Security Monitoring und Compliance
Wie gewährleisten Sie die Einhaltung von
Sicherheitsanforderungen an Ihre
Messaging- & ...
Security Monitoring und Compliance
Agenda
Anforderungen und Informationsquellen
Risiken in der „nativen“ Lotus Domino Admi...
Security Monitoring und Compliance
Anforderungen
Unternehmenssicherungskonzepte (z. B. BaFin
Vorschiften in Kreditinstitut...
Security Monitoring und Compliance
Informationsquellen
BSI Grundschutzhandbuch
• Sicherer Betrieb IBM Lotus Domino
• Organ...
Security Monitoring und Compliance
Informationsquellen
Lotus Domino Administrator Hilfe, Security
• Operating System Secur...
Security Monitoring und Compliance
Risiken in der „nativen“ Administration
ID Typen und Schutzbedarf
• CERT.IDs > Mehrfach...
Security Monitoring und Compliance
Risiken in der „nativen“ Administration
Systemdatenbanken und Schutzbedarf
• NAMES.NSF ...
Security Monitoring und Compliance
Praxisdemo Szenarien
Kennwortschutz einer Server-ID
ACL Änderung „Teamroom Betriebsrat“...
Security Monitoring und Compliance
Exkurs: ID-Vault
Serverbasierte und sichere Applikation zur Speicherung und
Verwaltung ...
Security Monitoring und Compliance
Exkurs: ID-Vault
Security Monitoring und Compliance
Exkurs: ID-Vault, Server.ID & ACL
Der Zugriff und die Nutzung der Server ID des Vault S...
Security Monitoring und Compliance
Exkurs: ID-Vault, Server.ID & ACL
Security Monitoring und Compliance
Empfehlungen der IBM & des BSI
Was empfielt IBM im Zusammenhand mit ID-Vault?
IBM legt ...
Security Monitoring und Compliance
Relevante Quellen
IBM Lotus Notes and Domino Wiki > Domino security > Securing your Not...
Security Monitoring und Compliance
Warum Tool-gestütztes Konfigurations-
management?
Vereinfachung
der Administration durc...
Security Monitoring und Compliance
Weitere Informationen & Kontakt:
BCC Unternehmensberatung GmbH
Frankfurter Straße 80-82...
Nächste SlideShare
Wird geladen in …5
×

Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Messaging- & Collaboration-Infrastruktur?

583 Aufrufe

Veröffentlicht am

Sie betreiben ausgeklügelte Rechteverwaltung auf Ihrem Domino System, die Daten in den zahlreichen Datenbanken und Anwendungen sind gut abgesichert.
Wirklich? Ist Ihr "Generalschlüssel" für den ID-Vault auch gut geschützt, oder wird die Server-ID unnverschlüsselt verwendet? Können Sie sicher gehen, dass die Gruppendokumente nicht unberechtigt geändert werden? Wie breit sind weitreichende Administrationsrechte z.B. an Support-Kollegen "gestreut"?

Der IBM Domino Server bietet umfangreiche Sicherheitsmechanismen. Die Konfiguration ist jedoch komplex, Sicherheitsprobleme können entstehen. Außerdem werden Protokollierung und Verhinderung von Änderungen aus Sicht der Revision seit der Einführung von Basel II und SOX immer wichtiger. Es geht dabei darum für Transparenz im Change Management von Infrastrukturen zu sorgen.

DominoProtect schließt mögliche Sicherheitslücken, vereinfacht das Konfigurationsmanagement in komplexen Umgebungen und hilft Revisions- und Compliance-Anforderungen zu erfüllen - bewährt in vielen Projekten bei großen und kleinen Organisationen, in zahlreichen deutschen und internationalen Finanzinstituten und bei führenden IT-Dienstleistern.

0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
583
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
19
Aktionen
Geteilt
0
Downloads
4
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Messaging- & Collaboration-Infrastruktur?

