23 октября, вторник 12:30
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Контроль действий администратора?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Контроль действий администратора?

    Доброго времени суток!!!

    У меня такой вопрос.

    Для создания автоматизированной системы, с различными правами доступа подготовлена модель нарушителя, в каторой, в частности, указаны потенциальные нарушители, в том числе и ставится задача контроля действий администратора.

    А тепарь вопрос: как сделать так чтобы можно контролировать действия администратора?

    Заранее благодарен.

  • #2
    Сообщение от PAvel_G Посмотреть сообщение
    А тепарь вопрос: как сделать так чтобы можно контролировать действия администратора?
    Если в двух словах, то никак - эта задача в общем случае не решается, и стандартов и методик для нее нет.

    В отдельных платформах есть возможность разделения функций (по видам активности или на ввод/валидация), но это частные технические решения.

    Комментарий


    • #3
      Сообщение от PAvel_G Посмотреть сообщение
      А тепарь вопрос: как сделать так чтобы можно контролировать действия администратора?
      Введением роли аудитора.
      Все действия администратора протоколируются в логах, доступа к которым он не имеет, а имеет аудитор...

      Комментарий


      • #4
        Спасибо, что откликнулисть!

        А какие-нибудь конкретные технические решения по по ограничению доступа администратора к информации аудита есть?

        Комментарий


        • #5
          Сообщение от PAvel_G Посмотреть сообщение
          Спасибо, что откликнулисть!

          А какие-нибудь конкретные технические решения по по ограничению доступа администратора к информации аудита есть?
          Администраторов чего?

          В AD вы разносите объекты по разным поддеревьям и даете админам ограниченные права в пределах соответствующих поддеревьев. Но при этом, во первых, остается суперадмин в лице администратора домена, а во-вторых регулярно возникают ситуации, когда нужно быстро решить техническую проблему, а назначенных прав не хватает. Так что на практике такое разделение работает плохо.

          В приложениях возможности ограничить права администратора (или дать обычным пользователям ограниченные права на администрирование) обычно нет, и сделать с этим вы ничего не можете. Наложенными средствами задача не решается.

          Если вы сформулируете, в каких именно приложениях вы хотите такое сделать, может быть удасться дать вам больше практической информации. В общем случае решения нет.

          Комментарий


          • #6
            Определите, что вы подразумеваете под термином "контролировать".
            Например, для реализации реактивных мер - все логи действий администратора пишутся на write-once disk или печатаются на принтер в защищённом помещении. Далее периодически эти логи просматривает аудитор или кто-то там ещё.
            В случае суперпользователей, если в системе не встроенных средств разделения секрета или ещё чего-либо - то возможно решать организационными мерами, которые зачастую могут быть очень громоздкими.

            Комментарий


            • #7
              Сообщение от malotavr Посмотреть сообщение
              Если в двух словах, то никак - эта задача в общем случае не решается, и стандартов и методик для нее нет.

              В отдельных платформах есть возможность разделения функций (по видам активности или на ввод/валидация), но это частные технические решения.
              Ага. В моделях "под" ЦБС так и пишут, что админ является доверенным лицом и должен быть выведен из списка нарушителей.
              Имхо весь типовой софт (прикладной и системный) написан так, что админ вне подозрений, но он может все.
              Пока в голову приходила только примитивнейшая модель с регистрацией трафика. И то при условии, что есть разделение полномочий между сетевыми и системными админами.

              Комментарий


              • #8
                Сообщение от ykov Посмотреть сообщение
                Ага. В моделях "под" ЦБС так и пишут, что админ является доверенным лицом и должен быть выведен из списка нарушителей.
                Имхо весь типовой софт (прикладной и системный) написан так, что админ вне подозрений, но он может все.
                Пока в голову приходила только примитивнейшая модель с регистрацией трафика. И то при условии, что есть разделение полномочий между сетевыми и системными админами.
                Если нам нужна реакция в реальном режиме времени - да, тут админ рулит, смысла ограничивать его полномочия нет. А вот если реакция реактивная, и администратор в курсе процедуры "разбора полётов" - то вариант с новой ролью аудитора вполне самодостаточен. То есть у нас есть реальная возможность задокументировать нарушение и на этой базе предпринять соответствующие действия.

