Comments 23
Есть же политики того же Active Directory, в которых можно указать сложность пароля. Например длинна не менее 9 символов, в пароль должны входить латинские буквы разного регистра и цифры. Так же если поставить галочку в учетной записи Active Directory «сменить пароль после первого входа», то большинства проблем можно избежать. Ну и нормальный корп. софт может поддерживать вход через Windows авторизацию, либо применение аналогичных политик к своим учетным записям. Так что все не так безнадежно)
Вы видимо работаете не в крупной компании или не очень внимательно читали. Речь идёт как-раз про старые «наработки» в которых нет никакой авторизации, особенно сквозной.
А доменная политика со сложным 10-ти значным паролем не обходится такими комбинациями: «любовь2012» или «Й1234578»?
В добавок не забывайте про пароли, которые по умолчанию присваивают пользователям тех. поддержка, а пользователь их забывает сменить (не во всём ПО есть галочка «сменить при входе». Да и не все пользователи вообще входят туда куда у них есть доступ даже один раз. Т.е. висит учетная запись с транспортным паролем ;)
А доменная политика со сложным 10-ти значным паролем не обходится такими комбинациями: «любовь2012» или «Й1234578»?
В добавок не забывайте про пароли, которые по умолчанию присваивают пользователям тех. поддержка, а пользователь их забывает сменить (не во всём ПО есть галочка «сменить при входе». Да и не все пользователи вообще входят туда куда у них есть доступ даже один раз. Т.е. висит учетная запись с транспортным паролем ;)
Ошибаетесь. Работаю в крупной компании. И у нас есть старые наработки, даже программы на Clipper и другие DOS варианты. Такие программы как правило используют какое либо файловое хранилище (dbf например). Такого рода софт можно размещать на сетевых дисках, доступ к которым давать только тем, кому надо. А вот русские буквы в паролях недопустимы.
Есть всякие Tivoli/Forefront Identity Manager как раз для корпораций с таким зоопарком.
А некоторые еще под root в linux работают! Не делайте так никогда а я буду :)
Squid прекрасно прикручивается к домену, кстати, как и asterisk и все популярные и известные почтовые системы.
dbf/exe на сетевых шарах с ограниченным доступом тоже вполне нормально, если контрольная сумма от exe известна и прописана в политиках на разрешение запуска.
Под root/администратором я никого вообще не пускаю — есть sudo, администраторам вход по rdp запрещён групповой перекрыващей политикой, кому нужно — у того права на то, что ему надо.
Единственный минус на прошлой работе был когда разъезжающим по клиентам ребятам нужны были права администратора для установки п/о и железа в целях демонстрации и когда региональный админ вывел машину из домена с какой-то дури.
dbf/exe на сетевых шарах с ограниченным доступом тоже вполне нормально, если контрольная сумма от exe известна и прописана в политиках на разрешение запуска.
Под root/администратором я никого вообще не пускаю — есть sudo, администраторам вход по rdp запрещён групповой перекрыващей политикой, кому нужно — у того права на то, что ему надо.
Единственный минус на прошлой работе был когда разъезжающим по клиентам ребятам нужны были права администратора для установки п/о и железа в целях демонстрации и когда региональный админ вывел машину из домена с какой-то дури.
Да, Squid очень давно позволяет работать с доменом. Тут ключевое слово — «позволяет». По факту не всегда используется.
Какая раздача прав позволит работать в шаре с БД и при этом не даст утащить БД целиком?
По поводу администраторов и iT персонала везде особые правила. В статье я поднимаю речь про тысячи других простых смертных и что с этим делать.
Какая раздача прав позволит работать в шаре с БД и при этом не даст утащить БД целиком?
По поводу администраторов и iT персонала везде особые правила. В статье я поднимаю речь про тысячи других простых смертных и что с этим делать.
Наверное к тому, что те базы, которые лежат так открыто, не несут в себе той информационной нагрузки, которая стоит того, чтобы её продать. А на те, с которыми работают — те и логируются и защищаются…
Я рад Вашей Вере — это внушает мне надежду, что без работы я ближайшие десятилетия не останусь :)
Т.к. «логируются» в логах работы с БД типа dbf будет значится «файл считан, файл записан, дата» при любой работе с БД. Как пара тысяч таких строк поможет найти того, кто унёс базу?
