Category: security

Posted on
by

Security management

În lumea de azi cînd toate sunt conectate cu toate, Security trebuie să fie un rol important. De la autentificare și autorizare, pînă la asigurarea integrității datelor (a se citi coruperea intenționată a datelor) și accesibilitate. Dacă AAA (autentificare, autorizare, audit) sunt imediat recognoscibile ca Security Management, integritatea datelor nu este de obicei luată în calcul (decît pe sisteme dedicate). De obicei un sistem se asigură că datele nu sunt corupte fizic pe suportul de stocare, în timpul scrierii sau citirii, cît și de-a lungul existenței lor pe storage (eg. la un reboot forțat). În context de securitate, Integritatea Datelor identifică autorul datelor și pe cel ce le modifică. Mai mult, ne asigură că datele nu au fost modificate cu rea intenție.

O altă componentă importantă a Security este Accesibilitatea Datelor. Dacă datele sunt greu accesibile atunci ele nu vor fi folosite și business-ul își pierde interesul pentru sistem (business-ul sunt cei care plătesc și care hotărăsc folosirea unui sistem sau altul). Da, anumite date au statut special și ele vor fi accesibile conform unui sistem de securiate strict, dar de aici pînă a încurca userul în day-to-day activity pentru că esti paranoic nu e un sistem bun. Un sistem flexibil, dar fără compromisuri, este marea încercare a unui OS modern.

Audit

Auditul activității în sistem este un rol necesar pentru a determina și preveni activități nedorite în sistem. Userii normali ai unui sistem vor parcurge pașii de acțiune în ordinea lor firească, dar un răuvoitor va încerca diferite scheme de ocolire a procedurii de securitate și numai prin auditul activităților din sistem (reușite și nereușite) se va putea determina o alarmă de securiate. Aici iar dăm în capcana accesibilitații – dacă sistemul va produce o tonă de evenimente și se va isteriza pentru orice bîzîit el va fi neutilizabil și va fi folosibil doar pentru a reconstitui niște pași pe baza unor log-uri (proces necesar în cazul unor evenimente nedorite deja întîmplate, dar cum prevenția costă de zece ori mai puțin decît corecția atunci ne vom concentra mai ales pe rolul de prevenție).

Sistemul va pune la dispoziția dezvoltatorilor servicii de log și audit pentru înregistrarea evenimentelor în sistem un model unitar care să poată fi interpretat ușor. Ba mai mult, se va căuta un model integrat (sau integrabil) cu alte sisteme eterogene pentru a putea fi interpretate la nivel enterprise.

În zilele noastre cînd serviciile în cloud au luat locul aplicațiilor locale, anumiți operatori vor cere și servicii de Accounting în cadrul rolul de Audit (eg. cît timp s-a folosit un anumit serviciu, ce resurse a folosit etc.). Deși la prima vedere pare că este o parte a rolul de Audit, acesta trebuie gîndit ca un rol separat și trebuie consumat direct de aplicații și servicii. Asta pentru că exstă foarte multe scenarii pentru a gîndi servicii, de le combina resurse în pachete și de a le factura (eg. lunar la pachet sau per GB folosit sau per acces-numărdevizite etc) care depășesc definiția de Master Copntroller a unui OS.

Posted on
by

MSDN is the best documentation in the world – read the original post here.

  1. Create  helper stored procedures
USE master
GO
IF OBJECT_ID ('sp_hexadecimal') IS NOT NULL
  DROP PROCEDURE sp_hexadecimal
GO
CREATE PROCEDURE sp_hexadecimal
    @binvalue varbinary(256),
    @hexvalue varchar (514) OUTPUT
AS
DECLARE @charvalue varchar (514)
DECLARE @i int
DECLARE @length int
DECLARE @hexstring char(16)
SELECT @charvalue = '0x'
SELECT @i = 1
SELECT @length = DATALENGTH (@binvalue)
SELECT @hexstring = '0123456789ABCDEF'
WHILE (@i <= @length)
BEGIN
  DECLARE @tempint int
  DECLARE @firstint int
  DECLARE @secondint int
  SELECT @tempint = CONVERT(int, SUBSTRING(@binvalue,@i,1))
  SELECT @firstint = FLOOR(@tempint/16)
  SELECT @secondint = @tempint - (@firstint*16)
  SELECT @charvalue = @charvalue +
    SUBSTRING(@hexstring, @firstint+1, 1) +
    SUBSTRING(@hexstring, @secondint+1, 1)
  SELECT @i = @i + 1
END

SELECT @hexvalue = @charvalue
GO
 
IF OBJECT_ID ('sp_help_revlogin') IS NOT NULL
  DROP PROCEDURE sp_help_revlogin
GO
CREATE PROCEDURE sp_help_revlogin @login_name sysname = NULL AS
DECLARE @name sysname
DECLARE @type varchar (1)
DECLARE @hasaccess int
DECLARE @denylogin int
DECLARE @is_disabled int
DECLARE @PWD_varbinary  varbinary (256)
DECLARE @PWD_string  varchar (514)
DECLARE @SID_varbinary varbinary (85)
DECLARE @SID_string varchar (514)
DECLARE @tmpstr  varchar (1024)
DECLARE @is_policy_checked varchar (3)
DECLARE @is_expiration_checked varchar (3)

