• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Full Access Administrators

  • Автор темы Oksana
  • Дата начала
O

Oksana

Ситуация:
Имеем несколько доменов, на каждый регион своя АК. И в каждом регионе свой админ. Есть базы, которые реплицируются в регионы, в АКЛ баз, админам регионов раздаются права по смыслу БД, например, где-то автор, где-то читатель. Но админ в регионе имеет возможность включить у себя Full Access Administrators, и таким образом акл на их реплике, уже не играет роли.
Можно ли как-то сделать так, чтобы и функции админа не забирать и ограничить доступ к репликам баз с центральных серверов?
 
Cleric-Lviv

Cleric-Lviv

Well-known member
03.01.2008
603
0
BIT
0
функции админа мона не забирать но в notes.ini поправить строчку и убрать Full Access Administrators .......
 
Constantin A Chervonenko

Constantin A Chervonenko

Green Team
30.05.2006
1 345
12
BIT
0
Oksana сказал(а):
.. админ в регионе имеет возможность включить у себя Full Access Administrators, и таким образом акл на их реплике, уже не играет роли.
Можно ли как-то сделать так, чтобы и функции админа не забирать и ограничить доступ к репликам баз с центральных серверов?
Нажмите, чтобы раскрыть...
Сколько раз твердили миру: FA - зло! :D

По делу:
1.Физический доступ админов к своим серверам не ограничен? Тогда они и БЕЗ FA ваши базы подломят
2.Юзайте Consistment ACL. Подломить базу это не сильно помешает, но вы хоть выявите большинство "взломов"
3.Регулярно почитывайте ACL Log (он короткий, быстро стирается). -"-
 
O

Oksana

Constantin A Chervonenko сказал(а):
Сколько раз твердили миру: FA - зло! :D

По делу:
1.Физический доступ админов к своим серверам не ограничен? Тогда они и БЕЗ FA ваши базы подломят
2.Юзайте Consistment ACL. Подломить базу это не сильно помешает, но вы хоть выявите большинство "взломов"
3.Регулярно почитывайте ACL Log (он короткий, быстро стирается). -"-
Нажмите, чтобы раскрыть...
да, физически у человека есть доступ полность, так что и параметр в нотес.ини не решит проблему.
К тому же у них есть свои базы, и может в какой ситуации и нужен полный доступ иногда, впрочем это их проблемы.
А вот ниши реплики хотелось бы защитить, читать логи пост-фактум уже не так интересно.
На данный момент не предполагается каких-то злоумышленных действий с той стороны, скорей хотелось бы избежать случайностей.
 
Constantin A Chervonenko

Constantin A Chervonenko

Green Team
30.05.2006
1 345
12
BIT
0
Oksana сказал(а):
На данный момент не предполагается каких-то злоумышленных действий с той стороны, скорей хотелось бы избежать случайностей.
Нажмите, чтобы раскрыть...
А.. Ну, тогда "Enforce consistent ACL" и региональных админов в ACL не включать (т.е. права - "как всем")
 
A

Akupaka

ребята, такие вопросы нужно юридически решать, главное правильно и все, что нужно, описать ;)
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