iNotes - Option, um KEINE Dateianhänge anzuzeigen?

[Hartie]

Hallo,

unser Chief Security Officer fragt bei mir an, ob man iNotes so konfigurieren kann, dass man zwar Subject und Body des empfangenen Mails sehen/lesen kann, aber keine Dateianhänge, die dem Mail beigefügt wurden.

Damit will er verhindern, dass man von dem "unsicheren" Webbrowser aus Dateianhänge lösen und "mißbrauchen" kann.

Gibt es dazu eine bekannte Option? (Policy, notes.ini)

Danke.

Gruß Hartie

[ascabg]

Hallo,

Waere mir nicht bekannt, dass es eine Einstellung gibt, mit der man dieses verhindern koennte.


Andreas

[m3]

Mail policy settings, Lotus iNotes - Configuration tab

Disable "Browser Cache Management"
Enable "Disallow attachments if not installed"

Use Browser Cache Management to improve client side performance and security of IBM® Lotus® iNotes™ sessions on Microsoft® Internet Explorer by controlling which entries are stored in the cache and which are removed when the Lotus iNotes session ends.

Disallow attachments if not installed  - Enable to prevent users from adding or accessing attachments in e-mail if Browser Cache Management is not installed. Default is disabled. Using this setting prevents users who have not installed Browser Cache Management from accessing or copying sensitive information in an attachment at an unsecured workstation.

[ascabg]

Ok.
Man lernt ja nie aus.

Dennoch muss ich diese Frage jetzt loswerden.

Im Dokument aus dem ersten Link "Browser Cache Management" wird explizit immer nur vom IE gesprochen.
Gilt selbiges nun auch fuer andere Browser oder nur fuer den besagten IE?


Andreas

[Hartie]

@M3- super Tipp, AAABBER.

Die Kombination aus

Browser Cache Management = Disabled = [   ]YES
UND
Disallow attachments if not installed = Enabled = [ X ] YES

bekomme ich nicht hin.

Entweder so [X]YES und [X]YES- Screenshot 1
dann lässt sich der User das Browser Cache Management halt installieren (ist glaub ne ActiveX-Komponente) und schon kommt er wieder an die Anhänge

oder so [  ]YES, dann kann ich die Attachments nicht disallowen, weil der Abschnitt zugeklappt ist - Screenshot 2

[umi]

Hallo
Aus Entwicklersicht gibts da ne möglichkeit.
Einfach die entsrpechenden Forms in der Forms85.nsf anpassen :-)

Aus Sicherheitspolitischer sicht ist das quark. Du kannst nicht verhindern, dass er das mail z.B. an seinen privaten Email account weiterleitt und von dort das attachment herunterlädt.

[m3]

Hallo
Aus Entwicklersicht gibts da ne möglichkeit.
Einfach die entsrpechenden Forms in der Forms85.nsf anpassen :-)

Einfach ?? 

[Hartie]

@umi: Guter Hinweis!

Wenn das Sicherheitsfeature wirklich greifen soll, dann dürfte ein Mail-Forward im iNotes-Client die Anhänge ebenfalls nicht weiterleiten.

Ob dieser Wunsch mit der Einstellung von m3 in Erfüllung geht?

@m3:

Kannst Du auf meinen Einwand eingehen, dass ich die von Dir vorgeschlagene Einstellung so nicht nachstellen kann?

Gruß
Hartie

[umi]

@M3
Naja. Sobald man die richtige(n) Stellen gefunden hat, ist das gaaaanz einfach 

[Peter Klett]

Wenn ich es richtig verstanden habe, haben die Benutzer auch die Möglichkeit, Mails im NotesClient zu lesen?

Und wie verhindert Ihr, dass sich jemand eine solche Mail an eine private Mailadresse weiterleitet, um an den Dateianhang an einem Rechner heranzukommen, der keine Notesinstallation hat? Das ist m.E. die logische Handlungsweise, wenn jemand - ob berechtigt oder nicht - Bedarf daran hat und es auf dem offiziellen Weg nicht kann. Und dann ist es nicht nur die "unsichere" Übertragung im Browser, sondern das Zeug liegt zusätzlich noch auf einem fremden Server.

Die angebliche Sicherheitsmaßnahme führt dadurch zu größerer Unsicherheit.

Falls Du jetzt antwortest, dass Ihr in einer Arbeitsanweisung geregelt habt, dass Mails nicht an private Adressen weitergeleitet werden dürfen, dann regelt in der gleichen, dass Dateianhänge nicht per iNotes geöffnet werden dürfen.

Ich bin ja eigentlich auch einer der Sicherheitsfanatiker, aber diesen Punkt verstehe ich leider nicht ...

[Driri]

Wenn wir schon dabei sind : Ggf. müßte man dann auch den Traveler bzw. andere Sync-Software betrachten. Damit ließe sich ja auch eine Mail mit Attachments an eine externe, private Adresse weiterleiten.

[Hartie]

Eure Einwände kann ich als Admin nachvollziehen. Es geht aber nicht darum, dass der autorisierte User "Schindluder treibt", sondern ein dritter unbefugter "Böser", der Zugriff auf iNotes bekommen hat.

Der CSO sieht einfach einen Webbrowser-Zugriff auf Mails als weniger sicher an als über den Notes-Client oder Blackberry/Traveler
1. User hat Zugriff auf vollen Notes-Client, iNotes und Blackberry (oder Traveler)
2. Notes-Client ist sicher: Startkennwort, Windowskennwort, Festplatte verschlüsselt, Notes-Kennwort, verschlüsselte Mail-DB
3. Blackberry ist sicher: Umfangreiche Enterprise-Policies, Kennwortlänge, Inactivity timeout etc.
4. Traveler ist sicher: vorgeschaltetes MDM, Remote wipe, etc.

Jetzt stellt Euch einen Webbrowser im Internetcafe in der Ukulele oder Stolen vor: Und da sollen eben keine Attachments angezeigt, heruntergeladen, weitergeleitet werden dürfen.

Gruß Hartie