Re[3]: Безопасная БД.
От: Mikst  
Дата: 18.10.05 13:48
Оценка: +1
Здравствуйте, Joker3D, Вы писали:

JD>Здравствуйте, Mikst, Вы писали:


M>>Здравствуйте, Joker3D, Вы писали:


JD>>>Подскажите возможно ли (и как) в SQL Server 2000 настроить безопасность следующим образом:


JD>>>- есть группа "TeamLead" (в Win-домене) людей которые имеют full access на набор таблиц

JD>>>- есть один человек "SalaryManager" который имеет полный доступ на все таблицы в БД
JD>>>- администраторы домена не имеют к БД никакого доступа (только если они не являются членами TeamLead)!

M>> А что им помешает себя туда добавить, раз они администраторы домена?


JD>Собственно поэтому я и сделал предположение что это должна быть уже не NT-аутентификация. Тогда вопрос — как правильно настроить такой сервер? И не существует ли и здесь какой-то хак?


Если группа в Win-домене, то это NT аутентификация.
А так, заводи группы прямо в SQL, и там раздавай права,
правда не знаю что точно делать с NT аутентификацией, чтобы админы то в базу не попали, видимо ее придется выключить.

соответственно получаем следующие пожелания:
— есть группа "TeamLead" людей которые имеют full access на набор таблиц
— есть один человек "SalaryManager" который имеет полный доступ на все таблицы в БД
— людей в группу TeamLead может добавлять/удалять только SalaryManager

в базе группа TeamLead, у нее права на нужные таблицы.
SalaryManager имеет права на изменение этой группы и является админом бд (ну или просто имеет права на все таблицы)

Это конечно все теория... но надеюсь похожая на правду
Безопасная БД.
От: Joker3D Россия http://blog.trunin.com
Дата: 18.10.05 13:23
Оценка:
Подскажите возможно ли (и как) в SQL Server 2000 настроить безопасность следующим образом:

— есть группа "TeamLead" (в Win-домене) людей которые имеют full access на набор таблиц
— есть один человек "SalaryManager" который имеет полный доступ на все таблицы в БД
— администраторы домена не имеют к БД никакого доступа (только если они не являются членами TeamLead)!
— никто другой не имеет никакого доступа к БД
— людей в группу TeamLead может добавлять/удалять только SalaryManager
Konstantin Trunin
http://blog.trunin.com — эффективное управление людьми, проектами, собой
Re: Безопасная БД.
От: Joker3D Россия http://blog.trunin.com
Дата: 18.10.05 13:32
Оценка:
Здравствуйте, Joker3D, Вы писали:

JD>Подскажите возможно ли (и как) в SQL Server 2000 настроить безопасность следующим образом:


JD>- есть группа "TeamLead" (в Win-домене) людей которые имеют full access на набор таблиц

JD>- есть один человек "SalaryManager" который имеет полный доступ на все таблицы в БД
JD>- администраторы домена не имеют к БД никакого доступа (только если они не являются членами TeamLead)!
JD>- никто другой не имеет никакого доступа к БД
JD>- людей в группу TeamLead может добавлять/удалять только SalaryManager

тут нужно обходиться только безопасностью SQL?

можно ли как-то шифровать данные, чтобы, администратор получив к ним физический доступ (например для бакапа) не мог их прочитать?
Konstantin Trunin
http://blog.trunin.com — эффективное управление людьми, проектами, собой
Re: Безопасная БД.
От: Mikst  
Дата: 18.10.05 13:33
Оценка:
Здравствуйте, Joker3D, Вы писали:

JD>Подскажите возможно ли (и как) в SQL Server 2000 настроить безопасность следующим образом:


JD>- есть группа "TeamLead" (в Win-домене) людей которые имеют full access на набор таблиц

JD>- есть один человек "SalaryManager" который имеет полный доступ на все таблицы в БД
JD>- администраторы домена не имеют к БД никакого доступа (только если они не являются членами TeamLead)!

А что им помешает себя туда добавить, раз они администраторы домена?

JD>- никто другой не имеет никакого доступа к БД

JD>- людей в группу TeamLead может добавлять/удалять только SalaryManager
Re[2]: Безопасная БД.
От: Joker3D Россия http://blog.trunin.com
Дата: 18.10.05 13:39
Оценка:
Здравствуйте, Mikst, Вы писали:

M>Здравствуйте, Joker3D, Вы писали:


JD>>Подскажите возможно ли (и как) в SQL Server 2000 настроить безопасность следующим образом:


JD>>- есть группа "TeamLead" (в Win-домене) людей которые имеют full access на набор таблиц

JD>>- есть один человек "SalaryManager" который имеет полный доступ на все таблицы в БД
JD>>- администраторы домена не имеют к БД никакого доступа (только если они не являются членами TeamLead)!

M> А что им помешает себя туда добавить, раз они администраторы домена?


Собственно поэтому я и сделал предположение что это должна быть уже не NT-аутентификация. Тогда вопрос — как правильно настроить такой сервер? И не существует ли и здесь какой-то хак?
Konstantin Trunin
http://blog.trunin.com — эффективное управление людьми, проектами, собой
Re: Безопасная БД.
От: bralgin США www.dwh-club.com
Дата: 18.10.05 13:46
Оценка:
Здравствуйте, Joker3D, Вы писали:

JD>Подскажите возможно ли (и как) в SQL Server 2000 настроить безопасность следующим образом:


JD>- администраторы домена не имеют к БД никакого доступа (только если они не являются членами TeamLead)!


