Добро пожаловать в форум, Guest  >>   Войти | Регистрация | Поиск | Правила | В избранное | Подписаться
Все форумы / Microsoft SQL Server Новый топик    Ответить
Топик располагается на нескольких страницах: [1] 2   вперед  Ctrl      все
 Может ли администратор Windows получить доступ к MSSQL server если  [new]
selis76
Member

Откуда:
Сообщений: 361
Вопрос в следующем.
Есть сервер MS SQL 2008r2 + Windows 2012
Необходимо сделать так чтобы администратор Windows не мог получить доступ к MSSQL и не мог воспользоваться информацией из бэкапов.
MS SQL поднят без Windows авторизации. Т.е. логин администратора только через sa , логины пользователей тоже через учетки MSSQL
Вопрос: Есть ли где толковая статья как это можно организовать грамотно?
Администрирование MSSQL делается через терминальную сессию Windows. Я понимаю что теоретически администратор Windows может поставить какие то программки которые перехватывают ввод паролей и т.д, но как понимаю защита MS SQL это как то должна предусматривать
14 май 15, 16:43    [17640871]     Ответить | Цитировать Сообщить модератору
 Re: Может ли администратор Windows получить доступ к MSSQL server если  [new]
Konst_One
Member

Откуда:
Сообщений: 11538
от админа нет защиты
14 май 15, 16:44    [17640880]     Ответить | Цитировать Сообщить модератору
 Re: Может ли администратор Windows получить доступ к MSSQL server если  [new]
Кот Матроскин
Member

Откуда: Москва
Сообщений: 8933
selis76
MS SQL поднят без Windows авторизации.


Как это Вы ухитрились?
14 май 15, 16:48    [17640902]     Ответить | Цитировать Сообщить модератору
 Re: Может ли администратор Windows получить доступ к MSSQL server если  [new]
SQL2008
Member

Откуда: Москва
Сообщений: 4264
Кот Матроскин
selis76
MS SQL поднят без Windows авторизации.


Как это Вы ухитрились?

Наверно забанили всех встроенных виндовых юзеров, включая локального админа.
14 май 15, 17:01    [17640994]     Ответить | Цитировать Сообщить модератору
 Re: Может ли администратор Windows получить доступ к MSSQL server если  [new]
o-o
Guest
selis76
MS SQL поднят без Windows авторизации.

вот это и есть цитата дня, похлеще ватников,
настоящее ЧЮ
14 май 15, 17:02    [17641001]     Ответить | Цитировать Сообщить модератору
 Re: Может ли администратор Windows получить доступ к MSSQL server если  [new]
o-o
Guest
SQL2008
Наверно забанили всех встроенных виндовых юзеров, включая локального админа.

и кто же тогда ставил сервер?
14 май 15, 17:04    [17641008]     Ответить | Цитировать Сообщить модератору
 Re: Может ли администратор Windows получить доступ к MSSQL server если  [new]
Konst_One
Member

Откуда:
Сообщений: 11538
o-o
SQL2008
Наверно забанили всех встроенных виндовых юзеров, включая локального админа.

и кто же тогда ставил сервер?


нло =)
14 май 15, 17:06    [17641017]     Ответить | Цитировать Сообщить модератору
 Re: Может ли администратор Windows получить доступ к MSSQL server если  [new]
SQL2008
Member

Откуда: Москва
Сообщений: 4264
o-o
SQL2008
Наверно забанили всех встроенных виндовых юзеров, включая локального админа.

и кто же тогда ставил сервер?

Ставили сервер одни люди, потом передали на поддержку другим, базой пользуются третьи.
И эти третьи не хотят палить свои данные вторым.
Сплошь и рядом такая картина, ничего экстраординарного.
14 май 15, 17:08    [17641031]     Ответить | Цитировать Сообщить модератору
 Re: Может ли администратор Windows получить доступ к MSSQL server если  [new]
Konst_One
Member

Откуда:
Сообщений: 11538
SQL2008
o-o
пропущено...

и кто же тогда ставил сервер?

Ставили сервер одни люди, потом передали на поддержку другим, базой пользуются третьи.
И эти третьи не хотят палить свои данные вторым.
Сплошь и рядом такая картина, ничего экстраординарного.


ну так бумажку о неразглашении подписали эти 2-ые или как? это решается договорными обязательствами и административными мерами, но никак не программными.
14 май 15, 17:10    [17641044]     Ответить | Цитировать Сообщить модератору
 Re: Может ли администратор Windows получить доступ к MSSQL server если  [new]
o-o
Guest
SQL2008
o-o
пропущено...

