Крымский форум (Crimea-Board) Поиск Участники Помощь Текстовая версия Crimea-Board.Net
Здравствуйте Гость .:: Вход :: Регистрация ::. .:: Выслать повторно письмо для активации  
 
> Рекламный блок.
 
 
 
 
 
> Ваша реклама, здесь
 
 
 

  Start new topic Start Poll 

> Вопрос к специалистам по безопасности, Защита данных на сервере
FreeLSD | Профиль
Дата 6 Апреля, 2005, 10:24
Quote Post




Group Icon

Группа: VIP
Сообщений: 5797
Регистрация: 29.08.03
Авторитет: 11
Вне форума

Предупреждения:
(0%) -----


Дано: есть сервер, на котором желательно хранить конфиденциальную информацию, работая с ней на локальных машинах. Доступ строго ограничен, при этом нужно ограничивать для конкретных пользователей. То есть иногда даже администратор домена не должен иметь возможности получить доступ к данным - только один человек, поэтому стандартные средства ОС отпадают.
Обычное шифрование подходит для архивирования, но не дает возможности прозрачно работать с данными, поэтому тоже не годится. Утилиты типа bcrypt работают только в рамках локальной машины.
Какими средствами можно решить поставленную задачу? Сервер Win2003.


____________________
- Один из верных путей в истинное будущее (ведь есть и ложное будущее) - это идти в том направлении, в котором растет твой страх.
PMEmail Poster
1/11207   
Бобер | Бездомный
Реклама двигатель прогресса       
Quote Post



А кому сча лехко?
Group Icon


















_________________
Желающим разместить рекламу смотреть сюдой
/   
person |
Дата 8 Апреля, 2005, 22:53
Quote Post



Unregistered









Но почему же стандартные средства не подходят?

1) находишь человека, который обладает наибольшими правами доступа к информации (он придумывает пароль локальному администратору и запирает комп в своем кабинете)
2) Выведи комп из домена
3) заведи несколько пользователей и раздай права для них: в том числе и на шары (не через "доступ", а через "безопасность")
4) Всех пользователей оставь в обычной группе "пользователи"
5) настрой аудит с оповещениями и включи логирование
6) настрой политику паролей (тип пароля - сложный, минимум 10-14 символов: смена через 7 дней - обязательна и т.п.)

Для большей защищенности можно сделать отдельную (физически) сетку. 1 свичик и несколько дополнительных сетевых карт

P.S. Сработает только в случае, если есть хотя бы один человек, который может иметь доступ вообще ко всей информации.



Возможно есть и другой способ через локальные политики сервера, но с этим надо дольше разбираться.
1/   
FreeLSD | Профиль
Дата 9 Апреля, 2005, 10:03
Quote Post




Group Icon

Группа: VIP
Сообщений: 5797
Регистрация: 29.08.03
Авторитет: 11
Вне форума

Предупреждения:
(0%) -----


На ЛОКАЛЬНОЙ машине таки да, нет проблем способов море. О чем и речь. Машина - сервер 2003. А в домене админ всегда может получить доступ куда угодно. Даже если используется EFS, админ может стать агентом восстановления.


____________________
- Один из верных путей в истинное будущее (ведь есть и ложное будущее) - это идти в том направлении, в котором растет твой страх.
PMEmail Poster
1/11207   
probegallo | Профиль
Дата 10 Апреля, 2005, 10:27
Quote Post




Group Icon

Группа: Абориген
Сообщений: 8067
Регистрация: 05.02.04
Авторитет: 21
Вне форума

Предупреждения:
(0%) -----


SecretsSaver расширяет стандартную систему безопасности Windows, реализуя мандатный (полномочный) контроль доступа. Информации, в том числе и находящейся на серверах, предоставляющих к ней доступ через специализированное программное обеспечение (1С, Share Point и т.п.), присваивается гриф (общедоступно, секретно, совершенно секретно), а пользователям присваивается уровень доступа, определяющий, информацию с каким максимальным уровнем секретности данный пользователь может редактировать, скопировать на внешний носитель или передать по сети.

