информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Страшный баг в WindowsЗа кого нас держат?
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Три миллиона электронных замков... 
 Doom на газонокосилках 
 Умер Никлаус Вирт 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / software
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Я просто не понимаю "можно на уровне ресурсов, а можно на уровне пользователей" 14.04.09 19:24  Число просмотров: 3309
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
Возможно, я просто не понимаю, что ты хочешь сказать, но лично для меня
это звучит несколько дико, потому что не только в винде, а вообще в практически в любой модели безопасности права устанавливаются ДЛЯ пользователей НА ресурсы (и на том и на том уровне ОДНОВРЕМЕННО)

> Попробую, но это будет не так быстро, поскольку я в свое
> время даже от Ме отказался только потому, что она не
> переваривала, когда в комп добил до гига оперативки. Такая
> бяка была в каких-то 9х подобных виндах. Насколько
> помнится, там можно было установить поддержку
> микрософтовской сети или убрать ее совсем. Где-то на этом
> этапе и возникало.
В данном случае можно без конкретики (скриншоты там или названия меню) - просто проясни (пусть даже чисто гипотетическим) примером, чего ты хочешь.

Поддержку МС-овской сети убрать можно и сейчас, но не сносом дров, а отвязкой транспортсервисов/протоколов от адаптеров.

> И я за это. Не смотря на то, что однопарольность может и
> ослабить безопасность. Например достаточно злоумышленнику
> подсмотреть пароль при вводе или подойти к компу, когда
Компрометация пароля в любом случае ведет к компрометации системы. Достаточно злоумышленнику "подсмотреть" пароль локального админа и он "знает" любые остальные пароли, которые вводятся на той же системе, так что система с множеством паролей добавлей только неудобств, но не безопасности

> юзер отошел по нужде и не выключил комп, и можно запустить
> любую прогу и натворить такое, поскольку эта прога не
> потребует пароля. С другой стороны, меня особенно поймут
Ага. Если пользователь "отошел" и не заблокировал комп (особенно в окружении, в котором много желающих воспользоваться такой ситуацией) - система скомпрометирована.

> сисадмины и хелпдеск, если юзер пользуется ни одним
> десятком программ и каждая требует свой пароль, то
> возникает проблем с этми паролями больше, чем их решается.
И я о том же. Внутри одного периметра безопасности - один пароль и дальнейшая автоматическая аутентификация на всех ресурсах этого периметра. Для разных естественно нужны разные пароли - это требование здравого смысла: не сообщать третьим сторонам ключевую информацию (даже без явного обозначения, что эта информация является ключевой для некоторого "домена" безопасности)
<software>
Посоветуйте программу для паролей на папки 09.04.09 17:18   [Ustin, Den]
Автор: Belik <Николай> Статус: Member
<"чистая" ссылка>
Есть файловый сервер, надо сделать на нем папки для пользователей и запароленные.
Какой софт использовать. Два дня гуглил, перепробовал 10-12 прог. Не кто не хочет работать посети :(.
Виндовские методы тоже не подходят.
А действительно, кто винду знает. Я уж давно в такие... 12.04.09 21:43  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 12.04.09 21:48  Количество правок: 2
<"чистая" ссылка>
> Есть файловый сервер, надо сделать на нем папки для
> пользователей и запароленные.

А действительно, кто винду знает. Я уж давно в такие тонкости администрения не вдавался. Раньше точно было: можно было установить доступ на уровне пользователей, а можно было на уровне ресурсов. Так вот куда последнее пропало - не понятно? Было бы очень удобно, как раньше - шаришь ресурс на папку и задаешь к нему пароль, который знает только админ (сам) и юзер, которому этот ресурс предназначается. Разграничение на уровне пользователей хорошо, но иногда неудобно. С одной стороны плюс, что каждый раз пароль не надо вводить, с другой стороны минус, что нельзя организовать доступ по отвлеченному паролю.
Я могу еще такую фишку посоветовать. Создать под каждого юзера папки, создать для них ресурсы, отвязать наследование прав, убить всех пользователей в правах, кроме админа, завести пользователех user1, user2, ..., userx, дать доступ на каждую папку определенному из вновь заведенных пользователей, каждому юзеру, кому надо доступ на опеределенную папку, сообщить свою связку логин+пароль. Винда в принципе умная. Когда пользователь полезет на шару, она попытается под этим юзером ("Иванов", например) и подключиться. Его на серваке нет. Винда (НТ и далее, кроме 9х) тогда пароль спросит. Пользователь введет user1 с соответствующим паролем и вуаля. Венда может много таких коннекшнов держать во время сессии.
Я не то, чтобы хорошо, но в принципе кой чего знаю 13.04.09 01:46  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> А действительно, кто винду знает. Я уж давно в такие
> тонкости администрения не вдавался. Раньше точно было:
> можно было установить доступ на уровне пользователей, а
> можно было на уровне ресурсов. Так вот куда последнее
> пропало - не понятно? Было бы очень удобно, как раньше -
Не понял вопроса. Можешь пример привести?

