Секретность от NW: SecureWave Sanctuary & Sentinel 5

[Иван Иванов]

Почему? Групповые политики уже все, что надо, в реестр записали. Или я неправильно их понимаю?

Как записали так оттуда и удалим мы ж "Админы"/"продвинутые пользователи". Если запрещено редактирования реестра или диспетчер задач пришлем себе по почте сторонний редактор или менеджер процессов который работает с реестром напрямую и функциональнее встроенного возможно. Нет явной возможности запустить командную строку? Запускаем фар или софтину со стандартным файловым диалогом и ищем cmd.exe и т.д. и т.п. Если позакрывать все и оставить 2 кнопки "Работать" и "Не работать" работать становится очень неудобно. а почему идмено админы? Ну дайте пользователю права на файловую систему и на реестр куда надо и получится почти админ но это уже лучше чем админ у которого эти права отняли.

[Иван Левшин aka Ivan L.]

Как записали так оттуда и удалим мы ж "Админы"/"продвинутые пользователи". Если запрещено редактирования реестра или диспетчер задач пришлем себе по почте сторонний редактор или менеджер процессов который работает с реестром напрямую и функциональнее встроенного возможно. Нет явной возможности запустить командную строку? Запускаем фар или софтину со стандартным файловым диалогом и ищем cmd.exe и т.д. и т.п. Если позакрывать все и оставить 2 кнопки "Работать" и "Не работать" работать становится очень неудобно.

Про то, что их убить можно - я понимаю Меня ввело в сомнение утверждение о том, что ежели снести агента, тут же (в том же сеансе) все похерится. А так - да, сломать можно и это не очень сложно.

[Андрей Тр. aka RH]

права .. куда надо

Этот подход, безусловно, правильнее. Проблема только в том, что при этом каждое изменение в SOE надо тестировать и проверять вот все эти "куда надо" - каким приложениям где и чего надо, для полного их функционирования. Запрещать избранное проще, чем избранное разрешать .. ИМХО. К тому же проблемы с "куда надо", если что, будут влиять на всех и постоянно - до их разрешения.

[Музалёв Николай]

что следует начинать с составления каких то правил и политик этой самой безопасности.

Ммм... ну, помогайте:
а)имеем:
- примерно 70% систем под старшими виндами, остальные - 98
- NW51, 8734
- пользовательские задачи - уровня CAD (потому терминальные решения - не канают)
- пришло поколениеМладое, незнакомое [с правилпми нормальной работы.] . Административно-социальные меры - не работают. (Так получилось, это не я не виноват....)

b)требуется:
- предотвратить (или максимально усложнить и фиксировать)несанкционированную локальную активность ( типа ставить самим всякую дрянь)
- выборочно (или глобальное) протоколировать активность рабочей станции в течении р.дня
- контроль трафика на/с раб.станцию
- генерация каких-никаких отчетов. В идеале - аларм-сигнал на пороговое значение нескольких контролируемых параметров.

c)цель:
- отшибить охоту заниматься безднльем на р. месте
- минимизировать возможность заненсения всякой дряни из Сети
- предотвращать деградацию ОС за счет посторонних программ
- в будущем идеале - контроль за инсайдерской деятельностью

d)на сегодня сделано:
- сеть полностью переведена на ИП и разбита на подсети. Горизонтальной маршрутизации нет, только к/от серверному пулу.
- чаты/ирки/аськи заменены на NWSEND
- блокирована возможность закачки извне файлов-архивов
- минимизировано до 2х уровней дифференциация пользователей в Дереве: простой пользователь + начальник подразделения ( RF-права на каталоги подчиненных)
- установлен PCOUNTER, протестирован и готов к установке DSMETER.

Вот примерно так в плане практическом.

В плане философском основой нашей политикив области ИТ-ресурсов является тезис "Что явно не разрешено, то считать явно запрещенным"

Коллеги! буду рад вашей помощи дельным советом, но на очень большой бюджет советовать не стОит, так, тысяч на 5ть-8мь...

Спасибо.

[Иван Левшин aka Ivan L.]

Ммм... ну, помогайте:
а)имеем:
- примерно 70% систем под старшими виндами, остальные - 98

Зеновскими политиками (и/или клиентом) на 9х граждане делали невозможность локального входа в систему. Однако с 9х оно тоже не особо работает - грузимся в защищенный режим или в чистый дос и мы хозяева положения.

- пользовательские задачи - уровня CAD (потому терминальные решения - не канают)

Пробовали и убедились или это только предположение?

