|
Тотальное логирование в Windows 2003
|
||
|---|---|---|
Участник
Откуда: Белый город
Сообщения: 16 205 |
||
| 24.07.2007, 11:03:11 |
|
|
|
|
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Ребят, в общем такая ситуация. Есть сервер на Windows 2003 с MSSQL. БД содержит очень важную информацию, которую надо защитить от администратора данного сервера. Администратор естественно имеет полный физический доступ к компьютеру, ну и разумеется административные права. Внимание вопрос, есть ли такие программы, которые осуществляют логирование всего, что происходит на компьютере, включая ВСЕ действия администратора. При этом, естественно, он не должен иметь возможности выключать программу и каким-либо образом править/удалять эти логи. В идеале, чтобы он даже не знал, что на компьютере установлена такая программа. Мне говорили, что есть такой продукт от MS, но никак не могу найти его названия и соответственно описания... Заранее спасибо за помощь! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 10:46:39 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
жесть. защитить комп от админа НЕВОЗМОЖНО. надо переходить на другой уровень. Posted via ActualForum NNTP Server 1.4 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 11:03:11 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
2 nop От администратора защитится невозможно в принципе. Posted via ActualForum NNTP Server 1.4 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 11:17:03 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
nopРебят, в общем такая ситуация. Есть сервер на Windows 2003 с MSSQL. БД содержит очень важную информацию, которую надо защитить от администратора данного сервера. Администратор естественно имеет полный физический доступ к компьютеру, ну и разумеется административные права. Внимание вопрос, есть ли такие программы, которые осуществляют логирование всего, что происходит на компьютере, включая ВСЕ действия администратора. При этом, естественно, он не должен иметь возможности выключать программу и каким-либо образом править/удалять эти логи. В идеале, чтобы он даже не знал, что на компьютере установлена такая программа. Ну во-первых, быть администратором сервера еще не означает быть администраторм MSSQL'а, во-вторых, быть администратором сервера еще не означает быть аудитором данного сервера, третье, эти все роли могут выполнять абсалютно разные люди, четвертое, большинство административных действий может выполнять и простой пользователь с добавленными правами... Пятое и наверное самое важное, если есть физический доступ, то украсть можно практически все, даже не имея административных прав, но имея отвертку, доп. носитель ну и т.д., было бы время... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 11:32:21 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Единственный надежный способ защищиться от администратора-напасть первым и нейтрализовать его. Логирование ВСЕГО можно, и для этого есть соответствующие продукты, но любой квалифицированный администратор при желании сумеет отследить их наличие и активность. Кроме того, есть аудит событий, который дает достаточно подробную информацию при правильном анализе. И вообще, проблема сформулирована жутко расплывчато. Стоит сначала определиться, в чем именно ограничивать админа и какую конкретно активность необходимо контролировать. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 11:54:57 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
MZHЕдинственный надежный способ защищиться от администратора-напасть первым и нейтрализовать его. Логирование ВСЕГО можно, и для этого есть соответствующие продукты Какие например?) В этом собственно и заключается вопрос. MZH И вообще, проблема сформулирована жутко расплывчато. Стоит сначала определиться, в чем именно ограничивать админа и какую конкретно активность необходимо контролировать. Конкретно логирова: доступ к mssql базе, работа с файлами жёсткого диска (копирование, перемещение, удаление), доступ к реестру, подключение к компьютеру сменных носителей. Ограничить админа: чтобы он не мог отключить систему логирования. А по возможности чтобы и не знал, что такая установлена. Sergey Orlov Ну во-первых, быть администратором сервера еще не означает быть администраторм MSSQL'а, Пятое и наверное самое важное, если есть физический доступ, то украсть можно практически все, даже не имея административных прав, но имея отвертку, доп. носитель ну и т.д., было бы время... 1. админ имеет доступ к файлам базы... 5. в данном случае это сделать никак не удастся... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 13:01:32 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Убить админа, другого решения нет. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 13:23:44 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
