Ограничить доступ

[deeeman]

Добрый день!
Нужна консультация по вопросам

В Lotus сейчас у группы людей есть полные админские права. В эту группу входят:
1. Администраторы компании, которые вводят / редактируют / удаляют пользователей (внутренние);
2. Администраторы прочих баз;
3. Разработчики баз в Lotus;

Нужно:
1.В связи с утечкой информации, необходимо ограничить права доступа к письмам всех сотрудников у всех админов, но должна остаться возможность вводить / редактировать / удалять пользователей и решать их проблемы.
2.И если есть возможность каким либо образом шифровать или паролить почтовые базы, чтобы админы не могли скопировать базу и открыть ее в другом Lotus или локально.
Думаю действия такие: (поправьте)

1. Знаю что есть волшебная кнопка Full Access Administrations, возможно ей пользуются.
Запретить ее в настройках серверного документа вкладка Security - Full Access administrators?

2. Далее думаю нужно пройтись по почтовым базам и удалить группу Administrations, и поставить вместо нее свою, в которой будут только нужные люди.

3. Админов думаю нужно оставить в разделах на вкладке Security серверного документа:
Чтобы они могли работать с Адресной Книжкой и другими базами.

Full Access administrators: убрать
Administrators: оставить
Database Administrators: оставить
Full Remote Console Administrators: оставить

4. Что сделать с шифрованием?

5. где можно систематизировать логи того какие люди куда лазиют?

 

[rinsk]

1.В связи с утечкой информации, необходимо ограничить права доступа к письмам всех сотрудников у всех админов, но должна остаться возможность вводить / редактировать / удалять пользователей и решать их проблемы.

Нужно просто шифровать письма в базах. сами базы шифровать смысла нет. Все это включается через политики\настройки

следующие пункты 1,2,3 уже не обязательны.
Нужно включить механизм управления ID файлами, что бы админы не могли :
а) Извлечь из ID Vault ID файл под этим ид открыть базу для прочтения писем
б) Не могли бы в одиночку восстановить пароль на ИД через ID Recovery

 

[ToxaRat]

хорошо, что агент подписанный сервером решает все эти ограничения

 

[rinsk]

хорошо, что агент подписанный сервером решает все эти ограничения

Какие - все? расшифрует письмо, восстановит пароль на ид из агента, или через C API выдернет ид из ид ваулт?
если чел почитает как сделать выше, то прочитает и еще что то полезное
А так - тут вот возникаю сомнения, что админ способен почту отослать с клиента )) так шта...

 

[deeeman]

Нужно просто шифровать письма в базах. сами базы шифровать смысла нет. Все это включается через политики\настройки

следующие пункты 1,2,3 уже не обязательны.
Нужно включить механизм управления ID файлами, что бы админы не могли :
а) Извлечь из ID Vault ID файл под этим ид открыть базу для прочтения писем
б) Не могли бы в одиночку восстановить пароль на ИД через ID Recovery

Шифрование писем - хорошая идея!
а где можно почитать про механизмы управления ID?

И еще: если у админов уже есть где то спрятан idшник пользователя, а мы тут стараемся: зашифровали письма, включили различные защиты.. а он взял под id зашел и привет...
Заново регать\обновлять всем id?

 

[rinsk]

а где можно почитать

Как обычно - в хелпе.
А вообще - ToxaRat отчасти прав в том плане, что от админа защиты почти нет и в данном случае у вас нужно вводить понятие support а не админов.

 

[garrick]

Нельзя админа лишить всех прав на базу. Любую базу и почтовую тоже. Если у вас что-то сломается, кто вам чинить будет? Обязательно должен быть кто-то, обладающий полными административными правами, разбирающийся во всей этой кухне. И этот "кто-то" никак не простой пользователь. Другое дело, можно ограничить количество "админов", которым доступна почта пользователей.