- пришло поколениеМладое, незнакомое [с правилпми нормальной работы.] . Административно-социальные меры - не работают. (Так получилось, это не я не виноват....)

По хорошему - масса проблем технически нерешаема. Так что настоятельно рекомендую прислушаться к совету Михаила и разработать и утвердить у генерального таки корпоративную политику безопасности.

b)требуется:
- предотвратить (или максимально усложнить и фиксировать)несанкционированную локальную активность ( типа ставить самим всякую дрянь)
- выборочно (или глобальное) протоколировать активность рабочей станции в течении р.дня
- контроль трафика на/с раб.станцию
- генерация каких-никаких отчетов. В идеале - аларм-сигнал на пороговое значение нескольких контролируемых параметров.

Из лично мне знакомого - ЗЕН и Novell Audit. Про сентинел читал (и то наискось - после того, как мне сказали в московском офисе Новел, что Сайфулин вторую неделю бьется с ним и пока не добился результатов. Полагая себя глупее Сайфулина и, честно говоря, ленясь - смотреть не стал). В полный рост задействуем групповые политики. Аудит - опять же не смотрел (попробовал поставить, но сразу не пошло, а времени разбираться особо не было), однако здесь говорится:

Код: Выделить всё

Novell Audit provides a secure network event logging and auditing foundation that delivers proof of your compliance. It collects and filters system data from a wide variety of sources, provides real-time monitoring and notification, and includes multiple reporting options to support your administrative, auditing, and regulatory processes.

Т.е., по идее, ЗЕНом мы можем попробовать закрыть раб. станцию, а аудитом - смотреть, что происходит.

c)цель:
- отшибить охоту заниматься безднльем на р. месте
- минимизировать возможность заненсения всякой дряни из Сети
- предотвращать деградацию ОС за счет посторонних программ
- в будущем идеале - контроль за инсайдерской деятельностью

Прошу прощения за повторение - но в первую очередь это решается ТОЛЬКО административными путями. Например, у нас изначально инет выдается только за "выдающиеся заслуги" и мы можем более-менее жестко контролировать его использование. Потому народ нас и опасается - инет таки довольно деятельный рычаг воздействия. В Вашем случае будет тяжелее - отнимать гораздо труднее, чем не давать изначально.

По поводу "дряни из Сети" - файрволлы. Центральный и жестко управляемый из центра персональный (типа Symantec Client Firewall) без возможности изменения правил доступа пользователем.

По поводу "отшибания охоты" - в принципе, в ЗЕНе есть удаленное управление... В особо запущенных случаях можно подключаться, делать снимки экрана и потом идти к руководителю. Подразделения или предприятия.
Правда, мы столкнулись с проблемой - при установке Remote Management на клиенте в автокаде пропадает перекрестье курсора. В принципе - можно на клиентах пользовать любое другое удаленное средство управления.

Установка лишнего - в ЗЕНе есть Inventory, где можно посмотреть и состав софта, и состав железа. То же можно делать с помощью запуска аиды или эвереста на клиенте. Потом - сравнить и принимать меры, буде лишнее обнаружится.

В плане философском основой нашей политикив области ИТ-ресурсов является тезис "Что явно не разрешено, то считать явно запрещенным"

Осталось философию превратить в практику. Может стоит выйти на руководство с докладом о том, чем конторе в принципе грозит казачья вольница? Директор чаще всего хорошо понимает страшилки, выражаемые в финансовом отношении.

[Владимир Горяев]

Поставить чела с ружом у каждого компа, ружжо заряжжено и готово к коноторльному выстрелу

Из лично мне знакомого - ЗЕН и Novell Audit. Про сентинел читал (и то наискось - после того, как мне сказали в московском офисе Новел, что Сайфулин вторую неделю бьется с ним и пока не добился результатов. Полагая себя глупее Сайфулина и, честно говоря, ленясь - смотреть не стал). В полный рост задействуем групповые политики. Аудит - опять же не смотрел (попробовал поставить, но сразу не пошло, а времени разбираться особо не было),

NA за евентами на РС следить не будет, не царское ето дело. ОФФ: Сайфуллин с двумя "л".

ZEN рулит, но от атомного взрыва не спасет.
за 8 килоденег, думаю апгрейд OWGS, где есь все (зены, аудиты, СЛЕДы и пр. группенвайзы).

[Павел Гарбар]

IDM 3 и SecureLogin пропускаем...

