Admin verlässt Firma => Sicherheitsproblem?

    Hi,


    ich stehe vor der Situation, dass mein Kollege, mit dem ich zusammen unsere Notes-Server administriere, die Firma verlässt.


    Jetzt will ich natürlich sicher gehen, dass er nichts mehr mit unseren Servern machen kann, wobei ich auf folgendes Problem stoße:


    Den User selbst aussperren ist ja kein Thema, aber er könnte ich sämtliche IDs mitnehmen (woran ich ihn nicht hindern kann). Server IDs und Cert-IDs von OUs kann ich neu zertifizieren, aber die root-Cert-ID laut Admin-Hilfe nicht.


    Das würde heißen, dass er sich einen neuen Notes-Server mit dieser Cert-ID aufsetzen kann und neue Server, User usw. zertifizieren kann


    Ich halte das für kritisch oder seht ihr das anders? Hat da jemand schon Erfahrung?



    Vielen Dank!

    Gruss cbbob


    Domino 7.0.2FP2 Cluster auf 2x W2k3 SP1 Server
    Domino 7.0.2FP2 Application Server auf W2k SP2 Server
    Domino 7.0.2FP2 7.5.1 Sametime Server auf W2k3 SP1
    Domino 7.0.2FP2 Quickr 8.0 auf W2k3 SP2

    habt ihr nicht in euren richtlinien zut it was hinterlegt, dass die id´s eigentum der firma sind??? sobald er aus der firma ausscheidet und sich zugriff verschafft begeht er damit eine straftat...konsequenzen, siche nicht lustig...


    klingt fast so als trennt ihr euch nicht grad freudliche von einander...sonst wäre das ja nicht so ein problem...aber eine change die ursprungscert zu ändern ist mir jetzt auch nicht geläufig...es gibt hier aber mit sicherheit noch inige die dir da weiterhelfen können...werde den post mal schön verfolgen, intressiert mich auch was da noch für antworten kommen


    greezzzz warsn

    -*-*-*-*-*-*-*-*-*-*-*-


    woher soll ich wissen was ich denke, bevor ich höre was ich sage???

    Da braucht m.E. nichts in irgendwelchen Firmenrichtlinien hinterlegt zu sein. Der Admin hat im Auftrag der Firma ein Messaging-System betreut und erwirbt dabei selbstredend kein Eigentum an den IDs.


    Beim Aussscheiden sollte man den Mann noch einen Zettel unterschreiben lassen, daß er alle Dateien der Firma, die sich in seinem Besitz befanden, gelöscht hat usw. (Euer Anwalt erfindet da bestimmt was nettes.)


    Man sollte natürlich das System nach seinem Weggang auf eventuelle Schlupflöcher und Hintertürchen untersuchen.


    Ich erinnere mich an ein Redbook, welches als Grundlage hergenommen werden kann.
    Weiterhin gibts ja noch genug andere Systeme, die auch überprüft werden sollten (RAS-Server, Firewalls usw.).

    Bye
    Torsten


    IBM Advanced Certified System Administrator - Lotus Notes and Domino 8.5

    wie wäre es einfach erstmal mit kennwörter ändern? admin & cert.... Adminkennwort kannst ändern, dann kommt man ja auch nicht mehr an den Cert :D!


    DU kommst hier nicht REIN :D!

    also ein bissel inteligenz hätte ich dir schon zugetraut taurec. du änderst natürlich erst das er nicht die Notes ID per Mail bekommt, dann änderst du das adminkennwort, ggf VPN verbindung zum Server und schon kommst du nicht rein wo ist dein Problem????


    Wie gesagt die haben zu 2 den Server aufgesetzt, also haben beide das kennwort (geh ich von aus)

    und wenn er die id hat, was macht das?


    Ohne aktuellem kennwort kommst du nicht rein!!!!


    Welche beleidigung, ich dachte nur du kannst logisch denken, ihr admins denkt zu kompliziert, man kann ja auch den server neu aufsetzen :P. Ne sollte keine beleidung sein sorry!

