Справочник функций

Ваш аккаунт

Войти через: 
Забыли пароль?
Регистрация
Информацию о новых материалах можно получать и без регистрации:

Почтовая рассылка

Подписчиков: -1
Последний выпуск: 19.06.2015

Тотальное логирование в win2003

318
24 июля 2007 года
nof
193 / / 03.04.2006
Ребят, в общем такая ситуация.
Есть сервер на Windows 2003 с MSSQL. БД содержит очень важную информацию, которую надо защитить от администратора данного сервера. Администратор естественно имеет полный физический доступ к компьютеру, ну и разумеется административные права.

Внимание вопрос, есть ли такие программы, которые осуществляют логирование всего, что происходит на компьютере, включая ВСЕ действия администратора. При этом, естественно, он не должен иметь возможности выключать программу и каким-либо образом править/удалять эти логи.
В идеале, чтобы он даже не знал, что на компьютере установлена такая программа.
Мне говорили, что есть такой продукт от MS, но никак не могу найти его названия и соответственно описания...

Заранее спасибо за помощь!
241
24 июля 2007 года
Sanila_san
1.6K / / 07.06.2005
Цитата: nof
При этом, естественно, он не должен иметь возможности выключать программу и каким-либо образом править/удалять эти логи.

Программы-то есть, но вот ведь незадача: администратор по определению своему может настолько дофига, что смысл такой программы резко уменьшается. Это раз. Во-вторых, логи как правило просят довольно много места. В третьих, некоторые задачи проще решить оргмерами.

Кстати, какова задача: сделать так, чтобы админ информацию не видел, или сделать так, чтобы он её не мог украсть/удалить?

Как вариант, могу предложить такое решение: заменить пароли на все учётки к SQL-серверу, чтобы админ ни одного из них не знал. А вообще защититься от админа практически нереально.

15K
24 июля 2007 года
osx
78 / / 20.07.2007
Я бы на твоем месте попробывал залить ему руткит... Тут даже одмин бессилен будет...
http://rootkit.net/
http://www.rootkit.com/
- там найдешь нужный... возможно даже ведущий логи... хотя я может быть и не прав.
http://ru.wikipedia.org/wiki/Rootkit - эт для тех кто хочет узнать что это =)
ЗЫ хотя я согласен с Sanila_san, если одмин трует, то наврятле чтонибудь прокатит.
245
24 июля 2007 года
~ArchimeD~
1.4K / / 24.07.2006
админа по любому завалить невозможно, разве что по-своему шифровать данные (если хочешь, чтобы админ не прочитал инфу)
если идея бред - не ругайтесь, на обеденном перерыве на работе пишу, продумывать тонкости ни времени ни желания нет))):
на одном хосте хранить бд, зашифрованную своими ключами. на другом хосте - собственно свой сайт, им и тягать записи с первого хоста, и расшифровывать уже на втором. только вот сам сомневаюсь, что безопасно это...

osx, ты блин тоже на хацкера хочешь быть похож или на кого ещё? не забывай, что есть такая штука - УК РФ, ну или там ураины/белоруссии/мордовии/...

оптимальный вариант - поднимать свой сервант, я думаю...

З.Ы. а к виндам вообще применимо понятие руткита? или они в виде длл-ки делаются...?
З.З.Ы. я подумал, что сервант не свой, если своему админу не доверяешь - это уже бред - сам тогда уж лучше админь
10
24 июля 2007 года
Freeman
3.2K / / 06.03.2004
Цитата: Sanila_san
В третьих, некоторые задачи проще решить оргмерами.


Угу, уволить такого админа нах, потому что

Цитата: Sanila_san
защититься от админа практически нереально.



Может оказаться и наоборот - руководителя, не доверяющего админу, надо лечить от паранойи. Электрошоком.

15K
24 июля 2007 года
osx
78 / / 20.07.2007
Цитата: ~ArchimeD~

osx, ты блин тоже на хацкера хочешь быть похож или на кого ещё? не забывай, что есть такая штука - УК РФ, ну или там ураины/белоруссии/мордовии/...

З.Ы. а к виндам вообще применимо понятие руткита? или они в виде длл-ки делаются...?