                Комментарий


                • #9
                  Сообщение от SNAK Посмотреть сообщение
                  Если нам нужна реакция в реальном режиме времени - да, тут админ рулит, смысла ограничивать его полномочия нет. А вот если реакция реактивная, и администратор в курсе процедуры "разбора полётов" - то вариант с новой ролью аудитора вполне самодостаточен. То есть у нас есть реальная возможность задокументировать нарушение и на этой базе предпринять соответствующие действия.
                  А я ни как понять не мог "Откуда базы в продаже берутся".

                  Комментарий


                  • #10
                    Сообщение от Идущий Посмотреть сообщение
                    А я ни как понять не мог "Откуда базы в продаже берутся".
                    Это непонимание как-то связано с моим предыдущим постом? :-)

                    Комментарий


                    • #11
                      Я за свою жизнь видел только одно ПО, которое позволяет ограничить права админов - СА eTrust Access Control.
                      Продукт даже позиционируется разработчиком как направленный на ограничение админов.
                      Правда имеются в виду только администраторы ОС без учета прикладухи (1й недостаток). Ну и естественно появляется учетная запись админа Access Control'а, доступ к полномочиям которого должен ограничиваться только организационными мерами(2й недостаток). Правда это сделать легче, так как доступ к этому уровню бывает нужен не так часто.
                      Есть еще 3й-недостаток. Агент, ограничивающий доступ админа на сервере, в некоторых конфигурациях может стоить дороже чем сам сервер

                      Комментарий


                      • #12
                        Сообщение от SNAK Посмотреть сообщение
                        Если нам нужна реакция в реальном режиме времени - да, тут админ рулит, смысла ограничивать его полномочия нет. А вот если реакция реактивная, и администратор в курсе процедуры "разбора полётов" - то вариант с новой ролью аудитора вполне самодостаточен. То есть у нас есть реальная возможность задокументировать нарушение и на этой базе предпринять соответствующие действия.
                        Мне удалось только один раз "наладить регистрацию", и то не до конца. Ключом к решению оказалась вскользь брошенная фраза о том, что в случае любого инцидента с данными админ будет первым и часто единственным подозреваемым. И тут ребят "проняло"

                        Комментарий


                        • #13
                          ykov
                          угу, протоколирование работы админа
                          а по факту разбирательства - орг.меры плюс УК, КОАП, внутренние НПА про дисциплинарную ответственность "рулят"...
                          бухгалтер тож деньги руками перебирает, вот только домой их нести не торопится, так как в его должностной есть ключевой раздел "ответственность"... со всеми вытекающими последствиями.
                          Да пребудет с тобой Сила!

                          Комментарий


                          • #14
                            Насчет слежки за админом... Как мне это близко и понятно, но...

                            Первое. Все равно у вас будет кто-то, какой-то суперадминистратор, так?
                            Почему вы не доверяете администратору из ИТ, но доверяете администратору из ИБ? Потому что он свой?
                            Так объедините две службы в таком случае.

                            Второе. Если даже администратор что-то сотрет в логах системы, то это немедленно будет записано в журнал безопасности и эту запись стереть не удастся. И если админу сказать. что за ним будут смотреть, и что стирать логи нельзя, то он (если не идиот) делать это не будет.

                            И третье. А зачем Вам следить за админом? Как он настраивает ДНС? Вам это нужно? Если вы ему не доверяете, то зачем держать такого админа? Следить-то надо за конфиденциальной информацией (кстати, о краденных базах), а не за тем как админ кнопки жмет.

                            И в качестве ремарки. А кто за вами следить будет? Вдруг вы - шпиён?

                            Комментарий


                            • #15
                              Сообщение от Berrimor Посмотреть сообщение
                              Насчет слежки за админом... Как мне это близко и понятно, но...

