|
|
|
Домен или группа?
|
|||
|---|---|---|---|
|
#18+
6.5 На сервере лежит база, с которой работают всего четыре пользователя, но достаточно интенсивно. По соображениям безопасости сервер и компьютеры пользвателей планируется перенести в отдельный сегмент сети, связанный с основной сетью шлюзом. Обязательно ли в этом сегменте создавать домен? Можно ли просто рабочую группу? Если можно, то какие существуют связанные с этим особенности? Не хочется использовать отдельный сервер для домен-контроллера, а еще больше, использовать для этого сервер, где будет лежать (или стоять) SQL Server, тем более что MS не рекомендует такое совмещение, по крайней мере для 6.5. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.07.2002, 01:02:44 |
|
||
|
Домен или группа?
|
|||
|---|---|---|---|
|
#18+
Чо за линк между сегментом и основной сетью? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.07.2002, 01:08:58 |
|
||
|
Домен или группа?
|
|||
|---|---|---|---|
|
#18+
Да никакого. Это будет простой комп с двумя сетевухами, у каждой свой IP. Причем, из основной сети попасть в сегмент будет нельзя, и обратно тоже. Если че-нить перекинуть между сегментом и основной сетью, то только с этого компа. Представь что основной сети нет, а только сегмент. Работать то будет (не подумал, че спросил), у меня ж дома стоит на компе и работает как миленький. Есть ли какие нибудь траблы при таком раскладе с SQL Server 6.5? (без организации домена) ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.07.2002, 01:22:47 |
|
||
|
Домен или группа?
|
|||
|---|---|---|---|
|
#18+
Да в общем-то нет, за исключением того, что возможна только standard security mode. А предполагается какое-то взаимодействие SQL Server в сегменте с остальной сеткой за рутером? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.07.2002, 15:32:16 |
|
||
|
Домен или группа?
|
|||
|---|---|---|---|
|
#18+
Ну нет конешно. В этм весь смысл, что б оттуда никто не залез и от сюда туда тоже. SQL Server будет крутиться не на той машине, которая связывает два сегмента. А доступ к этой машине будет жестко ограничен. Хорошо если нет никаких подводных камней, а про стандарт понятно, домена же не будет, но это не проблема, все равно клиентская часть жестко заточена под использование стандарта. Спасибо! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.07.2002, 19:19:40 |
|
||
|
Домен или группа?
|
|||
|---|---|---|---|
|
#18+
Если это повторный топик, то я извиняюсь. Что то у меня с ответами странное творится. Что-то я не пойму, откуда такое маниакальное стремление к безопасности у субъекта, который не может раскошелиться на выделенный сервер. Я, конечно, понимаю, что наши резиденты в США, Великобритании, Германии и Франции (4 пользователя), должны иметь некоторые приоритеты, но не до такой же степени. To: Дед Маздай. Скажите пожалуйста, известны ли Вам случаи взлома MS SQL, работаюшего по "standart mode" с нормальными (длинными) паролями ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.07.2002, 21:33:58 |
|
||
|
Домен или группа?
|
|||
|---|---|---|---|
|
#18+
Известны. Как-то заходил к нам на этаж один товарищ и долго распинался на тему "Ну что, отстои". За выходные я подобрал пароль sa, убил у него на диске долго и со вкусом подобранную коллекцию порнухи (за исключением одной наиболее hardcore картинки, которую повесил ему на десктоп) и послал всем от его имени письмо покаянного содержания, благо SQL Server и Agent работали под доменной учетной записью. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 13.07.2002, 23:26:49 |
|
||
|
Домен или группа?
|
|||
|---|---|---|---|
|
#18+
4 Cat2 >Что-то я не пойму, откуда такое маниакальное стремление к безопасности у субъекта, который не может раскошелиться на выделенный сервер. То то и оно, что не может. Какой выделенный сервер? Тут вот пришло два новых сервера Compaq Proliant 350. Ну слабеький, ну да черт с ним. Нам больше и не надо. Но самое главное: ОНИ БЕЗ RAID КОНТРОЛЛЕРОВ!!!!!!! Просто остается ругаться матом. Ну, че делать в такой ситуации? Программное зеркалирование средствами Win2000 такой отстой, такие тормоза, блин ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.07.2002, 01:22:11 |
|
||
|
Домен или группа?
