|
Тотальное логирование в Windows 2003
|
||
|---|---|---|
Участник
Откуда: loopback
Сообщения: 53 422 |
||
| 30.07.2007, 12:08:52 |
|
|
|
|
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
MZH Sergey OrlovУже флейм пошел. У меня дома валяется книжечка, купленная лет 10 назад, называется она кажется "Безопасность сетевых операционных систем", в ней как раз и рассматриваются подходы к данной проблеме, правда ос всего 3-и, *nix, Nw 4.xx, NT4. Кстати, это не в этой ли книжке рассказывают, как отключить Windows аутентификацию для MS SQL Server? Факты в студию, пожалуйста. А то в моих книжках про это ни слова, обидно... На тот момент версия 6.5 была, боюсь у тебя ее нет, а что нельзя зайти в security SQL'а и поставить группе встроенных админов deny access, оставив только sa ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 17:13:28 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Sergey OrlovНа тот момент версия 6.5 была, боюсь у тебя ее нет, а что нельзя зайти в security SQL'а и поставить группе встроенных админов deny access, оставив только sa У меня тут такой архив дистрибутивов от MS, что найду, если припрет. Формулировка была не о запрете доступа админам, а о запрете аутентификации Windows. Мне кажется, или это совсем разные вещи? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 17:19:59 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
В версии 6.5 так и было, совемещенная(windows) аутенфикация выдавалась как достижение, и когда ставился сервер предлагалось 3-и вида аутенфикации, только sql-я, только виндовая и смешанная, и насколько помню, все пользователи автоматом становились пользователя sql-сервера... Потом осознали, кака я дырка в безопасности и в 7.0 этого уже не стало. Очевидно борьба с Novell'ом давала знать - один раз аутенфицироваться в системе. У меня это осталось в памяти из-за того, что один сотрудник ведовший им забыл пароль sa, работать с базой можно было, а модифицировать процедуры... При этом ты прав вещи разные. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 17:39:47 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Так, ну что-то вы отошли от темы) Ребят, давайте так. Тупо: У вас дома стоит компьютер с 2003-виндой и MSSQL. Вы лично его администрируете. MSSQL используется удалённым компьютером. Но вы к ней имеете доступ. То есть вы можете слить эту базу как в виде файлов, так и просто сделать дамп. Так вот, мне нужно зафиксировать в логах, что база была слита тем или иным способом (то есть хотя бы, что админ залогинился в базу тогда-то, тогда-то и висел столько-то на ней или что скопировал её файлы куда-то). И вы, в лице админа, не должны иметь возможности прибить эти логи. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 18:08:41 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Свойства SQL-сервера - Security - Audit Level - All После этого события Logon и Logoff будут отображаться в Application Log. Запретить админу стирать его непросто и вряд ли легко получится. Но можно сделать, например, регулярную выгрузку журнала в текстовый файл и сравнение размера выгруженного с предыдущим. Как только уменьшился-тут же отправить оповещение. Доступ к самим файлам БД или бэкапам легко отслеживать через аудит доступа к обьектам. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 18:17:35 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
2 nop способы взять базу: 1 сделать backup, для ценной базы его надо делать обязательно. Он откладывается в логах sql server 2 Выключить компютер и тупо перекопировать файлы базы. Никаких логов... Posted via ActualForum NNTP Server 1.4 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 18:20:29 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Кстати, об ограничении локального доступа. В некоторых банках, говорят, вход в серверную охраняется отдельно и доступ туда даже админам и ИТ-начальству предоставляется только после особого подтверждения. Не говоря уже о камерах на каждом углу и круглосуточной записи всего происходящего с серверами. Может, стоит задуматься об изоляции сервера от админа? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 18:22:56 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
MZH > Может, стоит задуматься об изоляции сервера от админа? тупой вопрос, на сервере, например, задымился блок питания... Тоже изолировать админа от сервера ? Posted via ActualForum NNTP Server 1.4 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 18:24:37 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Green2MZH > Может, стоит задуматься об изоляции сервера от админа? тупой вопрос, на сервере, например, задымился блок питания... Тоже изолировать админа от сервера ? Posted via ActualForum NNTP Server 1.4 Если люди так боятся своего админа, но избавляться от него не желают, то почему бы не держать особо проверенного админа ради особо ценного сервера? Или создать особую процедуру для обслуживания. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 18:28:00 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