                              Первое. Все равно у вас будет кто-то, какой-то суперадминистратор, так?
                              Почему вы не доверяете администратору из ИТ, но доверяете администратору из ИБ? Потому что он свой?
                              Так объедините две службы в таком случае.
                              Вопрос ставился не о "слежке" а о "контроле действий"
                              Суперадминистратор не нужен. Достаточно администратора и "аудитора". В каком подразделении работает "аудитор", в ИТ илии ИБ - разницы нет.
                              Сообщение от Berrimor Посмотреть сообщение
                              Второе. Если даже администратор что-то сотрет в логах системы, то это немедленно будет записано в журнал безопасности и эту запись стереть не удастся. И если админу сказать. что за ним будут смотреть, и что стирать логи нельзя, то он (если не идиот) делать это не будет.
                              Зависит от системы.
                              В той же винде журнал безопасности "на ура" чистится.
                              Сообщение от Berrimor Посмотреть сообщение
                              И третье. А зачем Вам следить за админом? Как он настраивает ДНС? Вам это нужно? Если вы ему не доверяете, то зачем держать такого админа? Следить-то надо за конфиденциальной информацией (кстати, о краденных базах), а не за тем как админ кнопки жмет.
                              :
                              Следить, конечно, не нужно.
                              А вот иметь объективный материал для "разбора полётов" (кстати о краденных базах) необходимо.
                              Сообщение от Berrimor Посмотреть сообщение
                              И в качестве ремарки. А кто за вами следить будет? Вдруг вы - шпиён?

                              Для этого и вводятся разные роли, чтобы пробравшийся "шпиён" не смог нанести вред системе и замести следы...

                              Комментарий


                              • #16
                                Сообщение от SNAK Посмотреть сообщение
                                Вопрос ставился не о "слежке" а о "контроле действий"
                                Вы видите разницу? Я - нет.

                                Сообщение от SNAK Посмотреть сообщение
                                Суперадминистратор не нужен.
                                Ну тогда напишите свою собственную ОС. Под этим термином тут называли администратора домена (в виндах).

                                Сообщение от SNAK Посмотреть сообщение
                                Зависит от системы.
                                В той же винде журнал безопасности "на ура" чистится.
                                Прежде чем возражать вы хоть попробуйте!
                                При затирании журнала безопасности тут же появляется об этом запись!

                                Комментарий


                                • #17
                                  Сообщение от SNAK Посмотреть сообщение
                                  Это непонимание как-то связано с моим предыдущим постом? :-)
                                  Мне кажется, что если это "...да, тут админ рулит, смысла ограничивать его полномочия нет..." писали вы, то да. Но могу ошибаться, а по сему заранее приношу извинения.

                                  Комментарий


                                  • #18
                                    Маленькое дополнение. Исходить из того, что все вокруг враги можно, но не нужно (это диагноз). Подходить к вопросу контроля следует вовсе не с точки зрения "ща найду и дам по прянику". Более перспективен подход с точки зрения "оказание помощи" - все мы можем ошибаться: "давай поищем ошибки у меня, у тебя и т.д.".
                                    Если же все админы враги - как до сих пор хоть что-то работает?

                                    Комментарий


                                    • #19
                                      Сообщение от Идущий Посмотреть сообщение
                                      Мне кажется, что если это "...да, тут админ рулит, смысла ограничивать его полномочия нет..." писали вы, то да. Но могу ошибаться, а по сему заранее приношу извинения.
                                      Всё точно, это моё сообщение.
                                      Действительно, мы не можем ограничивать администратора в выполнении им прямых должностных обязанностей. И если нам "нужна реакция в реальном режиме времени" то единственный выход - поставить у него за спиной специального человека с соответствующими полномочиями. А в каком случае Вам кажется это необходимым?

                                      Комментарий


                                      • #20
                                        Сообщение от Berrimor Посмотреть сообщение
                                        Прежде чем возражать вы хоть попробуйте!
                                        При затирании журнала безопасности тут же появляется об этом запись!
                                        Berrimor, я сюда пишу не потому что графоман :-)
                                        Если действительно не знаете как затереть журнал безопасности - скину в личку...