> Я могу еще такую фишку посоветовать. Создать под каждого
> юзера папки, создать для них ресурсы, отвязать наследование
Не стоит так извращаться, мне кажется. Сейчас направление развития другое - один раз авторизовался и имеешь доступ ко всем своим ресурсам. Это не только винда так делает, сейчас так пытаются делать даже в инете: тот же гугль или live требуют однократной авторизации для доступа ко всем своим сервисам (на разных доменах) да еще и предоставляют сервис для авторизации пользователей для сторонних сайтов.
Попробую, но это будет не так быстро, поскольку я в свое... 14.04.09 08:56  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> > можно было установить доступ на уровне пользователей, а
> > можно было на уровне ресурсов. Так вот куда последнее
> > пропало - не понятно?
>
> Не понял вопроса. Можешь пример привести?
>
Попробую, но это будет не так быстро, поскольку я в свое время даже от Ме отказался только потому, что она не переваривала, когда в комп добил до гига оперативки. Такая бяка была в каких-то 9х подобных виндах. Насколько помнится, там можно было установить поддержку микрософтовской сети или убрать ее совсем. Где-то на этом этапе и возникало.

> Не стоит так извращаться, мне кажется. Сейчас направление
> развития другое - один раз авторизовался и имеешь доступ ко
> всем своим ресурсам.

И я за это. Не смотря на то, что однопарольность может и ослабить безопасность. Например достаточно злоумышленнику подсмотреть пароль при вводе или подойти к компу, когда юзер отошел по нужде и не выключил комп, и можно запустить любую прогу и натворить такое, поскольку эта прога не потребует пароля. С другой стороны, меня особенно поймут сисадмины и хелпдеск, если юзер пользуется ни одним десятком программ и каждая требует свой пароль, то возникает проблем с этми паролями больше, чем их решается.
Я просто не понимаю "можно на уровне ресурсов, а можно на уровне пользователей" 14.04.09 19:24  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
Возможно, я просто не понимаю, что ты хочешь сказать, но лично для меня
это звучит несколько дико, потому что не только в винде, а вообще в практически в любой модели безопасности права устанавливаются ДЛЯ пользователей НА ресурсы (и на том и на том уровне ОДНОВРЕМЕННО)

> Попробую, но это будет не так быстро, поскольку я в свое
> время даже от Ме отказался только потому, что она не
> переваривала, когда в комп добил до гига оперативки. Такая
> бяка была в каких-то 9х подобных виндах. Насколько
> помнится, там можно было установить поддержку
> микрософтовской сети или убрать ее совсем. Где-то на этом
> этапе и возникало.
В данном случае можно без конкретики (скриншоты там или названия меню) - просто проясни (пусть даже чисто гипотетическим) примером, чего ты хочешь.

Поддержку МС-овской сети убрать можно и сейчас, но не сносом дров, а отвязкой транспортсервисов/протоколов от адаптеров.

> И я за это. Не смотря на то, что однопарольность может и
> ослабить безопасность. Например достаточно злоумышленнику
> подсмотреть пароль при вводе или подойти к компу, когда
Компрометация пароля в любом случае ведет к компрометации системы. Достаточно злоумышленнику "подсмотреть" пароль локального админа и он "знает" любые остальные пароли, которые вводятся на той же системе, так что система с множеством паролей добавлей только неудобств, но не безопасности

> юзер отошел по нужде и не выключил комп, и можно запустить
> любую прогу и натворить такое, поскольку эта прога не
> потребует пароля. С другой стороны, меня особенно поймут
Ага. Если пользователь "отошел" и не заблокировал комп (особенно в окружении, в котором много желающих воспользоваться такой ситуацией) - система скомпрометирована.