Да почему сразу хацкер? У мну на лбу написано шоли? просто читал дето, что есть такие сволочи руткиты, мол поймать их нереально, работают чуть ли не на 0 уровне... ну прочая-прочая... На ][ сайтах я реально сижу, только выискиваю там баги и патчу софт, что самого не похакали... А про статью, я все знаю... Ко мне уже прибегали ребятко в погонах, пров отрубал мну за "сканирование удаленных портов", с тех баловацо я перестал =)))

241
24 июля 2007 года
Sanila_san
1.6K / / 07.06.2005
Цитата: osx
Я бы на твоем месте попробывал залить ему руткит... Тут даже одмин бессилен будет...

Между тем, зачастую это неплохо лечится антивирусом. :) Где-то на sysadmins.ru обсуждались способы защиты от админа, правда и там общее резюме - абсолютной защиты нет.

Автору темы вторично вопрос: что именно надо защищать от админа?

241
24 июля 2007 года
Sanila_san
1.6K / / 07.06.2005
Цитата: Freeman
…руководителя, не доверяющего админу, надо лечить от паранойи. Электрошоком.

А скорее всего, такой руководитель просто будет менять админов до тех пор, пока инфа реально не уйдёт куда надо с отягчающими последствиями.

241
24 июля 2007 года
Sanila_san
1.6K / / 07.06.2005
Цитата: ~ArchimeD~
на одном хосте хранить бд, зашифрованную своими ключами. на другом хосте - собственно свой сайт, им и тягать записи с первого хоста, и расшифровывать уже на втором. только вот сам сомневаюсь, что безопасно это...

Схема реальная и выполнимая, в принципе, можно прикрутить PGP (Command Promt module) и хранить в БД шифрованные данные. Но надо понимать следующее:

  • Стойкость шифрования определяется стойкостью пароля, поскольку при наличии в том потребности задача "стырить оба PGP-ключа" админом решается легко и просто, после чего пароль вскрывается брутфорсом;
  • Размер одной записи в БД вырастет многократно, до 500х в зависимости от исходных данных. Конечно, если речь идёт о хранении в каждом поле сравнительно больших текстов (>=4096 b), шифрование особог на размер БД не повлияет. А вот если хранятся небольшие фрагменты в большом количестве - мало не покажется.
63
24 июля 2007 года
Zorkus
2.6K / / 04.11.2006
2 osx -- решение с руткитом, с технической точки зрение, может и сработает (против не слишком крутого админа), но это незаконно, и собственно, читай правила раздела :), реклама руткитов тут запрещена. В следующий раз пост удалю.

Собственно, согласен с тем, что тут вопрос скорее организационный, чем технический. Если данные очень важны и секретны, а ты не можешь доверять полностью (или насколько вообще можно кому-то доверять, когда речь идет о тайнах :)) админу, то такой админ для тебя -- страшней любого стороннего хакера.
Мой совет -- поставить надежного админа (может, и перебазировать БД на другой сервер, если этот админ подозрительный, уже успел поработать с БД).
245
24 июля 2007 года
~ArchimeD~
1.4K / / 24.07.2006
Цитата: Sanila_san
Схема реальная и выполнимая, в принципе, можно прикрутить PGP (Command Promt module) и хранить в БД шифрованные данные. Но надо понимать следующее:
  • Стойкость шифрования определяется стойкостью пароля, поскольку при наличии в том потребности задача "стырить оба PGP-ключа" админом решается легко и просто, после чего пароль вскрывается брутфорсом;
  • Размер одной записи в БД вырастет многократно, до 500х в зависимости от исходных данных. Конечно, если речь идёт о хранении в каждом поле сравнительно больших текстов (>=4096 b), шифрование особог на размер БД не повлияет. А вот если хранятся небольшие фрагменты в большом количестве - мало не покажется.




Если информация так критична, что лучше застрелится, чем выдать ее даже админу - то с размером придется мириться, и пароль соответствующий придумается...

15K
25 июля 2007 года
osx
78 / / 20.07.2007
Я вообще ума не приложу - зачем храть инфо в БД, админу которой ты не доверяешь? оО
ЗЫ Это конечно не решение, но... наткнулсо тут на темку, там две ссылочки:
http://forum.sources.ru/index.php?showtopic=173611
63
25 июля 2007 года
Zorkus
2.6K / / 04.11.2006
Цитата: osx
Я вообще ума не приложу - зачем храть инфо в БД, админу которой ты не доверяешь? оО


Тут речь идет даже не об админе СУБД, а об осевом админе (руте), кстати.
P.S. Интересно, как такого типа проблемы решаются в структурах ГБ. Это можно было бы взять за образец.

2
25 июля 2007 года
squirL
5.6K / / 13.08.2003
Цитата: Zorkus

P.S. Интересно, как такого типа проблемы решаются в структурах ГБ.


нормальным разграничением прав на сервере. если автору поста знакомы только понятия "админские права" и "не админские права" - можно ему посочуствовать.

если администратор БД, системный администратор и администратор безопасности - одно и то же лицо - значит вы сами себе злобный буратино :) Windows 2003 позволяет превосходным образом ограничить права тех, кому не надо лазить в базу, оставив им нужные для работы права.

есть конечно варианты с Live CD, воровством харда и т. п. на это - есть камеры наблюдения и регламент доступа в серверную комнату.

10
25 июля 2007 года
Freeman
3.2K / / 06.03.2004
Цитата: Zorkus
P.S. Интересно, как такого типа проблемы решаются в структурах ГБ.


Не будьте божей коровой. (c) В ГБ всегда было, есть и будет понятие "неразглашение информации", и простых людей туда берут после серьёзного отсева и изучения.

63
25 июля 2007 года
Zorkus
2.6K / / 04.11.2006
Цитата: Freeman
Не будьте божей коровой. (c) В ГБ всегда было, есть и будет понятие "неразглашение информации", и простых людей туда берут после серьёзного отсева и изучения.


Следовательно, проблема решается только административно?

10
25 июля 2007 года
Freeman
3.2K / / 06.03.2004
С администраторами - административно.
3.3K
26 июля 2007 года
GENA_DJ
123 / / 08.03.2005
Тема с логами - бред.

ИМХО ключ к решению:
1. Надежный постоянный(> года работы, высокооплачиваемый) админ.
2. Соглашение с админом о неразглашении информации.
3. "Пометить" незаметно сами данные.

По поводу 3 более детально.

Допустим есть телефонный справочник, который не подлежит разглашению.

Ежемесячно вносить "метки" - например, опечатки в определенных записях в значениях колонки "имя" таблицы "клиент". Протокол "меток" хранить у себя на бумаге в сейфе. Так, например, после разглашения информации легко определить факт, источник и время разглашения, оценить ущерб.
245
26 июля 2007 года
~ArchimeD~
1.4K / / 24.07.2006
если речь идет о том, чтобы инфа ни в коем случае не попала в массы, ловить админа - не решение. и не факт, что узнаешь о разглашении - инфу админ может слить какой-нибудь фирме. в таком случае проверить очепятки удастся только подкупив админа той фирмы;)
241
26 июля 2007 года
Sanila_san
1.6K / / 07.06.2005
Цитата: ~ArchimeD~
если речь идет о том, чтобы инфа ни в коем случае не попала в массы, ловить админа - не решение. и не факт, что узнаешь о разглашении - инфу админ может слить какой-нибудь фирме. в таком случае проверить очепятки удастся только подкупив админа той фирмы;)

Поставить в бронированной комнате выделенный сервер, не заносить его в домен и админить самостоятельно. Вот почти абсолютно надёжный вариант. Но лучше просто разграничить права доступа, логического и физического. Тотальное логгирование, вообще говоря, не поможет, а скорее всего, даже запутает дело.

63
26 июля 2007 года
Zorkus
2.6K / / 04.11.2006
Вот представьте --
1. Вы админ, очень знающий и опытный админ.
2. На вашем сервере есть чья-то БД, где хранятся данные X.
3. Есть заказчик, который заплатит за данные X огромную сумму.

Задача. Вам очень хочется получить эти деньги, и при этом, вам не хочется, чтобы подумали на вас, потому что еще у вас вся жизнь, как говорится, впереди:)
Вопрос! -- сможете вы решить это задачу, или нет?
И возьметесь ли за ее решение?
2
27 июля 2007 года
squirL
5.6K / / 13.08.2003
Цитата: Zorkus

Вопрос! -- сможете вы решить это задачу, или нет?


