информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Все любят медПортрет посетителяЗа кого нас держат?
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Microsoft обещает радикально усилить... 
 Ядро Linux избавляется от российских... 
 20 лет Ubuntu 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / site updates
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Кроме того, если CEO захочет навредить конторе 14.07.04 12:58  Число просмотров: 1712
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
У него есть ОЧЕНЬ много возможностей и помимо выноса интеллектуальной собственности. В винде есть такая штука как Trusted Computing Base - доверенная вычислительная база (или как то так). Смысл в том, что если кто-то попадает в ядро, то там за его действиями уже никто не следит и ни в чем не ограничивает. Точно так же и здесь, если человек УПРАВЛЯЕТ интеллектуальной собственностью (или, еще лучше владеет ею), то защищать от него эту собственность не имеет смысла
<site updates>
Защиты от USB-устройств? Их есть у нас... 11.07.04 03:24  
Publisher: dl <Dmitry Leonov>
<"чистая" ссылка>
Защиты от USB-устройств? Их есть у нас...
vunet.com, CNews.ru http://www.vnunet.com/news/1156541, http://www.cnews.ru/newsline/index.shtml?2004/07/09/161082

Похоже, что недавний отчет Gartner [ http://bugtraq.ru/rsn/archive/2004/07/10.html ] о потенциальной опасности расплодившихся USB-дисков, часов с флешкам и т.п. был с воодушевлением встречен индустрией (понятное дело, нужно торопиться, пока средства ограничения доступа к подобным носителям не окажутся встроенными в ОС). Довольно синхронно о выходе новых версий программ, направленных на решение описанной проблемы, отрапортовали Pointsec Mobile Technologies и Смарт Лайн Инк.
Правда, каждый из продуктов оперирует с одной из сторон описанной проблемы - Pointsec Media Encryption [ http://www.pointsec.com/products/products_fe.asp ] занимается прозрачным шифрованием данных, записываемых на носители, устраняя опасность утечки при выносе этой информации/краже носителя, в то время как DeviceLock [ http://www.protect-me.com/ru/dl/ ] позволяет управлять доступом...

Полный текст
Заплатите нам кучу бабок и мы вам сделаем хорошо. Зачем... 13.07.04 15:00  
Автор: null666 Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Заплатите нам кучу бабок и мы вам сделаем хорошо. Зачем платить, если всё уже есть.

RTFM!

http://support.microsoft.com/default.aspx?scid=kb;en-us;823732
Это вряд ли 13.07.04 15:59  
Автор: Neznaika <Alex> Статус: Member
<"чистая" ссылка>
1) Во-первых, у пользователей может стоять не только WinXP, но и Win2K или даже 98SE.
В таком случае, твой метод не годится.

2) А во-вторых, юзер перезагружается под локальным админом, вставляет флешку и наслаждается жизнью.
Если юзерам раздают локальных админов или сажают на 9х, то ни о какой политике безопасности речи не идет 13.07.04 16:36  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> 1) Во-первых, у пользователей может стоять не только WinXP,
> но и Win2K или даже 98SE.
> В таком случае, твой метод не годится.
>
> 2) А во-вторых, юзер перезагружается под локальным админом,
> вставляет флешку и наслаждается жизнью.
И выносить оттуда можно все что угодно. Кроме того, метод по идее должен работать на 2к (а 9х давно пора на свалку истории)
Не совсем понял 13.07.04 17:11  
Автор: Neznaika <Alex> Статус: Member
<"чистая" ссылка>
1) Если ты захочешь, например, в софтверной фирме отобрать у девелоперов/тестеров/team-лидеров/program-менеджеров права локального админа - то я могу только порадоваться твоему оптимизму. С большой вероятностью, это будет твой последний день работы в компании.

2) На Win2K SP4 - в реестре такого ключа нет.
Если есть права админа, то и приведенный совет не работает... 13.07.04 17:20  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> 1) Если ты захочешь, например, в софтверной фирме отобрать
> у девелоперов/тестеров/team-лидеров/program-менеджеров
> права локального админа - то я могу только порадоваться
> твоему оптимизму. С большой вероятностью, это будет твой
> последний день работы в компании.
Если есть права админа, то и приведенный совет не работает. Ничто не помешает вернуть все обратно.
:-)

А девелоперы, тестеры и пр.. в более-менее крупной конторе должны тоже подчиняться политике безопасности. При этом данные никогда не должны переходить из более безопасного хранилища в менее безопасное (вернее для них должен существовать минимальный уровень, а все хранилища должны быть разбиты по уровням). Если правило не выполняются - политики безопасности нет.
Для тестирования и отладки в большинстве случаев хватает виртуальной машины, которая в любом случае не пересечет периметр хост-машины, но там можно иметь любые права.

> 2) На Win2K SP4 - в реестре такого ключа нет.
А его и не будет пока не установишь хоть одно усб масс сторэйдж устройство. Хотя в принципе имя сервиса и могло поменяться, но это сильно вряд ли.
Полностью согласен 13.07.04 18:06  
Автор: Neznaika <Alex> Статус: Member
<"чистая" ссылка>
> Если есть права админа, то и приведенный совет не работает.
> Ничто не помешает вернуть все обратно.
>
Так я про это и говорю. Вряд ли рекомендация MS кому-то помешает.

