Безопасность MS SQL 2000

← →
silvestr (2005-08-02 11:03) [0]

Есть своя программа , расботает на локальной машине что и MS SQL так вот кто угодно может подключиться ( например своими наработаеми , Акцесом ) и редактировать данные .. Пароль легко узнать так как установку программы может сделать и сам взломщик а потом из ней отчёты менять .. неужели MS SQL в плане защиты такая беспонтовая ?

← →
Lamer@fools.ua © (2005-08-02 11:07) [1]

LMD

← →
_Alx2_ (2005-08-02 11:09) [2]

Как соотносются

>Пароль легко узнать так как установку программы может сделать и
>сам взломщик

и

>неужели MS SQL в плане защиты такая беспонтовая ?

?

← →
ocean (2005-08-02 11:10) [3]

не совсем понял, как взломщик узнает допустим пароль DBO к базе MS SQL. Нужны подробности, что за пароль в программе, какие пользователи у БД и тп

← →
silvestr (2005-08-02 11:14) [4]

> ocean (02.08.05 11:10) [3]

В общем чтобы настроить подключение к базе нужен пароль !
Этот пароль знает взломщик так как он являеться тем самым человектом кто установил программу и базу ( либо он узнаёт пароль ) В итоге чел пишет ( использует готовую ) прогу и редактирует базу

А так как база нефига не шифруеться то вопрос ? Как сделать чтобы нельзя было просмотривать и редактировать базу ? Есть лив Ms SQL встроенные средства ?

← →
Ega23 © (2005-08-02 11:26) [5]

Базу перенести на CD-носители. Сессии на CD закрыть, чтобы никакая сука данные дописать не могла.
Программу стереть. На низком уровне. Кластеры записать нулями.
Диск потом отформатировать, вытащить из компа, разбить на части и положить под асфальтоукладчик. Системный блок - тоже.
Человека, устанавливающего программу (он же "взломщик") - пытать долго, узнавая кому он слил пароли доступа к базе. Потом цЫнично убить. Тело погрузить в концентрированную азотку до полного растворения мягких и твёрдых тканей.
Застрелиться самому.

← →
DVM © (2005-08-02 11:26) [6]

> неужели MS SQL в плане защиты такая беспонтовая ?

беспонтовые настройщики просто

← →
AxelBlack (2005-08-02 11:28) [7]

>silvestr (02.08.05 11:03)
Наберите в google или на microsoft "Security SQL server", чтобы иметь более понятное представление об организации безопасной политики и об архитектуре аутентикации SQL сервера
Посвятите этому 2-3 часа

← →
sniknik © (2005-08-02 11:30) [8]

> Этот пароль знает взломщик так как он являеться тем самым человектом кто установил программу и базу
взломщик=админ? никто тебя от него не спасет. имхо.

← →
ocean (2005-08-02 11:35) [9]

согласен с [8]. Необходимо более тщательно продумать организацию защиты программы. Варианты есть

← →
ЮЮ © (2005-08-02 11:35) [10]

Какой админ? "Есть своя программа , работает на локальной машине что и MS SQL". Это просто тяжелый троян. Устанввливается разработчиком для получения данных от клиента :)

← →
sniknik © (2005-08-02 11:46) [11]

ЮЮ © (02.08.05 11:35) [10]
> Какой админ?
ну базу то он устанавливает, значит доступ к ней имеет, админские права есть... скорее всего. (или на крайний случай права на создание/редактирование базы) иначе бы не смог ее создать.
вот этот самый. ;о))
и как тогда зашишать базу от редактирования если сам ему пароль на него на блюдечке с голубой каемочкой выдал?
если бы ограничивалость только программой, установкой - другое дело.

← →
silvestr (2005-08-02 11:55) [12]

> sniknik © (02.08.05 11:46) [11]

В этом случае тогда как поступить , зашить пароль доступа к MS SQL в програму ?! А с установкой что деалть ведь взломщик может подключиться к пользователю SA либо с помощью доверенного подключения. Как эти дырки закрыть ?

← →
ЮЮ © (2005-08-02 12:05) [13]

для установшика (он же потенциальный взломщик) создаешь логин с правами только чтения. Его задача установить программу и убедиться, что она работает.

Для пользователей, редактирующих таблицы, создаешь группу с правами редактирования таблиц, а им говоришь, что свой пароль они НИКОМУ не должны говорить, ибо ВСЕ ИЗМЕНЕНИЯ фиксируются от их имени и в случае чего они несут информацию за достоверность данных.

Меняешь все существовавшие пароли

← →
sniknik © (2005-08-02 12:25) [14]

silvestr (02.08.05 11:55) [12]
никак!
если у него есть физический доступ к базе компу с MSSQL зашишаться безсмыссленно. MSSQL этого и не делает (как кстати и любой(??? хотя... может и есть "извраты") другой sql сервер), зашита построена на внешние атаки а не от человека который эту базу/MSSQL обслуживает...
вот если ты выделиш сервер, отгородиш его от физического доступа "недостойных" лиц, закроеш права всем из сети (кроме нужных проге), вот тогда можно говорить о защите... и то если нужные права проги продуманны и не позволяют вольностей... если ктото раньше тебя не узнал о дыре в мелкосовтском творении и не воспользовался этим. (а как ты хотел? следить надо. ;)
а то отдал все, и хочеш чтобы не влезли.

Если есть физический доступ то нет смысла голову морочить... Разве что от совсем уж чайников можно чего-то придумать но чуть более толковый человек хакнет это все на раз.

← →
ocean (2005-08-02 12:48) [16]

иными словами, покупатель сам устанавливает ms sql, а затем программу? при этом все происходит локально. Вот вариант. Вместе с программой пусть инсталлятор копирует БД, созданную заранее разработчиком, т.е. ее файл .DAT, и уж там пользователи и права какие надо. Покупатель ставит MS SQL, а затем делает Attach database на скопированную БД. Вот так, и паролей никто не знает

ocean (02.08.05 12:48) [16]
а их и не надо в этом случае, есть же sa и админски пароль винды.

> т.е. ее файл .DAT
скорее тогда уж .mdf, но смысла это не меняет. чтобы сделать атач, надо иметь права на базу мастер а уж она то поглавнее чем ваше "защишаемое" творение. и естественно имея такие права, с вашей базой можно сделать что угодно.

← →
silvestr (2005-08-02 13:20) [18]

> ocean (02.08.05 12:48) [16]

Спасибо , так и поступлю

← →
silvestr (2005-08-02 13:23) [19]

> sniknik © (02.08.05 13:12) [17]

Сделать установщик который после установки меняет пароль на SA и закрывает все дырки...

Вот ещё бы кто подсказал как изменить тип регестрации на сервере чтобы нельзя было довереное подключение сделать , типа правами windows а только паролем и можно было бы

даже (допустим) все берет на себя прога, только у нее "унутрях" зашиты зашифрованные пароли, на sa установлена 128-символьная ахинея и забыта, комп с предустановкой передается юзеру, и ему не даются админские пароли... есть только юзерский...
но есть же ERD system и прочая админская атрибутика, позволяющая восстановить/изменить забытое.

единственное более менее действенное средство, исключить физический доступ. + все все те возможности, что предоставляет MSSQL.

silvestr (02.08.05 13:20) [18]
читаеш выборочно? только то что тебе нравится?
хочеш сделай, но не питай иллюзий. ;о))

Безопасность MS SQL 2000 Найти похожие ветки