 

[aameno2]

В принципе задача не имеет решения. Это бессмысленно, согласен с Тохой. Да и агента не надо, tcpdump в помощь)
А уж листочки с паролями, несмотря на страшные кары за это, никто не отменял.
Насколько я помню, в лотусе нет синхронизации паролей одного ид на разных машинах и вы конечно можете поменять пароли но..... Это к вопросу "они уже сохранили ид".
А если админы потеряли доверие....только увольнять.

 

[lmike]

tcpdump в помощь)

сессионный ключ вычислять придется

 

[ToxaRat]

первую мою часть все поняли - если есть агент от сервера он получает доступ ко всем базам и всем нешифрованным вещам и благодаря DXML может даже код поменять во всех местах....
а вторая часть всё так же проста - письмо "не сразу" шифрованное - а значит есть куча мест где можно сделать его копию ДО шифрования
другое дело когда письмо приходит на сервер уже шифрованное....но опять таки есть момент когда оно перестаёт быть шифрованным...

при должном понимании домино можно будучи обычным юзером - только зарегенным уже через час получить полного админа... всего-то потребуется отредактировать парочку документов...

 

[deeeman]

Другое дело, можно ограничить количество "админов", которым доступна почта пользователей.

Да именно так!

Ребят, не гните палку... понятно что от хакера нет защиты, но там обычные админы.
не будут они заниматься всем этим... просто любям посмотреть чужие письма.
Просьба напишите по существу что можно сделать.

1. включить шифрование писем
2. убрать людей из Full Access
3. в глобальной группе administrators убавить админов, но как тогда они будут создавать юзверей? есть для этого другая группа?
4. либо в почтах переделать ACL

что еще?

Нужно включить механизм управления ID файлами, что бы админы не могли :
а) Извлечь из ID Vault ID файл под этим ид открыть базу для прочтения писем
б) Не могли бы в одиночку восстановить пароль на ИД через ID Recovery

дайте для поиска слова? не могу найти.

 

[rinsk]

"domino ID Vault" "domino ID recovery".
В зависимости от того, что настроено...

 

[ToxaRat]

2. убрать людей из Full Access

журналирование и пофиг админ я или нет

 

[lmike]

журналирование и пофиг админ я или нет

если подписывается опред. ключем - ничё не произойдет

 

[ToxaRat]

если подписывается опред. ключем - ничё не произойдет

подписывание тут до места
если речь о шифровании - то это удел весьма маленького процента, чтение такой почты админами любителями уже само по себе риск
но и тут - всего парочка "фиксов" и в отправленных у нас уже не шифрованная почта

 

[lmike]

но и тут - всего парочка "фиксов" и в отправленных у нас уже не шифрованная почта

без прав на изменения опред. доков и файлового доступа к серверу - интересно про них услышать

 

[ToxaRat]

без прав на изменения опред. доков и файлового доступа к серверу - интересно про них услышать

достаточно простой репликации - которая и доки поменяет и файловый доступ даст - два в одном

еще скажите никто из вас так АК не правил, не имея к ней полный доступ

 

[lmike]

достаточно простой репликации - которая и доки поменяет и файловый доступ даст - два в одном

если в АКЛ не прописан - не поменяет
фэйковый сервер не поднять если нет управления сетью

 

[ToxaRat]

если в АКЛ не прописан - не поменяет
фэйковый сервер не поднять если нет управления сетью

берешь реплику
подбрасываешь на другой сервере
FA
меняешь
обратно реплицируешь

фейковый сервер он и локальный может быть, зачем же его в сеть сразу кидать

 

[lmike]

подбрасываешь на другой сервере

ты слова "нет прав" принципиально не хочешь видеть
опиши схему с сетью - у тя какое-то рассогласование получается
-в сеть поставить сервер низя (с именами кот. уже присут)
-реплику скопировать на сервер низя (нет прав)
-создать док сервера, в АК, низя
-изменить док сервера в АК низя
-к серванту нет доступа иначе как с клиента нотес
[DOUBLEPOST=1427658413,1427658273][/DOUBLEPOST]т.е. "админы" имеют права, но в рамках, остальное - под согласование и совместные действия (можно с безопасником)