Вводная:
Такая фигня у меня наблюдается на работе: некая рожа прибила запись из базы данных => руководство решило принять строжайшие меры, что выразилось в их желании ввести пиночетовскую диктатуру на территории фирмы, включая кей-логгинг и прочую гадость. Кей-логгинг - вещь чудная, только юзеров у меня больше, чем компьютеров, так что висят они на машинах гроздьями, как тот виноград. Ежели раздать каждому по логину на вход в домен (в старых условиях -- по логину на машину), чтобы точно выяснить, кто занимается саботажем, то в конторе юзера будут только тем и заниматься, что перегружаться, что не совсем то, чего бы хотелось (должен же хоть кто-то работать, чтобы мне зарплата была ;))).
Размышления:
С предыдущего админа осталась фиговая политика безопасности, заключающаяся в том, что он даже домена не поставил, только рабочую группу. В перспективах при переходе на домен выставлю в установках три-четыре программы, с которыми юзера работают (прощайте, игрушки и анекдоты... здравствуйте, кнопки на стуле админа...), причём чего-то похожего на файл-менеджеры в этом списке точно не будет. =)))
Вопрос:
В каком-то Интернет-кафе видел программку, которая висела на 98-й Винде, лочила клавиатуру и загружалась исключительно в том разе, если вводился логин и пароль (не обязательно тот же, что и до этого). Не сталкивался ли кто из вас с подобным софтом и не подскажет ли, где он может расти? Весьма приветствуется наличие в таковом софте ведения протокола входа в систему с каждого из логинов. Также неплохо было бы нарыть чего-то вроде файрволла для локалки, который бы пропускал при обращении к серверу только SQL-запрос от рабочей программы и динамил всё остальное. Обычные файрволлы вроде ЗонАларм или ЭтГард такое позволяют?
Благодарности:
Буду всем откликнувшимся признателен за помощь.
ЗЫ
Ежели подобное уже было в форуме -- смело модерьте! И-нет у меня никакой, при попытке поиска компьютер отваливается прямиком в нирвану. =((((
Не подскажут ли добренькие сисадмины...13.02.02 16:35 Автор: mentat[bugtraq.ru] <Александр> Статус: Elderman
а перейти на домен и все машины под НТ4 сильно сложно? если не сильно - переходи, у меня поворчали, потом привыкли. тоже несколько юзеров на машину и ничего
Не подскажут ли добренькие сисадмины...15.02.02 15:36 Автор: Lurga Статус: Elderman
> а перейти на домен и все машины под НТ4 сильно сложно? если > не сильно - переходи, у меня поворчали, потом привыкли. > тоже несколько юзеров на машину и ничего
То-то и оно, что по большей части там стоят машины до 166-го пня с памятью мег по шестнадцать, какая там НТ. =((( Приходится изголяться чем есть, причём с минимальными денежными затратами. Я руководство практически раскрутил на сиди-райтер для бэкапа, дык они на следующий день меня спрашивают: -- А ты уверен в этом? Может, это программа глючит?..
Мораль: Чего только люди не придумают, чтобы не платить денег в целях своей же безопасности.
Не подскажут ли добренькие сисадмины...13.02.02 09:07 Автор: DimSys <Dmitriy J. Sourinoff> Статус: Member
> Также неплохо было бы нарыть чего-то вроде файрволла для > локалки, который бы пропускал при обращении к серверу > только SQL-запрос от рабочей программы и динамил всё > остальное. Обычные файрволлы вроде ЗонАларм или ЭтГард > такое позволяют?
По файрволам - посмотреть какие порты юзает SQL (режим "Обучения в AtGuard и Outpost) ну и соответствующие из этого выводы..
Не подскажут ли добренькие сисадмины...15.02.02 15:40 Автор: Lurga Статус: Elderman
> > Также неплохо было бы нарыть чего-то вроде файрволла > для > > локалки, который бы пропускал при обращении к серверу > > только SQL-запрос от рабочей программы и динамил всё > > остальное. Обычные файрволлы вроде ЗонАларм или ЭтГард > > такое позволяют? > > По файрволам - посмотреть какие порты юзает SQL (режим > "Обучения в AtGuard и Outpost) ну и соответствующие из > этого выводы..
На счет SQL - 1433 (порт по умолчанию), Named Pipes и Multiprotocol порт для ТСР можно сменить, и остальные протоколы убрать.
На счет софта для клиентов ILock посмотри, может подойдёт, время он считает, клаву и крысу лочит, логи пишет.
А как если не секрет базу убили, дропнули через SQL Server Adm. ?
Не подскажут ли добренькие сисадмины...15.02.02 15:28 Автор: Lurga Статус: Elderman
> А как если не секрет базу убили, дропнули через SQL Server > Adm. ? А хрен его знаеть, как... Из рабочей программы никак не прибьёшь -- нету так таких возможностей... Чем-то на манер SQL Explorer или Enterprise Manager, подозреваю. Следов подобной дряни на винтах не обнаружено, но ведь и снести потом несложно...
Не подскажут ли добренькие сисадмины...15.02.02 16:04 Автор: babay <Andrey Babkin> Статус: Elderman
> > А как если не секрет базу убили, дропнули через SQL > Server > > Adm. ? > А хрен его знаеть, как... Из рабочей программы никак не > прибьёшь -- нету так таких возможностей... Чем-то на манер > SQL Explorer или Enterprise Manager, подозреваю. Следов > подобной дряни на винтах не обнаружено, но ведь и снести > потом несложно... Тогда попробуй посмотреть логи самого SQL, если ненамеренно дропнули через Sa с пустым паролем - логи должны остаться, если злой умысел - то надо знать какой версии твой SQL, при установке Enterprise Managera и другого софта попутно ставятся специфичные версии MDAC и DCOM, сам софт убрать можно - а эти приблуды как правило остаются. Попробуй с этим поиграться.
Не подскажут ли добренькие сисадмины...15.02.02 21:00 Автор: Lurga Статус: Elderman
Да хохма-то в том, что восстановить базу как раз несложно -- откатить на недельку назад. Но только в этом случае можно будет считать, что это время никто не работал -- вносится за день порядка полусотни записей. =(((
За хинт насчёт MDAC и прочего -- спасибо, обязательно поставлю опыты. =)) В конце концов, админы и хакеры делают одну и ту же работу, только по разные стороны баррикад, разве нет? ;)))