Секретность от NW: SecureWave Sanctuary & Sentinel 5

[Музалёв Николай]

Уважаемые коллеги!
Ноне пришлось читать про

SecureWave Sanctuary 4 - решение по блокировке и контролю использования устройств и приложений на рабочих станциях под управлением Windows 2000/XP.

и про

Novell Sentinel 5 (ранее eSecurity) - решение по комплексному мониторингу информационной безопасности предприятия. Основываясь на едином хранилище и единой шине имеет продолжительный список коннекторов к различным системам для построения единого проактивного центра мониторинга.

Заинтересовало, тем более, что ноне у начальства острый приступ секрентости на фоне хронической фискальности...
Чтение соответствующей PDF-документации на сайте NW, а также первоисточников с http://www.securewave.com туман в головах только сгустило.

Вопрос: кто либо пользует? в каких целях? цели достигнуты? и как общее впечатление? какова цена на пользователя? и тд.... вобщем - не постесгяйтесь изложить.

Спасибо.

[Павел Гарбар]

Николай! Я тебе переслал письмецо про это. И у нас в Питере вроде 9 ноября семинар будет:
http://www.eureca.ru/seminars/novellsec/

Кирилл Степанов эту штуку уже пару месяцев изучает с целью подготовки показательных стендов. Так что при случае можете через московское представительство Новелл попытаться заказать проведение семинара или технической презентации для вас.

[Андрей Тр. aka RH]

в Питере вроде 9 ноября семинар будет:
http://www.eureca.ru/seminars/novellsec/

Интересно было почитать - здорово, что проводятся подобные сборища. Однако, особенно порадовал "провижнинг" продолжительный список коннекторов .. для построения единого проактивного центра мониторинга тоже ничего.

[alexp_mac]

в Питере вроде 9 ноября семинар будет:
http://www.eureca.ru/seminars/novellsec/

Интересно было почитать - здорово, что проводятся подобные сборища. Однако, особенно порадовал "провижнинг" продолжительный список коннекторов .. для построения единого проактивного центра мониторинга тоже ничего.

А цена .....ууууу чтоб я так жил...
http://www.novell.com/products/sentinel/howtobuy.html

[Михаил Григорьев]

Вопрос: кто либо пользует? в каких целях? цели достигнуты? и как общее впечатление? какова цена на пользователя? и тд.... вобщем - не постесгяйтесь изложить.

Используем аналог, DeviceLock, но он нас не устраивает, заточен под AD а такового нету, российский Zlock еще более убогий
GFI LANguard Portable Storage Control тоже не фантан!

Сейчас вот качаю триал SecureWave Sanctuary 4, буду тестировать, но цена очень высока, не пойму почему так дорого то

[Музалёв Николай]

2 Павел Гарбар
Спасибо, получил, читаю. Вообщето вопрос и возник по получению приглашения на этот семинар.

2 Григорьев Михаил

...триал SecureWave Sanctuary 4, буду тестировать, но цена очень высока...

Гм... насколько позволяет мой англ., понял примерно так:
- классическая клиент-серверная трехзвенка,
- СерверБД хранит хеш-коды разрешенных приложений (типа обобщенный профиль рабочей станции)
- Клиент на рабочке по запуску приложения вычисляет хеш и передает его серверу приложений
- СерверПрилож считывает профиль данной рабочей станции и если полученный от клиента хеш в нем есть, то дает агенту разрешение на запуск этого приложения. Это если какой ворд

А если какой Дуум, то разрешения не будет и агент на рабочке запустить его не даст

Правильно или чего пропустил?

Но тогда 2ва вопроса:
- может ли продвинутое прямоходящее, начитавшись на ночь журнал Хакер или еще каких страшилок, отключить этот самый агент? (как службу или драйвер)
- в чём глобальное отличие предложенного решения от того же нашего Зена или от, например, того же SoftTrack'a?
(Вообщето - СофтТрак будет производства той же богодельни, что и DSMETER, а там ребята серьезные: уж если пишут "блокировка", то будьте уверены - реальная блокировка... Даже админа отсекает от Дерева, если такое в его профиле указать...
Так что очень рекомендую обратить внимание. Опять же - цены вполовину, как мин.)

PS. Кстати, а агент Зена тоже может быть выгружен? или это заблокировано. (предполагается, что Пользователь - админ рабочки.)

Спасибо.

[Андрей Фисенко]

PS. Кстати, а агент Зена тоже может быть выгружен? или это заблокировано. (предполагается, что Пользователь - админ рабочки.)

Можно выгрузить, но что это даст?
Все гайки по управлению компом закручиваются через реестр винды, причем так, что права админа рабочки не канают.

[Музалёв Николай]

Можно выгрузить, но что это даст?

Андрей!
Выше я писАл - нач. озаботилось увеличением фискальных функций сетевой среды ( кто куда с кем и зачем ходил, во что играл и на что потратил время и тд) В связи с этим прорабатываем ряд кандидатов на место такой системы.

Подпереть острым глазом большого Б предполагается как нижний уровень ( СКС, интенсивность трафика и тд) , так и уровень приложений на рабочих машинах со старшими виндами.

Исторически сложилось, что пользователи у нас - локальные админы. Потому интересует возможность слегка продвинутого пользователя свести на нет наши усилия путем выгрузки или какой блокировки агентов такой следящей системы.

Конечно, изначально созданная на коленке винда это тебе не юникс с его изначальным многопользием, но возможно найдутся способы предотвратить противодействие слежению со стороны локальных админов, слегка понимающих в дебрях реестра, служб, потоков и тд...

Кстати, коллеги, предложениея как ловить на месте особо талантливых прямоходящих приветствуются...

