proNovell

Уважаемые коллеги!
Ноне пришлось читать про

SecureWave Sanctuary 4 - решение по блокировке и контролю использования устройств и приложений на рабочих станциях под управлением Windows 2000/XP.

и про

Novell Sentinel 5 (ранее eSecurity) - решение по комплексному мониторингу информационной безопасности предприятия. Основываясь на едином хранилище и единой шине имеет продолжительный список коннекторов к различным системам для построения единого проактивного центра мониторинга.

Заинтересовало, тем более, что ноне у начальства острый приступ секрентости на фоне хронической фискальности...
Чтение соответствующей PDF-документации на сайте NW, а также первоисточников с http://www.securewave.com туман в головах только сгустило.

Вопрос: кто либо пользует? в каких целях? цели достигнуты? и как общее впечатление? какова цена на пользователя? и тд.... вобщем - не постесгяйтесь изложить.

Спасибо.

Николай! Я тебе переслал письмецо про это. И у нас в Питере вроде 9 ноября семинар будет:
http://www.eureca.ru/seminars/novellsec/

Кирилл Степанов эту штуку уже пару месяцев изучает с целью подготовки показательных стендов. Так что при случае можете через московское представительство Новелл попытаться заказать проведение семинара или технической презентации для вас.

Павел Гарбар писал(а):в Питере вроде 9 ноября семинар будет:
http://www.eureca.ru/seminars/novellsec/

Интересно было почитать - здорово, что проводятся подобные сборища. Однако, особенно порадовал "провижнинг" продолжительный список коннекторов .. для построения единого проактивного центра мониторинга тоже ничего.

Андрей Тр. aka RH писал(а):

Павел Гарбар писал(а):в Питере вроде 9 ноября семинар будет:
http://www.eureca.ru/seminars/novellsec/

Интересно было почитать - здорово, что проводятся подобные сборища. Однако, особенно порадовал "провижнинг" продолжительный список коннекторов .. для построения единого проактивного центра мониторинга тоже ничего.

А цена .....ууууу чтоб я так жил...
http://www.novell.com/products/sentinel/howtobuy.html

Музалёв Николай писал(а):Вопрос: кто либо пользует? в каких целях? цели достигнуты? и как общее впечатление? какова цена на пользователя? и тд.... вобщем - не постесгяйтесь изложить.

Используем аналог, DeviceLock, но он нас не устраивает, заточен под AD а такового нету, российский Zlock еще более убогий
GFI LANguard Portable Storage Control тоже не фантан!

Сейчас вот качаю триал SecureWave Sanctuary 4, буду тестировать, но цена очень высока, не пойму почему так дорого то

2 Павел Гарбар
Спасибо, получил, читаю. Вообщето вопрос и возник по получению приглашения на этот семинар.

2 Григорьев Михаил

...триал SecureWave Sanctuary 4, буду тестировать, но цена очень высока...

Гм... насколько позволяет мой англ., понял примерно так:
- классическая клиент-серверная трехзвенка,
- СерверБД хранит хеш-коды разрешенных приложений (типа обобщенный профиль рабочей станции)
- Клиент на рабочке по запуску приложения вычисляет хеш и передает его серверу приложений
- СерверПрилож считывает профиль данной рабочей станции и если полученный от клиента хеш в нем есть, то дает агенту разрешение на запуск этого приложения. Это если какой ворд

А если какой Дуум, то разрешения не будет и агент на рабочке запустить его не даст

Правильно или чего пропустил?

Но тогда 2ва вопроса:
- может ли продвинутое прямоходящее, начитавшись на ночь журнал Хакер или еще каких страшилок, отключить этот самый агент? (как службу или драйвер)
- в чём глобальное отличие предложенного решения от того же нашего Зена или от, например, того же SoftTrack'a?
(Вообщето - СофтТрак будет производства той же богодельни, что и DSMETER, а там ребята серьезные: уж если пишут "блокировка", то будьте уверены - реальная блокировка... Даже админа отсекает от Дерева, если такое в его профиле указать...
Так что очень рекомендую обратить внимание. Опять же - цены вполовину, как мин.)

PS. Кстати, а агент Зена тоже может быть выгружен? или это заблокировано. (предполагается, что Пользователь - админ рабочки.)

Спасибо.

Музалёв Николай писал(а):PS. Кстати, а агент Зена тоже может быть выгружен? или это заблокировано. (предполагается, что Пользователь - админ рабочки.)

Можно выгрузить, но что это даст?
Все гайки по управлению компом закручиваются через реестр винды, причем так, что права админа рабочки не канают.

Можно выгрузить, но что это даст?

Андрей!
Выше я писАл - нач. озаботилось увеличением фискальных функций сетевой среды ( кто куда с кем и зачем ходил, во что играл и на что потратил время и тд) В связи с этим прорабатываем ряд кандидатов на место такой системы.

Подпереть острым глазом большого Б предполагается как нижний уровень ( СКС, интенсивность трафика и тд) , так и уровень приложений на рабочих машинах со старшими виндами.

Исторически сложилось, что пользователи у нас - локальные админы. Потому интересует возможность слегка продвинутого пользователя свести на нет наши усилия путем выгрузки или какой блокировки агентов такой следящей системы.

Конечно, изначально созданная на коленке винда это тебе не юникс с его изначальным многопользием, но возможно найдутся способы предотвратить противодействие слежению со стороны локальных админов, слегка понимающих в дебрях реестра, служб, потоков и тд...

Кстати, коллеги, предложениея как ловить на месте особо талантливых прямоходящих приветствуются...

А для начала поясните свою мысль, я не понял: если можно выгрузить агент Зена, то это значит, что система теряет над ним контроль? или как?