и кто же тогда ставил сервер?

Ставили сервер одни люди, потом передали на поддержку другим, базой пользуются третьи.
И эти третьи не хотят палить свои данные вторым.
Сплошь и рядом такая картина, ничего экстраординарного.

они ПОДНЯЛИ сервер без виндовой авторизации.
при наличии в сетапе радиокнопки:

win auth
win and sql server auth

они нашли sql server auth only,
но это ладно,
сам сетап должен запустить админ винды, а их всех забанили,
еще раз, кто же запустил setup.exe?
14 май 15, 17:12    [17641050]     Ответить | Цитировать Сообщить модератору
 Re: Может ли администратор Windows получить доступ к MSSQL server если  [new]
o-o
Guest
короче, ТС, не компостируйте людям мозги.
посмотрите св-ва сервера, если это действительно MICROSOFT,
то куда же без виндовой авторизации

К сообщению приложен файл. Размер - 35Kb
14 май 15, 17:15    [17641067]     Ответить | Цитировать Сообщить модератору
 Re: Может ли администратор Windows получить доступ к MSSQL server если  [new]
SQL2008
Member

Откуда: Москва
Сообщений: 4264
o-o
они ПОДНЯЛИ сервер без виндовой авторизации.
при наличии в сетапе радиокнопки:

win auth
win and sql server auth


Человек просто оговорился. Он имел в виду, что доступ в SQL только по скульным аккаунтам.

o-o
сам сетап должен запустить админ винды, а их всех забанили,
еще раз, кто же запустил setup.exe?


Вы облачными сервисами и хостингами когда-нибудь пользовались?
Вам выдается в эксплуатацию систмеа, чаще всего виртуальная с установленным софтом - ось и бд.
После этого системному админу дается его пароль, а dba - его.
Один не может лезть в дела другого.
Часто эти люди работают в разных компаниях.
В моем случае даже в разных странах.
14 май 15, 17:18    [17641082]     Ответить | Цитировать Сообщить модератору
 Re: Может ли администратор Windows получить доступ к MSSQL server если  [new]
Кот Матроскин
Member

Откуда: Москва
Сообщений: 8933
Konst_One
ну так бумажку о неразглашении подписали эти 2-ые или как? это решается договорными обязательствами и административными мерами, но никак не программными.


конкрентно от "паления данных" можно защищаться программно - при помощи шифрования/расшифрования на клиенте. это неудобно, неэффективно - но принципиально возможно.
14 май 15, 17:19    [17641088]     Ответить | Цитировать Сообщить модератору
 Re: Может ли администратор Windows получить доступ к MSSQL server если  [new]
o-o
Guest
и как следствие, админ винды всегда получит доступ к серверу,
хоть вы истребите все логины на сервере под корень.
именно потому, что виндовую авторизацию вы не отключите никогда,
это совсем не то же самое, что поубивать все виндовые логины
14 май 15, 17:20    [17641092]     Ответить | Цитировать Сообщить модератору
 Re: Может ли администратор Windows получить доступ к MSSQL server если  [new]
Wlr-l
Member

Откуда:
Сообщений: 522
o-o,

Установка SQL Server - разовая операция, выполнилась администраторами. Затем операторы начали вносить данные. И с этого этапа они хотят защитить свои данные от администраторов. Начиная с 2012 такие механизмы есть.
14 май 15, 17:21    [17641095]     Ответить | Цитировать Сообщить модератору
 Re: Может ли администратор Windows получить доступ к MSSQL server если  [new]
Konst_One
Member

Откуда:
Сообщений: 11538
Кот Матроскин
Konst_One
ну так бумажку о неразглашении подписали эти 2-ые или как? это решается договорными обязательствами и административными мерами, но никак не программными.


конкрентно от "паления данных" можно защищаться программно - при помощи шифрования/расшифрования на клиенте. это неудобно, неэффективно - но принципиально возможно.


ну такую специфическую экзотику мы не рассматриваем. хотя, встречал как-то давно, но шифровались не все данные и работало оооочень медленно.
14 май 15, 17:22    [17641101]     Ответить | Цитировать Сообщить модератору
 Re: Может ли администратор Windows получить доступ к MSSQL server если  [new]
Crimean
Member

Откуда:
Сообщений: 13148
Wlr-l
Начиная с 2012 такие механизмы есть.


