|
|
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
Планируется создать небольший тул, для работы в сети предприятия. Тулом должны будут пользоваться ограниченное число персон. При этом некоторые данные должны быть закрыты от системного администратора и от dba. Правильно ли я понял, тут даже AlwaysEncryprion не поможет, т.к. администратор сможет скопировать себе ключи с компьютеров пользователей? Есть ли способ реализовать желаемое? Cервер: SQL-2017 Pro для Windows ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.02.2022, 14:36 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
Паранойя с узким кругом ограниченных лиц. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.02.2022, 14:48 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
Alexander Us, делал в свое время "защищенный" сиквел для финансового отдела компании доступ у админов был ограничен, sysadmin выдавался по необходимости все манипуляции с сервером осуществлялись под присмотром заинтересованных лиц ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.02.2022, 14:58 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
Alexander Us, Видел "из-за плеча" систему управления доступами: в интранете сайт со своей авторизацией, в этом сайте по запросу можно получить пароль от sa. Через какое-то время пароль "протухает": система сама меняет пароль на новый. Наверное, если перед этим самому поменять пароль (и заблокировать возможность системе зайти под sa) шлются какие-нибудь алёрты директору, безопаснику и пожарным с милицией. Естественно, все попытки получить доступы через сайт где-то логируются. Ну то есть, доступы к СУБД делегируются другой системе, к которой у админов доступа нет. Как называется - не знаю, но, думаю, можно что-то такое нагуглить ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.02.2022, 15:18 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
komrad, Наверное Вы ставили сервер в отдельном домене или вне домена? В противном случае системный администратор (он же) администратр домена всегда может добавить себя к sysadmins на сервере. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.02.2022, 15:22 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
Alexander Us komrad, Наверное Вы ставили сервер в отдельном домене или вне домена? да, он был не в домене ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.02.2022, 15:33 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
Alexander Us komrad, Наверное Вы ставили сервер в отдельном домене или вне домена? В противном случае системный администратор (он же) администратр домена всегда может добавить себя к sysadmins на сервере. Если у него (системного администратора) нет логина в SQL-сервере, то он не попадет на него. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.02.2022, 15:37 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
Wlr-l Alexander Us komrad, Наверное Вы ставили сервер в отдельном домене или вне домена? В противном случае системный администратор (он же) администратр домена всегда может добавить себя к sysadmins на сервере. Если у него (системного администратора) нет логина в SQL-сервере, то он не попадет на него. есть два способа №1 https://www.mssqltips.com/sqlservertip/2682/recover-access-to-a-sql-server-instance/ №2 https://docs.microsoft.com/en-us/sql/database-engine/configure-windows/connect-to-sql-server-when-system-administrators-are-locked-out ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.02.2022, 15:48 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
komrad, Как показывает моя практика, сисадмины не очень интересуются содержимым SQL-servera, у них своих проблем хватает. Да и зачем все эти движения, если можно просто скопировать резервную копию? Что касается ДБА. Я бы не стал от него что-то прятать, так как, если появятся проблемы, то ТС никто не поможет. Самая большая тайна - зарплата руководителя. На его месте я вышел бы во двор и крикнул: "У меня зарплата 10...0. Все слышали?". После этого интерес к этой теме пропадет. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.02.2022, 16:04 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
Wlr-l, Кроме Вашей практики и рассуждений есть другие практики, рассуждения и причины принятия решений. Это данность. Иначе бы вопрос не поднимался. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.02.2022, 16:13 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
Я тоже для подобной задачи поднимал отдельностоящий сервер вне домена, доступ и права к которому имел только заказчик, все манипуляции на сервере проводились с компьютера заказчика в его присутствии. Но не стоит забывать, что так же важно обеспечить безопасность физического доступа к серверу, если он будет стоять в общей стойке, то получить доступ админам к информации будет значительно проще, чем при манипуляции с паролями. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.02.2022, 16:45 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
Alexander Us Wlr-l, Кроме Вашей практики и рассуждений есть другие практики, рассуждения и причины принятия решений. Это данность. Иначе бы вопрос не поднимался. Согласен. Объясните "принятию решений", что, когда что-то будет идти не так, у меня не хватит знаний справиться с этим что-то, а ДБА будет стоять в стороне. "Лампочки на сервере мигают? Мигают. Все, а к вашим секретам у меня (ДБА) нет допуска". За подробностями смотрите архитектуру безопасности MS SQL Server в документации. Можно ограничить и системных администраторов, и разделить ДБА между несколькими лицами со своими правами. Плюс организационные мероприятия. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.02.2022, 16:54 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
Alexander Us, отдельный сервер, отдельная не виртуальная сетка, отдельные рабочие места с многофакторной авторизацией на всех уровнях... если что - стволы из потолка и "руки на желтые круги". потом останется обучить одну персону из "ограниченного числа" обслуживать всё это хозяйство... хотя стоп... это тогда одмин и дба получается, а у него права надо забирать... запускать "секретную тулу" на компе, на котором одмин имеет доступ к адресному пространству и отладке любых процессов и надеяться на какую-то секретность мягко говоря глупо ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 15.02.2022, 19:08 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
Господа, осознайте тривиальную истину: "Сисадмин есть лицо уполномоченное. Защита от сисадмина - суть позиция страуса." Надо, просто, нанять честного сисадмина и платить ему зарплату. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.02.2022, 06:17 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
