов или требований софта), единственный недостаток - небольшое расстояние между компьютерами, ограничение usb/hdmi/dp, есть удлинители на базе штатного ethernet до 200м но стоят как дешевый офисный компьютер.
Единственный недостаток - общий usb (флешки видят все), в некоторых случаях решается (флешку можно отформатировать ntfs, доступ получит только владелец)ю

Сам я уже давно на linux, дома 2 рабочих места на базе штатного multiseat (только xserver), из недостатков - каждое рабочее место своя физическая видеокарта

Встроенная в windows старая версия "резервное копирование и восстановление (windows 7)" умеет делать образ восстановления системы, позволяющий восстановить при полной потере системного диска. Целью размещения бакапа можно указать диск, компакт диск или сетевой диск.

Для создания в своих скриптах нужно использовать команду wbadmin. Команду можно разместить в штатном планировщике задач.

Это работает без перезагрузки, на лету (как я понимаю используется шаттный механизм shadow copy, а значит на диске должно быть свободное место что бы писать туда то что пишут программы в процессе). Для восстановления потребуется загрузочный диск восстановления.

К сожалению при копировании образа нельзя указать какие файлы пропускать, диск (или несколько, если они нужны для работы системы, например профили размещены на другом диске, но указать это придется явно), т.е. будет скопировано все целиком.

Смотрите в сторону программ поддерживающих теневое копирования тома

Недостаточно информации, но я попробую за Вас сформулировать ТЗ.

1. Во внутренней сети здания используется NAT и IPv4.
2. DHCP сервер расположен на сервере, который раздаёт IP адреса всем устройствам внутри здания, в том числе и точкам WiFi которые расположены в здании.
3. Аппаратный роутер провайдера "Телеком" работает как NAT и как SAT, патч-корд от локальной сети подключен в гнездо LAN этого роутера.
4. Провайдер "Груша" предоставил свой аппаратный роутер.

Предположим, что внутренняя сеть из диапазона 192.168.1.0/24
IP адрес интерфейса LAN роутера "Телеком" 192.168.1.1

Что надо сделать.
0. Проверить наличие всех логинов и паролей с полным доступом ко всем устройствам.
И не просто проверить их наличие на бумажке, а каждый логин-пароль ввести и убедиться, что есть полный доступ.
Убедиться, что в коммутаторе внутренней сети есть свободное гнездо для подключения второго роутера и качественный патч-корд достаточной длины.
Есть свободное место в розетках 220 Вольт для подключения второго блока питания от нового роутера.
И достаточный запас мощности, если всё это питается через UPS.

1. Подключить аппаратный роутер провайдера "Груша" интерфейсом LAN к отдельно стоящему ноутбуку (компьютеру).
На роутере должен быть написан его IP адрес для подсети LAN который ему присвоили на заводе, задать на этом компьютере статический IP с той же маской подсети но с другим IP адресом из этой же подсети.
Default Gate на компьютере задать IP адрес роутера.
Для интерфейса LAN роутера задать IP адрес 192.168.1.1
Сохранить конфигурацию роутера.
Поменять на компьютере настройки IP адреса на подсеть 192.168.1.0/24
IP адрес компьютера любой кроме 192.168.1.1
Для интерфейса NET роутера задать параметры которые сообщил провайдер - IP адрес, маску подсети, Default Gate, DNS сервер.
Интерфейс NET подключить к той розетке которую провёл провайдер "Груша".
Задать для этого отдельно стоящего компьютера вручную IP адрес из подсети 192.168.1.0/24 из того диапазона, который раздаёт DHCP сервер для внутренней подсети.
Настроить конфигурацию для этого роутера NAT, SAT, файервол идентично роутеру провайдера "Телеком".
Проверить, что работает выход в Интернет.
Не забыть для этого компьютера вернуть получение IP адреса через DHCP, иначе будет конфликт адресов в локальной сети.

Проверить, что в локальной сети свободен IP адрес 192.168.1.2
Для роутера "Телеком" изменить адрес LAN с 192.168.1.1 на 192.168.1.2

Подключить в локальную сеть роутер провайдера "Груша" патч-кордом от интерфейса LAN.

