Ограничить доступ

deeeman

Well-known member
04.12.2007
383
0
#1
Добрый день!
Нужна консультация по вопросам

В Lotus сейчас у группы людей есть полные админские права. В эту группу входят:
1. Администраторы компании, которые вводят / редактируют / удаляют пользователей (внутренние);
2. Администраторы прочих баз;
3. Разработчики баз в Lotus;

Нужно:
1.В связи с утечкой информации, необходимо ограничить права доступа к письмам всех сотрудников у всех админов, но должна остаться возможность вводить / редактировать / удалять пользователей и решать их проблемы.
2.И если есть возможность каким либо образом шифровать или паролить почтовые базы, чтобы админы не могли скопировать базу и открыть ее в другом Lotus или локально.
Думаю действия такие: (поправьте)

1. Знаю что есть волшебная кнопка Full Access Administrations, возможно ей пользуются.
Запретить ее в настройках серверного документа вкладка Security - Full Access administrators?

2. Далее думаю нужно пройтись по почтовым базам и удалить группу Administrations, и поставить вместо нее свою, в которой будут только нужные люди.

3. Админов думаю нужно оставить в разделах на вкладке Security серверного документа:
Чтобы они могли работать с Адресной Книжкой и другими базами.

Full Access administrators: убрать
Administrators: оставить
Database Administrators: оставить
Full Remote Console Administrators: оставить

4. Что сделать с шифрованием?

5. где можно систематизировать логи того какие люди куда лазиют?
 

rinsk

Lotus team
12.11.2009
904
44
#2
1.В связи с утечкой информации, необходимо ограничить права доступа к письмам всех сотрудников у всех админов, но должна остаться возможность вводить / редактировать / удалять пользователей и решать их проблемы.
Нужно просто шифровать письма в базах. сами базы шифровать смысла нет. Все это включается через политики\настройки

следующие пункты 1,2,3 уже не обязательны.
Нужно включить механизм управления ID файлами, что бы админы не могли :
а) Извлечь из ID Vault ID файл под этим ид открыть базу для прочтения писем
б) Не могли бы в одиночку восстановить пароль на ИД через ID Recovery
 

ToxaRat

Чёрный маг
Lotus team
06.11.2007
3 233
18
#3
хорошо, что агент подписанный сервером решает все эти ограничения :p
 

rinsk

Lotus team
12.11.2009
904
44
#4
хорошо, что агент подписанный сервером решает все эти ограничения
Какие - все? расшифрует письмо, восстановит пароль на ид из агента, или через C API выдернет ид из ид ваулт?
если чел почитает как сделать выше, то прочитает и еще что то полезное:)
А так - тут вот возникаю сомнения, что админ способен почту отослать с клиента :))) так шта...
 

deeeman

Well-known member
04.12.2007
383
0
#5
Нужно просто шифровать письма в базах. сами базы шифровать смысла нет. Все это включается через политики\настройки

следующие пункты 1,2,3 уже не обязательны.
Нужно включить механизм управления ID файлами, что бы админы не могли :
а) Извлечь из ID Vault ID файл под этим ид открыть базу для прочтения писем
б) Не могли бы в одиночку восстановить пароль на ИД через ID Recovery
Шифрование писем - хорошая идея!
а где можно почитать про механизмы управления ID?

И еще: если у админов уже есть где то спрятан idшник пользователя, а мы тут стараемся: зашифровали письма, включили различные защиты.. а он взял под id зашел и привет...
Заново регать\обновлять всем id?
 

garrick

Lotus team
26.10.2009
911
61
#7
Нельзя админа лишить всех прав на базу. Любую базу и почтовую тоже. Если у вас что-то сломается, кто вам чинить будет? Обязательно должен быть кто-то, обладающий полными административными правами, разбирающийся во всей этой кухне. И этот "кто-то" никак не простой пользователь. Другое дело, можно ограничить количество "админов", которым доступна почта пользователей.
 

aameno2

Well-known member
27.01.2009
514
12
#8
В принципе задача не имеет решения. Это бессмысленно, согласен с Тохой. Да и агента не надо, tcpdump в помощь)
А уж листочки с паролями, несмотря на страшные кары за это, никто не отменял.
Насколько я помню, в лотусе нет синхронизации паролей одного ид на разных машинах и вы конечно можете поменять пароли но..... Это к вопросу "они уже сохранили ид".
А если админы потеряли доверие....только увольнять.
 