                                        Комментарий


                                        • #21
                                          Сообщение от SNAK Посмотреть сообщение
                                          Всё точно, это моё сообщение.
                                          Действительно, мы не можем ограничивать администратора в выполнении им прямых должностных обязанностей. И если нам "нужна реакция в реальном режиме времени" то единственный выход - поставить у него за спиной специального человека с соответствующими полномочиями. А в каком случае Вам кажется это необходимым?
                                          Слова все такие одинаковые.
                                          Зачем за ним следить? А за спиной админа второй админ? Один админ честный, а второй не очень?

                                          А как же принцип "проверенные решения"?

                                          И какого админа Вы имеете ввиду? Какие виды работ подразумеваете? Установку и настройку базы данных или создание рабочей станции? Или Ваш админ ежеминутно обязан производить перенастройку сервера электронной почты, файлового сервера, сервера баз данных, охраны перимерта? Это когда требуется реакция админа в реальном режиме времени? Если по управлению базами - то гнать такого админа надо, потому как не предусмотрел "загибание базы" от повышенной нагрузки. Если по охране периметра - то ни один админ со скоростью машины не работает. При НСД - то должны срабатывать другие механизмы. Админ при чем?

                                          Комментарий


                                          • #22
                                            Сообщение от Идущий Посмотреть сообщение
                                            Слова все такие одинаковые.
                                            Зачем за ним следить? А за спиной админа второй админ? Один админ честный, а второй не очень?

                                            А как же принцип "проверенные решения"?

                                            И какого админа Вы имеете ввиду? Какие виды работ подразумеваете? Установку и настройку базы данных или создание рабочей станции? Или Ваш админ ежеминутно обязан производить перенастройку сервера электронной почты, файлового сервера, сервера баз данных, охраны перимерта? Это когда требуется реакция админа в реальном режиме времени? Если по управлению базами - то гнать такого админа надо, потому как не предусмотрел "загибание базы" от повышенной нагрузки. Если по охране периметра - то ни один админ со скоростью машины не работает. При НСД - то должны срабатывать другие механизмы. Админ при чем?
                                            1. У каждого типа администраторов (сети, баз данных, АБС, почтовой стстемы и т.п.) есть должностные обязанности, для выполнения которых он наделен соответствующими правами.
                                            2. И в рамках этих прав его ограничить невозможно - иначе он не сможет делать то, что должен.
                                            3. Протоколирование его действий, вместе с невозможностью изменения или удаления протокола - ограничивающий фактор для возможных неправомерных действий.

                                            А про режим реального времени - пример из жизни: пару лет назад у соседа ЭЛТ монитор задымился, когда он на обеденном перерыве был, так я живенько, в режиме реального времени из него сетевой кабель выдернул :-)

                                            Комментарий


                                            • #23
                                              Сообщение от Berrimor Посмотреть сообщение
                                              ...
                                              Прежде чем возражать вы хоть попробуйте!
                                              При затирании журнала безопасности тут же появляется об этом запись!
                                              Где-то видел программку, которая даже индивидуальные записи в журнале трёт...

                                              А по теме, один из возможных путей по контролю за админами - видеонаблюдение. Причём возможно внедрение захвата видеосигнала с монитора рабочего места.

                                              Комментарий


                                              • #24
                                                Сообщение от SNAK Посмотреть сообщение
                                                1. У каждого типа администраторов (сети, баз данных, АБС, почтовой стстемы и т.п.) есть должностные обязанности, для выполнения которых он наделен соответствующими правами.
                                                2. И в рамках этих прав его ограничить невозможно - иначе он не сможет делать то, что должен.
                                                3. Протоколирование его действий, вместе с невозможностью изменения или удаления протокола - ограничивающий фактор для возможных неправомерных действий.
                                                Ну и пусть выполняют эти должностные обязанности. Или в должностных записано, что обязаны логи убивать?
                                                А в чьих должностных записан контроль логов?
                                                А протокол действий и логфайл это одно и тоже?
                                                А админ и админ ИБ это один и тот же человек?
                                                Сообщение от SNAK Посмотреть сообщение
                                                А про режим реального времени - пример из жизни: пару лет назад у соседа ЭЛТ монитор задымился, когда он на обеденном перерыве был, так я живенько, в режиме реального времени из него сетевой кабель выдернул :-)
                                                Не знал, что для предотвращения пожара требуется быть админом.

