|
|
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Ребят, в общем такая ситуация. Есть сервер на Windows 2003 с MSSQL. БД содержит очень важную информацию, которую надо защитить от администратора данного сервера. Администратор естественно имеет полный физический доступ к компьютеру, ну и разумеется административные права. Внимание вопрос, есть ли такие программы, которые осуществляют логирование всего, что происходит на компьютере, включая ВСЕ действия администратора. При этом, естественно, он не должен иметь возможности выключать программу и каким-либо образом править/удалять эти логи. В идеале, чтобы он даже не знал, что на компьютере установлена такая программа. Мне говорили, что есть такой продукт от MS, но никак не могу найти его названия и соответственно описания... Заранее спасибо за помощь! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 10:46:39 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
жесть. защитить комп от админа НЕВОЗМОЖНО. надо переходить на другой уровень. Posted via ActualForum NNTP Server 1.4 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 11:03:11 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
2 nop От администратора защитится невозможно в принципе. Posted via ActualForum NNTP Server 1.4 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 11:17:03 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
nopРебят, в общем такая ситуация. Есть сервер на Windows 2003 с MSSQL. БД содержит очень важную информацию, которую надо защитить от администратора данного сервера. Администратор естественно имеет полный физический доступ к компьютеру, ну и разумеется административные права. Внимание вопрос, есть ли такие программы, которые осуществляют логирование всего, что происходит на компьютере, включая ВСЕ действия администратора. При этом, естественно, он не должен иметь возможности выключать программу и каким-либо образом править/удалять эти логи. В идеале, чтобы он даже не знал, что на компьютере установлена такая программа. Ну во-первых, быть администратором сервера еще не означает быть администраторм MSSQL'а, во-вторых, быть администратором сервера еще не означает быть аудитором данного сервера, третье, эти все роли могут выполнять абсалютно разные люди, четвертое, большинство административных действий может выполнять и простой пользователь с добавленными правами... Пятое и наверное самое важное, если есть физический доступ, то украсть можно практически все, даже не имея административных прав, но имея отвертку, доп. носитель ну и т.д., было бы время... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 11:32:21 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Единственный надежный способ защищиться от администратора-напасть первым и нейтрализовать его. Логирование ВСЕГО можно, и для этого есть соответствующие продукты, но любой квалифицированный администратор при желании сумеет отследить их наличие и активность. Кроме того, есть аудит событий, который дает достаточно подробную информацию при правильном анализе. И вообще, проблема сформулирована жутко расплывчато. Стоит сначала определиться, в чем именно ограничивать админа и какую конкретно активность необходимо контролировать. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 11:54:57 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
MZHЕдинственный надежный способ защищиться от администратора-напасть первым и нейтрализовать его. Логирование ВСЕГО можно, и для этого есть соответствующие продукты Какие например?) В этом собственно и заключается вопрос. MZH И вообще, проблема сформулирована жутко расплывчато. Стоит сначала определиться, в чем именно ограничивать админа и какую конкретно активность необходимо контролировать. Конкретно логирова: доступ к mssql базе, работа с файлами жёсткого диска (копирование, перемещение, удаление), доступ к реестру, подключение к компьютеру сменных носителей. Ограничить админа: чтобы он не мог отключить систему логирования. А по возможности чтобы и не знал, что такая установлена. Sergey Orlov Ну во-первых, быть администратором сервера еще не означает быть администраторм MSSQL'а, Пятое и наверное самое важное, если есть физический доступ, то украсть можно практически все, даже не имея административных прав, но имея отвертку, доп. носитель ну и т.д., было бы время... 1. админ имеет доступ к файлам базы... 5. в данном случае это сделать никак не удастся... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 13:01:32 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Убить админа, другого решения нет. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 13:23:44 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