А для начала поясните свою мысль, я не понял: если можно выгрузить агент Зена, то это значит, что система теряет над ним контроль? или как?

[Иван Иванов]

- может ли продвинутое прямоходящее, начитавшись на ночь журнал Хакер или еще каких страшилок, отключить этот самый агент? (как службу или драйвер)

Вообще-то подразумевается что при закручивании гаек пользователь даже не продвинутый пользователь. Если это не соблюдено то уже можна все защиты обойти почти "законными методами". При желании запросто отключить что-либо и юзером - берем дискету/CD/загрузочную флешку с редактором реестра и NTFS...
Одним словом секурная софтина в идеале должна иметь свой сервер, который умел бы "удивляться" а почему 192.168.0.1 пингуется а его клиент не подает никаких признаков жизни?! Ну и технические меры должны сочитаться с организационными.
Тут обсуждали терминалки недавно - вот они дают возможность контролировать каждый чих. Информацию, если "острый приступ секрентости" при закрытом доступе ко всему кроме удаленного стола можно только послать по инету, распечатать, сфотографировать ну и запомнить.

[Владимир Горяев]

Одним словом секурная софтина в идеале должна иметь свой сервер, который умел бы "удивляться" а почему 192.168.0.1 пингуется а его клиент не подает никаких признаков жизни?! Ну и технические меры должны сочитаться с организационными.

[и] тут прибежали/[примчались] санитары и зафиксировали нас (с) самизнаетекто

[Михаил Григорьев]

Исторически сложилось, что пользователи у нас - локальные админы. Потому интересует возможность слегка продвинутого пользователя свести на нет наши усилия путем выгрузки или какой блокировки агентов такой следящей системы.

Если админы то

net stop ИМЯ_СЛУЖБЫ

и усё... конец секурности, гы...

А для начала поясните свою мысль, я не понял: если можно выгрузить агент Зена, то это значит, что система теряет над ним контроль? или как?

Выгружаете агента ZEN => все политики и тд. что этот агент получает больше он не получит и не применит, но это не значит что уже применённые политики перестанут работать!

Например, у меня настроены динамические пользователи, тормозим на машинке агента и приехали, больше на комп никто кроме локальных юзеров не войдёт, а локальный только один (Администратор) и его пароль в сейфе!

[Музалёв Николай]

а локальный только один (Администратор) и его пароль в сейфе!

Итак, можно делать РЕЗЮМ (с): глобальную безопасность следует начинать с истребления локальных админов. Так?

Ибо при наличии локального админа ему возможно остановить практически любой процесс ( драйвер, задачу, поток..), которыцй эту секретность обеспечивает. Так?

Ни в винде, ни в NW (zen, политики и тд) нет искуственных трюков, которые могли бы искуственно ограничить права локального админа или замаскировАть работающую фискалину (типа как делали ранее продвинутые ЕХЕ-вирусы) Так?

[Михаил Григорьев]

а локальный только один (Администратор) и его пароль в сейфе!

Итак, можно делать РЕЗЮМ (с): глобальную безопасность следует начинать с истребления локальных админов. Так?

Да думаю нет! Я не эксперт, но думаю что следует начинать с составления каких то правил и политик этой самой безопасности.

Ибо при наличии локального админа ему возможно остановить практически любой процесс ( драйвер, задачу, поток..), которыцй эту секретность обеспечивает. Так??

Можно переименовать Администратора в что нить попроще, типа Гостьь

Ни в винде, ни в NW (zen, политики и тд) нет искуственных трюков, которые могли бы искуственно ограничить права локального админа или замаскировАть работающую фискалину (типа как делали ранее продвинутые ЕХЕ-вирусы) Так?

Есть и ноне программы которые маскируют себя!
А можно админа удалить, правда в случае если доменный вход или иные механизмы сломаются можно попасть в засаду

[Андрей Тр. aka RH]

Если админы то

net stop ИМЯ_СЛУЖБЫ

Ну, это net stop еще надо где-то набрать .. и если в политике тебе запрещено пользование КС ( хоть ты и админ ), то еще сперва надо подумать - а как это сделать. И с реестром тоже аналогично, и с прочими нехорошими штучками. А CD-ROMы можно просто поотключать, равно как и бутовость с USB - чтобы грузиться только с HDD и еще с сети, если есть надобность. Конечно, это все полумеры, но у комплексе они довольно сильно портят жизнь читателям Кулхацкера.

У нас все пользователи - локальные админы. +1

[Иван Левшин aka Ivan L.]

Если админы то

net stop ИМЯ_СЛУЖБЫ

и усё... конец секурности, гы...

Почему? Групповые политики уже все, что надо, в реестр записали. Или я неправильно их понимаю?

Выгружаете агента ZEN => все политики и тд. что этот агент получает больше он не получит и не применит, но это не значит что уже применённые политики перестанут работать!

и возник.

Например, у меня настроены динамические пользователи, тормозим на машинке агента и приехали, больше на комп никто кроме локальных юзеров не войдёт, а локальный только один (Администратор) и его пароль в сейфе!

Это справедливо, если пользователь, созданный DLU, убивается при выходе из сети У меня, например, этого не происходит - потому все, кто раньше зашел с работающим DLU, зайти может. Не используется Roaming потому, что дюже тормозно у меня пользовательское окружение создается, а также очень умные приложения типа того же ворда всякий раз начинают задавать глупые вопросы типа "а как вас звать-величать". В общем, пользователи этой практикой недовольны. Хотя я склоняюсь к тому, чтобы таки подточить систему до того, чтобы глупых вопросов не возникало, а профили таки убивались. Пусть потерпят лишние минуту-три, пока профиль пишется - зато экономится место в Documents and settings.