                                                Комментарий


                                                • #25
                                                  Сообщение от Идущий Посмотреть сообщение
                                                  Ну и пусть выполняют эти должностные обязанности.

                                                  Сообщение от Идущий Посмотреть сообщение
                                                  Или в должностных записано, что обязаны логи убивать?
                                                  Не записано, скорее всего, поэтому лог должен быть недоступен тому, чьи действия логгируются...
                                                  Сообщение от Идущий Посмотреть сообщение
                                                  А в чьих должностных записан контроль логов?
                                                  У членов рабочей группы по разбору инцидентов
                                                  Сообщение от Идущий Посмотреть сообщение
                                                  А протокол действий и логфайл это одно и тоже?
                                                  логфайл один из элементов протоколирования
                                                  Сообщение от Идущий Посмотреть сообщение
                                                  А админ и админ ИБ это один и тот же человек?
                                                  зависит от распределения обязанностей, принятого в конкретной организации и штатного расписания.
                                                  Сообщение от Идущий Посмотреть сообщение
                                                  Не знал, что для предотвращения пожара требуется быть админом.
                                                  А то! Девочка из оперзала стала бы звонить "01" :-)

                                                  Комментарий


                                                  • #26
                                                    Сообщение от Hitch Посмотреть сообщение
                                                    А по теме, один из возможных путей по контролю за админами - видеонаблюдение. Причём возможно внедрение захвата видеосигнала с монитора рабочего места.
                                                    Да, достойное решение.
                                                    У вас 3(три админа). Все три чего-то делают 8 часов. Ваша обязанность "в режиме реального времени" осуществлять контроль их работы. Для этого Вам необходимо знать все их задания и уметь их решать - иначе как сможете контролировать?. У вас на экране мониторы, клавиатуры и мыши этих админов (технически это возможно). Вы сможете проконтролировать таким способом качество решений и отловить все их ошибки(описки, промахи "мыши" и т.д.)?

                                                    Комментарий


                                                    • #27
                                                      Сообщение от Berrimor Посмотреть сообщение
                                                      Прежде чем возражать вы хоть попробуйте! При затирании журнала безопасности тут же появляется об этом запись!
                                                      К сожалению, журнал безопасности - это всего лишь файл с известным бинарным форматом. Если вы правите этот файл самостоятельно (не с помощью стандартных утилит, а напрямую), такая запись не появится.

                                                      Механизмы безопасности большинства ОС просто не предназначены для борьбы с администратором.

                                                      Комментарий


                                                      • #28
                                                        Сообщение от Идущий Посмотреть сообщение
                                                        Исходить из того, что все вокруг враги можно, но не нужно (это диагноз).
                                                        ...
                                                        Если же все админы враги - как до сих пор хоть что-то работает?
                                                        К сожалению, есть еще принцип "денег много не бывает". Админ прежде всего человек, и у него есть свои слабости и соблазны. На которых может играть реальный нарушитель.

                                                        Комментарий


                                                        • #29
                                                          Сообщение от Hitch Посмотреть сообщение
                                                          А по теме, один из возможных путей по контролю за админами - видеонаблюдение. Причём возможно внедрение захвата видеосигнала с монитора рабочего места.
                                                          Знаете, какая основная проблема у разведки? Нет, не президента США завербовать. Основная проблема: "И что нам делать со всей этой информацией?"

                                                          Мало записать данные - для них еще должны быть методы анализа, причем гарантирующие получение ответа в заданное время.

                                                          Комментарий


                                                          • #30
                                                            Сообщение от SNAK Посмотреть сообщение
                                                            У членов рабочей группы по разбору инцидентов
                                                            Что в переводе означает: нет инцидента - лог читать не кому. Это и есть та самая причина.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X