• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Ограничить доступ

  • Автор темы deeeman
  • Дата начала
D

deeeman

Добрый день!
Нужна консультация по вопросам

В Lotus сейчас у группы людей есть полные админские права. В эту группу входят:
1. Администраторы компании, которые вводят / редактируют / удаляют пользователей (внутренние);
2. Администраторы прочих баз;
3. Разработчики баз в Lotus;

Нужно:
1.В связи с утечкой информации, необходимо ограничить права доступа к письмам всех сотрудников у всех админов, но должна остаться возможность вводить / редактировать / удалять пользователей и решать их проблемы.
2.И если есть возможность каким либо образом шифровать или паролить почтовые базы, чтобы админы не могли скопировать базу и открыть ее в другом Lotus или локально.
Думаю действия такие: (поправьте)

1. Знаю что есть волшебная кнопка Full Access Administrations, возможно ей пользуются.
Запретить ее в настройках серверного документа вкладка Security - Full Access administrators?

2. Далее думаю нужно пройтись по почтовым базам и удалить группу Administrations, и поставить вместо нее свою, в которой будут только нужные люди.

3. Админов думаю нужно оставить в разделах на вкладке Security серверного документа:
Чтобы они могли работать с Адресной Книжкой и другими базами.

Full Access administrators: убрать
Administrators: оставить
Database Administrators: оставить
Full Remote Console Administrators: оставить

4. Что сделать с шифрованием?

5. где можно систематизировать логи того какие люди куда лазиют?
 

rinsk

Lotus Team
12.11.2009
1 151
125
BIT
3
1.В связи с утечкой информации, необходимо ограничить права доступа к письмам всех сотрудников у всех админов, но должна остаться возможность вводить / редактировать / удалять пользователей и решать их проблемы.
Нужно просто шифровать письма в базах. сами базы шифровать смысла нет. Все это включается через политики\настройки

следующие пункты 1,2,3 уже не обязательны.
Нужно включить механизм управления ID файлами, что бы админы не могли :
а) Извлечь из ID Vault ID файл под этим ид открыть базу для прочтения писем
б) Не могли бы в одиночку восстановить пароль на ИД через ID Recovery
 

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
хорошо, что агент подписанный сервером решает все эти ограничения :p
 

rinsk

Lotus Team
12.11.2009
1 151
125
BIT
3
хорошо, что агент подписанный сервером решает все эти ограничения
Какие - все? расшифрует письмо, восстановит пароль на ид из агента, или через C API выдернет ид из ид ваулт?
если чел почитает как сделать выше, то прочитает и еще что то полезное:)
А так - тут вот возникаю сомнения, что админ способен почту отослать с клиента :))) так шта...
 
D

deeeman

Нужно просто шифровать письма в базах. сами базы шифровать смысла нет. Все это включается через политики\настройки

следующие пункты 1,2,3 уже не обязательны.
Нужно включить механизм управления ID файлами, что бы админы не могли :
а) Извлечь из ID Vault ID файл под этим ид открыть базу для прочтения писем
б) Не могли бы в одиночку восстановить пароль на ИД через ID Recovery

Шифрование писем - хорошая идея!
а где можно почитать про механизмы управления ID?

И еще: если у админов уже есть где то спрятан idшник пользователя, а мы тут стараемся: зашифровали письма, включили различные защиты.. а он взял под id зашел и привет...
Заново регать\обновлять всем id?
 

garrick

Lotus Team
26.10.2009
1 349
151
BIT
164
Нельзя админа лишить всех прав на базу. Любую базу и почтовую тоже. Если у вас что-то сломается, кто вам чинить будет? Обязательно должен быть кто-то, обладающий полными административными правами, разбирающийся во всей этой кухне. И этот "кто-то" никак не простой пользователь. Другое дело, можно ограничить количество "админов", которым доступна почта пользователей.
 

aameno2

Lotus Team
27.01.2009
730
134
BIT
109
В принципе задача не имеет решения. Это бессмысленно, согласен с Тохой. Да и агента не надо, tcpdump в помощь)
А уж листочки с паролями, несмотря на страшные кары за это, никто не отменял.
Насколько я помню, в лотусе нет синхронизации паролей одного ид на разных машинах и вы конечно можете поменять пароли но..... Это к вопросу "они уже сохранили ид".
А если админы потеряли доверие....только увольнять.
 