ну запечатайте все (корпус, разъемы, куда можно вломиться с внешнего носителя, CD-DVD привод), смените пароли (не выдавая админу) и пусть все действия над сервером производятся только в присутствии квалифицированного аудитора. Пароль только у ответственного. Нынешние серверные ОС не требуют постоянного участия, поставил - работает. Если нужна переконфигурация - тогда в присутствии аудитора посмотрит. а штатно никак не выйдет. Затруднить можно, а так, чтобы с гарантией - никак. Сама система так выстроена. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 13:35:05 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
nopКакие например?) В этом собственно и заключается вопрос. На любом варезном сайте за 15 минут можно найти больше десятка подобных программ, думаю, самостоятельное изучение легко даст представление об их функционале и полноте охвата. Посколько именно подобный контроль мне не нужен, подобным софтом предметно не интересуюсь. nopКонкретно логирова: доступ к mssql базе, работа с файлами жёсткого диска (копирование, перемещение, удаление), доступ к реестру, подключение к компьютеру сменных носителей. Ограничить админа: чтобы он не мог отключить систему логирования. А по возможности чтобы и не знал, что такая установлена. Аудит средствами Windows позволит добиться практически всего. А еще есть локальные политики. А еще есть административные средства, например, финансовые или дисциплинарные санкции к админу, если в логах будет отмечена какая-либо запрещенная активность. Зачастую это гораздо эффективнее возни с поисками софта. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 13:48:59 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
а кого вы будете наказывать, если процесс Local System произведет чтение с файла бэкапа SQL-сервера? Реализуется без малейшего напряжения мысли ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 13:59:50 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
rrrrrrrrrrа кого вы будете наказывать, если процесс Local System произведет чтение с файла бэкапа SQL-сервера? Реализуется без малейшего напряжения мысли А почему бы не назначить админа ответственным за то, чтобы этого не происходило? Как уже указывал выше, по-прежнему считаю проблему сформулированной невнятно и не продуманной. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 14:01:42 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
MZH rrrrrrrrrrа кого вы будете наказывать, если процесс Local System произведет чтение с файла бэкапа SQL-сервера? Реализуется без малейшего напряжения мысли А почему бы не назначить админа ответственным за то, чтобы этого не происходило? Как уже указывал выше, по-прежнему считаю проблему сформулированной невнятно и не продуманной. Согласен, что проблема сформулирована нечетко, да и данных мало. К примеру, если речь пойдет о защите компьютера, который работает только как SQL-сервер, то тут все может оказаться гораздо проще, я имею ввиду доступ извне к этому серверу, достаточно будет, я думаю, использовать IPsec c сертификатами, тут доступ к серваку получит только пользователь, имеющий сертификат, админу сертификат можно и не давать... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 14:35:57 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Sergey OrlovСогласен, что проблема сформулирована нечетко, да и данных мало. К примеру, если речь пойдет о защите компьютера, который работает только как SQL-сервер, то тут все может оказаться гораздо проще, я имею ввиду доступ извне к этому серверу, достаточно будет, я думаю, использовать IPsec c сертификатами, тут доступ к серваку получит только пользователь, имеющий сертификат, админу сертификат можно и не давать... Удастся ли защититься сертификатами от человека, имеющего локальный доступ к серверу? Политики порой оказываются надежнее. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 14:48:33 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Удастся ли защититься политиками от человека имеющего локальный доступ к серверу и имеющим абсолютные права на управления всем, в том числе и назначением прав? Тут обычная параноя. Надо просто растрелять админа, а пароль менять с закрыми глазами. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 15:00:40 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
можно сформулировать еще более обще-удастся ли защититься от угрозы, которую пока автору не удалось однозначно формализовать? Проще тогда уж держать отдельный домен для SQL-сервера, куда аццкий админ не будет иметь доступа. А админу-ошейник с системой слежения и двоих сопровождающих, чтобы не натворил чего и не залез, куда не надо. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 15:04:07 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