> сисадмины и хелпдеск, если юзер пользуется ни одним
> десятком программ и каждая требует свой пароль, то
> возникает проблем с этми паролями больше, чем их решается.
И я о том же. Внутри одного периметра безопасности - один пароль и дальнейшая автоматическая аутентификация на всех ресурсах этого периметра. Для разных естественно нужны разные пароли - это требование здравого смысла: не сообщать третьим сторонам ключевую информацию (даже без явного обозначения, что эта информация является ключевой для некоторого "домена" безопасности)
Уфф. Нашел с трудом. По этой ссылке даже со скриншотами:... 15.04.09 11:00  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 15.04.09 11:02  Количество правок: 2
<"чистая" ссылка>
> Возможно, я просто не понимаю, что ты хочешь сказать, но
> лично для меня
> это звучит несколько дико, потому что не только в винде, а
> вообще в практически в любой модели безопасности права
> устанавливаются ДЛЯ пользователей НА ресурсы (и на том и на
> том уровне ОДНОВРЕМЕННО)

Уфф. Нашел с трудом. По этой ссылке даже со скриншотами: http://vfguse.vyborg.ru/Met_Mat/Metodich_1/Inform_Sist_Seti.htm Раздел "1.1. Настройка одноранговой сети". На третьей закладке "Управление доступом" должен был бы быть выбор уровня, на котором производится доступ. К сожалению нет самогО скриншота этой закладки.
Вот еще интересная ссылочка: http://vks.belpak.by/website/kafedra/ivt/Materials/Latunina/ZAOCHNIKI_1/WINDOWS_5.HTM Там после середины, раздел "Управление доступом". Жаль что без скриншотов.
Вот здесь: http://wintweak.narod.ru/msbatch.htm примерно две третьи от начала.
В реестре есть ключик, которым можно выключит эту закладку в настройщике сети.

Похоже это то, что нужно было Николаю.

> Компрометация пароля в любом случае ведет к компрометации
> системы. Достаточно злоумышленнику "подсмотреть" пароль
> локального админа и он "знает" любые остальные пароли,
> которые вводятся на той же системе, так что система с
> множеством паролей добавлей только неудобств, но не
> безопасности
>
> Ага. Если пользователь "отошел" и не заблокировал комп
> (особенно в окружении, в котором много желающих
> воспользоваться такой ситуацией) - система
> скомпрометирована.
>
> И я о том же. Внутри одного периметра безопасности - один
> пароль и дальнейшая автоматическая аутентификация на всех
> ресурсах этого периметра. Для разных естественно нужны
> разные пароли - это требование здравого смысла: не сообщать
> третьим сторонам ключевую информацию (даже без явного
> обозначения, что эта информация является ключевой для
> некоторого "домена" безопасности)

Все правильно. Доступ на уровне пользователей эффективнее, это раз. Единая система авторизации, если она надежна, удобнее, это два. Правда, бывают ситуации..., это три. Если злоумышленник подсмотрел пароль даже локального админа - это еще ничего не значит, если он не подсмотрел пароль на ключ подписи или пароль на подключение к основной корпоративной базе, это четыре.
По моему понял что ты имеешь в виду. Ты хочешь, чтобы и... 15.04.09 13:05  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> Уфф. Нашел с трудом. По этой ссылке даже со скриншотами:
> http://vfguse.vyborg.ru/Met_Mat/Metodich_1/Inform_Sist_Seti
> .htm Раздел "1.1. Настройка одноранговой сети". На третьей
По моему понял что ты имеешь в виду. Ты хочешь, чтобы и идентификация (а идентифицировать СУБЪЕКТА все равно надо) и аутентификация производились по одному только паролю? Как по мне - неудачная модель (вообще разработчикам 9x надо гвоздь в голову забить), не использующаяся НИ В ОДНОЙ современной системе (да и из умерших только 9x и вспоминается).

> Все правильно. Доступ на уровне пользователей эффективнее,
> это раз. Единая система авторизации, если она надежна,
> удобнее, это два. Правда, бывают ситуации..., это три. Если
Например?