даже я - не самый опытый админ - решу эту задачу.

Цитата: Zorkus

И возьметесь ли за ее решение?


нет. это уголовное преступление.

63
27 июля 2007 года
Zorkus
2.6K / / 04.11.2006
Цитата: squirL
даже я - не самый опытый админ - решу эту задачу.
нет. это уголовное преступление.


Т.е. самое слабое звено в этой защите -- совесть админа.
Я бы на месте автора не стал на нее полагаться.
Тогда следующий вопрос -- есть ли у автора темы возможность столь же тщательно проверить и контролировать в дальнейшем своего админа, как в ГБ?

2
27 июля 2007 года
squirL
5.6K / / 13.08.2003
Цитата: Zorkus
Т.е. самое слабое звено в этой защите -- совесть админа.


в принципе - да. скажем так - совесть админа с наибольшими правами :)

Цитата: Zorkus

Тогда следующий вопрос -- есть ли у автора темы возможность столь же тщательно проверить и контролировать в дальнейшем своего админа, как в ГБ?


если у него есть служба безопасности на предприятии. если будут разработаны нормальные политики безопасности. если автор не будет экономить на технических средствах - как программных, так и аппаратных. тогда у него есть возможность если не полностью исключить вероятность похищения информации, то сделать кражу ОЧЕНЬ трудным предприятием. в идеале - для слива инфы нужен будет сговор нескольких админов и СИБ предприятия.

15K
27 июля 2007 года
osx
78 / / 20.07.2007
Цитата:
нет. это уголовное преступление.

- если я как бы реально опытный админ... я бы взялся...

241
28 июля 2007 года
Sanila_san
1.6K / / 07.06.2005
Цитата: osx
- если я как бы реально опытный админ... я бы взялся...

Anyway это уголовное преступление. Anyway их лучше не совершать.

241
28 июля 2007 года
Sanila_san
1.6K / / 07.06.2005
Цитата: squirL
в идеале - для слива инфы нужен будет сговор нескольких админов и СИБ предприятия.

Вот мы и вернулись к совести. :) Правда, купить нескольких админов и СИБ предприятия будет стоить гораздо дороже, возможно, настолько, что смысл покупки пропадёт.

15K
29 июля 2007 года
osx
78 / / 20.07.2007
Цитата: Sanila_san
Anyway это уголовное преступление. Anyway их лучше не совершать.


Ну дык... Опытный админ я думаю должен найти способ остатся не при делах, и не спрашивайте меня: "Как?" - я же не опытный одмин, просто он должен, имхо.:cool:

2
29 июля 2007 года
squirL
5.6K / / 13.08.2003
речь не о том, как украсть и остаться не при делах. речь о том, что воровать плохо. если вас этому не научили в детстве - увы и ах. меняйте лучше профессию.
63
29 июля 2007 года
Zorkus
2.6K / / 04.11.2006
Хм, вернемся к нашем баранам.
Проблему отсутствия совести мы обсудили.
squirL заявил, что ему по силам решить поставленную мной (теоритечески :)) задачу.
Может, вкратце опишешь решение? Думаю, его всем будет интересно послушать, и полезно для тех, кто будет защищать свою информацию.
2
29 июля 2007 года
squirL
5.6K / / 13.08.2003
я не вижу - в чем проблема, при наличии ФИЗИЧЕСКОГО доступа к серверу. да и неограниченных полномочий должно хватить с головой.
241
02 августа 2007 года
Sanila_san
1.6K / / 07.06.2005
Цитата: osx
- если я как бы реально опытный админ... я бы взялся...

[COLOR="Navy"]<OFFTOP>[/COLOR]Недооценка важности честного имени поистине удивляет. Между тем, едва ли что-то зарабатывается с большим трудом, чем имя.[COLOR="Navy"]</OFFTOP>[/COLOR]

Знаете кого-то, кто может ответить? Поделитесь с ним ссылкой.

Ваш ответ

Реклама на сайте | Обмен ссылками | Ссылки | Экспорт (RSS) | Контакты
Добавить статью | Добавить исходник | Добавить хостинг-провайдера | Добавить сайт в каталог