M 4.126 Sichere Konfiguration eines Lotus Notes Clients
Verantwortlich für Initiierung: IT-Sicherheitsbeauftragter, Leiter IT
Verantwortlich für Umsetzung: Administrator
Zum Zugriff auf einen Notes-Server wird in der Regel der Lotus Notes Client benutzt. Für den Zugriff auf den Server erfolgt eine Authentisierung durch die Notes-ID. Die Notes-ID ist daher vor fremden Zugriffen geschützt aufzubewahren. Naturgemäß muss auch die Client-Konfiguration so verändert werden, dass ein möglichst sicheres Arbeiten mit dem Notes-Client erfolgen kann.
Neben der physikalischen Sicherheit und der sicheren Betriebssystemkonfiguration der Clients (siehe auch die jeweils relevanten Bausteine), sind insbesondere die folgenden Notes-spezifischen Sicherheitsaspekte zu berücksichtigen:
- Damit der Client auf die Notes-ID-Datei zugreifen kann, muss der Benutzer das Notes-ID-Passwort eingeben. Nachdem die Notes-ID in dieser Form freigeschaltet wurde, kann im Prinzip jeder, der Zugriff auf die Konsole des Clients besitzt, auf den oder die Server authentisiert zugreifen. Um dies zu verhindern, kann der Notes-Client durch Drücken der Funktionstaste "F5" veranlasst werden, vor der nächsten Aktion das Notes-ID-Passwort erneut abzufragen. Dieser Mechanismus kann zum Sperren des Notes-Clients bei kurzzeitiger Abwesenheit vom Arbeitsplatz benutzt werden (siehe auch M 4.129 Sicherer Umgang mit Notes-ID-Dateien). Die Benutzer müssen darauf hingewiesen werden, dass bei Verlassen des Arbeitsplatzes dieser oder ein anderer Passwort-geschützter Bildschirmschoner zu aktivieren ist.
- Beim Zugriff auf Datenbanken werden - je nach Datenbank - auch aktive Datenbankinhalte (Skripten oder Agenten) durch den Client ausgeführt. Je nach Ursprungsort birgt dies Gefahren, z. B. könnte jemand durch ein trojanisches Pferd unerlaubten Zugriff auf lokale Datenbanken nehmen. Alle Datenbanken und alle aktiven Inhalte sollten daher durch eine spezielle Notes-ID signiert werden (siehe M 4.130 Sicherheitsmaßnahmen nach dem Anlegen neuer Lotus Notes Datenbanken). Danach kann über die so genannte
ECL
(Execution Control List) eingestellt werden, ob aktive Inhalte, die durch eine bestimmte Notes-ID signiert wurden, auf einem Client ausgeführt werden dürfen und welche nicht: Generell kann hier empfohlen werden, dass unsignierte aktive Datenbankinhalte nicht ausgeführt werden dürfen. Die ECL wird Server-gesteuert an alle Clients beim Client-Setup verteilt. Problematisch ist, dass die ECL auf einem Client unter Windows NT in der Datei "DESKTOP.DSK" gespeichert wird, die der Benutzer löschen kann, so dass die ECL-Einstellungen umgangen werden können. Daher sollten die Benutzer auf die Bedeutung dieser Einstellung für die Systemsicherheit hingewiesen werden. Das automatische Update der Client-ECL kann jedoch auch periodisch geschehen, sodasss die Client-ECL immer wieder "aktiviert" werden kann.
Dazu stehen zwei Mechanismen zur Verfügung:- Der Parameter "ECLSetup" wird in der Datei "Notes.ini" des Clients auf einen Wert kleiner 3 gesetzt. Dadurch wird beim nächsten Start des Clients die ECL vom Server geladen. Dies bedeutet jedoch einen zusätzlichen organisatorischen Aufwand, da der Parameter auf dem Client verändert werden muss.
- Das Update erfolgt skriptgesteuert (Funktion "@RefreshECL") durch Verändern der Schablone einer Datenbank, auf die Benutzer regelmäßig zugreifen (z. B. die E-Mail-Datenbank). Dies erfordert jedoch Eigenprogrammierung und das Verändern einer Datenbank-Schablone.
Um die sichere Kommunikation zwischen Server und Client zu erzwingen, kann die Port-Verschlüsselung genutzt werden (siehe M 5.84 Einsatz von Verschlüsselungsverfahren für die Lotus Notes Kommunikation).
Beispiel:
Folgende ECL-Einstellungen können als Ausgangspunkt für eigene ECLs dienen. Je nach Anwendungsszenario müssen die ECLs um Berechtigungen für aktive Inhalte, die entsprechende Signaturen tragen, erweitert werden. <admin> ist ein Platzhalter für einen Administrator und <QS> ist ein Platzhalter für eine organisationsinterne Prüfinstanz, die aktive Inhalte prüft und zur Benutzung freigibt.
Flag | -Default- | -keine Unterschrift- | <admin> | Lotus Notes Template development/Lotus Notes | <QS> |
---|---|---|---|---|---|
Allow user to modify ECL | -- | -- | -- | -- | -- |
Access to the file system | X | X | X | ||
Access to the current database | X | X | X | ||
Access to environment variables | X | X | X | ||
Access to non-Notes databases | X | X | X | ||
Access to external code | X | X | X | ||
Access to external programs | X | X | X | ||
Ability to send mail | X | X | X | ||
Ability to read other databases | X | X | X | ||
Ability to modify other databases | X | X | X | ||
Ability to export data | X | X | X | ||
Access to the Workstation Security ECL | X |
Tabelle: ECL-Einstellungen
Ergänzende Kontrollfragen:
- Wird eine aktuelle Notes-Client Version eingesetzt?
- Wurden die Benutzer über die Sicherheitsmechanismen des Notes-Clients informiert?
- Wird die Notes-ID gesichert aufbewahrt, sodass das unbefugte Kopieren nicht möglich ist?
- Wird ein Passwort-geschützter Bildschirmschoner eingesetzt?