На сервере DHCP создать диапазон исключения, достаточный по количеству для того, чтобы в него поместились все компьютеры администрации и бухгалтерии.
Для компьютеров в администрации и бухгалтерии выключить получение IP адреса по DHCP и каждому компьютеру задать свой статический IP из этого диапазона исключения.
При этом, Default Gate для этих компьютеров должен быть 192.168.1.2 - роутер провайдера "Телеком".
Тогда доступ к ресурсам локальной сети у них останется, а выход в Интернет будет через роутер "Телеком".

Кажется ничего не забыл.
Лучше всё перезагружать после изменения параметров, даже если это и не написано в инструкции.

Сможете?
Задача простая, если всё пойдёт как в теории, но в жизни возможны подводные камни, в виде плохих контактов, косяков со стороны провайдера и прочего.

Лучше позовите админа с опытом - сэкономите и время и нервы.

В Вашем случае лучше обратиться к провайдеру "Груша" и попросить его все вам настроить!
На мой взгляд, нужно будет понять что выполняет функции роутера (скорее всего это комп, на котором есть DHCP, и скорее всего на нем линукс).
Или - купить новый роутер, через него подключить провайдера
От компа с DHCP прокинуть провод в администрацию.
Всю остальную коммутацию переключить на коммутатор с сетью WiFi.

Ну и еще раз, настоятельно, обратитесь к умелым ребятам - добыча знаний самостоятельно приведет к неработающей сети на примерно месяц, ока эти самые знания не добудете.

подозреваю, проблема в том, что New-PSDrive - это не то же самое что NET USE, он себе диск создаёт только в своей собственной сессии
потому его и видит только сам же powershell, но не robocopy

Раз вы пароль не скрываете, то сделайте

net use ${disk}: $root /user:$YaUser $YaPasswd

ещё вариант, всё равно не совсем powershell :)

$w = New-Object -ComObject WScript.Network
$w.MapNetworkDrive("${disk}:", $root, $true, $YaUser, $yapasswd)

Имеете в виду лицензию BSD?
Ну, лицензия не является информационным материалом, а является юридическим документом — публичной офертой между автором программы и неопределённым кругом пользователей. BSD в этих отношениях если и участвует, то на правах того самого неопределённого круга.
Разрешено.

Разрешено:
Издавать ПО под такой лицензией.
Пользоваться ПО за авторством/владением Беркли (по-видимому)
Пользоваться ПО постороннего авторства/владения (и подавно).
Участвовать в разработке ПО постороннего владения. В частности, разрешено, если эти владельцы — связанные с ней частные лица. Разрешено, если кто-то явно далёкий ответвился от проекта Беркли.

Разрешено через обходные пути:
Объяснять лицензию.

Запрещено:
Участвовать в разработке такого ПО, если конечный владелец именно сам Беркли. Вряд ли кто будет гонять за открытый проект, когда вы открываете его всем — ну разве что конкуренты настучат. Но формально запрещено.

Почему я разделяю владение и авторство — лицензия очень разрешительная, и можно взять библиотеку и вставить в коммерческую прогу. Авторы библиотеки одни, владение — то есть ответственность за работу программы в целом — совсем у других людей.

На самом деле вопрос намного сложнее, чем может показаться.

С одной стороны - все довольно просто. Ну вот признали Йель нежелательным - кому-то от этого стало хуже, кроме тех, кто с ним напрямую работал? Казалось бы, не надо участвовать в деятельности, финансировать или сотрудничать с данной организацией - и все будет хорошо.

С другой стороны - есть зиллион моментов, которые придется учитывать.

Пользуешься софтом, разработанным в Беркли - сотрудничество (теперь что, ждем BolgenTCP/IP и BolgenSockets?)
Платишь подписку или донатишь на бесплатные проекты - финансирование
Общаешься с сотрудниками Беркли на форумах, листах рассылки, в почте - участие в деятельности

Но самое неприятное - то, что слово "Беркли" упоминается в названии лицензии BSD - Berkley Software Distribution. Что теоретически можно подтянуть под "сотрудничество", даже если в самом тексте лицензии про Беркли - ни слова.