Краткий вывод о продуктах Sentinel и Sanctuary.
Итак, Sentinel - штука, которая пасет что вообще во всей сети творится, делает выводы и докладывает кому надо, в нужном виде.
Делается это на основе сбора и анализа всевозможных логов.
Вещь сложная, тяжелая и дорогая (от 100к$). Но, кому надо - реально хорошая. В нашей стране таких пока не было, так что посмотреть живьем в деле не у кого. Если кому надо - или сами пробник изучаете или можно позвать Кирилла Степанова - он как раз демо стенд для этого и готовит.

Sanctuary - вещь, безусловно, красивая и полезная. От прародителя (SecureWave) отличается тем, что понимает eDir и поставляется сразу комплектом для управления и приложениями и устройствами. Не заменяет и не конкурирует с ZEN'ом, а отлично дополняет его.
Работает как драйвер, поэтому его нельзя выгрузить как приложение или остановить как сервис. Пользователю он вообще не виден. Для совсем прямо ходящих было сказано, что есть возможность при несанкционированном удалении драйвера из системы винда вообще не запустится. Все сообщения и предупреждения на экран для пользователя выдаются от имени системы, так что для пользователя внешних признаков присутствия может вообще не быть (есть режим работы с отображением иконки в трее и без него).
Про приложения. На станцию в виде политики заливается дайджест сигнатур разрешенных/запрещенных приложений (список большой, обновляется через Инет, можно добавлять свои на основе просканированных приложений на станции). Политики кэшируются, так что в автономе продолжают работать. При запуске программы проверяется можно ли ей работать или нет. Естественно, политики для станций и пользователей. Понимает eDir, AD, а при их отсутствии (для небольших групп) - может работать и в рабочих группах.
Про устройства. Понимает много всякоразных шин/устройств/носителей. Может запрещать, а может дозировано разрешать использование (чтение, запись, шифрование, дешифрование и еще чего-то), есть фильтрация по типу файлов (а не только по расширению). При записи файлов может параллельно писать в "нужное место" для большого брата. Политики также пишутся для станций и пользователей (связка с ZENом сильно облегчает жизнь - автоматический импорт рабочих станций в eDir и динамические пользователи на виндах). Тоже кэшируются.
В журнал можно писать много подробностей - большому брату понравится. Про параллельное записывание файлов я уже сказал.
Для работы требуется MS SQL (тяжкое наследие), других не понимает.
Стоит 55$ за устройство (в общем недорого, особенно с учетом того, что по отдельности приложения и устройства у самого SecureWave обойдутся дороже).
Из интересных вопросов от правильных людей - обычные сетевые карты в список устройств не входят (хотя отдельно понимает беспроводные карты, модемы и другие "вторичие сетевые адаптеры").
Пробник тоже есть.

[Михаил Григорьев]

Sanctuary Device Control 4.0 кстате говоря сломал мне напрочь ХPюшу, чем я сильно недоволен, синий экран и все, удаление сиё чуда даже не помогло, винда так и не поднялась

Ставить на рабочий win2k3 пока не решился, а то как уронит его, я потом посидею все восстанавливать

то что MS SQL мне не сильно приглынулось, ну да нихай, ибо у меня на MS SQL еще куча всего крутиться

На первый взгляд я так и не понял насколько плотно Sanctuary Device работает с eDir, нашел в комплекте скрипт для импорта из eDir юзеров, получается что это и вся интеграция? чот не супер решение, да за такие деньги!

Если я ошибся Павел, то поправь меня

[Музалёв Николай]

сломал мне напрочь ХPюшу

Гм... есть (ничем не подкрепленное) ИМНО, что системы такого плана достаточно чувствительны к порядку установки - например можно ставить ТОЛЬКО сразу на чистую систему после первичной настройки драйверов... или какое ангалогичное требование, которое формально нигде-никем-никогда не озвучивается... , а только вот так - после практических кувырков и тихих-незлых слов.

В любом случае - спасибо Павлу.

[Павел Гарбар]

