密码安全策略配置建议.doc-道客多多

资源描述

1、Domino邮件系统支持服务密码安全策略配置建议广州市拓维信息有限公司http:/http:/广州市天河区黄埔大道西平云路 163 号广电科技大厦 903#电话：(020)38267170传真：(020)38267171邮编：510656客户热线： (020) 38267173长江三峡集团 Domino 基础环境运维密码安全策略配置建议广州市拓维信息有限公司第 2 页一、保护 INTERNET 口令的安全 .3二、部署密码安全策略对用户可能造成的扰动 10三、创建安全性设置文档 11四、管理 NOTES 和 INTERNET 口令 .12五、配置 INTERNET 口令锁定 .14

2、六、配置定制口令策略 15七、配置管理 ECL 18八、管理 ADMIN ECL 19九、将信任交叉证书应用到客户机 20十、启用口令结转 20十一、启用联机证书状态协议（OCSP）检查 22十二、配置已签署的插件 22十三、为 LOTUS INOTES 用户创建安全性策略设置 23长江三峡集团 Domino 基础环境运维密码安全策略配置建议广州市拓维信息有限公司第 3 页安全性策略设置文档允许您管理 IBM(R) Lotus(R) Notes(R) 和 Internet 口令、配置为组织定制的口令策略、设置密钥结转、管理管理 ECL、将信任交叉证书应用到客户机并配置标识符保

3、险库。还可以为组合应用程序的已签名插件以及主门户网站服务器配置设置。一、保护 Internet 口令的安全Internet 口令可能会受到恶意源头的攻击。例如：一种攻击类型是读取 IBM(R) Lotus(R) Domino(TM) 目录中的所有散列口令。用户的 Internet 口令以散列版本存储在 Domino 目录的用户“个人”记录中。该目录可由系统的所有用户公开访问。您可以使用 xACL 来防止此类攻击，从而阻止对散列口令的访问。另一种攻击类型是认证时基于口令猜度的攻击。在这种攻击类型中，用户仍然可以尝试作为别人进行认证，并尝试和猜度口令。通过使用更为安全的口令格式、使用更难猜度

4、的口令，或者通过在服务器上启用 Internet 口令锁定功能，可以防止此类攻击。使用下面一种或多种功能可保护对 Domino 目录所存储的 Internet 口令的访问，或者使得这些口令更加难以猜度。 xACL 更多安全口令格式 Internet 口令锁定使用 xACL 保护 Internet 口令的安全用来保护 Internet 口令的一种方式是使用扩展的 ACL（即 xACL）来基于命名层次结构中的级别，并在表单和域级别来控制访问。对于存储在 Domino 目录中的口令，管理员可以设置 xACL 将 Internet 口令限制为这些用户自己（用于访问他们自己的口令）和管理员（允许对口令

5、进行管理性更改）。首先，为 Domino 目录启用扩展访问：长江三峡集团 Domino 基础环境运维密码安全策略配置建议广州市拓维信息有限公司第 4 页1. 打开数据库，然后选择“文件”-“应用程序”-“访问控制”。 2. 确保在数据库的 ACL 中具有“管理者”访问权限。 3. 单击“高级”，然后选择“启用扩展权限”。 4. 在下列提示中单击“是”以继续。 “启用扩展访问控制将强制进行附加的安全检查。有关详细信息，请参阅 Domino Administrator 帮助。Do you want to continue?”时，5. 在下列提示中单击“是”。该提示只有在数据库 ACL 的高级选

6、项“强制所有副本使用一致的访问控制列表”尚未启用时才会出现： “必须首先启用一致性访问控制。是否立即启用？”6. 在下列的提示中单击“确定”： “如果有多个管理员管理此数据库的扩展访问控制权限，请对该数据库启用文档锁定以避免冲突。” 7. 在“访问控制列表”对话框中单击“确定”。 8. 在下列的提示中单击“确定”： “正在启用扩展访问控制限制。这可能要花费一点时间。”接下来，设置扩展访问权限来保护 Internet 口令。9. 打开数据库，然后选择“文件”-“应用程序”-“访问控制”。 10. 单击“扩展权限”。此时将出现“扩展访问权限”对话框。11. 在“目标”窗格中，选择根目录 / 然后单

7、击“添加”。12. 在“访问列表”窗格中，选择“缺省”。13. 单击“表单和域权限”。此时出现“表单和域”对话框。14. 在“表单”列表框中选择“个人”。将“表单”的“访问”设置保留为空。15. 在“域”列表框中：选择 HttpPassword，然后将“读写”访问权限设置为“拒绝”。长江三峡集团 Domino 基础环境运维密码安全策略配置建议广州市拓维信息有限公司第 5 页如果出现 dspHttpPassword，则选择 dspHttpPassword 然后将“读写”访问权限设置为“拒绝”。16. 单击“确定”。17. 对于下列访问列表条目的“个人”表单中的 HttpPassword 和 d