ну запечатайте все (корпус, разъемы, куда можно вломиться с внешнего носителя, CD-DVD привод), смените пароли (не выдавая админу) и пусть все действия над сервером производятся только в присутствии квалифицированного аудитора. Пароль только у ответственного. Нынешние серверные ОС не требуют постоянного участия, поставил - работает. Если нужна переконфигурация - тогда в присутствии аудитора посмотрит. а штатно никак не выйдет. Затруднить можно, а так, чтобы с гарантией - никак. Сама система так выстроена. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 13:35:05 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
nopКакие например?) В этом собственно и заключается вопрос. На любом варезном сайте за 15 минут можно найти больше десятка подобных программ, думаю, самостоятельное изучение легко даст представление об их функционале и полноте охвата. Посколько именно подобный контроль мне не нужен, подобным софтом предметно не интересуюсь. nopКонкретно логирова: доступ к mssql базе, работа с файлами жёсткого диска (копирование, перемещение, удаление), доступ к реестру, подключение к компьютеру сменных носителей. Ограничить админа: чтобы он не мог отключить систему логирования. А по возможности чтобы и не знал, что такая установлена. Аудит средствами Windows позволит добиться практически всего. А еще есть локальные политики. А еще есть административные средства, например, финансовые или дисциплинарные санкции к админу, если в логах будет отмечена какая-либо запрещенная активность. Зачастую это гораздо эффективнее возни с поисками софта. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 13:48:59 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
а кого вы будете наказывать, если процесс Local System произведет чтение с файла бэкапа SQL-сервера? Реализуется без малейшего напряжения мысли ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 13:59:50 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
rrrrrrrrrrа кого вы будете наказывать, если процесс Local System произведет чтение с файла бэкапа SQL-сервера? Реализуется без малейшего напряжения мысли А почему бы не назначить админа ответственным за то, чтобы этого не происходило? Как уже указывал выше, по-прежнему считаю проблему сформулированной невнятно и не продуманной. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 14:01:42 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
MZH rrrrrrrrrrа кого вы будете наказывать, если процесс Local System произведет чтение с файла бэкапа SQL-сервера? Реализуется без малейшего напряжения мысли А почему бы не назначить админа ответственным за то, чтобы этого не происходило? Как уже указывал выше, по-прежнему считаю проблему сформулированной невнятно и не продуманной. Согласен, что проблема сформулирована нечетко, да и данных мало. К примеру, если речь пойдет о защите компьютера, который работает только как SQL-сервер, то тут все может оказаться гораздо проще, я имею ввиду доступ извне к этому серверу, достаточно будет, я думаю, использовать IPsec c сертификатами, тут доступ к серваку получит только пользователь, имеющий сертификат, админу сертификат можно и не давать... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 14:35:57 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Sergey OrlovСогласен, что проблема сформулирована нечетко, да и данных мало. К примеру, если речь пойдет о защите компьютера, который работает только как SQL-сервер, то тут все может оказаться гораздо проще, я имею ввиду доступ извне к этому серверу, достаточно будет, я думаю, использовать IPsec c сертификатами, тут доступ к серваку получит только пользователь, имеющий сертификат, админу сертификат можно и не давать... Удастся ли защититься сертификатами от человека, имеющего локальный доступ к серверу? Политики порой оказываются надежнее. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 14:48:33 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Удастся ли защититься политиками от человека имеющего локальный доступ к серверу и имеющим абсолютные права на управления всем, в том числе и назначением прав? Тут обычная параноя. Надо просто растрелять админа, а пароль менять с закрыми глазами. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 15:00:40 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
можно сформулировать еще более обще-удастся ли защититься от угрозы, которую пока автору не удалось однозначно формализовать? Проще тогда уж держать отдельный домен для SQL-сервера, куда аццкий админ не будет иметь доступа. А админу-ошейник с системой слежения и двоих сопровождающих, чтобы не натворил чего и не залез, куда не надо. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 15:04:07 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