> А девелоперы, тестеры и пр.. в более-менее крупной конторе
> должны тоже подчиняться политике безопасности.
>
Ты все говоришь правильно, сложность в том, чтобы эту политику безопасности обеспечить. Все люди разные. И как правило, человек слаб - он не может быть рядом с водой и не напиться.. А когда девелопмент - 200 человек, то как говорится, всех не перестреляешь. И еще есть TechSupport, Writers, ect.
Не, а все просто. У всех отбираются права локального админа и говорится: 13.07.04 18:28  
Автор: Ktirf <Æ Rusakov> Статус: Elderman
<"чистая" ссылка>
"Вам нужна машина с локальным админом? Вот вам VMWare/VirtualPC/Bochs/UserModeLinux, и вперед."
И уже на следующий день 13.07.04 18:39  
Автор: Neznaika <Alex> Статус: Member
<"чистая" ссылка>
ты можешь искать другую работу :)

Потому что - никакой CEO/team-leader/program-manager этого не потерпит и пошлет админа на три буквы со всеми его USB-девайсами.
Как раз ни фига 13.07.04 19:01  
Автор: Ktirf <Æ Rusakov> Статус: Elderman
Отредактировано 13.07.04 19:01  Количество правок: 1
<"чистая" ссылка>
Очень многие CEO трясутся над сохранением их интеллектуальной собственности. Если на предприятии есть CIO - это даже не обсуждается, тогда, как правило, есть четко поставленная политика безопасности. Я уже не говорю о том, что как раз CEO вообще до большого фонаря, как будет обеспечена сохранность этой самой интеллектуальной собственности.
Я знаю две (оговорюсь - большие) конторы, в которых подобная идея вполне могла бы прижиться. В одной из них я работал, и в те времена у нас (разработчиков) была постоянная грызня с админами за эти самые несчастные права локального админа. Умолчу, зачем они нам были нужны, замечу только, что мы бы замечательно прожили и без них, гоняя все необходимое по работе под варькой. Высшему руководству на это было почти положить, и наш отдел спасало лишь то, что нам благоволил один из вице-президентов (почему, к делу не относится). Иначе бы админы своего добились и начальство их только похвалило бы.
Давай сделаем как можно проще - 13.07.04 19:32  
Автор: Neznaika <Alex> Статус: Member
<"чистая" ссылка>
ты когда будешь работать админом, сразу отбирай у CEO и у всех PM-ов права локального админа под предлогом борьбы за их интеллектуальную собственность. И напиши потом, чем все закончилось.

Просто извини, но твои советы - это разговор ни о чем.
Я могу сразу написать. :0) 14.07.04 12:35  
Автор: Vened Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> ты когда будешь работать админом, сразу отбирай у CEO и у
> всех PM-ов права локального админа под предлогом борьбы за
> их интеллектуальную собственность. И напиши потом, чем все
> закончилось.
Я могу сразу написать. :0)
У нас, конечно, не бог весть какая большая контора, но в сети нет прав локального администратора _ни у кого_. Ни у руководства, ни у обычных пользователей.
И ничего, живем. Выгонять с работы пока не собираются. :0)
Не буду, у меня профиль другой :) Но если я паче чаяния... 13.07.04 19:46  
Автор: Ktirf <Æ Rusakov> Статус: Elderman
<"чистая" ссылка>
> ты когда будешь работать админом,
Не буду, у меня профиль другой :) Но если я паче чаяния когда-нибудь стану техдиректором, то к попыткам ограничить мои права на рабочей машине буду относиться спокойно. При условии, что это будет не единственная мера безопасности, разумеется.

> Просто извини, но твои советы - это разговор ни о чем.
Ну извини в свою очередь, нет у меня знакомых админов, уволенных за то, что они хотели отобрать права локального админа у высшего руководства. Наверное, вопрос об отборе этих прав не вставал. Мне очень трудно представить, чтобы высшему руководству требовалось портить жизнь собственной компании. А вот от синих воротничков и ниже подобного можно ожидать, потому что их лояльность по отношению к компании заведомо меньше. Бог с ними с CEO, почему хотя бы низшим чинам нельзя ограничить это дело?
Кроме того, если CEO захочет навредить конторе 14.07.04 12:58  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
У него есть ОЧЕНЬ много возможностей и помимо выноса интеллектуальной собственности. В винде есть такая штука как Trusted Computing Base - доверенная вычислительная база (или как то так). Смысл в том, что если кто-то попадает в ядро, то там за его действиями уже никто не следит и ни в чем не ограничивает. Точно так же и здесь, если человек УПРАВЛЯЕТ интеллектуальной собственностью (или, еще лучше владеет ею), то защищать от него эту собственность не имеет смысла
Метод кончено хорош (очепятался - только щас заметил :-) ) 13.07.04 15:49  
Автор: amirul <Serge> Статус: The Elderman
Отредактировано 13.07.04 17:22  Количество правок: 1
<"чистая" ссылка>
> Заплатите нам кучу бабок и мы вам сделаем хорошо. Зачем
> платить, если всё уже есть.
>
> RTFM!
>
> http://support.microsoft.com/default.aspx?scid=kb;en-us;823
> 732
Но приводит к ПОЛНОМУ отключению usb mass storage устройств. А описанные решения позволяют управлять доступом к этим устройствам.
Конечно, есть! 12.07.04 21:36  
Автор: ч Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Конечно, есть!
http://www.securewave.com/turcana/securewave/sanctuary_DC.jsp давно и успешно решает обе проблемы
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach