Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / OLAP и DWH Новый топик    Ответить
 SSAS - Multidimensional: защита файлов данных и конфигурации (msmdsrv.ini) от local Admin  [new]
vikkiv
Member

Откуда: London / Zurich
Сообщений: 1134
SSAS - Multidimensional:
- защита файлов данных (директории),
- конфигурации (msmdsrv.ini),
- и параметров запуска сервиса от локального админа

Собственно сабж - как? (хотя возможно вопрос больше для форумов по защите/безопасности Windows Server)
Если файлы данных и конфигурации хранятся тоже локально? (чтобы Админ не смог TakeOwnerShip на NTFS директорию, да и просто навесить Audit на файлы не решает проблему утечки данных)

Идея в ограничении доступа на чтение папки с данными и папки конфигурации средствами безопасности Windows

Проблема в возможности перезапуска сервиса со своей конфигурацией (msmdsrv.ini из другого места) - но не в курсе может-ли локальный админ перезапустить службу под тем-же пользователем (не зная пароля) но с другой конфигурацией с изменёнными опциями в msmdsrv.ini на BuiltinAdminsAreServerAdmins/ServiceAccountIsServerAdmin?

Кто-то сталкивался с решениями? Выносить на внешнее защищённое хранилище (сеть/CIFS/NAS/SAN и пр.) инфраструктура не позволяет. Криптовать директорию (сертификатами и т.д. через EFS/TFE) - где-то читал что потом с процессингом проблемы бывают (особенно ругаются на BitLocker), да и на шифрование туда-сюда дополнительная мощность потребляется (хотя наверное приемлемо-минимальная).

Может у кого какой опыт есть в решениях данного рода? (хотя-бы без возможности предоставления минимальных прав левым пользователям даже для BackUp)
13 авг 17, 00:17    [20719273]     Ответить | Цитировать Сообщить модератору
 Re: SSAS - Multidimensional: защита файлов данных и конфигурации (msmdsrv.ini) от local Admin  [new]
Владимир Штепа
Member

Откуда: Hannover
Сообщений: 6001
Какого типа проблемы возникают у вас от того что локальный админ имеет доступ к этим файлам?
13 авг 17, 09:10    [20719354]     Ответить | Цитировать Сообщить модератору
 Re: SSAS - Multidimensional: защита файлов данных и конфигурации (msmdsrv.ini) от local Admin  [new]
vikkiv
Member

Откуда: London / Zurich
Сообщений: 1134
Владимир Штепа - очевидный пример наверное будет: проблема в виде риска утечки информации
13 авг 17, 10:20    [20719416]     Ответить | Цитировать Сообщить модератору
 Re: SSAS - Multidimensional: защита файлов данных и конфигурации (msmdsrv.ini) от local Admin  [new]
RioMare
Member

Откуда: EU
Сообщений: 269
vikkiv
SSAS - Multidimensional:
параметров запуска сервиса от локального админа

А сервер тоже локальный или в домене ? Запускайте SSAS под доменной учётной записью и сделайте доступ к файлам только для этого аккаунта + policy editor сделайте revoke на TakeOwnership для локального админа - как то так.
15 авг 17, 08:28    [20723825]     Ответить | Цитировать Сообщить модератору
 Re: SSAS - Multidimensional: защита файлов данных и конфигурации (msmdsrv.ini) от local Admin  [new]
vikkiv
Member

Откуда: London / Zurich
Сообщений: 1134
RioMare, да, спасибо, все системы через DC с GP, сотни групп в AD на каждый нужный и не нужный случай, в эти дебри сам не полезу, действительно похоже что тема больше для Win-Serv security форумов, делегирую админам, пускай разбираются.
16 авг 17, 07:56    [20726951]     Ответить | Цитировать Сообщить модератору
 Re: SSAS - Multidimensional: защита файлов данных и конфигурации (msmdsrv.ini) от local Admin  [new]
vborets
Member

Откуда:
Сообщений: 97
от локального админа на локальном компе спасет только шифрование, все политики домена пофиг
16 авг 17, 16:45    [20728845]     Ответить | Цитировать Сообщить модератору
Все форумы / OLAP и DWH Ответить