|
|
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
Wlr-l " данные переносить на внешних устройствах - дисках " С помещением понятно. Интересно узнать, какие меры применялись при переноске диска из одной комнаты в другую? Автоматчики на БТРе? Чем примитивнее результаты работы, тем более изощрённее способы их засекречивания. Дверь - стакан. Круглосуточный караул. Смена диска (там были еще "карманы" с обычными жесткими дисками) производилась при смене караула, обоими начальниками караула. Тут видимо предполагалась невозможность подкупить сразу два караула. Караулы естественно вооруженные, но поскольку внутри периметра - то пистолеты. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.02.2022, 17:30 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
Владислав Колосов LogrusAS, хорошие меры + комната должна быть помещена в заземленную клетку Фарадея. Я же написал - комната экранирована. Включая клетку Фарадея. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.02.2022, 17:31 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
Ролг Хупин Alexander Us Cервер: SQL-2017 Pro для Windows Это какая-то новая доселе неизвестная версия ? Тсс. Это очень секретная версия. Создана специально под этот проект. Стоимость спецзаказа - не расглашается. NDA. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.02.2022, 17:35 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
LogrusAS, Да, у Вас крутуо. Клетка Фарадея с котом Шрёдингера, и механическим арифмометром. Но Вы перешли от темы в трёп. Если есть что предложить в рамках темы форума - предложите. А про стаканы, пистолеты, караулы - оставтье пожалуйста. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.02.2022, 18:22 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
aist-psk Ролг Хупин пропущено... Это какая-то новая доселе неизвестная версия ? https://docs.microsoft.com/ru-ru/troubleshoot/sql/general/use-sql-server-in-windows И где там написано об "Cервер: SQL-2017 Pro для Windows" ? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.02.2022, 18:30 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
Ролг Хупин, Т.е. Вы и некоторые коллеги полалаете, что "SQL-2017 Pro для Windows" предоставляет недостаточно данных, чтобы ответить на мой вопос? Если я укажу точную версию, то Вы или другие коллеги, видимо, опубликуете решение? Или есть как минимум одна версия/билд 2017-го, для которой решение существует? Если нет, не прикапывайтесь пожалуйста к мелочам. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.02.2022, 18:59 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
Если у кого-то есть доступ и к зашифрованным данным и ключу (в любом его виде) шифрования, то у него есть доступ к данным ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.02.2022, 19:35 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
" Планируется создать небольший тул, для работы в сети предприятия ". В сети любого предприятия работает достаточно много программ, как больших, так и не очень. " Тулом должны будут пользоваться ограниченное число персон ". Как это не странно, но практически каждую программу использует ограниченное число персон. Разумеется, что здесь речь не идет о текстовом редакторе. Точнее говоря, доступ к данным разграничен даже в пределах одной группы, хотя они пользуются одной и той же программой и находятся в одной комнате. " При этом некоторые данные должны быть закрыты от системного администратора и от dba ". Если в "сети предприятия", то без системного администратора не обойтись. Если в "сети предприятия" используется SQL Server (даже, если это экспресс), то без ДБА уровня предприятия не обойтись. Если в "сети предприятия", то без группы поддержки пользователей не обойтись. Только не говорите, что у вас исчерпывающая документация на эту программу, интуитивно понятный интерфейс и продвинутые пользователи. Всегда найдется человек, который поймет все наоборот. Сообщение в эту группу о том, что "ваша программа не работает", может означать, что не включается монитор. Кстати, о пользователях. Виртуозно владея своим смартфоном, они могут с трудом понимать работу программы. На ваш вопрос уже ответили . aleks222: "Сисадмин есть лицо уполномоченное". Я добавлю, что ДБА тоже есть лицо уполномоченное. Т.е. они имеют обязанности и права, как и "ограниченные персоны". Вы ждете готового решения , а я предложил вам познакомиться с архитектурой безопасности MS SQL Server . 