Alexander Us, Шифровать базу? + какие-нибудь ключи в виде usb ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.02.2022, 11:08 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
ДБА сократить как должность. Админа способного работать с групповыми политиками - уволить. Взять падавана на маленькую зарплату (это проверочный способ отсечь нормальных). Оптимально - племянника того самого человека, который это придумал. Сервер поставить в отдельную комнату. Комнату экранировать. Обязательно сделать гальваническую развязку по питанию. То есть комната должна запитываться от источника бесперебойного питания с полной конвертацией. Подлючения к локальной и вообще сети не должно быть. Вход через "стакан" - это такая вращающаяся дверь, пропускающая за раз только одного человека. При попадании внутрь - дверь блокирется и нужно пройти авторизацию. Сетчатка глаза и отпечатки пальцев подойдут. Если есть необходимость передавать данные переносить на внешних устройствах - дисках. Это не шутка - реальное устройство безопастности в крупной государственной организации. В какой не скажу. Да, чуть не забыл, в 80 годах, в конце эпохи КГБ еще было требование при покидании комнаты обеспечивать ДВА видимых разрыва питания. Сейчас проще, у компьютеров шнуры питания имеют разъемы как на стороне розетки, так и на стороне компьютера. Потому шнур питания вынять и забрать с собой. Тогда было сложнее, питание было жестко встроено в приборы. И ночью начальник безопастности ходил и перерезал провод. Потому вся техника утром скручивалась и моталась изолентой. Это не шутка. Реальная история с "почтового ящика" из сферы влияния КГБ. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.02.2022, 11:28 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
LogrusAS, хорошие меры + комната должна быть помещена в заземленную клетку Фарадея. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.02.2022, 11:49 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
" данные переносить на внешних устройствах - дисках " С помещением понятно. Интересно узнать, какие меры применялись при переноске диска из одной комнаты в другую? Автоматчики на БТРе? Чем примитивнее результаты работы, тем более изощрённее способы их засекречивания. " Сисадмин есть лицо уполномоченное... Надо нанять честного сисадмина и платить ему зарплату ". Но ему могут предложить гораздо больше. Он может не устоять. Т.е. перестанет быть честным. Поэтому берем еще одного человека, который будет следить за честностью сисадмина. Этот человек тоже может оказаться нечестным, поэтому ... ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.02.2022, 12:32 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
Wlr-l " Сисадмин есть лицо уполномоченное... Надо нанять честного сисадмина и платить ему зарплату ". Но ему могут предложить гораздо больше. Он может не устоять. Т.е. перестанет быть честным. Поэтому берем еще одного человека, который будет следить за честностью сисадмина. Этот человек тоже может оказаться нечестным, поэтому ... Опять же, тривиальная истина: "Всегда существует некое количество денег, делающее защиту данных ненадежной." Надо определиться с границей и платить сисадмину на 10% меньше. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.02.2022, 12:41 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
Alexander Us Планируется создать небольший тул, для работы в сети предприятия. Тулом должны будут пользоваться ограниченное число персон. При этом некоторые данные должны быть закрыты от системного администратора и от dba. Правильно ли я понял, тут даже AlwaysEncryprion не поможет, т.к. администратор сможет скопировать себе ключи с компьютеров пользователей? Есть ли способ реализовать желаемое? Cервер: SQL-2017 Pro для Windows Это какая-то новая доселе неизвестная версия ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.02.2022, 12:47 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
Ролг Хупин Alexander Us Планируется создать небольший тул, для работы в сети предприятия. Тулом должны будут пользоваться ограниченное число персон. При этом некоторые данные должны быть закрыты от системного администратора и от dba. Правильно ли я понял, тут даже AlwaysEncryprion не поможет, т.к. администратор сможет скопировать себе ключи с компьютеров пользователей? Есть ли способ реализовать желаемое? Cервер: SQL-2017 Pro для Windows Это какая-то новая доселе неизвестная версия ? https://docs.microsoft.com/ru-ru/troubleshoot/sql/general/use-sql-server-in-windows ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.02.2022, 13:32 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
aist-psk, надеюсь, Вы сможете отыскать по Вашей ссылке SQL2017 Pro. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.02.2022, 13:51 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
aleks222 Wlr-l " Сисадмин есть лицо уполномоченное... Надо нанять честного сисадмина и платить ему зарплату ". Но ему могут предложить гораздо больше. Он может не устоять. Т.е. перестанет быть честным. Поэтому берем еще одного человека, который будет следить за честностью сисадмина. Этот человек тоже может оказаться нечестным, поэтому ... Опять же, тривиальная истина: "Всегда существует некое количество денег, делающее защиту данных ненадежной." Надо определиться с границей и платить сисадмину на 10% меньше. Quis custodiet ipsos custodes? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.02.2022, 16:07 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
Тут надо искать не техническое решение (ибо это почти бессмысленно), а административное - Кто принимает решение что уровень безопастности достаточный. Какие требования у этого человека (может там требования амбарного замка, журнала посетителей, вахтера на входе и тп) И просто реализовать эти требования чтобы получить одобряющую подпись. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.02.2022, 17:12 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
SERG1257 Тут надо искать не техническое решение (ибо это почти бессмысленно), а административное - Кто принимает решение что уровень безопастности достаточный. Какие требования у этого человека (может там требования амбарного замка, журнала посетителей, вахтера на входе и тп) И просто реализовать эти требования чтобы получить одобряющую подпись. Вот тут наглядный пример требований: "шобы все работало без сисадмина и дба". Куда тебе "конкретней"? ЗЫ. Чтобы "требовать" - надо понимать. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.02.2022, 17:24 |
|
||
|
|
start [/forum/topic.php?fid=46&msg=40134298&tid=1683816]: |
0ms |
get settings: |
11ms |
get forum list: |
14ms |
check forum access: |
4ms |
check topic access: |
4ms |
track hit: |
37ms |
get topic data: |
13ms |
get forum data: |
3ms |
get page messages: |
66ms |
get tp. blocked users: |
2ms |
| others: | 262ms |
| total: | 416ms |
| 0 / 0 |