если они у вас действительно администраторы домена, а не ламеры, то вы не тем занимаетесь
http://www.flickr.com/photos/bralgin/
Re[2]: Безопасная БД.
От: Mikst  
Дата: 18.10.05 13:54
Оценка:
Здравствуйте, bralgin, Вы писали:

B>Здравствуйте, Joker3D, Вы писали:


JD>>Подскажите возможно ли (и как) в SQL Server 2000 настроить безопасность следующим образом:


JD>>- администраторы домена не имеют к БД никакого доступа (только если они не являются членами TeamLead)!


B>если они у вас действительно администраторы домена, а не ламеры, то вы не тем занимаетесь


Ну зачем же так сразу.
У нас кстати была похожая ситуация. Есть домен, есть люди (менеджеры всякие) есть база. Админы win-домена не дураки, и именно по этой причине их требовалось оградить от доступа в базу данных (ну там сами понимаете, деньги и прочее) Естественно админ БД мог все поглядеть, но он не имел доступ к вин-домену. Все в этой схеме хорошо, пока админ БД не попил пива с админами домена

Вобщем каждый юзверь имел свои права на базу и свой пароль. и вин-домену я всеравно не доверяю.
Re[4]: Безопасная БД.
От: Joker3D Россия http://blog.trunin.com
Дата: 18.10.05 13:56
Оценка:
Здравствуйте, Mikst, Вы писали:

M>А так, заводи группы прямо в SQL, и там раздавай права,

M>правда не знаю что точно делать с NT аутентификацией, чтобы админы то в базу не попали, видимо ее придется выключить.
вопрос: достаточно ли выкинуть BUILTIN\Administrators из Logins? или нужно еще что-то делать?

M>соответственно получаем следующие пожелания:

M>— есть группа "TeamLead" людей которые имеют full access на набор таблиц
M>— есть один человек "SalaryManager" который имеет полный доступ на все таблицы в БД
M>— людей в группу TeamLead может добавлять/удалять только SalaryManager

M> в базе группа TeamLead, у нее права на нужные таблицы.

M> SalaryManager имеет права на изменение этой группы и является админом бд (ну или просто имеет права на все таблицы)

M>Это конечно все теория... но надеюсь похожая на правду


Если администратор имеет физический доступ — можно ли как-то зашифровать БД?

Если нет, то можно ли разместить MS SQL БД на шифрованном диске (например bestcrypt)
кто-то пробовал проделать подобное?
Konstantin Trunin
http://blog.trunin.com — эффективное управление людьми, проектами, собой
Re[5]: Безопасная БД.
От: Mikst  
Дата: 18.10.05 14:07
Оценка:
Здравствуйте, Joker3D, Вы писали:

JD>Здравствуйте, Mikst, Вы писали:


M>>А так, заводи группы прямо в SQL, и там раздавай права,

M>>правда не знаю что точно делать с NT аутентификацией, чтобы админы то в базу не попали, видимо ее придется выключить.
JD>вопрос: достаточно ли выкинуть BUILTIN\Administrators из Logins? или нужно еще что-то делать?

вот чего не знаю — того не знаю

MJD>Если администратор имеет физический доступ — можно ли как-то зашифровать БД?


JD>Если нет, то можно ли разместить MS SQL БД на шифрованном диске (например bestcrypt)

JD>кто-то пробовал проделать подобное?

Если имеет доступ в железу, то только шифрование (ну или 10КВольт на дверь )
Отобрать у админов логины на эту машину, включить шифрование в NTFS (ну или внешнее поставить) . Но в любом случае, ключ для расшифровки будет хранится на этой машине — соответственно сделав полную копию и потратив некоторое кол-во времени, можно все выудить, это уже вопрос знаний админа. Так что лучше машину под замок и сторожа дядю Ваню к ней приставить.
Re[5]: Безопасная БД.
От: bralgin США www.dwh-club.com
Дата: 18.10.05 14:07
Оценка:
Здравствуйте, Joker3D, Вы писали:

JD>Если администратор имеет физический доступ — можно ли как-то зашифровать БД?


JD>Если нет, то можно ли разместить MS SQL БД на шифрованном диске (например bestcrypt)

JD>кто-то пробовал проделать подобное?


Наймите надежного админа, которому будете доверять. Все остальное от недопонимания, что такое админ домена.
http://www.flickr.com/photos/bralgin/
Re[6]: Безопасная БД.
От: Joker3D Россия http://blog.trunin.com
Дата: 18.10.05 14:27
Оценка:
Здравствуйте, bralgin, Вы писали:

B>Здравствуйте, Joker3D, Вы писали:


JD>>Если администратор имеет физический доступ — можно ли как-то зашифровать БД?


JD>>Если нет, то можно ли разместить MS SQL БД на шифрованном диске (например bestcrypt)

JD>>кто-то пробовал проделать подобное?

B>Наймите надежного админа, которому будете доверять. Все остальное от недопонимания, что такое админ домена.


Спасибо за предложение. В другой жизни я так и сделаю.
Однако сейчас есть предельно конкретная задача которую нужно решить.
Konstantin Trunin
http://blog.trunin.com — эффективное управление людьми, проектами, собой
Re[7]: Безопасная БД.
От: Mikst  
Дата: 18.10.05 14:30
Оценка:
Здравствуйте, Joker3D, Вы писали:

JD>Здравствуйте, bralgin, Вы писали:


B>>Здравствуйте, Joker3D, Вы писали:


JD>>>Если администратор имеет физический доступ — можно ли как-то зашифровать БД?


JD>>>Если нет, то можно ли разместить MS SQL БД на шифрованном диске (например bestcrypt)

JD>>>кто-то пробовал проделать подобное?

B>>Наймите надежного админа, которому будете доверять. Все остальное от недопонимания, что такое админ домена.


JD>Спасибо за предложение. В другой жизни я так и сделаю.

JD>Однако сейчас есть предельно конкретная задача которую нужно решить.

Я бы в другой жизни хотел стать птичкой
 
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.