Spuštění aplikace ze síťového disku (bezpečnost)

[Pegas]

Na Sambe mam stary program, ktery mi nedovoluje prevod/ukladani dat na databazovy server.
Vsechna data jsou ulozena v lokanich dbf souborech. Program pracuje s pomerne citlivejma informacema a jen se desim dne, kdy se nekdo rozhodne si slozku "zazalohovat" a odnest...

Je nejaka jina moznost jak program spustit a uzivateli jako takovemu zamezit primy pristup ke sdilenemu disku, nez pouzitim TS Remote App?

[Reklama]

[vana-hb]

Nepíšeš jestli pouštíš aplikaci z windows nebo linux.

Pokud má spuštěný proces umět pracovat s daty tak k nim musí mít přístup. Předpokládám windows. Na sambu ke sdílenému prostředku přistupuješ s oprávněním do windows přihlášeného uživatele. Tak že kdo spustí program a může upravovovat jeho data tak se dostane k datovému souboru.

Řešení která vidím jsou tři a ani jedno dobré.
1. data nenechávat ve stejném sdíleném chlívku jako program, ale dát je do jiného skrytého. Bežný uživatel ta data nenajde, pokročilý uživatel který zjistí v programu cestu k datům si poradí. Jestli není cesta k datům v programu zjistitelná tak by to stálo za úvahu.
2. na windows můžeš program spustit jako jiný uživatel, má to ale spoustu ale.
3. pochopitelně nejlepší by bylo program který nesplňuje bezpečnostní politiku nepoužívat. Což enni moc rada.

[Pegas]

Aplikace se spousti z Windows. Uzivatel ma pripojeny share ve kterem je komplet vsechno. To ulozeni data na schovanej disk problem moc neresi.

Pozadavek je prave, aby zadna stanice nemela pristup jakkoli primo k \\server\share. Jedine co me napadlo a vyhovuje (pokud se nepletu) je TS Remote apps. Aplikace se spusti na vzdalenem serveru, ktery jako jediny k tomu sharu ma pristup a uzivateli se posila "jen obraz" ze serveru.

[Atlantis]

Přidej zaměstnancům peníze - dobře placený zaměstnanec nebude riskovat dělání podobných vylomenin. S +- tajnými daty běžně pracuju a mám k dispozici na notebooku offline celou kopii projektu na kterým dělám. Stejně jako hromada kolegů.  A na síťových discích toho je taky hafo. Stačí strčit flashdisk a zkopírovat. Ale nikdo zatím neměl potřebu to udělat.

[vana-hb]

Jedine co me napadlo a vyhovuje (pokud se nepletu) je TS Remote apps. Aplikace se spusti na vzdalenem serveru, ktery jako jediny k tomu sharu ma pristup a uzivateli se posila "jen obraz" ze serveru.

Jen že Remote Apps je jen převlečený RDS a uživatel který může spustit nějakou aplikaci se může přihlásit i k serveru. A kdo se přihlásí k serveru si může hledat cestičku za cestičkou ... .

Přidej zaměstnancům peníze - dobře placený zaměstnanec nebude riskovat dělání podobných vylomenin.

Tvoje tvrzení stojí na faktech, že nevíš s jakými daty pracují a nevíš jak jsou zaplaceni. Nehledě na to, že ukradení dat nemusí být nutně z důvodu špionáže nebo snahy se obohatit. Už jsem viděl, že zhrzený zaměstnantec ukradl a zneužil data jen jako pomstu firmě bez jakéhokoliv finančního zisku.

[Reklama]

[Jenda]

Ano, remote desktop. Jak jinak bys to chtěl řešit? Pokud aplikace na uživatelově počítači data může číst, tak je může číst i uživatel, třeba tak, že si aplikaci upraví (na nějaká opatření typu "zakážeme uživateli debugovat programy" bych nesázel, protože se díry v tomhle se objevují jedna za druhou).

Furt to neřeší vyscreenshotování dat.

Možná bys na Samba serveru mohl zkusit nějak detekovat, jestli uživatel s daty pracuje (náhodné dotazy do databáze), nebo je kopíruje (sekvenční čtení, SELECT *). Udělat ale tohle nad souborovou databází bude dost složité.

Atlantis: Tvůj přístup neřeší dle mého názoru ještě větší riziko, a to, že náhodného zaměstnance někdo vyhackuje. Také to neřeší pokud jsem za tímto účelem do firmy vyloženě nasadil člověka a také je možné, že když někdo za data nabídne 50 mega, libovolný plat nepomůže.

[Logik]

Udělej speciálního uživatele, kterej bude jedinej mít práva k těm datům.

Pomocí nějakého SUDA (např. https://sourceforge.net/projects/sudowin/)
pak ať uživatelé spouští tu aplikaci jako ten uživatel, co má práva k těm datům.

[ehmmm]

Udělej speciálního uživatele, kterej bude jedinej mít práva k těm datům.

Pomocí nějakého SUDA (např. https://sourceforge.net/projects/sudowin/)
pak ať uživatelé spouští tu aplikaci jako ten uživatel, co má práva k těm datům.

To se mi libi. Ale vzhledem k tomu, ze tazatel pise o DBF a o stare aplikaci, tak se nabizi otazka, jak to funguje s aplikacemi pro DOS, Win3.11, pripadne Win95/98?

[Atlantis]

Atlantis: Tvůj přístup neřeší dle mého názoru ještě větší riziko, a to, že náhodného zaměstnance někdo vyhackuje. Také to neřeší pokud jsem za tímto účelem do firmy vyloženě nasadil člověka a také je možné, že když někdo za data nabídne 50 mega, libovolný plat nepomůže.

Za 50 mega by to ten zaměstnanec i obkreslil z monitoru na papír. V takovým případě ti nepomůže vůbec nic....

[Jose D]

Pomocí nějakého SUDA (např. https://sourceforge.net/projects/sudowin/)

noo, většina windows programů má v sobě nějaký defaultní souborový dialog (open file, save as...), který je de-facto mini windows explorer (aka průzkumník). A je tedy třeba pohlídat, aby v tomhle okně nešlo soubor překopírovat na flashku., protože tenhle mini-explorer poběží pod tím "správným" uživatelem taky. :/

[ajtakrajta]

Hele a co takhle to pustit pres nomachine nekde na compu s linuchem, pres wine? Kdyz to exportne tak jedine na server, pak uz jenom to obkreslovani dat z monitoru pomuze. Staci dat ikonku uzivateli na plochu a hotovo, prihlasi se, pusti druhou ikonku (nebo to spustis po prihlaseni automaticky) a muze zacit obkreslovat