MZHВ некоторых банках, говорят, вход в серверную охраняется отдельно и доступ туда даже админам и ИТ-начальству предоставляется только после особого подтверждения. Дык положено два автоматчика при теле, иначе какая безопасность. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 18:38:12 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Green2MZH > Может, стоит задуматься об изоляции сервера от админа? тупой вопрос, на сервере, например, задымился блок питания... Тоже изолировать админа от сервера ? С чего это сисадмину заниматься ремонтом, это совсем другая специальность. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 18:39:53 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Предлагаю nop почитать http://msdn2.microsoft.com/ru-ru/library/ms161948.aspx это что пишет о безопасности сервера microsoft. Нигде там нет защиты от сисадмина... Наоборот сисадмин сам несет ответственность за защиту системы. Posted via ActualForum NNTP Server 1.4 ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 18:44:08 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
MZHСвойства SQL-сервера - Security - Audit Level - All После этого события Logon и Logoff будут отображаться в Application Log. Запретить админу стирать его непросто и вряд ли легко получится. Но можно сделать, например, регулярную выгрузку журнала в текстовый файл и сравнение размера выгруженного с предыдущим. Как только уменьшился-тут же отправить оповещение. Доступ к самим файлам БД или бэкапам легко отслеживать через аудит доступа к обьектам. Есть Local Security Setting -> manage auditing and security log , выкинуть оттуда администраторов, но перед этим кого-нибудь ввести, хотя на перезагрузке и в командной строке наверное можно... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 24.07.2007, 19:42:09 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Green2MZH > Может, стоит задуматься об изоляции сервера от админа? тупой вопрос, на сервере, например, задымился блок питания ... Тоже изолировать админа от сервера ? Posted via ActualForum NNTP Server 1.4 Лучше изолировать блок питания. --------------------------------------- Ну что тута поделаешь - не понимают люди, что администратор сервера = доверенное лицо, уполномоченное делать с сервером и всем тем, что на сервере есть, все, что его душеньке угодно. И можно только верить... или иметь равноуполномоченное "другое" лицо для аудита действий первого. Без абсолютных гарантий. Ведь сказано: кто сторожит сторожей? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 26.07.2007, 11:32:19 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Переходите на другие системы: в Informix можно разделить админа и офицера безопасности, в Linux SE есть разделения по уровням секретности и т.д. Но вам совершенно правильно говорят, что надо подобрать доверенного админа и исключить возможность проведения административных действий и физического доступа к серверу без сопровождения понимающего в IT ответственного лица или офицера безопасности. Но вообще стоит сильно подумать, насколько ценна ваша информация: безопасность данных - большой геморрой постоянно, а утечку предотвратить можно не всегда. В конце-концов, можно купить налоговую или милицию и они унесут ваши данные вместе с сервером, а все пароли вы им сами расскажите. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 28.07.2007, 22:37:36 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
надо использовать шифрование секретных данных ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 29.07.2007, 03:06:10 |
|
||
|
Тотальное логирование в Windows 2003
|
|||
|---|---|---|---|
|
#18+
Мне кажется здесь вопрос - организационный. Если вы настолько не доверяете админу, тогда вопрос - зачем вам вообще админ. Выкинье машину из домена. Поставьте её в отдельную комнату под замок. Договоритесь, с руководством о том что ремонт и техобслуживание будете осущетсвлять лично. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 30.07.2007, 12:08:52 |
|
||
|
|
start [/forum/topic.php?fid=26&msg=34681004&tid=1506811]: |
0ms |
get settings: |
5ms |
get forum list: |
10ms |
check forum access: |
2ms |
check topic access: |
2ms |
track hit: |
50ms |
get topic data: |
8ms |
get forum data: |
2ms |
get page messages: |
35ms |
get tp. blocked users: |
1ms |
| others: | 202ms |
| total: | 317ms |
| 0 / 0 |