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
первую мою часть все поняли - если есть агент от сервера он получает доступ ко всем базам и всем нешифрованным вещам и благодаря DXML может даже код поменять во всех местах....
а вторая часть всё так же проста - письмо "не сразу" шифрованное - а значит есть куча мест где можно сделать его копию ДО шифрования :p
другое дело когда письмо приходит на сервер уже шифрованное....но опять таки есть момент когда оно перестаёт быть шифрованным...

при должном понимании домино можно будучи обычным юзером - только зарегенным уже через час получить полного админа... всего-то потребуется отредактировать парочку документов...
 
D

deeeman

Другое дело, можно ограничить количество "админов", которым доступна почта пользователей.

Да именно так!

Ребят, не гните палку... понятно что от хакера нет защиты, но там обычные админы.
не будут они заниматься всем этим... просто любям посмотреть чужие письма.
Просьба напишите по существу что можно сделать.

1. включить шифрование писем
2. убрать людей из Full Access
3. в глобальной группе administrators убавить админов, но как тогда они будут создавать юзверей? есть для этого другая группа?
4. либо в почтах переделать ACL

что еще?

Нужно включить механизм управления ID файлами, что бы админы не могли :
а) Извлечь из ID Vault ID файл под этим ид открыть базу для прочтения писем
б) Не могли бы в одиночку восстановить пароль на ИД через ID Recovery

дайте для поиска слова? не могу найти.
 

rinsk

Lotus Team
12.11.2009
1 151
125
BIT
3
"domino ID Vault" "domino ID recovery".
В зависимости от того, что настроено...
 

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
если подписывается опред. ключем - ничё не произойдет
подписывание тут до места
если речь о шифровании - то это удел весьма маленького процента, чтение такой почты админами любителями уже само по себе риск
но и тут - всего парочка "фиксов" и в отправленных у нас уже не шифрованная почта ;)
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 933
609
BIT
177
но и тут - всего парочка "фиксов" и в отправленных у нас уже не шифрованная почта ;)
без прав на изменения опред. доков и файлового доступа к серверу - интересно про них услышать
 

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
без прав на изменения опред. доков и файлового доступа к серверу - интересно про них услышать
достаточно простой репликации - которая и доки поменяет и файловый доступ даст - два в одном ;)

еще скажите никто из вас так АК не правил, не имея к ней полный доступ
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 933
609
BIT
177
достаточно простой репликации - которая и доки поменяет и файловый доступ даст - два в одном ;)
если в АКЛ не прописан - не поменяет
фэйковый сервер не поднять если нет управления сетью
 

ToxaRat

Чёрный маг
Green Team
06.11.2007
3 332
42
BIT
0
если в АКЛ не прописан - не поменяет
фэйковый сервер не поднять если нет управления сетью
берешь реплику
подбрасываешь на другой сервере
FA
меняешь
обратно реплицируешь

фейковый сервер он и локальный может быть, зачем же его в сеть сразу кидать ;)
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 933
609
BIT
177
подбрасываешь на другой сервере
ты слова "нет прав" принципиально не хочешь видеть
опиши схему с сетью - у тя какое-то рассогласование получается
-в сеть поставить сервер низя (с именами кот. уже присут)
-реплику скопировать на сервер низя (нет прав)
-создать док сервера, в АК, низя
-изменить док сервера в АК низя
-к серванту нет доступа иначе как с клиента нотес
[DOUBLEPOST=1427658413,1427658273][/DOUBLEPOST]т.е. "админы" имеют права, но в рамках, остальное - под согласование и совместные действия (можно с безопасником)
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!