СЗИ SecretsSaver интегрирована в Active Directory; она состоит из агентов, устанавливаемых на рабочие станции, и консоли управления, которая дает возможность удаленно устанавливать и удалять агентов, а также управлять уровнями доступа пользователей и просматривать протоколы их работы.

Грамотное применение СЗИ SecretsSaver поможет Вам предотвратить как случайную утечку коммерческой информации, вызванную халатностью персонала, так и защититься от умышленной кражи информации сотрудниками имеющими к ней доступ, усилив эффективность применяемых административных мер.

СЗИ SecretsSaver проста в использовании и имеет понятный интерфейс. Подробная документация с примерами позволит Вам освоить и начать применять SecretsSaver на своем предприятии в считанные минуты. С помощью СЗИ SecretsSaver опытные администраторы могут решать самые серьезные проблемы корпоративной безопасности. А в случае затруднений специалисты службы поддержки проконсультируют Вас по возникающим вопросам.

http://www.secretssaver.com/download/index.html


____________________
— Двойка, пойдем со мной. Приступим к геноциду.
Брат Кэвилл
PM
1/14964   
FreeLSD | Профиль
Дата 11 Апреля, 2005, 9:28
Quote Post




Group Icon

Группа: VIP
Сообщений: 5797
Регистрация: 29.08.03
Авторитет: 11
Вне форума

Предупреждения:
(0%) -----


Цитата
СЗИ SecretsSaver интегрирована в Active Directory
, то есть опять же управляется админом, которым
Цитата
пользователям присваивается уровень доступа
. То есть админ может при желании присвоить себе наивысший уровень, прочитать что нужно и вернуть права обратно. То, чего и хочется избежать.


____________________
- Один из верных путей в истинное будущее (ведь есть и ложное будущее) - это идти в том направлении, в котором растет твой страх.
PMEmail Poster
probegallo | Профиль
Дата 11 Апреля, 2005, 9:35
Quote Post




Group Icon

Группа: Абориген
Сообщений: 8067
Регистрация: 05.02.04
Авторитет: 21
Вне форума

Предупреждения:
(0%) -----


тут "админом" является не админ домена - а другой и один единственный челоек (вы лично к примеру - или вы себе не доверяете? :-) )
Админ домена не может ничего прочитать в данном случае - но на всякий случай там на сайте есть мыло - можете уточнить


____________________
— Двойка, пойдем со мной. Приступим к геноциду.
Брат Кэвилл
PM
isolp |
Дата 11 Апреля, 2005, 12:07
Quote Post



Unregistered









интегрирована в Active Directory - значит хранит свои данные в каталоге.
в версии 3.0 действительно администратор домена имея доступ к консоли управления может поменять свои привелегии, если ему доступ к консоли не давать, т.е. консоль например ставится только на рабочем месте офицера безопасности, поменять права доступа ему будет значительно сложнее.
проведя дополнительную настройку системы можно еще сильнее затруднить несанкционированные действия администратора.

и учтите еще один момент - устанавливая любую защиту, вы не сводите на нет все угрозы, вы можете только затруднить действия атакующего
FreeLSD | Профиль
Дата 11 Апреля, 2005, 12:43
Quote Post




Group Icon

Группа: VIP
Сообщений: 5797
Регистрация: 29.08.03
Авторитет: 11
Вне форума

Предупреждения:
(0%) -----


Цитата
или вы себе не доверяете?
Не я smile.gif Шифроваться собирается исполнительный директор. Специальной службы безопасности нет, поэтому отдавать права раздачи доступа некому. Да и вообще, речь о том, чтобы мог войти ОДИН человек, а админ ли, офицер службы безопасности - это уже второй smile.gif Отдать контроль над консолью ему лично? Тогда придется неделю ждать, пока у него время найдется поменять что-то кому-то другому или просто пустить к консоли (ему же следить придется!) Да и вообще не царское это дело cool.gif
Я рассчитывал на утилитку типа тех, которые широко применяются локально - создают скрытый шифрованый том. Человек сам создает папку, сам задает пароль и все вопросы по безопасности задает исключительно себе.