    Falsch, denn das Kennwort wird in der ID gespeichert, d.h. wenn er eine ID mit bekannten Kennwort hat kann er sie auch verwenden, unabhängig davon ob das Kennwort auf einer anderen Kopie der ID anders lautet.

    sorry aber das kann ich kaum glauben, wenn der benutzer sein kennwort ändert und das alte noch gültig ist, kann ja nicht sein, aber ist gibt ja noch die Möglichkeit, zu sagen das kennwort hat wer anders erhalten ist veröffentlicht worden unter benutzersicherheit.


    Mal logisch gedacht, das wäre ja die absolute horror vorstellung wenn jeder mit ner alten id noch bei wem anders rein gehen kann, das wäre ja dann keine Sicherheit.

    Das alte Kennwort ist nur bei der ID gültig bei der es nicht geändert worden ist.
    Du kannst dich nicht mit einem alten Kennwort und einer ID anmelden bei der das kennwort geändert wurde.


    Deswegen vergibt man bei Certifiern und anderen wichtigen IDs auch Mehrfachkennwörter und keiner kennt alle Kennwörter.
    Damit ist so ein Missbrauch ausgeschlossen.
    Nur muss man das halt von vorne herein machen und nihct erst danach

    schwachsinn, kann garnicht sein, das wäre ja ein sicherheitsloch schlimmer als bei microsoft *sfg*.


    Man kann doch nicht sagen ändere mir das kennwort und man kann immer noch mit dem alten rein.


    Oder wie gesagt, man verbietet das kennwort über die benutzersicherheit mit der Option Kennwort wurde Bekannt. Soll aufwendig sein aber naja.


    Aber zuersteinmal würde ich den VPN Zugriff von aussen auf den Server verhindern. Dann kommt er da nicht rein.

    hallo,


    wir haben bei den admins im personendokument eingestellt, dass das passwort überprüft werden muss. dann gilt das passwort mit dem man sich das letztemal angemeldet hat und eine alte id mit dem falschen passwort kann nicht mehr benutzt werden.


    gruss
    björn

    Das ganze funktioniert ja auch nur als Zusammenspiel richtiges Kennwort und richtige ID.
    Wenn eines von beiden nicht da ist geht es auch nicht.


    Wenn du es nicht glaubst lies dir mal die Admin Hilfe durch

    ok das mit dem kennwort geht doch, hattest recht taurec sehe ich aber als sicherheitsrisiko an.


    Man kann auch über die Richtlinien erzwingen dass kenwörterabluafen oder so wie björn sagte.


    Ehm taurec aber der Admin ist einer Person und ohne Admin kommst du nicht an den Cert. ggg


    Und ich bin mir sicher das die die aktuelle id noch im Domino Verzeichnis haben, wenn nicht würde ich kennwort ändern, dann sollte doch eine sicherungsid per mail kommen, ggf noch einstellen.

    Ja kann er wenn der Server nicht sicherheitstechnisch komplett korrekt konfiguriert ist kannst du einen neuen Benutzer registrieren und mit dem dann auf den Server zugreifen.


    Aber das hängt halt immer von der Konfiguration ab.


    erzengel


    Wer bitte lässt die IDs im Domino Verzeichnis stehen ?
    Kein Admin mit nur ein bisschen Sicherheitsverständnis.

    mal ne frage wer lässt den die ids mit nach hause nehmen???


    Ins domino verzeichnis kommt nur der Admin, ist zumindest bei´mir so, und sollte ein admin gehen, wird dafür sorge getragen, dass er weder auf den server noch auf die IDS zugreifen kann.

    wie willst du denn verhindern das ich als admin die ids mitnehme?
    du kannst es vielleicht verbieten aber mehr auch nicht....
    das einzig sinnvolle ist hier den serverzugriff ordentlich einzustellen und passwort abgleich zu aktivieren und dann sollte auch niemand mehr schindluder auf deinem system treiben können...


    und zu deinem da kommt nur der admin ran an die ids im adressbuch...schon mal überlegt das sich jemand lokal eine replik anlegen kann und dann automatisch auch adminrechte aufs adressbuch hat?!