Про eDir и дивайсы.
Сам не ставил, видел только то, что показывали на семинаре. А там был еще и ЗЕН. ЗЕН импортировал в eDir станции, на станции потом попадали динамические пользователи из eDir.
Консоль управления Sanctuary видела и то и другое. А как они туда попали я не видел. Но факт, что попали, а этого в принципе достаточно для управления :-)
И пара слов про интеграцию. Суть в том, что от самой SecureWave можно купить продукт понимающий только для AD и Workgroup, и отдельно для устройств и для приложений. От Новелла идет bundle (и устройства и приложения) и понимает eDir. А уж как они там заинтегрировали мне неведомо - разработчиков в Питер не привозили :-)
Про деньги. Сам цен от SecureWave не видел, но раз сказали, что у Новелла по прайсу бандл дешевле, то верю. 55$ - не такие большие деньги - для "не нас", потому как зарплаты у нас не те, и проблемы, с которыми оно помогает бороться у нас обходятся "дешевле" (пойди и у всех вытащи флопики и сидюки (а если их потом продать, то еще и в наваре окажетесь :-) )). ZfD стоит 69$ и окупается у "не нас" за три месяца. Если исходить из цены безопасности и всяких там конфиденциальных утечек, то тут каждый считает сам за себя.
Про ХР. Видишь ли, оно и без Sanctuary может так упасть, что и не поднимешь :-( Я недавно людям машину по-новой ставил (вирусы ее одолели) - офис накатил, а ворд вываливался с попыткой послать сообщение в MS. И это при том, что на этой машине всё стояло с этих же дистрибутивов. ХЗ чего ему в этот раз не понравилось...

[Dimerson]

Чуть не в тему ... пока дойдут руки до DeviceLock и иже с ними ...

пока вот что думаю - если все 2000 XP в домене то можно

на секцию HKLM/System/CurrentControlSet/Services/usbstor
убрать права у всех в тч и у System и оставить только доменныи админам. Наследование тоже отменяем. Большинство прямоходящих и распальцованных которым урезание локального админа влечет бодания с начальством идукт лесом автоматически.

Так ?

[Иван Иванов]

Чуть не в тему ... пока дойдут руки до DeviceLock и иже с ними ...

пока вот что думаю - если все 2000 XP в домене то можно

на секцию HKLM/System/CurrentControlSet/Services/usbstor
убрать права у всех в тч и у System и оставить только доменныи админам. Наследование тоже отменяем. Большинство прямоходящих и распальцованных которым урезание локального админа влечет бодания с начальством идукт лесом автоматически.

Так ?

Неа.
http://support.microsoft.com/kb/823732
Запрет на запись
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies]
"WriteProtect"=dword:00000001

[Музалёв Николай]

Некоторое время разбираюсь с программкой SUNCTUARY.

Очень, очень всё здорово.
Если кто владеет вопросом DeviceLock, то тут практически тоже самое, но есть два серьезных отдичия:
- SUN является клиент-серверной сист и поэтому создание, хранение и распространение политик ( или правил) делается централизованно

- в отличие от DL эта прогр. умеет управлять ( согласно заранее выработанным и представленным на рабочую станцию правилам) еще и ПО.
Т.е если кто притащил левую игрушку, то установить ее можно, но оно не запуститься.

Однако есть одно оооочень большое НО:

( пока, правда, не ясно - это врожденная фича или я чего неДосмотрел...)

Дык вот, проблема в том, что пользователи в базу из Дерева импортируются по бейсиковскому скрипту.
Делать это надо или руками или по крону.

Но это не самое главное.

Проблема в следующем:
- имеем в Дереве пользоваетеля ВасюПупкина. Ему дадено право на CD-ROM
- имеем в Дереве пользователя ПупкуВасина. Ему НЕ дадено права на CD-ROM
- ВП загружает машину и подключается к сети. Программа дает ему право на устройство.
- ВП отлогинивается от сети NW и съезжает. На его место приходит ПВ.
- ПВ подключается к NW.
- Система видит нового пользователя НО НЕ МЕНЯЕТ прав. Прва на привод остаются , как для ВП.
- для вступления в жизнь прав на устройство для ПВ необходимо или перезагр. ПК или Завершить сеанс ( что практически равноценно)

Т.о. в наших конкретных условиях, когда прямоходящие кочуют с машины на машину, ценность этой программки становится очень спорной....

Вот что значит неродной каталог...

ВОПРОС: Если кто разбирался с программкой до уровня более моего, то как он справился с этой проблемой?

как заставить программу применять правила к новому пользователю по факту его подлогинивания к NW , а не по перезаргузке винды.

Спасибо.

[Владимир Горяев]

Николай, я не разбирался с программкой до уровня более. Но тут дело скорее в венде. Права то даются вендовому пользователю а он не сменяется. Т.о. надо что-то менять в LS Novell client, чтоб и вендовый пользователь менялся. ИМХО.

[Музалёв Николай]

Права то даются вендовому пользователю а он не сменяется.

А не очень понятно:
- если в NW не входить, а загрузиться как локальный Админ на ПК, то будут применены права по умолчанию.

- если потом, из автонома, войти в NW, то оно поймет пользователя из Дерева и даст ему его права.

- но если потом новым NW-пользователем войти в NW-сеть, то она его понимает, но прав не переназначает.