Зарисовка: а может к черту любовь ролевую модель?
Рубрика «права доступа»
Как смотреть SDDL и не ломать глаза о точки с запятыми
2019-03-05 в 12:36, admin, рубрики: .net, acl, sddl, Блог компании Перспективный мониторинг, информационная безопасность, права доступа
Мой путь в ИБ начался с удивительного открытия: «безопасно ≠ зашифровано». Это сейчас такое утверждение выглядит простым и очевидным, а на первом курсе осознание этого факта произвело эффект сравнимый с ментальной атомной бомбой. Информационная безопасность атаковала расширением границ предметной области: оказалось, что криптография — это только один рубеж защиты, а ещё есть юридические, организационные, да и просто физические, в конце концов. Один из теоретических аспектов гласил «Все вопросы безопасности информации описываются доступами субъектов к объектам». Заучил, нарисовал мандатную и дискреционную модели доступов, рассказал, сдал и забыл.
Я специализируюсь на анализе безопасности Windows приложений. Довольно часто изучение именно различных прав доступа занимает существенную долю исследования. Чтобы автоматизировать процесс поиска странных или неправильных прав доступа пришлось разбираться в SDDL (Security Descriptor Definition Language). Кому интересно научится читать права в форме SDDL (например что-то такое O:SYG:SYD:(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)) и познакомится с моей утилитой для работы с дескрипторами в таком формате, добро пожаловать под кат.
Читать полностью »
Внедрение IdM. Часть 3.1. Понятно, что IdM нужен – что дальше? Цели, задачи, заинтересованные стороны
2017-11-08 в 7:00, admin, рубрики: IdM, IT-стандарты, Блог компании Solar Security, Внедрение, информационная безопасность, права доступа, управление проектамиВ предыдущей части нашего цикла статей мы рассказали, как определить, нужен ли компании IdM (т.е. управление доступом) и стоит ли внедрять IdM-решение. Определили, какие признаки указывают на то, что стόит над этим вопросом, как минимум, задуматься. Что дальше?
Есть несколько вещей, которые важно определить, чтобы приступить к работе над темой IdM:
- Цели и задачи. Заинтересованные стороны.
- Какие подходы и практики использовать при внедрении системы управления доступом сотрудников, какие процедуры и процессы вводить, как встраивать нужные операции в бизнес-деятельность компании?
- Какие технические решения использовать (начиная от доменных политик и заканчивая IdM-решениями) и как определить, какой нужен функционал?
- К кому идти за техническими решениями?
- Как сформировать и обосновать бюджет? (Это самая интересная и животрепещущая тема)
- Презентация руководству.
- Что нужно учитывать при запуске проекта?
Итак, пойдем по пунктам.
Внедрение IdM. Часть 2. Как определить, что стоит задуматься о внедрении IdM?
2017-10-30 в 10:21, admin, рубрики: IdM, Блог компании Solar Security, Внедрение, информационная безопасность, права доступаВ первой части нашего цикла статей про IdM мы обсудили, что такое IdM. Сегодня будет минимум теории: я расскажу о том, как понять, нужно ли вообще вашей компании IdM-решение — с точки зрения задач бизнеса, ИТ, ИБ, аудита и т.д. Под катом — несколько чек-листов, составленных на основании моего опыта внедрений IdM. Они помогут вам определиться, пора ли выбирать IdM-решение, или ваша компания пока может обойтись существующими процессами.
Внедрение IdM. Часть 1: что такое IdM и какая функциональность к нему относится
2017-10-11 в 11:42, admin, рубрики: IdM, Блог компании Solar Security, Внедрение, информационная безопасность, права доступа…Всё началось с отдела маркетинга. Эти милые люди подумали и решили, что нам (специалистам пресейла и сервисов) следует написать некоторое количество статей «на разные интересные темы». Темы они, как водится, придумали сами, исходя из видящихся им «потребностей рынка». (При этом, если взглянуть на них с нашего ракурса, темы были, мягко говоря, «не очень»…)
Нашей команде, отвечающей за развитие системы управления доступом и учётными записями пользователей Solar inRights, пришла в голову идея миссионерства (как бы громко это ни звучало): если уж писать обращение «к граду и миру», то пусть оно будет полезным инструментом для принятия взвешенных решений. Поэтому решено составить целостный цикл материалов, который поможет чётко осознать, какие действия и процедуры сопровождают внедрение IdM-решения.