а можно чуть подробнее?
14 май 15, 17:23    [17641106]     Ответить | Цитировать Сообщить модератору
 Re: Может ли администратор Windows получить доступ к MSSQL server если  [new]
Konst_One
Member

Откуда:
Сообщений: 11538
Crimean
Wlr-l
Начиная с 2012 такие механизмы есть.


а можно чуть подробнее?


+1 , тоже хотелось бы просвятиться
14 май 15, 17:24    [17641117]     Ответить | Цитировать Сообщить модератору
 Re: Может ли администратор Windows получить доступ к MSSQL server если  [new]
o-o
Guest
SQL2008,

если админ действительно админ и может сервисы рестартовать,
то кто ж ему запретит рестартануть SQL Server в single-user mode?
бардак какой-то
14 май 15, 17:25    [17641129]     Ответить | Цитировать Сообщить модератору
 Re: Может ли администратор Windows получить доступ к MSSQL server если  [new]
SQL2008
Member

Откуда: Москва
Сообщений: 4264
o-o
и как следствие, админ винды всегда получит доступ к серверу,
хоть вы истребите все логины на сервере под корень.
именно потому, что виндовую авторизацию вы не отключите никогда,
это совсем не то же самое, что поубивать все виндовые логины

Вы не совсем правы, коллега!
Если забанены все виндовые аккаунты, то вы не получите доступа к серверу.
Только, ради Бога, не предлагайте экстремальные способы.
Мы говорим только о корректных методах.
Вот с бекапами сложнее. Если они выкладываются локально, то защитить их от доступа админа нельзя.
По крайней мере мне этот способ неизвестен. Шифрование дисков я не рассматриваю.
14 май 15, 17:26    [17641135]     Ответить | Цитировать Сообщить модератору
 Re: Может ли администратор Windows получить доступ к MSSQL server если  [new]
Wlr-l
Member

Откуда:
Сообщений: 522
Рестартонуть сервер конечно может, а прочитать данные - нет.
14 май 15, 17:27    [17641143]     Ответить | Цитировать Сообщить модератору
 Re: Может ли администратор Windows получить доступ к MSSQL server если  [new]
Konst_One
Member

Откуда:
Сообщений: 11538
SQL2008
o-o
и как следствие, админ винды всегда получит доступ к серверу,
хоть вы истребите все логины на сервере под корень.
именно потому, что виндовую авторизацию вы не отключите никогда,
это совсем не то же самое, что поубивать все виндовые логины

Вы не совсем правы, коллега!
Если забанены все виндовые аккаунты, то вы не получите доступа к серверу.
Только, ради Бога, не предлагайте экстремальные способы.
Мы говорим только о корректных методах.
Вот с бекапами сложнее. Если они выкладываются локально, то защитить их от доступа админа нельзя.
По крайней мере мне этот способ неизвестен. Шифрование дисков я не рассматриваю.


да ладно, админ же их и разбанит и зайдёт куда надо.
14 май 15, 17:28    [17641149]     Ответить | Цитировать Сообщить модератору
 Re: Может ли администратор Windows получить доступ к MSSQL server если  [new]
o-o
Guest
Wlr-l
Начиная с 2012 такие механизмы есть.

щас описаюсь просто
Connect to SQL Server When System Administrators Are Locked Out
SQL Server 2014, naturally
14 май 15, 17:29    [17641157]     Ответить | Цитировать Сообщить модератору
 Re: Может ли администратор Windows получить доступ к MSSQL server если  [new]
SQL2008
Member

Откуда: Москва
Сообщений: 4264
o-o
SQL2008,

если админ действительно админ и может сервисы рестартовать,
то кто ж ему запретит рестартануть SQL Server в single-user mode?
бардак какой-то

Как я и писал далее только рассматриваем только некриминальные способы!
Представьте себе, что вы работаете в большой и очень серъёзной конторе...
За "рестартануть сервис", не говоря уже про "single mode" затейнику рукоблуду вставят такую клизму,
что год будет срать дальше чем видит.
14 май 15, 17:30    [17641164]     Ответить | Цитировать Сообщить модератору
 Re: Может ли администратор Windows получить доступ к MSSQL server если  [new]
o-o
Guest
SQL2008
Если забанены все виндовые аккаунты, то вы не получите доступа к серверу.

у меня выше приведена ссылка, но если не верите, только махните.
пошагово картинок налеплю
14 май 15, 17:31    [17641172]     Ответить | Цитировать Сообщить модератору
Топик располагается на нескольких страницах: [1] 2   вперед  Ctrl      все
Все форумы / Microsoft SQL Server Ответить