8、spHttpPassword（如果出现的话）设置重复此过程：访问列表条目读取访问设置写入访问设置自己允许允许本地管理员组允许允许本地服务器组允许允许附注如果以前在访问列表中定义了匿名访问，则应该将其设置为拒绝对“个人”表单中 HTTPPassword 和 dspHTTPPassword（如果出现的话）域的读写访问权限。附注为 Domino 目录启用了 xACL 之后，LDAP 匿名访问就不受“所有服务器配置”文档中域列表的控制了。因为匿名的缺省 xACL 设置为“无访问权限”，所以一旦启用了 xACL，所有匿名 LDAP 搜索则都会失败。使用更为安全的口令格式输入 In

9、ternet 口令并保存“个人”文档后，Domino 自动单向加密 Internet 口令域。要提高缺省口令的质量，请使用更为安全的口令格式。可升级现有的“个人”文档的口令格式，或者自动对创建的所有“个人”文档使用更安全的口令格式。现有的“个人”文档1. 从 Domino Administrator 中，单击“个人和组”，然后选择要升级到更安全的口令格式的“个人”文档。2. 选择“操作”-“升级 Internet 口令格式”。3. 如果 Domino 域中所有的服务器运行 8.0.1 或更高版本，请选择“是 - 与 8.0.1 或更高版本相兼容的口令验证”。否则请选择“是 - 与 4.6 或

10、更高版本相兼容的口令验证”。长江三峡集团 Domino 基础环境运维密码安全策略配置建议广州市拓维信息有限公司第 6 页新的“个人”文档1. 从 Domino Administrator 中，单击“配置”，然后选择“所有服务器文档”。2. 选择“操作”-“编辑目录概要文件”。3. 如果 Domino 域中所有的服务器运行 8.0.1 或更高版本，请选择“是 - 与 8.0.1 或更高版本相兼容的口令验证”。否则请选择“是 - 与 4.6 或更高版本相兼容的口令验证”。4. 保存并关闭文档。附注如果您选择将用户的 Internet 口令与其 Notes 口令同步，则需要更安全的口令格式。另

11、一种用来防止恶意源头猜度口令的方式是使得这些口令难以猜度：通过让口令更长并且更复杂、使用多种字符、避免使用实际词语等。使用 Internet 口令锁定Internet 口令锁定使得管理员能够为 Domino Web 和 Domino Web 访问用户的 Internet 认证失败次数设置一个阈值。这种方式通过将任何在已建立的阈值范围内无法登录的用户进行锁定，可帮助防止针对用户 Internet 帐户的恶意力量和字典攻击。有关认证失败和锁定的信息在 Internet 锁定应用程序中维护，管理员可以在该应用程序中分别清除失败和解锁用户帐户。应该注意的一点是，此功能容易受到服务拒绝 (DoS)

12、攻击。DoS 攻击指的是这样一种攻击：恶意用户明确阻止某个服务的合法用户使用该服务。对于这种 Internet 口令锁定情况，可能会有故意进行失败登录尝试的攻击者来阻止合法的 Internet 用户登录 Domino 服务器。附注 Internet 口令锁定对 Domino 脱机服务 (DOLS) 没有影响。Internet 口令锁定有一些使用限制：只能对于 Web 访问使用 Internet 口令锁定。其他 Internet 协议和服务（如 LDAP、POP、IMAP、DIIOP、IBM(R) Lotus(R) QuickPlace(R) 和 IBM(R) Lotus(R) Sameti

13、me(R)）目前不受支持。但是，如果用于认证的口令存储在 LDAP 服务器上，长江三峡集团 Domino 基础环境运维密码安全策略配置建议广州市拓维信息有限公司第 7 页则可以将 Internet 口令锁定用于 Web 访问。如果正在使用定制的 DSAPI 过滤器，则可能不能使用 Internet 锁定功能，因为 DSAPI 过滤器是一种忽略 Notes/Domino 认证的方式。对于单次登录，其中启用了 Internet 口令锁定的 Domino 服务器必须同时是颁发单次登录密钥的服务器。如果此密钥是从另一个源（另一个 Domino 服务器或 WebSphere 服务器）检索的，SS