DECLARE @defaultdb sysname
 
IF (@login_name IS NULL)
  DECLARE login_curs CURSOR FOR

      SELECT p.sid, p.name, p.type, p.is_disabled, p.default_database_name, l.hasaccess, l.denylogin FROM 
sys.server_principals p LEFT JOIN sys.syslogins l
      ON ( l.name = p.name ) WHERE p.type IN ( 'S', 'G', 'U' ) AND p.name <> 'sa'
ELSE
  DECLARE login_curs CURSOR FOR


      SELECT p.sid, p.name, p.type, p.is_disabled, p.default_database_name, l.hasaccess, l.denylogin FROM 
sys.server_principals p LEFT JOIN sys.syslogins l
      ON ( l.name = p.name ) WHERE p.type IN ( 'S', 'G', 'U' ) AND p.name = @login_name
OPEN login_curs

FETCH NEXT FROM login_curs INTO @SID_varbinary, @name, @type, @is_disabled, @defaultdb, @hasaccess, @denylogin
IF (@@fetch_status = -1)
BEGIN
  PRINT 'No login(s) found.'
  CLOSE login_curs
  DEALLOCATE login_curs
  RETURN -1
END
SET @tmpstr = '/* sp_help_revlogin script '
PRINT @tmpstr
SET @tmpstr = '** Generated ' + CONVERT (varchar, GETDATE()) + ' on ' + @@SERVERNAME + ' */'
PRINT @tmpstr
PRINT ''
WHILE (@@fetch_status <> -1)
BEGIN
  IF (@@fetch_status <> -2)
  BEGIN
    PRINT ''
    SET @tmpstr = '-- Login: ' + @name
    PRINT @tmpstr
    IF (@type IN ( 'G', 'U'))
    BEGIN -- NT authenticated account/group

      SET @tmpstr = 'CREATE LOGIN ' + QUOTENAME( @name ) + ' FROM WINDOWS WITH DEFAULT_DATABASE = [' + @defaultdb + ']'
    END
    ELSE BEGIN -- SQL Server authentication
        -- obtain password and sid
            SET @PWD_varbinary = CAST( LOGINPROPERTY( @name, 'PasswordHash' ) AS varbinary (256) )
        EXEC sp_hexadecimal @PWD_varbinary, @PWD_string OUT
        EXEC sp_hexadecimal @SID_varbinary,@SID_string OUT
 
        -- obtain password policy state
        SELECT @is_policy_checked = CASE is_policy_checked WHEN 1 THEN 'ON' WHEN 0 THEN 'OFF' ELSE NULL END FROM sys.sql_logins WHERE name = @name
        SELECT @is_expiration_checked = CASE is_expiration_checked WHEN 1 THEN 'ON' WHEN 0 THEN 'OFF' ELSE NULL END FROM sys.sql_logins WHERE name = @name
 
            SET @tmpstr = 'CREATE LOGIN ' + QUOTENAME( @name ) + ' WITH PASSWORD = ' + @PWD_string + ' HASHED, SID = ' + @SID_string + ', DEFAULT_DATABASE = [' + @defaultdb + ']'

        IF ( @is_policy_checked IS NOT NULL )
        BEGIN
          SET @tmpstr = @tmpstr + ', CHECK_POLICY = ' + @is_policy_checked
        END
        IF ( @is_expiration_checked IS NOT NULL )
        BEGIN
          SET @tmpstr = @tmpstr + ', CHECK_EXPIRATION = ' + @is_expiration_checked
        END
    END
    IF (@denylogin = 1)
    BEGIN -- login is denied access
      SET @tmpstr = @tmpstr + '; DENY CONNECT SQL TO ' + QUOTENAME( @name )
    END
    ELSE IF (@hasaccess = 0)
    BEGIN -- login exists but does not have access
      SET @tmpstr = @tmpstr + '; REVOKE CONNECT SQL TO ' + QUOTENAME( @name )
    END
    IF (@is_disabled = 1)
    BEGIN -- login is disabled
      SET @tmpstr = @tmpstr + '; ALTER LOGIN ' + QUOTENAME( @name ) + ' DISABLE'
    END
    PRINT @tmpstr
  END

  FETCH NEXT FROM login_curs INTO @SID_varbinary, @name, @type, @is_disabled, @defaultdb, @hasaccess, @denylogin
   END
CLOSE login_curs
DEALLOCATE login_curs
RETURN 0
GO

2. Run

EXEC sp_help_revlogin

The output is the script that creates the logins with the original Security Identifier (SID) and the original password.

G.

Posted on
by
  • On average, each employee uses 17 cloud apps, but many organizations don’t know what is in use, or whether these apps meet security, privacy and compliance requirements
  • In 91% of organizations, employees grant their personal accounts access to the organization’s cloud storage
  • 70% of the organizations allow cloud admin activity from non-corporate, unsecured networks
  • 75% of privileged cloud accounts are not in use. These accounts might be eating up the cost of a license, or worse, increasing the attack surface of the organization
  • On average, an organization shares 13% of its files externally, of which 25% are shared publicly

Vremuri bune să te-apuci de furat secrete comerciale!

G.