MZH Sergey OrlovСогласен, что проблема сформулирована нечетко, да и данных мало. К примеру, если речь пойдет о защите компьютера, который работает только как SQL-сервер, то тут все может оказаться гораздо проще, я имею ввиду доступ извне к этому серверу, достаточно будет, я думаю, использовать IPsec c сертификатами, тут доступ к серваку получит только пользователь, имеющий сертификат, админу сертификат можно и не давать... Удастся ли защититься сертификатами от человека, имеющего локальный доступ к серверу? Политики порой оказываются надежнее. В любом случае подход должен быть комплексным, 1. в случае же IPSec, то чтобы что-то куда-то скопировать, его придется снять, что не пройдет незамеченным... 2. Если на MSSQL не стоит windows-autenfication, то, чтобы сделать backup-ы баз надо быть знать пароль sa или быть ему эквивалентным, да и задания чтобы задавать тоже надо иметь определнные права... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 15:10:36 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Sergey Orlov 2. Если на MSSQL не стоит windows-autenfication, то, чтобы сделать backup-ы баз надо быть знать пароль sa или быть ему эквивалентным, да и задания чтобы задавать тоже надо иметь определнные права... герой фильма Bad Boys IIМаркус, научи меня стрелять в людей Кто-нибудь подскажет, как в MS SQL убрать аутентификацию Windows? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 15:14:28 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Sergey Orlov1. в случае же IPSec, то чтобы что-то куда-то скопировать, его придется снять, что не пройдет незамеченным... А USB-порты IPSec закрывать умеет? А кто помешает админу в локальных или доменных политиках на время убрать настройки IPSec? По-моему, некорректно решать проблему итеративным способом. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 15:16:19 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Кстати, если вопрос борьбы с админом стоит настолько остро, может, стоит принять в штат конторы полиграфолога, который будет устраивать ему ежедневный допрос? Или даже ежечасный, если все настолько серьезно. Или пару суровых ребят, которые будут периодически тыкать админу паяльником в разные части тела, вопрошая "Лазил, падла, на сервере?". ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 15:32:05 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Коллеги, nop задумал сделать абсолютную защиту, но абсолютная защита будет абсолютно неудобна для работы... Или аболютно дорога... Posted via ActualForum NNTP Server 1.4 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 15:46:13 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Доверие - самая дорогая вещь что может быть между людьми... Вы пускаетесь в какие то технические подробности, на самом деле вопрос это не технический, а организационный. Организационные проблемы невозможно решить техническими методами... Posted via ActualForum NNTP Server 1.4 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 15:48:52 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Вообще, пожалуй, систему тотального контроля реализовать можно. Всего-то лишь охраняемый подземный бункер, где стоит сервер, в нем гигантский дисковый массив, на котором хранится ВЕСЬ сетевой трафик, и там же несколько суперЭВМ, которые этот трафик тщательно анализируют на предмет неразрешенной активности. Но дороговато выйдет, пожалуй. Вряд ли автор потянет. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 15:53:24 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Уже флейм пошел. У меня дома валяется книжечка, купленная лет 10 назад, называется она кажется "Безопасность сетевых операционных систем", в ней как раз и рассматриваются подходы к данной проблеме, правда ос всего 3-и, *nix, Nw 4.xx, NT4. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 16:15:00 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
автор2. Если на MSSQL не стоит windows-autenfication, Это как, это фантастика! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 16:42:37 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Sergey OrlovУже флейм пошел. У меня дома валяется книжечка, купленная лет 10 назад, называется она кажется "Безопасность сетевых операционных систем", в ней как раз и рассматриваются подходы к данной проблеме, правда ос всего 3-и, *nix, Nw 4.xx, NT4. Кстати, это не в этой ли книжке рассказывают, как отключить Windows аутентификацию для MS SQL Server? Факты в студию, пожалуйста. А то в моих книжках про это ни слова, обидно... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 16:49:50 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