22434561 Это не задача, на сколько цветочков больше собрала Маша, чем Даша. Списать не получится. Начните с малого. Если появилась запись в какой-либо таблице или в ней не стало какой-либо записи, можно ли узнать кто и когда это сделал? Может ли простой пользователь удалить все данные из таблицы или всю таблицу вместе с её данными? Поиск по этому форуму говорит, что простые пользователи вполне делают это, используя штатные возможности своих штатных программ. В большинстве многоуровневых систем из прокладок обращаются к базе данных с правами администратора. У вас, конечно, не так. Я пониманием отношусь к вашим практикам, рассуждениям и причинам. Но повторю еще раз. Набор штатных ролей безопасности на уровне сервера и базы данных достаточен для решения практических задач безопасности. У НАС системные администраторы (если они не выполняет обязанности ДБА) не имеют логинов с администраторскими правами на SQL Servere. Функции ДБА распределены между несколькими сотрудниками. После решения вопросов безопасности обычно думают о логировании всех действий всех пользователей. Далее организационные мероприятия. Их уже красочно описали. Приведу еще один. В отделе стоит глушилка. На вопрос о её эффективности начальник сказал, что не знает, но уже стал лысым. Поэтому без фанатизма. Да еще, сотрудники, работающие с вашей программой, общаются с вами со своих компьютеров через gmail? Не нужно отвечать вслух. Наконец, если все еще сомневаетесь в безопасности ваших данных, воспользуйтесь шифрованием данных. Начните с программных способов, если будет недостаточно, то существуют аппаратные. Безопасность данных слишком обширная область деятельности, непосильная для одного человека . Удачи! ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 16.02.2022, 23:07 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
Alexander Us Правильно ли я понял, тут даже AlwaysEncryprion не поможет, т.к. администратор сможет скопировать себе ключи с компьютеров пользователей? ключи не обязательно должны храниться на локальных машинах, чем вас HSM не устраивает? если мы говорим про dba то за пределами инстанса sql server его полномочия как бы -все. если мы говорим про системного администратора сети: удаленное или аппаратное хранилище ключей как бы исключает его доступ к ним даже если он имеет доступ на локальную машину пользователя ps:тема уехала в демагогию. add: а если пишите вообще самописное ПО, то что вам мешает организовать шифрование/расшифрование данных на клиентском ПО? в таком случае вы сами выбираете способ хранения ключей, хоть на отчуждаемом носителе который на шее носит пользователь храните ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.02.2022, 00:02 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
felix_ff, из за небольшого приложения в небольшой конторе нет смысла проибоетать HSM. Я надеялся, может есть стандартные решения. Видимо, остаётся только шифрование на клиентском ПО. Считаю вопрос закрытым. --------------------------------------------------- @Всем откликнувшимcя: большое спасибо! --------------------------------------------------- ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.02.2022, 10:48 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
felix_ff шифрование/расшифрование данных на клиентском ПО? в таком случае вы сами выбираете способ хранения ключей, хоть на отчуждаемом носителе который на шее носит пользователь храните Если бы все было так просто. Ключ надо ввести в ПО. И фсе - ты в лапах сисадмина. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.02.2022, 10:52 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
aleks222 felix_ff шифрование/расшифрование данных на клиентском ПО? в таком случае вы сами выбираете способ хранения ключей, хоть на отчуждаемом носителе который на шее носит пользователь храните Если бы все было так просто. Ключ надо ввести в ПО. И фсе - ты в лапах сисадмина. храни ключи на e-token/смарткартах :dunno:, доступ к ключу по запросу пароля от пользователя через криптопровайдер. если сисадмин начинает играть в кулхацкера и пытается рыться в памяти приложения, то это уже вопрос к безопасникам, куда они там смотрят и зачем им платят. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.02.2022, 12:40 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
felix_ff aleks222 пропущено... Если бы все было так просто. Ключ надо ввести в ПО. И фсе - ты в лапах сисадмина. храни ключи на e-token/смарткартах :dunno:, доступ к ключу по запросу пароля от пользователя через криптопровайдер. если сисадмин начинает играть в кулхацкера и пытается рыться в памяти приложения, то это уже вопрос к безопасникам, куда они там смотрят и зачем им платят. А остальные проблемы - это, типа "вопрос НЕ к безопасникам"? Короче, неубедительно. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.02.2022, 12:57 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
Ключ шифрования может быть аппаратным, в этом случае он недоступен админу. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.02.2022, 13:03 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
Вот и сдулся праздничный шарик! Предприятие к небольшой конторе. Сервер к компьютеру собственной сборки. Сеть к двум проводам категории 4. Пароли к одному известному всем паролю. Сисадмин и ДБА к приходящему студенту. Защита данных к шифрованию . Это не демагогия. Это обычная жизнь маленькой конторы. Жаль, что мы не узнаем конец сказки о найденном волшебном решении. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.02.2022, 13:57 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
Владислав Колосов Ключ шифрования может быть аппаратным, в этом случае он недоступен админу. Зато ему доступен готовый результат расшифровки этим ключом. Чудес не бывает, для входа в дом ключ и замок должны собраться в одно время в одном месте. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.02.2022, 14:40 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