Музалёв Николай писал(а):- может ли продвинутое прямоходящее, начитавшись на ночь журнал Хакер или еще каких страшилок, отключить этот самый агент? (как службу или драйвер)

Вообще-то подразумевается что при закручивании гаек пользователь даже не продвинутый пользователь. Если это не соблюдено то уже можна все защиты обойти почти "законными методами". При желании запросто отключить что-либо и юзером - берем дискету/CD/загрузочную флешку с редактором реестра и NTFS...
Одним словом секурная софтина в идеале должна иметь свой сервер, который умел бы "удивляться" а почему 192.168.0.1 пингуется а его клиент не подает никаких признаков жизни?! Ну и технические меры должны сочитаться с организационными.
Тут обсуждали терминалки недавно - вот они дают возможность контролировать каждый чих. Информацию, если "острый приступ секрентости" при закрытом доступе ко всему кроме удаленного стола можно только послать по инету, распечатать, сфотографировать ну и запомнить.

Иван Иванов писал(а):Одним словом секурная софтина в идеале должна иметь свой сервер, который умел бы "удивляться" а почему 192.168.0.1 пингуется а его клиент не подает никаких признаков жизни?! Ну и технические меры должны сочитаться с организационными.

[и] тут прибежали/[примчались] санитары и зафиксировали нас (с) самизнаетекто

Музалёв Николай писал(а):Исторически сложилось, что пользователи у нас - локальные админы. Потому интересует возможность слегка продвинутого пользователя свести на нет наши усилия путем выгрузки или какой блокировки агентов такой следящей системы.

Если админы то

net stop ИМЯ_СЛУЖБЫ

и усё... конец секурности, гы...

Музалёв Николай писал(а):А для начала поясните свою мысль, я не понял: если можно выгрузить агент Зена, то это значит, что система теряет над ним контроль? или как?

Выгружаете агента ZEN => все политики и тд. что этот агент получает больше он не получит и не применит, но это не значит что уже применённые политики перестанут работать!

Например, у меня настроены динамические пользователи, тормозим на машинке агента и приехали, больше на комп никто кроме локальных юзеров не войдёт, а локальный только один (Администратор) и его пароль в сейфе!

а локальный только один (Администратор) и его пароль в сейфе!

Итак, можно делать РЕЗЮМ (с): глобальную безопасность следует начинать с истребления локальных админов. Так?

Ибо при наличии локального админа ему возможно остановить практически любой процесс ( драйвер, задачу, поток..), которыцй эту секретность обеспечивает. Так?

Ни в винде, ни в NW (zen, политики и тд) нет искуственных трюков, которые могли бы искуственно ограничить права локального админа или замаскировАть работающую фискалину (типа как делали ранее продвинутые ЕХЕ-вирусы) Так?

Музалёв Николай писал(а):

а локальный только один (Администратор) и его пароль в сейфе!

Итак, можно делать РЕЗЮМ (с): глобальную безопасность следует начинать с истребления локальных админов. Так?

Да думаю нет! Я не эксперт, но думаю что следует начинать с составления каких то правил и политик этой самой безопасности.

Музалёв Николай писал(а):Ибо при наличии локального админа ему возможно остановить практически любой процесс ( драйвер, задачу, поток..), которыцй эту секретность обеспечивает. Так??

Можно переименовать Администратора в что нить попроще, типа Гостьь

Музалёв Николай писал(а):Ни в винде, ни в NW (zen, политики и тд) нет искуственных трюков, которые могли бы искуственно ограничить права локального админа или замаскировАть работающую фискалину (типа как делали ранее продвинутые ЕХЕ-вирусы) Так?

Есть и ноне программы которые маскируют себя!
А можно админа удалить, правда в случае если доменный вход или иные механизмы сломаются можно попасть в засаду

Григорьев Михаил писал(а):Если админы то

net stop ИМЯ_СЛУЖБЫ

Ну, это net stop еще надо где-то набрать .. и если в политике тебе запрещено пользование КС ( хоть ты и админ ), то еще сперва надо подумать - а как это сделать. И с реестром тоже аналогично, и с прочими нехорошими штучками. А CD-ROMы можно просто поотключать, равно как и бутовость с USB - чтобы грузиться только с HDD и еще с сети, если есть надобность. Конечно, это все полумеры, но у комплексе они довольно сильно портят жизнь читателям Кулхацкера.

У нас все пользователи - локальные админы. +1

Григорьев Михаил писал(а):
Если админы то

net stop ИМЯ_СЛУЖБЫ

и усё... конец секурности, гы...

Почему? Групповые политики уже все, что надо, в реестр записали. Или я неправильно их понимаю?

Григорьев Михаил писал(а):Выгружаете агента ZEN => все политики и тд. что этот агент получает больше он не получит и не применит, но это не значит что уже применённые политики перестанут работать!

Григорьев Михаил писал(а): и возник.

Григорьев Михаил писал(а):Например, у меня настроены динамические пользователи, тормозим на машинке агента и приехали, больше на комп никто кроме локальных юзеров не войдёт, а локальный только один (Администратор) и его пароль в сейфе!

Это справедливо, если пользователь, созданный DLU, убивается при выходе из сети У меня, например, этого не происходит - потому все, кто раньше зашел с работающим DLU, зайти может. Не используется Roaming потому, что дюже тормозно у меня пользовательское окружение создается, а также очень умные приложения типа того же ворда всякий раз начинают задавать глупые вопросы типа "а как вас звать-величать". В общем, пользователи этой практикой недовольны. Хотя я склоняюсь к тому, чтобы таки подточить систему до того, чтобы глупых вопросов не возникало, а профили таки убивались. Пусть потерпят лишние минуту-три, пока профиль пишется - зато экономится место в Documents and settings.