MZH Sergey OrlovУже флейм пошел. У меня дома валяется книжечка, купленная лет 10 назад, называется она кажется "Безопасность сетевых операционных систем", в ней как раз и рассматриваются подходы к данной проблеме, правда ос всего 3-и, *nix, Nw 4.xx, NT4. Кстати, это не в этой ли книжке рассказывают, как отключить Windows аутентификацию для MS SQL Server? Факты в студию, пожалуйста. А то в моих книжках про это ни слова, обидно... На тот момент версия 6.5 была, боюсь у тебя ее нет, а что нельзя зайти в security SQL'а и поставить группе встроенных админов deny access, оставив только sa ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 17:13:28 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Sergey OrlovНа тот момент версия 6.5 была, боюсь у тебя ее нет, а что нельзя зайти в security SQL'а и поставить группе встроенных админов deny access, оставив только sa У меня тут такой архив дистрибутивов от MS, что найду, если припрет. Формулировка была не о запрете доступа админам, а о запрете аутентификации Windows. Мне кажется, или это совсем разные вещи? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 17:19:59 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
В версии 6.5 так и было, совемещенная(windows) аутенфикация выдавалась как достижение, и когда ставился сервер предлагалось 3-и вида аутенфикации, только sql-я, только виндовая и смешанная, и насколько помню, все пользователи автоматом становились пользователя sql-сервера... Потом осознали, кака я дырка в безопасности и в 7.0 этого уже не стало. Очевидно борьба с Novell'ом давала знать - один раз аутенфицироваться в системе. У меня это осталось в памяти из-за того, что один сотрудник ведовший им забыл пароль sa, работать с базой можно было, а модифицировать процедуры... При этом ты прав вещи разные. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 17:39:47 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Так, ну что-то вы отошли от темы) Ребят, давайте так. Тупо: У вас дома стоит компьютер с 2003-виндой и MSSQL. Вы лично его администрируете. MSSQL используется удалённым компьютером. Но вы к ней имеете доступ. То есть вы можете слить эту базу как в виде файлов, так и просто сделать дамп. Так вот, мне нужно зафиксировать в логах, что база была слита тем или иным способом (то есть хотя бы, что админ залогинился в базу тогда-то, тогда-то и висел столько-то на ней или что скопировал её файлы куда-то). И вы, в лице админа, не должны иметь возможности прибить эти логи. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 18:08:41 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Свойства SQL-сервера - Security - Audit Level - All После этого события Logon и Logoff будут отображаться в Application Log. Запретить админу стирать его непросто и вряд ли легко получится. Но можно сделать, например, регулярную выгрузку журнала в текстовый файл и сравнение размера выгруженного с предыдущим. Как только уменьшился-тут же отправить оповещение. Доступ к самим файлам БД или бэкапам легко отслеживать через аудит доступа к обьектам. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 18:17:35 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
2 nop способы взять базу: 1 сделать backup, для ценной базы его надо делать обязательно. Он откладывается в логах sql server 2 Выключить компютер и тупо перекопировать файлы базы. Никаких логов... Posted via ActualForum NNTP Server 1.4 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 18:20:29 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Кстати, об ограничении локального доступа. В некоторых банках, говорят, вход в серверную охраняется отдельно и доступ туда даже админам и ИТ-начальству предоставляется только после особого подтверждения. Не говоря уже о камерах на каждом углу и круглосуточной записи всего происходящего с серверами. Может, стоит задуматься об изоляции сервера от админа? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 18:22:56 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
MZH > Может, стоит задуматься об изоляции сервера от админа? тупой вопрос, на сервере, например, задымился блок питания... Тоже изолировать админа от сервера ? Posted via ActualForum NNTP Server 1.4 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 18:24:37 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Green2MZH > Может, стоит задуматься об изоляции сервера от админа? тупой вопрос, на сервере, например, задымился блок питания... Тоже изолировать админа от сервера ? Posted via ActualForum NNTP Server 1.4 Если люди так боятся своего админа, но избавляться от него не желают, то почему бы не держать особо проверенного админа ради особо ценного сервера? Или создать особую процедуру для обслуживания. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 18:28:00 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