  1. 1. Security Monitoring und Compliance Wie gewährleisten Sie die Einhaltung von Sicherheitsanforderungen an Ihre Messaging- & Collaboration-Infrastruktur? Security Monitoring und Compliance für IBM Domino Umgebungen Hartmut Koch, IBM ConnectDay Köln, 10. September 2013
  2. 2. Security Monitoring und Compliance Agenda Anforderungen und Informationsquellen Risiken in der „nativen“ Lotus Domino Administration Live Demo Exkurs: ID-Vault, Server.ID und ACL … Empfehlungen BSI & IBM
  3. 3. Security Monitoring und Compliance Anforderungen Unternehmenssicherungskonzepte (z. B. BaFin Vorschiften in Kreditinstituten) IT-Sicherheitskonzept des einzelnen Unternehmens Handbuch IT Change Management Arbeits- und Verfahrensanweisungen • Definition der konkreten Change Prozesse • Prozessüberwachung und Eskalation • Dokumentation
  4. 4. Security Monitoring und Compliance Informationsquellen BSI Grundschutzhandbuch • Sicherer Betrieb IBM Lotus Domino • Organisationsempfehlungen • Konfigurationsempfehlungen (System härten) • Detaillierte Abhandlung zum Thema E-Mail BSI „ISi Checks“ Handbücher & Checklisten • ISi Check IBM Lotus Domino • ISi Check Mail Clients Allgemein • ISi Check LANA (sichere Anbindung lokaler Netze an das Internet)
  5. 5. Security Monitoring und Compliance Informationsquellen Lotus Domino Administrator Hilfe, Security • Operating System Security • Network Security • Server Security • ID Security • Application Security • Workstation Security • ID-Vault (siehe Exkurs…) • …
  6. 6. Security Monitoring und Compliance Risiken in der „nativen“ Administration ID Typen und Schutzbedarf • CERT.IDs > Mehrfachkennwortschutz • SERVER.IDs > Mehrfachkennwortschutz • USER.IDs > Kennwortsicherheit • Alle ID-Typen > Physikalischer Schutz (Diebstahl, Korruption, Verlust) lückenlose Historie Dokumentation von Erstellung, Änderungen und Löschung
  7. 7. Security Monitoring und Compliance Risiken in der „nativen“ Administration Systemdatenbanken und Schutzbedarf • NAMES.NSF > ACL Schutz, Änderungs-Doku, 4 Augen • ADMIN4.NSF > ACL Schutz, Änderungs-Doku • LOG.NSF > ACL Schutz, Änderungs-Doku • EVENTS4.NSF > ACL Schutz, Änderungs-Doku • DDM.NSF > ACL Schutz, Änderungs-Doku • DOMLOG.NSF > ACL Schutz, Änderungs-Doku • CERT.LOG > ACL Schutz, Änderungs-Doku • ID-VAULT.NSF > ACL Schutz, Änderungs-Doku
  8. 8. Security Monitoring und Compliance Praxisdemo Szenarien Kennwortschutz einer Server-ID ACL Änderung „Teamroom Betriebsrat“ per Request Schutz der Funktion „Full Access Admin“ im Names.nsf Pflege der „Deny“ Gruppe per Request Automatische Request-Dokumentation
  9. 9. Security Monitoring und Compliance Exkurs: ID-Vault Serverbasierte und sichere Applikation zur Speicherung und Verwaltung von Notes IDs Einfache Bereitstellung der Notes IDs für (neue) Anwender zu verschiedenen Notes Clients und mobilen Endgeräten Automatisches Einsammeln der existierenden Notes IDs Optimierter Prozess zur Rücksetzung vergessener Notes ID Passwörter um Aufwände zu reduzieren Automatischer Abgleich von Änderungen über mehrere verteilte Notes IDs (Kopien) hinweg
  10. 10. Security Monitoring und Compliance Exkurs: ID-Vault
  11. 11. Security Monitoring und Compliance Exkurs: ID-Vault, Server.ID & ACL Der Zugriff und die Nutzung der Server ID des Vault Servers muss besonders geschützt werden! • Setzen von Passwörtern auf die Server ID Dateien • Upgrade Server ID Keys auf 2048 bit (Keyrollover) Überwachung der Vault ACL und Auditor Rolle • SECURE_DISABLE_AUDITOR=1 in der Notes.ini um diese Funktion auszuschalten • Schutz der Anwendungs-ACL vor Änderungen • Beschränkung der „FullAccess-Admin“ Funktion
  12. 12. Security Monitoring und Compliance Exkurs: ID-Vault, Server.ID & ACL
  13. 13. Security Monitoring und Compliance Empfehlungen der IBM & des BSI Was empfielt IBM im Zusammenhand mit ID-Vault? IBM legt allen Anwendern nahe, die Server-ID unbedingt zu schützen: „We understand that most Domino servers are not password-protected to make unattended reboots simpler, but the vault server's ID file is a key element in the security of your ID vault. A sophisticated attacker with a vault database and one of the corresponding server Ids ... would have all of the cryptographic information needed to masquerade as the vault server and decrypt all of the ID files stored in the vault.“ Was empfielt BSI? Die Maßnahmenkataloge des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ermöglichen es den Unternehmen, Ihre IT-Infrastruktur sicher zu betreiben. Zum Thema Server-ID heißt es im Dokument M 4.129 Sicherer Umgang mit Notes-ID-Dateien: "Da Server-IDs für ausgezeichnete Systemkomponenten zur Identifikation benutzt werden, müssen sie entsprechend gut geschützt werden. [...] Die Verwendung eines Passwortes erfordert die Passworteingabe bei jedem Serverstart. Falls keine organisatorischen Gründe dagegen sprechen (z. B. wenn der Remote-boot von Servern an verschiedenen Standorten regelmäßig und ohne Vor-Ort-Unterstützung erfolgen muss), wird die Nutzung von Server-ID-Passwörtern empfohlen. Sicherheitskopien müssen immer mit einem Passwort versehen sein. Durch den Einsatz von Dritthersteller-Software kann auch dann ein automatisierter Systemstart ermöglicht werden, wenn die Server-IDs mit Passwörtern geschützt sind."
  14. 14. Security Monitoring und Compliance Relevante Quellen IBM Lotus Notes and Domino Wiki > Domino security > Securing your Notes ID vault server BSI: M 4.117 Sichere Konfiguration eines Lotus Notes Servers BSI: M 2.207 Festlegen einer Sicherheitsrichtlinie für Lotus Notes BSI: M 4.129 Sicherer Umgang mit Notes-ID-Dateien
  15. 15. Security Monitoring und Compliance Warum Tool-gestütztes Konfigurations- management? Vereinfachung der Administration durch Standards Zuwachs an Sicherheit durch Change Prozesse und Fall Back Unterstützung Dokumentation Automatische aktuelle Doku Kaum Einarbeitung bei Personalwechsel
  16. 16. Security Monitoring und Compliance Weitere Informationen & Kontakt: BCC Unternehmensberatung GmbH Frankfurter Straße 80-82 65760 Eschborn Tel.: 06196 – 64040 – 0 Fax.: 06196 – 64040 – 18 http://www.bcc.biz info@bcc.biz

×