Тотальное логирование в win2003
Есть сервер на Windows 2003 с MSSQL. БД содержит очень важную информацию, которую надо защитить от администратора данного сервера. Администратор естественно имеет полный физический доступ к компьютеру, ну и разумеется административные права.
Внимание вопрос, есть ли такие программы, которые осуществляют логирование всего, что происходит на компьютере, включая ВСЕ действия администратора. При этом, естественно, он не должен иметь возможности выключать программу и каким-либо образом править/удалять эти логи.
В идеале, чтобы он даже не знал, что на компьютере установлена такая программа.
Мне говорили, что есть такой продукт от MS, но никак не могу найти его названия и соответственно описания...
Заранее спасибо за помощь!
Программы-то есть, но вот ведь незадача: администратор по определению своему может настолько дофига, что смысл такой программы резко уменьшается. Это раз. Во-вторых, логи как правило просят довольно много места. В третьих, некоторые задачи проще решить оргмерами.
Кстати, какова задача: сделать так, чтобы админ информацию не видел, или сделать так, чтобы он её не мог украсть/удалить?
Как вариант, могу предложить такое решение: заменить пароли на все учётки к SQL-серверу, чтобы админ ни одного из них не знал. А вообще защититься от админа практически нереально.
http://rootkit.net/
http://www.rootkit.com/
- там найдешь нужный... возможно даже ведущий логи... хотя я может быть и не прав.
http://ru.wikipedia.org/wiki/Rootkit - эт для тех кто хочет узнать что это =)
ЗЫ хотя я согласен с Sanila_san, если одмин трует, то наврятле чтонибудь прокатит.
если идея бред - не ругайтесь, на обеденном перерыве на работе пишу, продумывать тонкости ни времени ни желания нет))):
на одном хосте хранить бд, зашифрованную своими ключами. на другом хосте - собственно свой сайт, им и тягать записи с первого хоста, и расшифровывать уже на втором. только вот сам сомневаюсь, что безопасно это...
osx, ты блин тоже на хацкера хочешь быть похож или на кого ещё? не забывай, что есть такая штука - УК РФ, ну или там ураины/белоруссии/мордовии/...
оптимальный вариант - поднимать свой сервант, я думаю...
З.Ы. а к виндам вообще применимо понятие руткита? или они в виде длл-ки делаются...?
З.З.Ы. я подумал, что сервант не свой, если своему админу не доверяешь - это уже бред - сам тогда уж лучше админь
Угу, уволить такого админа нах, потому что
Может оказаться и наоборот - руководителя, не доверяющего админу, надо лечить от паранойи. Электрошоком.
osx, ты блин тоже на хацкера хочешь быть похож или на кого ещё? не забывай, что есть такая штука - УК РФ, ну или там ураины/белоруссии/мордовии/...
З.Ы. а к виндам вообще применимо понятие руткита? или они в виде длл-ки делаются...?
Да почему сразу хацкер? У мну на лбу написано шоли? просто читал дето, что есть такие сволочи руткиты, мол поймать их нереально, работают чуть ли не на 0 уровне... ну прочая-прочая... На ][ сайтах я реально сижу, только выискиваю там баги и патчу софт, что самого не похакали... А про статью, я все знаю... Ко мне уже прибегали ребятко в погонах, пров отрубал мну за "сканирование удаленных портов", с тех баловацо я перестал =)))
Между тем, зачастую это неплохо лечится антивирусом. :) Где-то на sysadmins.ru обсуждались способы защиты от админа, правда и там общее резюме - абсолютной защиты нет.
Автору темы вторично вопрос: что именно надо защищать от админа?
А скорее всего, такой руководитель просто будет менять админов до тех пор, пока инфа реально не уйдёт куда надо с отягчающими последствиями.
Схема реальная и выполнимая, в принципе, можно прикрутить PGP (Command Promt module) и хранить в БД шифрованные данные. Но надо понимать следующее:
- Стойкость шифрования определяется стойкостью пароля, поскольку при наличии в том потребности задача "стырить оба PGP-ключа" админом решается легко и просто, после чего пароль вскрывается брутфорсом;
- Размер одной записи в БД вырастет многократно, до 500х в зависимости от исходных данных. Конечно, если речь идёт о хранении в каждом поле сравнительно больших текстов (>=4096 b), шифрование особог на размер БД не повлияет. А вот если хранятся небольшие фрагменты в большом количестве - мало не покажется.
Собственно, согласен с тем, что тут вопрос скорее организационный, чем технический. Если данные очень важны и секретны, а ты не можешь доверять полностью (или насколько вообще можно кому-то доверять, когда речь идет о тайнах :)) админу, то такой админ для тебя -- страшней любого стороннего хакера.
Мой совет -- поставить надежного админа (может, и перебазировать БД на другой сервер, если этот админ подозрительный, уже успел поработать с БД).