Почему?

Суд не будет разбираться в тонкостях - "Беркли" упомянут в списке нежелательных? - да. Слово "Беркли" присутствует в названии лицензии - да? Все, приехали.

Рассказывать что так не может быть потому что - мне не надо. В абстрактном сферическом мире, где законы значат ровно то, что в них написано - наверное да, так быть не может. Но живем мы в реальном мире, где порой решения суда годами не исполняются и всем плевать.

Что в этом случае делать?

- если Вы разрабатываете ПО и лицензируете его по BSD - измените тип лицензии на MIT, Apache или придумайте свою собственную - просто для того чтобы избежать упоминания аббревиатуры BSD
- если пользуетесь компонентом, лицензируемым по BSD - поищите аналогичный компонент с другой лицензией, а если нет - готовьтесь отвечать на вопросы, что BSD никакого отношения к Беркли не имеет (хотя если в тексте лицензии компонента упоминается Regents of the University of California - то сначала оцените риски, потому что это запросто может быть подтянуто как участие в деятельности)

Если вам кажется, что я тут тяну сову на глобус - вот статья на хабре, где в комментах есть очень интересная ссылка на дело ярославских админов сайтов "...ЗА ПУБЛИКАЦИЮ НАУЧНЫХ РАБОТ, ГДЕ В БИБЛИОГРАФИИ УПОМИНАЮТСЯ ИЛИ ЕСТЬ ССЫЛКИ НА НЕЖЕЛАТЕЛЬНЫЕ ОРГАНИЗАЦИИ..."

Ссылка

Вьехали? За публикацию работы, где в библиографическом указателе указана ссылка на сайте вуза :) В статье есть ссылка на материалы дела на сайте Кировского районного суда г. Ярославля

"Вот так" (С) В. Цой

Самый простой способ — установить ту же версию винды просто поверх и без форматирования. Рекомендую предварительно снять образ системного раздела с помощью Acronis TI или аналогов. Ещё хорошо бы проверить сами диски на ошибки/износ и оперативную память с помощью memtest86 с лайв флешки, т.к. возможной причиной может быть повреждение системных файлов или файловой системы из-за сбоя какого-то или же из-за износа SSD.

Нужно уметь самому думать в парадигме SQL, точнее, в теории реляционных баз данных - видеть потенциал нормализации данных у таблиц. Это приходит только с практикой.
Боты ИИ могут предложить как наколеночный вариант без нормализации, так и более глубокий. Сами они не скажут, в какой степени проработано решение - вы сами должны задавать наводящие вопросы, опираясь на свой опыт.

гуглить пробовали?

Без схем и переделок можно но без гарантии.

Скорость будет в идеальном случае 33.6кбит (т.е. 3744 байта в секунду), и на сотне метров кабеля скорость точно будет падать (но можно улучшить дополнительной схемой на концах).

upd. в сторону собственного канала связи, никому не мешать, радиоканал не загрязнять, никаких кабелей не тянуть. - при прямой видимости можно на базе смартфона + телескоп, сделать связь на qr-кодах, причем речь идет о сотнях метров и может даже километр (но дальше проблема будет с низкой светимостью экрана смартфона и чувствительностью камеры, в реальных оптических устройствах связи используют мигающий светодиод, светофильтр и умножители). Снег и дождь обнуляют такой канал, но речь так и так идет о килобайтах,.. ни о каком реалтайме не говорят и такое использовать только как передача информации в принципе.

Километр для такой связи - не проблема, возможно нужно будет продумать про фон (нужно 'идеальное черное тело', сделать его можно из коробки с дыркой размером больше смартфона (в идеале на всю область видимости камерой)
А вот скорости уже десятки килобайт, или даже сотню в секунду (нужно считать, скорость сенсора, чувствительность сенсора, качество оптики, проблемы воздуха пыли тумана и т.п.)
Ну и алгоритм нужно будет качественный разработать, без адаптивной подстройки объема данных под ситуации, максимум будут десяток другой килобайт, была даже статья на хабре про это, где данные между смартфонами передавались через qr-коды)

Например, ещë на Хабре.