MZHВ некоторых банках, говорят, вход в серверную охраняется отдельно и доступ туда даже админам и ИТ-начальству предоставляется только после особого подтверждения. Дык положено два автоматчика при теле, иначе какая безопасность. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 18:38:12 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Green2MZH > Может, стоит задуматься об изоляции сервера от админа? тупой вопрос, на сервере, например, задымился блок питания... Тоже изолировать админа от сервера ? С чего это сисадмину заниматься ремонтом, это совсем другая специальность. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 18:39:53 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Предлагаю nop почитать http://msdn2.microsoft.com/ru-ru/library/ms161948.aspx это что пишет о безопасности сервера microsoft. Нигде там нет защиты от сисадмина... Наоборот сисадмин сам несет ответственность за защиту системы. Posted via ActualForum NNTP Server 1.4 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 18:44:08 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
MZHСвойства SQL-сервера - Security - Audit Level - All После этого события Logon и Logoff будут отображаться в Application Log. Запретить админу стирать его непросто и вряд ли легко получится. Но можно сделать, например, регулярную выгрузку журнала в текстовый файл и сравнение размера выгруженного с предыдущим. Как только уменьшился-тут же отправить оповещение. Доступ к самим файлам БД или бэкапам легко отслеживать через аудит доступа к обьектам. Есть Local Security Setting -> manage auditing and security log , выкинуть оттуда администраторов, но перед этим кого-нибудь ввести, хотя на перезагрузке и в командной строке наверное можно... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 19:42:09 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Green2MZH > Может, стоит задуматься об изоляции сервера от админа? тупой вопрос, на сервере, например, задымился блок питания ... Тоже изолировать админа от сервера ? Posted via ActualForum NNTP Server 1.4 Лучше изолировать блок питания. --------------------------------------- Ну что тута поделаешь - не понимают люди, что администратор сервера = доверенное лицо, уполномоченное делать с сервером и всем тем, что на сервере есть, все, что его душеньке угодно. И можно только верить... или иметь равноуполномоченное "другое" лицо для аудита действий первого. Без абсолютных гарантий. Ведь сказано: кто сторожит сторожей? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.07.2007, 11:32:19 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Переходите на другие системы: в Informix можно разделить админа и офицера безопасности, в Linux SE есть разделения по уровням секретности и т.д. Но вам совершенно правильно говорят, что надо подобрать доверенного админа и исключить возможность проведения административных действий и физического доступа к серверу без сопровождения понимающего в IT ответственного лица или офицера безопасности. Но вообще стоит сильно подумать, насколько ценна ваша информация: безопасность данных - большой геморрой постоянно, а утечку предотвратить можно не всегда. В конце-концов, можно купить налоговую или милицию и они унесут ваши данные вместе с сервером, а все пароли вы им сами расскажите. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.07.2007, 22:37:36 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
надо использовать шифрование секретных данных ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 29.07.2007, 03:06:10 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Мне кажется здесь вопрос - организационный. Если вы настолько не доверяете админу, тогда вопрос - зачем вам вообще админ. Выкинье машину из домена. Поставьте её в отдельную комнату под замок. Договоритесь, с руководством о том что ремонт и техобслуживание будете осущетсвлять лично. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 30.07.2007, 12:08:52 |
|
||
|
|
start [/forum/topic.php?all=1&fid=26&tid=1506811]: |
0ms |
get settings: |
5ms |
get forum list: |
11ms |
check forum access: |
2ms |
check topic access: |
2ms |
track hit: |
45ms |
get topic data: |
7ms |
get forum data: |
2ms |
get page messages: |
45ms |
get tp. blocked users: |
1ms |
| others: | 193ms |
| total: | 313ms |
| 0 / 0 |
