M 4.118 Konfiguration als Lotus Notes Server
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator
Die Konfiguration eines Notes-Servers als Datenbankserver kann nur unter Beachtung seiner Umgebung und des vorgesehenen Anwendungsprofils erfolgen (siehe dazu M 2.206 Planung des Einsatzes von Lotus Notes und M 4.117 Sichere Konfiguration eines Lotus Notes Servers). Generell ist auch die physikalische Sicherheit und die sichere Konfiguration des Betriebssystems des Rechners, auf dem die Notes-Software eingesetzt wird, für die Sicherheit einer Notes-Installation erforderlich. Die Maßnahmen der relevanten Bausteine (z. B. Serverraum, Schutzschränke, Windows NT Netz, Unix Server) sind daher jeweils anzuwenden.
Allgemein müssen folgende Aspekte für die sichere Konfiguration eines Notes Servers berücksichtigt werden:
- Die Zugangskontrolle für den Server muss eingestellt werden. Diese regelt, wer sich mit dem Server verbinden darf, und greift, bevor die Zugriffskontrollen auf Datenbanken zum Einsatz kommen. Die Zugangsbeschränkungen für den Server müssen gemäß der Zugangsplanung konfiguriert werden (siehe M 4.119 Einrichten von Zugangsbeschränkungen auf Lotus Notes Server).
- Die Zugriffskontrolle für Datenbanken muss gemäß der Zugriffsplanung eingestellt werden. Dazu müssen die Zugriffslisten (Access Control Lists, ACL s) für alle Datenbanken gemäß der durchzusetzenden Zugriffsbeschränkungen geändert werden (siehe M 4.120 Konfiguration von Zugriffslisten auf Lotus Notes Datenbanken und M 4.121 Konfiguration der Zugriffsrechte auf das Namens- und Adressbuch von Lotus Notes).
- Der Administrationsprozess muss korrekt eingerichtet werden, damit die durch den Prozess periodisch ausgeführten administrativen Tätigkeiten angestoßen werden können. Hinweise hierzu finden sich in der Notes-Hilfe.
- Alle Datenbanken sollten mit einer dafür vorgesehenen speziellen Notes-ID signiert werden. Dabei sollten insbesondere Agenten und Skripte signiert werden. Dadurch kann die Ausführung von Agenten und Skripten auf Notes-Clients an die benutzte Signatur geknüpft werden, sodass unsignierte, fremde Agenten und Skripte nicht automatisch ausgeführt werden.
- Die notwendigen Logging- und Funktionsdatenbanken müssen erzeugt werden. Nicht alle für den Betrieb eines Domino-Servers notwendigen Datenbanken werden während des Installationsprozesses angelegt. So muss z. B. die Protokolldatenbank, die alle Zertifizierungsprozesse eines Servers protokolliert (unter anderem das Ausstellen von Benutzer-IDs) von Hand erzeugt werden. Dies betrifft z. B. die Datei "certlog.nsf" und das Template "certlog.ntf" (siehe auch M 5.86 Einsatz von Verschlüsselungsverfahren beim Browser-Zugriff auf Lotus Notes).
- Der Server sollte in einem Serverraum (siehe Baustein B 2.4 Serverraum) bzw. in einem Serverschrank (siehe Baustein B 2.7 Schutzschränke) untergebracht werden. Die Serverkonsole muss außerdem gegen unbefugtes Benutzen gesichert sein. Dazu ist vorzugsweise der Sperrmechanismus des Betriebssystems (z. B. Arbeitsstation sperren unter Windows NT) oder ein passwortgeschützter Bildschirmschoner (z. B. unter Unix) einzusetzen. Das Konsolenpasswort von Lotus Notes zu aktivieren, bietet hier wenig Schutz, da es bei der Eingabe im Klartext angezeigt wird und die Eingabezeile in der Regel über die Bildlaufleiste des Konsolenfensters wieder sichtbar gemacht werden kann.
Befindet sich ein Server im Verbund mit weiteren Servern, so müssen zusätzlich die Berechtigungen der Server untereinander konfiguriert werden. Dies betrifft auch den Datenaustausch zwischen Servern durch die Datenbankreplikation. Die für die Kommunikation erforderlichen Verbindungswege müssen dabei durch Anlegen so genannter Connection-Dokumente konfiguriert werden. Hinweise zur unter Umständen notwendigen Verschlüsselung von Kommunikationsverbindungen sind in M 5.84 Einsatz von Verschlüsselungsverfahren für die Lotus Notes Kommunikation beschrieben.
Die Sicherheit des Servers hängt auch von der Sicherheit der Benutzerauthentisierung ab. Diese wird wesentlich auch von der Sicherheit des Notes-ID-Passwortes eines jeden Benutzers bestimmt. Für die Passwörter können Qualitätsanforderungen eingestellt werden, die beim Erzeugen einer neuen Benutzer-ID festgelegt und dann auch bei jedem Passwortwechsel beachtet werden. Es steht eine numerische Qualitätsskala von 0 (kein Passwort) bis 16 zur Verfügung. Die minimale Passwortqualität für Benutzer sollte auf den Wert "8" oder höher eingestellt sein (siehe auch M 4.129 Sicherer Umgang mit Notes-ID-Dateien).
Ergänzende Kontrollfragen:
- Ist die Konfiguration der Lotus Notes Server dokumentiert?
- Sind alle Kommunikationspartner eines Servers bekannt?
- Ist die physikalische Sicherheit der Server-Rechner gewährleistet?
- Ist der Schutz der Notes-Server-Konsole gewährleistet?
- Sind Zugriffsbeschränkungen auf der Ebene der Betriebssysteme umgesetzt?