Autor Thema: Sicherheitsloch ?  (Gelesen 1101 mal)

Offline Wipe

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 873
  • Geschlecht: Männlich
Sicherheitsloch ?
« am: 08.03.04 - 10:41:06 »
Hallo zusammen,

habe mal folgendes Szenario durchgespielt, da wir zuzeit einen sensiblen Fall haben.

1)
User Hans Mustermann mit Mailfile hmust.nsf und hmust.id angelegt.
Adminserver auf Mailfile deaktiviert damit Name noch in ACL bestehen bleibt.
User Hans Mustermann gelöscht allerdings Mailfile steht noch und ID.

2) 2 Tage später
User Hans Mustermann mit Mailfile hmust01.nsf und hmust01.id angelegt.

Jetzt meine Frage:
konnte mich mit hmust.id und hmust01.id am Server identifizieren und auch das jeweilige Mailfile öffnen. Der Hintergrund ist der, dass ein User einen unerlaubten Zugriff auf sein Mailfile hatte (ungelesene Dokumente) da er zu diesem Zeitpunkt in Urlaub war. Anhand vom LOG konnte ich Aktivität mit dem eigenen Usernamen auf dem File feststellen obwohl dieser in Urlaub war. Da wir nicht feststellen können wer diese ID noch im Zugriff hat, dachte ich man könnte den User löschen (außer Mailfile), rechnet eine neue ID und somit wäre die alte ID hinfällig. Oder gibt es einen anderen Weg, dass die alte ID ungültig wird und man eine neue an den User aushändigt ?

Danke  

Glombi

  • Gast
Re:Sicherheitsloch ?
« Antwort #1 am: 08.03.04 - 10:50:03 »
Einen User löschen reicht nicht aus, wenn Du nicht explizit eine Deny-Access Gruppe hast, in der der User eingetragen wird. Diese Deny-Access Gruppe musst Du dann im Serverdokument unter "Wer darf nicht auf Server zugreifen" eintragen.

Falls ein neuer User mit identischen voll hierarchischen Namen zugelassen werden soll, empfiehlt es sich, ein Middle Initial zu verwenden. Falls das nicht gewünscht wird, müsste der Name wieder aus der Deny-Access Gruppe herausgenommen werden. Aber dann könnte auch die alte ID - sofern diese noch nicht abgelaufen ist - auf den Server zugreifen.

Daher empfehle ich:
- ID nicht länger als 2 Jahre gültig machen
- Kennwortprüfung aktivieren
- Deny-Gruppen verwenden

Andreas
« Letzte Änderung: 08.03.04 - 10:53:23 von Glombi »

Driri

  • Gast
Re:Sicherheitsloch ?
« Antwort #2 am: 08.03.04 - 10:57:57 »
Noch nen Hinweis :

Bei neu erstelltem User gibts natürlich dann Probleme mit verschlüsselten Daten, da diese ja mit den alten Schlüssel angelegt worden sind.

Offline Wipe

  • Gold Platin u.s.w. member:)
  • *****
  • Beiträge: 873
  • Geschlecht: Männlich
Re:Sicherheitsloch ?
« Antwort #3 am: 08.03.04 - 15:27:35 »
Hallo,

so wie es aussieht wird nur die Kennwortprüfung übrigbleiben.

@All
Danke

 

Impressum Atnotes.de  -  Powered by Syslords Solutions  -  Datenschutz