|
|||
|---|---|---|---|
|
#18+
Ну... Подбор пароля... Я тоже один раз в лотерею рубль выиграл. В моих доменах, например, системная политика - пароли не менее 10 символов. Лично утверждаю применение какого-то символосочетания в качестве пароля. И "vasiapupkin" в качестве пароля не допускается. Просто должен быть какой-то разумный компромис между обеспечением безопасности и сложностью системы. (Здесь и далее под безопасностью я понимаю только сохранение конфиденциальности информации, вопрос о целостности данных не трогаю). Можно поставить сервер в бронированый сейф, пустить сеть по экранированной канализации, клиентов поставить в подземные железобетонные бункера. А стоит ли лежащая на сервере информация всех этих затрат? Один черт, все взломы происходят или из-за невыполнения SA и DBA своих прямых обязанностей, или из-за предательства сотрудников. Совершенно бесполезны всякие там сегменты если есть свободный доступ в комнату к серверу. Конечно, если при приеме на работу нового сотрудника от него требуется сертификат о взломе сети "Банк оф Нью-Йорк", то полные меры безопасности в интранете не помешают. Но обычный юзер в свою-то сетку с трудом входит, не дай Бог зайдешь с его компа под своим именем и потом не восстановишь вход под его логином. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.07.2002, 04:17:17 |
|
||
|
Домен или группа?
|
|||
|---|---|---|---|
|
#18+
4 Cat Да кто спорит? Просто есть еще один немаловажный фактор - ИНСТРУКЦИЯ + СЛУЖБА ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ, блин + ПРОВЕРКА В АВГУСТЕ. Надо готовиться. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.07.2002, 23:21:45 |
|
||
|
Домен или группа?
|
|||
|---|---|---|---|
|
#18+
Ну так под это дело и нужно сервак выколотить. Черт бы побрал всякие там ревизии. Хорошо хоть что в них, как правило, полные идиоты присутствуют. Обычно они находят непроставленную запятую, но не замечают отсутствия здания, сведения о котором стерты из базы. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 14.07.2002, 23:58:38 |
|
||
|
Домен или группа?
|
|||
|---|---|---|---|
|
#18+
А у кого-нибудь есть инструкции по обеспечению информационной безопасности? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.07.2002, 12:33:13 |
|
||
|
Домен или группа?
|
|||
|---|---|---|---|
|
#18+
2 Дед Маздай Тонкий такой вопрос: Как можно получить доступ к ресурсам удаленного сервера, зная пароль sa SQL Server? Я не прошу подробностей, мне важен принцип, чтобы залатать возможную дыру в системе безопасности. Или так сформулирую: что нужно сделать, чтобы закрыть "отверстьице" для злобных хакеров? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.07.2002, 15:52:45 |
|
||
|
Домен или группа?
|
|||
|---|---|---|---|
|
#18+
Есть инструкции для пользователя по работе в сети и с электронной почтой. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.07.2002, 20:00:13 |
|
||
|
Домен или группа?
|
|||
|---|---|---|---|
|
#18+
4 Cat2 Сорри, за Cat. Не поверите, но время, когда я это заметил, совпало со временем окончания инета. Исправляюсь сегодня. >Ну так под это дело и нужно сервак выколотить Да мы тут кое как RAID-контроллер "выколотили"............. 4 Ixtiander У меня на работе завались. Их столько, что сама ИБ их всех не помнит, а скорее уже забыла о половине их них. 4 Jimmy Журнал Хакер ver.04.02(40), стр. 66-67. Там есть статья, например, как спокойно прочитать содержимое любого файла на сервере, где установлен SQL Server пользуясь средствами самого SQL Server'a, не имя к нему (к файлу) доступа через сеть. Корявый способ, но работает вроде. А если >SQL Server и Agent работали под доменной учетной записью<, что что мешает выполнять комманды на сервере? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.07.2002, 20:08:08 |
|
||
|
Домен или группа?
|
|||
|---|---|---|---|
|
#18+
По умолчанию sa входит в фиксированную серверную роль sysadmin, члены которой могут выполнять xp_cmdshell не от имени SQLAgentCmdExec, а в контексте учетной записи, под которой работает сервис MSSQLServer. Чаще всего предусматривается сетевое взаимодействие SQL Server, т.е. это не LocalSystem, а нормальный доменный account, входящий вдобавок в группу локальных администраторов. Значит, я уже могу просматривать запущенные задачи и делать, что хочу с локальным диском. Чтобы отправить почту, быть локальным администратором мало, надо быть членом домена. Но доменный пароль мне знать не обязательно, т.к. SQL Server работает под учетной записью моего товарища, т.е. если из-под него послать мэйл, то в поле from будет, естественно, значиться, он, любимый. На самом деле, хорошенько прверив жесткий диск, с большой долей вероятности удается отыскать и доменный пароль товарища, который может остаться во всяком мусоре. Или даже не в мусоре, а в логах / репозитории, особенно если товарищ злоупотреблял галкой persist connection info. Ну, это вкратце то, что делается обычно первым делом, навскидку. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.07.2002, 20:49:55 |
|
||
|
|
start [/forum/topic.php?fid=46&msg=32036615&tid=1821775]: |
0ms |
get settings: |
8ms |
get forum list: |
16ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
68ms |
get topic data: |
11ms |
get forum data: |
3ms |
get page messages: |
61ms |
get tp. blocked users: |
1ms |
| others: | 234ms |
| total: | 408ms |
| 0 / 0 |
