• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Правильная настройка таблицы управления доступом

Gandliar

Lotus Team
16.02.2004
558
26
BIT
69
Здравствуйте!

Подскажите правильный подход настройки таблицы управления доступом на клиентах.
Периодически меняются/добавляются разработчики
Правильно ли будет
всех разработчиков сертифицировать как Иванов Иван Иванович/developers/организация
и политикой добавить во все туд пользователей */developers/организация

Или лучше какой то другой подход?
 

Wanderstep

Lotus Team
23.03.2006
493
65
BIT
21
Так понимаю речь об ECL (execution control list). Не пользую маски, т.к. к ним вопросы с точки зрения информационной безопасности - что мешает обновлять политику безопасности и распространять новый список ECL среди пользователей автоматоматически.
Есть другая практика - подписывать какой-то обезличенной учетной записи обновленный код программиста. Если разработчики меняются периодически, то руководитель разработчиков обычно не так часто меняется (иначе совсем плохи дела в Компании). После доработок программистом в шаблоне, руководитель переносит изменения в продуктив и подписывает измененные элементы дизайна доверенной учетной записью.
 
  • Нравится
Реакции: BlackHundred

garrick

Lotus Team
26.10.2009
1 352
151
BIT
211
Если это про ECL, то нехорошо дизайн боевых баз пописывать чей-то личной подписью. Правильно Wanderstep говорит. Заведите специальную учётную запись только для этого или подписывайте серверной подписью. Личную подпись обычно банят после увольнения пользователя/разработчика и всё им подписанное перестаёт работать.
 
  • Нравится
Реакции: VladSh и BlackHundred

Gandliar

Lotus Team
16.02.2004
558
26
BIT
69
Если это про ECL, то нехорошо дизайн боевых баз пописывать чей-то личной подписью. Правильно Wanderstep говорит. Заведите специальную учётную запись только для этого или подписывайте серверной подписью. Личную подпись обычно банят после увольнения пользователя/разработчика и всё им подписанное перестаёт работать.

Может я что то делаю не так?

В настоящий момент у меня для каждой базы есть 3 объекта
1. шаблон
2. тестовая
3. боевая

Вот как раз сейчас все подписывается специальной учеткой админа.
Но при этом есть проблемы
Хотелось бы видеть кто и когда что изменял, то есть еще по идее нужен 4й объект - готовый шаблон, который подписывается админской учеткой, с которого потом уже обновляется боевая база

С другой стороны прописать в ecl */developers/фирма и по идее должно работать, но выше пишут что небезопасно, правда непонятно почему.
 

Gandliar

Lotus Team
16.02.2004
558
26
BIT
69
Так понимаю речь об ECL (execution control list). Не пользую маски, т.к. к ним вопросы с точки зрения информационной безопасности - что мешает обновлять политику безопасности и распространять новый список ECL среди пользователей автоматоматически.
Есть другая практика - подписывать какой-то обезличенной учетной записи обновленный код программиста. Если разработчики меняются периодически, то руководитель разработчиков обычно не так часто меняется (иначе совсем плохи дела в Компании). После доработок программистом в шаблоне, руководитель переносит изменения в продуктив и подписывает измененные элементы дизайна доверенной учетной записью.
Поясните пожалуйста, в чем вопросы к маскам с точки зрения информационной безопасности.
С другой стороны может и есть смысл сделать единую точку обновления дизайна (типа через руководителя/администратора) с сохранением всех версий шаблонов.
 

Wanderstep

Lotus Team
23.03.2006
493
65
BIT
21
Вам уже указали выше, почему нельзя использовать персональную учетку для подписи - если уволят сотрудника и учетка будет удалена - будут проблемы со стартом тех же агентов, которые были подписаны этой учеткой и т.д. и т.п.
С точки зрения ИБ - представьте, как вы будете расследовать инцидент ИБ, если вы не знаете конкретного списка учеток, кому даны расширенные права на выполнение кода? Сегодня в АК 5 учеток по маске, указанной вами, а еще час назад их было 7, две были созданы и удалены после отработки кода, к примеру.
 

Gandliar

Lotus Team
16.02.2004
558
26
BIT
69
Вам уже указали выше, почему нельзя использовать персональную учетку для подписи - если уволят сотрудника и учетка будет удалена - будут проблемы со стартом тех же агентов, которые были подписаны этой учеткой и т.д. и т.п.
С точки зрения ИБ - представьте, как вы будете расследовать инцидент ИБ, если вы не знаете конкретного списка учеток, кому даны расширенные права на выполнение кода? Сегодня в АК 5 учеток по маске, указанной вами, а еще час назад их было 7, две были созданы и удалены после отработки кода, к примеру.
Спасибо за комментарий.
Проверю, будет ли работать агент, подписанный уволенным и забаненным работником.
Конкретный список учеток с раширенными правами - он то есть, сейчас записан в настройках сервера

Видимо надо делать 5 баз для каждого объекта
1. рабочая
2. тестовая
3. подписанный специальной учеткой шаблон последней рабочей версии
4. шаблон последней рабочей версии, переданный на подпись
5. шаблон текущей разработки

что думаете об этом или есть попроще подход?
 

garrick

Lotus Team
26.10.2009
1 352
151
BIT
211
На сервере должен быть шаблон с которого обновляется рабочая база. Этот шаблон должен быть подписан учёткой не какого-то конкретного администратора Васи Пупкина, а "фейковоого администратора" типа "Администратор"/ "Admin" или ещё как вы его там назовёте. Конечно доступ к этой учётке есть только у ответственного/уполномоченного сотрудника. IBM, например все шаблоны подписывали учёткой Lotus Notes Template Development/Lotus Notes, очевидно доставшейся им в наследство в 1995 году от Lotus Development. И даже HCL это не меняет, как мне кажется, доверие к этой учётке где-то глубоко в коде прописано и никто не знает где.

Все остальные вариации с тестовыми/рабочими базами/шаблонами - это на ваш вкус, как вам удобнее организовать своё производство. Нормально, как мне кажется, рабочая база и рабочий шаблон подписанные разработчиком. Тестовая среда должна настраиваться администратором и может быть подписана "админский" подписью, что бы у тестировщиков не было проблем с "сообщением безопасности", да и ситуация будет максимально приближена к боевой.

Если хотите знать кто-что правил. когда и т.п. - типа контроль версий, то надо ставить - конечно не верх совершенства, но другого, более вменяемого, нет.
 
  • Нравится
Реакции: VladSh

savl

Lotus Team
28.10.2011
2 610
313
BIT
295
Если хотите знать кто-что правил. когда и т.п. - типа контроль версий, то надо ставить TeamStudio CIAO! - конечно не верх совершенства, но другого, более вменяемого, нет.

Есть - git и он вполне себе рабочий.
 
  • Нравится
Реакции: Иван Пахомов

VladSh

начинающий
Lotus Team
11.12.2009
1 791
157
BIT
126
Чтобы лотусовый проект загрузить в Git или из Git в Designer, его (проект) надо сначала напильником доработать, а TS для него родное.
Именно так.
Тем более, что без потерь загрузить все элементы дизайна обратно в шаблон не получится, но это уже тема другой ветки.
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 950
609
BIT
264
Чтобы лотусовый проект загрузить в Git или из Git в Designer, его (проект) надо сначала напильником доработать, а TS для него родное.
"правильнописание хорошее, но почему-то хромает"... лочит, всякие чекины и прочая лабуда жить мешают, мерджи через одно место...
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!