- Стойкость шифрования определяется стойкостью пароля, поскольку при наличии в том потребности задача "стырить оба PGP-ключа" админом решается легко и просто, после чего пароль вскрывается брутфорсом;
- Размер одной записи в БД вырастет многократно, до 500х в зависимости от исходных данных. Конечно, если речь идёт о хранении в каждом поле сравнительно больших текстов (>=4096 b), шифрование особог на размер БД не повлияет. А вот если хранятся небольшие фрагменты в большом количестве - мало не покажется.
Если информация так критична, что лучше застрелится, чем выдать ее даже админу - то с размером придется мириться, и пароль соответствующий придумается...
ЗЫ Это конечно не решение, но... наткнулсо тут на темку, там две ссылочки:
http://forum.sources.ru/index.php?showtopic=173611
Тут речь идет даже не об админе СУБД, а об осевом админе (руте), кстати.
P.S. Интересно, как такого типа проблемы решаются в структурах ГБ. Это можно было бы взять за образец.
P.S. Интересно, как такого типа проблемы решаются в структурах ГБ.
нормальным разграничением прав на сервере. если автору поста знакомы только понятия "админские права" и "не админские права" - можно ему посочуствовать.
если администратор БД, системный администратор и администратор безопасности - одно и то же лицо - значит вы сами себе злобный буратино :) Windows 2003 позволяет превосходным образом ограничить права тех, кому не надо лазить в базу, оставив им нужные для работы права.
есть конечно варианты с Live CD, воровством харда и т. п. на это - есть камеры наблюдения и регламент доступа в серверную комнату.
Не будьте божей коровой. (c) В ГБ всегда было, есть и будет понятие "неразглашение информации", и простых людей туда берут после серьёзного отсева и изучения.
Следовательно, проблема решается только административно?
ИМХО ключ к решению:
1. Надежный постоянный(> года работы, высокооплачиваемый) админ.
2. Соглашение с админом о неразглашении информации.
3. "Пометить" незаметно сами данные.
По поводу 3 более детально.
Допустим есть телефонный справочник, который не подлежит разглашению.
Ежемесячно вносить "метки" - например, опечатки в определенных записях в значениях колонки "имя" таблицы "клиент". Протокол "меток" хранить у себя на бумаге в сейфе. Так, например, после разглашения информации легко определить факт, источник и время разглашения, оценить ущерб.
Поставить в бронированной комнате выделенный сервер, не заносить его в домен и админить самостоятельно. Вот почти абсолютно надёжный вариант. Но лучше просто разграничить права доступа, логического и физического. Тотальное логгирование, вообще говоря, не поможет, а скорее всего, даже запутает дело.
1. Вы админ, очень знающий и опытный админ.
2. На вашем сервере есть чья-то БД, где хранятся данные X.
3. Есть заказчик, который заплатит за данные X огромную сумму.
Задача. Вам очень хочется получить эти деньги, и при этом, вам не хочется, чтобы подумали на вас, потому что еще у вас вся жизнь, как говорится, впереди:)
Вопрос! -- сможете вы решить это задачу, или нет?
И возьметесь ли за ее решение?
нет. это уголовное преступление.
Т.е. самое слабое звено в этой защите -- совесть админа.
Я бы на месте автора не стал на нее полагаться.
Тогда следующий вопрос -- есть ли у автора темы возможность столь же тщательно проверить и контролировать в дальнейшем своего админа, как в ГБ?
в принципе - да. скажем так - совесть админа с наибольшими правами :)
Тогда следующий вопрос -- есть ли у автора темы возможность столь же тщательно проверить и контролировать в дальнейшем своего админа, как в ГБ?
если у него есть служба безопасности на предприятии. если будут разработаны нормальные политики безопасности. если автор не будет экономить на технических средствах - как программных, так и аппаратных. тогда у него есть возможность если не полностью исключить вероятность похищения информации, то сделать кражу ОЧЕНЬ трудным предприятием. в идеале - для слива инфы нужен будет сговор нескольких админов и СИБ предприятия.
- если я как бы реально опытный админ... я бы взялся...
Anyway это уголовное преступление. Anyway их лучше не совершать.
Вот мы и вернулись к совести. :) Правда, купить нескольких админов и СИБ предприятия будет стоить гораздо дороже, возможно, настолько, что смысл покупки пропадёт.
Ну дык... Опытный админ я думаю должен найти способ остатся не при делах, и не спрашивайте меня: "Как?" - я же не опытный одмин, просто он должен, имхо.:cool:
Проблему отсутствия совести мы обсудили.
squirL заявил, что ему по силам решить поставленную мной (теоритечески :)) задачу.
Может, вкратце опишешь решение? Думаю, его всем будет интересно послушать, и полезно для тех, кто будет защищать свою информацию.
[COLOR="Navy"]<OFFTOP>[/COLOR]Недооценка важности честного имени поистине удивляет. Между тем, едва ли что-то зарабатывается с большим трудом, чем имя.[COLOR="Navy"]</OFFTOP>[/COLOR]