> злоумышленник подсмотрел пароль даже локального админа -
> это еще ничего не значит, если он не подсмотрел пароль на
> ключ подписи или пароль на подключение к основной
> корпоративной базе, это четыре.
Значит. Кейлоггер поставить не так уж и трудно.
Как сделать средствами w2k+NTFS, я знаю и умею так наверное... 15.04.09 11:37  
Автор: Belik <Николай> Статус: Member
<"чистая" ссылка>
Как сделать средствами w2k+NTFS, я знаю и умею так наверное и поступлю.
Как там пользователи будут подсматривать друг у друга пароли, мне все равно.
Хотелось бы софтину какую нить посмотреть?!?!, Но вижу что нету таких, хотя и сам 3 дня гуглил - все в пустую.
У меня малый опят с девелоперскими CVS/SVN, но вроде, кто их них умеет запрашивать пароль при попытке доступа к сетевому хранилищу. Может, нестандартно использовать?:) 15.04.09 20:32  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Ну тогда можно и WebDAV развернуть на каком нибудь IIS-е/апаче 15.04.09 23:20  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
А потом уже настраивать авторизацию хоть на каждый каталог отдельно. В дефолтной винде есть вебдав клиент
Скорее всего их не только нет, но и не будет, поскольку... 15.04.09 11:53  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> Как сделать средствами w2k+NTFS, я знаю и умею так наверное
> и поступлю.
> Как там пользователи будут подсматривать друг у друга
> пароли, мне все равно.
> Хотелось бы софтину какую нить посмотреть?!?!, Но вижу что
> нету таких, хотя и сам 3 дня гуглил - все в пустую.

Скорее всего их не только нет, но и не будет, поскольку управление системой является системнозависящей и должно быть частью системы, а не разработкой сторонних программеров. Да и ни к чему это, поскольку в Виндах система управления доступом позволяет реализовать практически любые фантазии, просто реализация некоторых неочевидна.
Не всегда. Вон у FTP собственная система безопасности 15.04.09 13:09  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> Скорее всего их не только нет, но и не будет, поскольку
> управление системой является системнозависящей и должно
> быть частью системы, а не разработкой сторонних
> программеров. Да и ни к чему это, поскольку в Виндах
Которая в виндовых серваках МОЖЕТ (но не обязательно) использовать виндовые средства авторизации. Да и те же сторонние файрволы - тоже система безопасности, коммерчески успешная, потому что в виндах до последнего времени были достаточно убогие стандартные средства фильтрации трафика (сейчас скорее всего 3rd-party файрволокапец).

> система управления доступом позволяет реализовать
> практически любые фантазии, просто реализация некоторых
> неочевидна.
Вот здесь согласен.
Согласен на все 100% 15.04.09 12:14  
Автор: Belik <Николай> Статус: Member
<"чистая" ссылка>
Согласен на все 100%
Раньше так делал и так буду делать в дальнейшем.
Спасибо.
Стоп, еще не все. Что-то мне в голову пришло умеренно... 15.04.09 17:41  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 15.04.09 17:41  Количество правок: 1
<"чистая" ссылка>
> Раньше так делал и так буду делать в дальнейшем.
> Спасибо.

Стоп, еще не все. Что-то мне в голову пришло умеренно доступное по сервисным функциям. Хотя тут кто-то уже упоминал, но развития не последовало из-за основного предназначения - шифрования. А если переиначить. Берем какой-нибудь TrueCrypt. Забываем, что он шифрует и это основное его предназначение. Ключи на других носителях, кроме как в мозге, не используем, только пароли. Натравим его не на раздел, а на файл-контейнер. Автомонтирование, естественно. Можно даже запоминание паролей организовать, если припрет. Контейнер выкладываем в сеть. Собственно имеем то, что нужно - доступ к каталогам и содержимому по паролю. Без пароля никак.
Думал я об этом, как быть с многопользовательским доступом? Вообще нужен многопользовательский доступ? 15.04.09 20:29  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Задача стоит разграничить доступ или криптозащита? Использовать стандартные права (или ограничения) доступа? Или необходимо, что группа админов не имела доступа к информации. 10.04.09 22:47  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
Только разраничить доступ, все. 10.04.09 23:51  
Автор: Belik <Николай> Статус: Member
<"чистая" ссылка>
Если только разграничить доступ, то зачем шифрование??? 11.04.09 17:33  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Я вроде как за шифрование речи не вел... 12.04.09 10:14  
Автор: Belik <Николай> Статус: Member
<"чистая" ссылка>
Я вроде как за шифрование речи не вел...
Просто розграничить доступ к папкам, все.
Не понимаю проблемы... 12.04.09 17:23  
Автор: Den <Denis> Статус: The Elderman
<"чистая" ссылка>
Если файловый сервер на базе Windows Server и папки лежат на NTFS, то заведи пользователей на сервере (в домене) с паролями и раздай права на папки.
1  |  2  |  3  |  4 >>  »  




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2024 Dmitry Leonov   Page build time: 1 s   Design: Vadim Derkach