ToxaRat

Чёрный маг
Lotus team
06.11.2007
3 233
18
#10
первую мою часть все поняли - если есть агент от сервера он получает доступ ко всем базам и всем нешифрованным вещам и благодаря DXML может даже код поменять во всех местах....
а вторая часть всё так же проста - письмо "не сразу" шифрованное - а значит есть куча мест где можно сделать его копию ДО шифрования :p
другое дело когда письмо приходит на сервер уже шифрованное....но опять таки есть момент когда оно перестаёт быть шифрованным...

при должном понимании домино можно будучи обычным юзером - только зарегенным уже через час получить полного админа... всего-то потребуется отредактировать парочку документов...
 

deeeman

Well-known member
04.12.2007
383
0
#11
Другое дело, можно ограничить количество "админов", которым доступна почта пользователей.
Да именно так!

Ребят, не гните палку... понятно что от хакера нет защиты, но там обычные админы.
не будут они заниматься всем этим... просто любям посмотреть чужие письма.
Просьба напишите по существу что можно сделать.

1. включить шифрование писем
2. убрать людей из Full Access
3. в глобальной группе administrators убавить админов, но как тогда они будут создавать юзверей? есть для этого другая группа?
4. либо в почтах переделать ACL

что еще?

Нужно включить механизм управления ID файлами, что бы админы не могли :
а) Извлечь из ID Vault ID файл под этим ид открыть базу для прочтения писем
б) Не могли бы в одиночку восстановить пароль на ИД через ID Recovery
дайте для поиска слова? не могу найти.
 

rinsk

Lotus team
12.11.2009
904
44
#12
"domino ID Vault" "domino ID recovery".
В зависимости от того, что настроено...
 

ToxaRat

Чёрный маг
Lotus team
06.11.2007
3 233
18
#15
если подписывается опред. ключем - ничё не произойдет
подписывание тут до места
если речь о шифровании - то это удел весьма маленького процента, чтение такой почты админами любителями уже само по себе риск
но и тут - всего парочка "фиксов" и в отправленных у нас уже не шифрованная почта ;)
 

lmike

нет, пердело совершенство
Lotus team
27.08.2008
6 601
277
#16
но и тут - всего парочка "фиксов" и в отправленных у нас уже не шифрованная почта ;)
без прав на изменения опред. доков и файлового доступа к серверу - интересно про них услышать
 

ToxaRat

Чёрный маг
Lotus team
06.11.2007
3 233
18
#17
без прав на изменения опред. доков и файлового доступа к серверу - интересно про них услышать
достаточно простой репликации - которая и доки поменяет и файловый доступ даст - два в одном ;)

еще скажите никто из вас так АК не правил, не имея к ней полный доступ
 

lmike

нет, пердело совершенство
Lotus team
27.08.2008
6 601
277
#18
достаточно простой репликации - которая и доки поменяет и файловый доступ даст - два в одном ;)
если в АКЛ не прописан - не поменяет
фэйковый сервер не поднять если нет управления сетью
 

ToxaRat

Чёрный маг
Lotus team
06.11.2007
3 233
18
#19
если в АКЛ не прописан - не поменяет
фэйковый сервер не поднять если нет управления сетью
берешь реплику
подбрасываешь на другой сервере
FA
меняешь
обратно реплицируешь

фейковый сервер он и локальный может быть, зачем же его в сеть сразу кидать ;)
 

lmike

нет, пердело совершенство
Lotus team
27.08.2008
6 601
277
#20
подбрасываешь на другой сервере
ты слова "нет прав" принципиально не хочешь видеть
опиши схему с сетью - у тя какое-то рассогласование получается
-в сеть поставить сервер низя (с именами кот. уже присут)
-реплику скопировать на сервер низя (нет прав)
-создать док сервера, в АК, низя
-изменить док сервера в АК низя
-к серванту нет доступа иначе как с клиента нотес
[DOUBLEPOST=1427658413,1427658273][/DOUBLEPOST]т.е. "админы" имеют права, но в рамках, остальное - под согласование и совместные действия (можно с безопасником)