Чеклист: как выбрать модель системы управления правами доступа и не прогадать
2017-09-29 в 12:21, admin, рубрики: IdM, iga, itsm, Блог компании Solar Security, информационная безопасность, права доступаС каждым годом парк информационных систем компаний все больше разрастается, вместе с ним пропорционально усложняются задачи управления, контроля и разграничения прав доступа сотрудников к информационным ресурсам. Наличие на рынке решений, частично перекрывающих функционал друг друга, дает плодотворную почву для новых и новых дебатов. Как должна быть реализована система управления доступом – через интеграцию с ITSM или внедрение отдельного IGA-решения?
Paraquire, или Перестаньте доверять библиотекам
2017-08-24 в 17:40, admin, рубрики: javascript, node.js, npm, open source, require, безопасность, децентрализация, здесь нет схемы шапочки из фольги, информационная безопасность, паранойя, параноя, права доступа, Программирование, разграничение прав доступаTL; DR
Использование npm — пакетного менеджера NodeJS — сопряжено с проблемами безопасности. Штатными средствами невозможно контролировать права доступа, предоставляемые библиотекам. Вкупе с обилием микромодулей это может привести к непредсказуемым последствиям, часть из уже случившегося описана здесь, и в лучших традициях экосистемы npm я на неё сошлюсь.
Под катом описывается proof-of-concept библиотеки, реализующей механизм загрузки npm-модулей с возможностью установить права подобно тому, как на Android можно выдавать приложению конкретные разрешения.
Вместо
var lib = require('untrusted-lib');
предлагается писать где-нибудь
var paraquire = require('paraquire')(module);
и затем
var lib = paraquire('untrusted-lib');
или же
var lib = paraquire('untrusted-lib', {builtin:{https:true}});
Исходный код доступен на гитхабе под LGPLv3.
Кроме того я, не будучи достаточно опытным NodeJS-разработчиком, прошу у сообщества советов и обсуждения.
Читать полностью »
Аспирин от настройки прав на файловом сервере
2016-09-27 в 11:33, admin, рубрики: Блог компании Сервер Молл, ит-инфраструктура, права доступа, ресурсные группы, Серверная оптимизация, Серверное администрирование, системное администрирование, файловый сервер, метки: ресурсные группы, файловый сервер
Допустим, сотрудник Петя увольняется со скандалом, и вам нужно сделать так, чтобы он ничего напоследок не поломал. Или Вася переводится в другой отдел, и ему не следует больше копаться в файлах своего бывшего подразделения.
Теперь самое интересное: нужно каким-то образом вспомнить, к каким конкретно данным у этих товарищей был доступ, и что следует прикрыть в первую очередь.
Если с доступом к приложениям все очевидно и просто, то о файловых ресурсах такого не скажешь.Читать полностью »
Ролевая модель данных прав доступа для web-ресурса
2014-03-28 в 8:51, admin, рубрики: web-разработка, Веб-разработка, права доступа, метки: web-разработка, права доступа В данной статье я расскажу вам о способе организации прав доступа к web-ресурсу на основе ролевой модели.
Сразу замечу, что прикладную реализацию получения или проверки прав на каком-либо из языков программирования приводить здесь не буду, а остановлюсь только на инфологической модели базы данных.
Считаю грамотную организацию хранения такой информации наиболее важной, поскольку гибкая и отвечающая заявленным требованиям модель в дальнейшем позволит расширять систему легко и безболезненно, а также реализовать её без всякого труда на любом из web-ориентированных языков.
Предложенный мной способ похож на такую популярную организацию прав доступа, которая изложена в phpGACL.
Читать полностью »
Права на файлы в Win7: меняем в текущем сеансе пользователя
2012-07-01 в 6:22, admin, рубрики: explorer, windows, администрирование, права доступа, системное администрирование, метки: explorer, windows, администрирование, права доступа Добрый день, уважаемые хабра-жители!
Предисловие: время от времени необходимо выставлять права на отдельные папки и файлы для пользователей на работе. В XP это делалось легко и просто (способ, если кто не знает, под катом), а вот с выходом Vista и Seven — старый проверенный друг подвел меня. Давайте узнаем, как можно быстро выставить права на отдельные папки и файлы в Windows под текущим пользователем. Экономим время!
Читать полностью »