Dimitry Sibiryakov, каким образом доступны? Расшифрованные данные находится в оперативной памяти, без хакерских инструментов админ не сможет получить к ним доступ. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.02.2022, 15:53 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
Владислав Колосов Dimitry Sibiryakov, каким образом доступны? Расшифрованные данные находится в оперативной памяти, без хакерских инструментов админ не сможет получить к ним доступ. Т.е. пользователи "защищенных данных" - знатные хакеры? Или они как-то иначе получают к ним "доступ"? ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.02.2022, 16:37 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
aleks222 Владислав Колосов Dimitry Sibiryakov, каким образом доступны? Расшифрованные данные находится в оперативной памяти, без хакерских инструментов админ не сможет получить к ним доступ. Т.е. пользователи "защищенных данных" - знатные хакеры? Или они как-то иначе получают к ним "доступ"? возможно я чего то не понимаю, объясните тогда. вот вам пример: (даже сейчас не будем рассматривать вариант AlwaysEncrypted, возьмем просто пример что клиент шифрует/расшифровывает данные) в базе есть таблика Код: sql 1. 2. 3. 4. у клиента ключи хранятся на сматр-карте к примеру. пользовательское ПО некая программа которая обращается к данным вида Код: c# 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. 20. 21. 22. при запуске приложения, идет запрос к CSP для получения ключа с паролем к примеру, ключ кешируется в оперативной памяти клиентского ПО. методы decrypt_data_and_show, encrypt_data шифруют/дешифруют бинарный массив данных. вопрос КАК некий системный администратор имеющий сетевой доступ к клиентской машине должен получить ключ (при условии что безопасники подошли к своим обязоннастям не халатно и настроили антивирусное ПО, запрещающее/фиксирующее чтение блоков памяти выделенное под клиентское приложение. тоже самое касательно всяких снифферов, программ удаленного доступа и прочее. пользователь сидит за машиной, открыл клиентское ПО, ввел пароль для токена что бы получить ключ, ключ загружен в ПО. админ в это время должен как то получить доступ к ключу, не зная пароля от токена, не подключаясь к сессии рабочего стола пользователя. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 17.02.2022, 17:59 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
felix_ff при условии что безопасники подошли к своим обязоннастям не халатно и настроили антивирусное ПО Он админ. Всё, что настроили безопасники, он может отнастроить взад. Но достаточно просто выкатить новую версию ПО, которая ему это всё принесёт на блюдечке с золотой каёмочкой. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 18.02.2022, 14:31 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
Dimitry Sibiryakov, если это единственный админ на всем предприятии, который имеет доступ ко всем машинам, серверам, сетям, контроллерам домена и так далее. На реальном производстве, которое должно иметь сколь-нибудь значимые данные, так не бывает. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 19.02.2022, 01:30 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
Владислав Колосов, Вы видимо привыкли работать в крупных предприятиях, но есть и маленькие, где админ имеет доступ ко всему. В большинстве случаев достаточно просто защиты от "излишне любопытного" админа. А при обсуждении защиты данных, наверное, надо вводить классификацию, подобную классификации защиты эл. приборов. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 19.02.2022, 10:39 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
Alexander Us, на маленьких предприятиях, во-первых, прятать нечего, а, во-вторых, админы достаточной квалификации не работают ввиду низких зарплат. Так что риск невелик. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 19.02.2022, 12:23 |
|
||
|
спрятать от системного администратора
|
|||
|---|---|---|---|
|
#18+
Владислав Колосов Alexander Us, на маленьких предприятиях, во-первых, прятать нечего, а, во-вторых, админы достаточной квалификации не работают ввиду низких зарплат. Так что риск невелик. Низкая квалификация, как раз, характерна для больших предприятий. Там человек знает пару кнопок и нажимает их всю жизнь. Он, канешно, великий знаток этих двух кнопок, но не более. Другие кнопки нажимают другие люди. На маленьком предприятии - админ вынужден знать все кнопки. ... |
|||
|
:
Нравится:
Не нравится:
|
|||
| 19.02.2022, 14:35 |
|
||
|
|
start [/forum/moderation_log.php?user_name=Dima1102]: |
0ms |
get settings: |
9ms |
get forum list: |
12ms |
get settings: |
10ms |
get forum list: |
14ms |
get settings: |
10ms |
get forum list: |
13ms |
check forum access: |
3ms |
check topic access: |
3ms |
track hit: |
31ms |
get topic data: |
11ms |
get forum data: |
3ms |
get page messages: |
53ms |
get tp. blocked users: |
1ms |
| others: | 20231ms |
| total: | 20404ms |
| 0 / 0 |
