Re: tracciabilita' attivita' su Windows

At 19.38 18/11/2002, you wrote:
>Buongiorno a tutti,
>avendo una serie di server windows (NT/2000) gestiti da una terza società 
>, voglio garantire la tracciabilità delle operazioni eseguite dai 
>sistemisti ( che presumibilmente dovranno lavorare con utenze Administrator) .
>Quale soluzione implementereste? delle policy che definiscano delle utenze 
>personali  e un syslog server centralizzato (e protetto) mi garantirebbero 
>il pieno (in termni di integrità /riservatezza dei log )controllo delle 
>operazioni effettuate ?
>Grazie per i contributi.

dipende dal livello di precisione e di certezza delle informazioni che vuoi 
ottenere.

MOLTISSIME aziende richiedono di avere la tracciabilita' di quello che e' 
stato fatto , anche perche' lavorando in staff diventa fondamentale sapere 
cosa hanno fatto gli altri, ma a questo punto bisogna a mio avviso fare un 
distinguo di base:
di questa gente ti fidi o no?
perche' se NON ti fidi fine del discorso, NON devono mettere le mani sul 
tuo server ne' tantomeno avere una password di amministrazione.
PERTANTO se hanno un accesso di questo tipo ' e' perche' tu/la tua azienda 
vi fidate di loro. e se e' cosi' ti assicuro che rispetto a TUTTE le 
soluzioni informatiche che ho provato gestendo progetti anche di natura 
abbastanza grandini il meglio in assoluto (e meno rompiscatole) si e' 
rivelato essere un sano e vecchio modulo cartaceo. si', capisco che siamo 
tutti informatici e che quindi si inizia a pensare subito ad alberi CVS, a 
sistemi di syslog, a gestioni del groupworking ecc, ma nella mia esperienza 
privata e personale (quindi tranquillamente opinabile) spessissimo un memo 
cartaceo ha un rapporto prezzo/prestazioni che una applicazione sviluppata 
ad hoc spesso non ha.
in piu' il rapportino di solito e' FIRMATO da chi l'ha fatto, con tutta una 
serie di valenze legali da non disprezzare.

cio' detto mi sembra quantomeno il minimo creare utenze differenti, ma 
attenzione che ci sono operazioni che richiedono comunque l'impiego di un 
utente amministrativo unico (ad esempio mi vengono in mente certe 
operazioni di gestione dei database, stile l'assegnamento dell'owner di un 
database con MS SQLServer se si usa la security in native o in mixed mode) 
e che quindi da un syslog difficilmente sarebbero riconducibili a 
quell'operatore.
FORSE se tu stessi lavorando su un server Linux, dove bene o male puoi 
tenere tutti i files di configurazione di qualunque cosa in formato testo 
su di un CVS l'idea di una gestione di questo genere poterbbe essere 
pensabile (io non l'ho mai provata, qualcuno si?) ma sei su un NT/2000 dove 
, per esempio , di certo non puoi mettere il registry su un albero CVS.
Esistono programmi di goupworking che potrebbero forse aiutare , ma 
COMUNQUE a) costano b) non ti risolvono appieno il problema, quindi resto 
dell'idea iniziale:
visto che difficilmente riuscirai ad implementare un sistema informatizzato 
che rilevi automaticamente tutte le operazioni che un sistemista necessita 
di dover fare, e che se non ti fidi del sistemista e' meglio che proprio in 
azienda non ci metta piede, perche' quindi non risolvere con della "banale" 
modulistica cartacea? poi certamente un syslog non fa male... ah, se il 
problema e' il fatto della disabitudine tipica degli informatici a scrivere 
con una penna un repository di RTF ricordo che funziona uguaglio ^_^

so che la soluzione non e' particolarmente paranoide, ma temo che l'altra 
scelta sia girare in tre, uno che fa, uno che controlla e l'altro che tiene 
d'occhio i due cervelloni :-)




________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List