____________________
- Один из верных путей в истинное будущее (ведь есть и ложное будущее) - это идти в том направлении, в котором растет твой страх.
PMEmail Poster
isolp |
Дата 11 Апреля, 2005, 12:52
Quote Post



Unregistered









pgpdisk такая утилита
только злобный админ завсегда трояна может заслать и пароль спереть
или ваш исполнительный таких слов не знает ?
а вообще, из моего личного опыта, таким энтузиастам надо вдалюливать, что чем безопаснее, тем не удобнее и дороже



1/   
FreeLSD | Профиль
Дата 11 Апреля, 2005, 14:47
Quote Post




Group Icon

Группа: VIP
Сообщений: 5797
Регистрация: 29.08.03
Авторитет: 11
Вне форума

Предупреждения:
(0%) -----


pgpdisk работает по сети?
Цитата
чем безопаснее, тем не удобнее и дороже
Это он понимает. И не собирается ВСЕ хранить таким образом. Но есть отдельные документы... И их довольно много...
Цитата
только злобный админ завсегда трояна может заслать и пароль спереть
Ну так смотреть за вещами надо, когда в комнату входишь cool.gif То есть в данном случае спасение утопающих - дело их собственных рук.
Добавлено в 14:50
Цитата
вы не сводите на нет все угрозы, вы можете только затруднить действия атакующего
Ну это общее место, никто не спорит.


____________________
- Один из верных путей в истинное будущее (ведь есть и ложное будущее) - это идти в том направлении, в котором растет твой страх.
PMEmail Poster
Person |
Дата 11 Апреля, 2005, 15:00
Quote Post



Unregistered









FreeLSD
Цитата
А в домене админ всегда может получить доступ куда угодно

можно убирать группу "Администраторы домема" из локальной группы "Администраторы"
и админ домена становится обычным пользователем на этом сервере.

Хотя в любом случае если сервер находится в домене есть уйма способов получить доступ к локальной информации этого сервера.

Наиболее рационально было бы все же вывести его из домена
1/   
FreeLSD | Профиль
Дата 11 Апреля, 2005, 16:18
Quote Post




Group Icon

Группа: VIP
Сообщений: 5797
Регистрация: 29.08.03
Авторитет: 11
Вне форума

Предупреждения:
(0%) -----


Цитата
Наиболее рационально было бы все же вывести его из домена

Это значит, нужен еще один сервер. Затраты не сооветствуют задаче в данном случае.


____________________
- Один из верных путей в истинное будущее (ведь есть и ложное будущее) - это идти в том направлении, в котором растет твой страх.
PMEmail Poster
person |
Дата 11 Апреля, 2005, 19:53
Quote Post



Unregistered









а что мешает не трогать 2003 сервер вообще
сделай рабочую станцию этого пользователя файловым сервером
и пусть он будет не в домене
VladB |
Дата 17 Апреля, 2005, 0:09
Quote Post



Unregistered









В вашем случае я бы рекомендовал программное обеспечение Secret Disk от Aladdin. Аппаратные ключи доступа к домену (двухфакторная аутентификация), далее - размещение шифрованного диска на сервере, а ключи шифрования - аппаратные в виде USB eToken у каждого пользователя. В случае такого решения - шифрование трафика автоматически, т.к. шифрование осуществляется сразу на компах пользователей, данные в закрытом виде помещаются на сервер. Шифрование на лету!

Topic Options Start new topic Start Poll 

 



[ Script Execution time: 0.0749 ]   [ 12 queries used ]   [ GZIP включён ]


Создание и продвижение сайтов в Крыму



Top