大家好,才是真的好。很多人曾经问我,如果Domino环境中的根验证字(Cert.ID)被盗了怎么办?去掉如果,这些都是真事。在数年前,这样的问题,一年能接到好几个。我常常反问,如果你们公司公章被人偷了怎么办?
企业公章被偷了,可以登报、挂失,反正很麻烦,最后还要补办一个新的。Domino验证字被偷了——也见过,但很多人总以为很简单就能解决,比如叫个技术人员过来,说你解决一下,便没了。
是的,其实技术上很简单。我们先看看丢失了验证字的主要威胁,利用偷到的根验证字Cert.ID,可以干这些坏事:
1、随意创建用户ID,有可能是新的,也有可能和以前的用户一样的名字,但新ID和以前的用户ID包含的公钥和密钥对,肯定不一样。
2、随意创建新的服务器ID(也包含新的公钥和密钥对)
3、可以和任意其他组织创建交叉验证,让老组织信任任何其他组织。
4、随意组织单元验证字ID(也包含新的公钥和密钥对)
5、可以验证已经到期的用户和服务器ID文件等.
总言而之,利用偷盗的Cert.ID,都在干一件坏事,即用创建更多的ID来制造威胁。
我们分析了出了威胁,接着可以一剑封喉,那就是在Domino目录中服务器文档中->"安全性"下,选择比较公用密码字段的选项“对所有Notes用户和Domino服务器强制执行密钥检查”,然后选择“访问服务器”字段下的“在所有可信目录中列出的用户”,如下图:
只使出这一招,偷走的验证字ID,所注册的用户和服务器ID,是无法等到现在的服务器上来的。
是不是很简单?不过,为了进一步降低风险,我们还需要做一些细节工作:
1、将Domino目录ACL中的Default权限,设置为读者;
2、将Domino目录ACL中设置“强制所有复本使用一致的访问控制列表”;
3、从Domino目录将离职或无效的个人文档删除;
4、从Domino目录将退役或无效的服务器文档删除(包括该服务器的连接文档、程序文档、网络域文档等等);
5、从Domino目录中将无效的交叉验证字信息也删除
6、检查每个服务器ID是否有过期;
7、(可选)记得改一下Cert.id的密码;
好了,又有人说了,执行上面的步骤固然可以抵御风险,但实际的日常运维工作可能会也受到了一些限制,比起过去要更加小心翼翼,比如要时常看看Domino目录是不是突然冒出来个新用户。
如想一劳永逸地解决问题,可以考虑注册一个新的组织验证字,并把用户逐一迁移过去(重命名),过程也并不复杂,只是服务器名字改动会很麻烦,但也可以使用代理、脚本或邮件等工具帮助来进行修改。
如果是Domino R5或之前的版本,则简单得多(当然安全性也差一点)。HCL的技术支持站点对此进行了讨论,感兴趣可以去看一下:
https://support.hcltechsw.com/csm?id=kb_article&sys_id=2ed72cac1b6df30083cb86e9cd4bcb0b
千万记住,不能让偷了根验证字的用户随意进入到企业内部网络,因为这才是最根本的安全性保障。
更多精彩内容请关注微信公众号“协作者”
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