MZH Sergey OrlovСогласен, что проблема сформулирована нечетко, да и данных мало. К примеру, если речь пойдет о защите компьютера, который работает только как SQL-сервер, то тут все может оказаться гораздо проще, я имею ввиду доступ извне к этому серверу, достаточно будет, я думаю, использовать IPsec c сертификатами, тут доступ к серваку получит только пользователь, имеющий сертификат, админу сертификат можно и не давать... Удастся ли защититься сертификатами от человека, имеющего локальный доступ к серверу? Политики порой оказываются надежнее. В любом случае подход должен быть комплексным, 1. в случае же IPSec, то чтобы что-то куда-то скопировать, его придется снять, что не пройдет незамеченным... 2. Если на MSSQL не стоит windows-autenfication, то, чтобы сделать backup-ы баз надо быть знать пароль sa или быть ему эквивалентным, да и задания чтобы задавать тоже надо иметь определнные права... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 15:10:36 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Sergey Orlov 2. Если на MSSQL не стоит windows-autenfication, то, чтобы сделать backup-ы баз надо быть знать пароль sa или быть ему эквивалентным, да и задания чтобы задавать тоже надо иметь определнные права... герой фильма Bad Boys IIМаркус, научи меня стрелять в людей Кто-нибудь подскажет, как в MS SQL убрать аутентификацию Windows? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 15:14:28 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Sergey Orlov1. в случае же IPSec, то чтобы что-то куда-то скопировать, его придется снять, что не пройдет незамеченным... А USB-порты IPSec закрывать умеет? А кто помешает админу в локальных или доменных политиках на время убрать настройки IPSec? По-моему, некорректно решать проблему итеративным способом. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 15:16:19 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Кстати, если вопрос борьбы с админом стоит настолько остро, может, стоит принять в штат конторы полиграфолога, который будет устраивать ему ежедневный допрос? Или даже ежечасный, если все настолько серьезно. Или пару суровых ребят, которые будут периодически тыкать админу паяльником в разные части тела, вопрошая "Лазил, падла, на сервере?". ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 15:32:05 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Коллеги, nop задумал сделать абсолютную защиту, но абсолютная защита будет абсолютно неудобна для работы... Или аболютно дорога... Posted via ActualForum NNTP Server 1.4 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 15:46:13 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Доверие - самая дорогая вещь что может быть между людьми... Вы пускаетесь в какие то технические подробности, на самом деле вопрос это не технический, а организационный. Организационные проблемы невозможно решить техническими методами... Posted via ActualForum NNTP Server 1.4 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 15:48:52 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Вообще, пожалуй, систему тотального контроля реализовать можно. Всего-то лишь охраняемый подземный бункер, где стоит сервер, в нем гигантский дисковый массив, на котором хранится ВЕСЬ сетевой трафик, и там же несколько суперЭВМ, которые этот трафик тщательно анализируют на предмет неразрешенной активности. Но дороговато выйдет, пожалуй. Вряд ли автор потянет. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 15:53:24 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Уже флейм пошел. У меня дома валяется книжечка, купленная лет 10 назад, называется она кажется "Безопасность сетевых операционных систем", в ней как раз и рассматриваются подходы к данной проблеме, правда ос всего 3-и, *nix, Nw 4.xx, NT4. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 16:15:00 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
автор2. Если на MSSQL не стоит windows-autenfication, Это как, это фантастика! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 16:42:37 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Sergey OrlovУже флейм пошел. У меня дома валяется книжечка, купленная лет 10 назад, называется она кажется "Безопасность сетевых операционных систем", в ней как раз и рассматриваются подходы к данной проблеме, правда ос всего 3-и, *nix, Nw 4.xx, NT4. Кстати, это не в этой ли книжке рассказывают, как отключить Windows аутентификацию для MS SQL Server? Факты в студию, пожалуйста. А то в моих книжках про это ни слова, обидно... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 16:49:50 |
|
||
|
|
start [/forum/topic.php?fid=26&msg=34679401&tid=1506811]: |
0ms |
get settings: |
5ms |
get forum list: |
10ms |
check forum access: |
2ms |
check topic access: |
2ms |
track hit: |
30ms |
get topic data: |
6ms |
get forum data: |
1ms |
get page messages: |
35ms |
get tp. blocked users: |
1ms |
| others: | 193ms |
| total: | 285ms |
| 0 / 0 |