«Защищаются» — без комментариев :)
Т.к. «логируются» в логах работы с БД типа dbf будет значится «файл считан, файл записан, дата» при любой работе с БД. Как пара тысяч таких строк поможет найти того, кто унёс базу?
«Защищаются» — без комментариев :)
У нас на прошлой работе в dbf хранилась настолько скучная информация, что она не стоила даже времени, потраченного на её копирования.
И нормальная и важная информация в таком виде хранится только у идиотов.
А всякие ораклы в биллинге — там логируется гораздо больше, но и дампы их сделать не реально, разве что сидеть и переписывать данные скриншотами из клиентских гуев по куче скринов на одного клиента, но нафиг никому не надо, да и некогда, видя загрузку девочек, которые в центрах обслуживания клиентов. Да и зная по себе, что имея доступ к туевой куче сайтов, когда еще работал на хостинге, у меня не было времени даже своим сайтом заняться толком.
И нормальная и важная информация в таком виде хранится только у идиотов.
А всякие ораклы в биллинге — там логируется гораздо больше, но и дампы их сделать не реально, разве что сидеть и переписывать данные скриншотами из клиентских гуев по куче скринов на одного клиента, но нафиг никому не надо, да и некогда, видя загрузку девочек, которые в центрах обслуживания клиентов. Да и зная по себе, что имея доступ к туевой куче сайтов, когда еще работал на хостинге, у меня не было времени даже своим сайтом заняться толком.
Так в последнем предложении я ораклы и имел в виду, наверное, Вы меня не так поняли
Да, Я не так понял. Джентльмен выше писал просто «Такие программы как правило используют какое либо файловое хранилище (dbf например)», я подумал Вы в туже сторону.
Серьезные БД имеют серьезную защиту — спору нет.
Но насчёт копирования БД путем не запросов, а скриншотами — отличная мысль. Особенно если это будет делать скрипт, заг8оняющий потом всё это в FineReader
Серьезные БД имеют серьезную защиту — спору нет.
Но насчёт копирования БД путем не запросов, а скриншотами — отличная мысль. Особенно если это будет делать скрипт, заг8оняющий потом всё это в FineReader
А Вы не в курсе разве? это ж старый боян — про скриншоты то.
Но просто зная, допустим, как у нас в биллинге построен гуй с абоненсткой карточкой — с этими сто пицот менюшек через которые надо выбрать конкретную информацию — реально грустно, на одного абонента надо, кхм, наверное не один день потратить.
А количество операций запросов тоже можно отследить, да.
Но у нас у девочек было запущего где-то по десятку свободных гуев, чтобы можно было по 10 абонентам работать и не ждать пока эта хрень запустится
Но просто зная, допустим, как у нас в биллинге построен гуй с абоненсткой карточкой — с этими сто пицот менюшек через которые надо выбрать конкретную информацию — реально грустно, на одного абонента надо, кхм, наверное не один день потратить.
А количество операций запросов тоже можно отследить, да.
Но у нас у девочек было запущего где-то по десятку свободных гуев, чтобы можно было по 10 абонентам работать и не ждать пока эта хрень запустится
Есть решение Xceedium, которое представляет собой шлюз доступа как раз для таких случаев. Основной принцип основан на том, что сначала надо авторизоваться на самом Xceedium, а потом уже он сам предоставит пользователю ходить туда, куда ему разрешено, но только через Xceedium, а заодно и записывает за ним все действия.
Описание Xceedium
Я думаю, это решение будет лучше, чем проверка паролей на сложность :) Есть еще какие-то решения, но я знаю только это. В любом случае, за пост спасибо, но мое личное мнение — простой проверки недостаточно, тут нужен еще и аудит пользователей.
Описание Xceedium
Я думаю, это решение будет лучше, чем проверка паролей на сложность :) Есть еще какие-то решения, но я знаю только это. В любом случае, за пост спасибо, но мое личное мнение — простой проверки недостаточно, тут нужен еще и аудит пользователей.
Ну вот. Нормальная такая статья останется в пучинах истории. В то время как всякая ахинея забивает топ. Печалько: о)
Sign up to leave a comment.
Доступ к информации. Внутренний аудит