14、O 令牌在该 Domino 服务器上则一直有效，而无论是否启用了 Internet 口令锁定。 Internet 锁定数据库Internet 锁定数据库 (inetlockout.nsf) 是根据 inetlockout.ntf 在以下情况下创建的：启动时（如果已经启用了 Internet 锁定功能），或者需要第一次查看或写入锁定数据库时。这种情况不需要重新启动，但是启用了该功能的时间与打开或写入锁定数据库的时间之间必须经过十分钟。缺省情况下，Internet 锁定数据库 ACL 仅允许管理员访问 Admin 组。缺省和匿名用户被拒绝访问。但是该数据库 ACL 可以进行修改，以便为用户和

15、组提供查看和解锁用户的权限。对于每个尝试使用 Internet 名称和口令登录 Domino 的用户，有关锁定状态的信息在 Internet 锁定数据库中维护，其中包括用户名、失败尝试次数，以及锁定状态。如果用户已经注销，或者用户登录成功，则不在锁定数据库中记录锁定尝试。尽管 Internet 锁定数据库维护着锁定状态信息，但是如果您希望拥有登录失败尝试的历史记录的话，仍然应该在 Domino 域管理器 (DDM) 中维护登录失败和锁定历史信息。对用户存储在 Internet 锁定数据库中的访问信息进行的任何更改将立即执行。无需重新启动 HTTP 服务器即可使得更改生效。锁定数据库具有两个视

16、图： “锁定的用户”，其中包含了失败口令尝试超过阈值，现在无法使用其 Internet 名称和口令访问服务器的用户的记录。长江三峡集团 Domino 基础环境运维密码安全策略配置建议广州市拓维信息有限公司第 8 页 “登录失败”，其中包含的用户记录显示了失败认证尝试的次数。两个视图的域是相同的：服务器名称- 用户被锁定或认证尝试失败的服务器用户名- 被锁定或者被记录了失败认证尝试的用户的名称已锁定- 在“登录失败”视图中，此值可能是“是”或“否”。在“锁定的用户”视图中，此域将设置为“是”。失败次数- 显示每个用户当前的失败认证尝试次数。在“锁定的用户”视图中，此值应该等于阈值设置。

17、第一次失败时间- 显示第一次认证失败的日期和时间最后一次失败时间- 显示最后一次认证失败的日期和时间。此值也可能是用户被锁定的时间。如果用户被锁定之后再次尝试，此时间则不会更新。可以通过删除记录来解锁用户。您可以通过单击工具栏中的“标记为删除/解锁”将多个记录标记为进行解锁或删除，然后单击“删除标记的项目”将其删除。建议您定期确认 Internet 锁定数据库中是否只包含了有效用户的记录。请删除名称已经更改或者已经作为 Domino 服务器用户被删除的用户的名称。该数据库没有自动清理功能；尽管拥有过期用户记录不会导致功能问题，但是数据库中的记录太多可能会导致 Internet 认证性能下降

18、。您可以为 Internet 锁定数据库创建定制表单，该表单可用于告知用户他们可能已被锁定。复制 Internet 锁定数据库作为管理员，您需要决定是否将 Internet 锁定数据库复制到对您有用的其他服务器中。复制数据库的一个重要优点在于，锁定信息会复制到多个服务器。您可以查看任何副本然后确定用户在多个服务器上的锁定状态，而不必在启用了 Internet 口令锁定的每个服务器上都打开 Internet 锁定数据库。但是，复制也有其缺点，例如，如果您的网络正在遭受攻击或者发生了拒绝服务攻击，则长江三峡集团 Domino 基础环境运维密码安全策略配置建议广州市拓维信息有限公司第 9 页可

19、能发生复制风暴。另外，如果复制的速度较慢，则在复制发生之前，在某个特定服务器上检查锁定数据库的任何用户可能都无法看到某个个人已被锁定（但是他们总是可以在问题服务器上直接打开副本）。Internet 锁定数据库是使用副本标识符创建的，对于域中启用了 Internet 口令锁定的任何服务器上的任何副本都是相同的。缺省情况下，可以为 Internet 锁定数据库临时禁用复制。这样可以防止前面所说的复制风暴。要将数据库复制到另一个服务器上，请在“复制设置”对话框的“其他”部分，禁用“临时禁用复制”选项。然后您可以设置该数据库以便进行复制（调度复制或集群复制）。附注将此数据库复制到其他服务器时，将为

20、每个单独的用户计算“无效尝试次数”信息。例如，如果为“John Doe”设置的阈值为三次，并且在服务器 A 上的无效尝试次数为两次，在服务器 B 上的尝试次数为一次，则 John Doe 未在任何服务器上被锁定。这些尝试不会组合为总共三次。复制的原因是便于管理，而不是建立全局性阈值。配置 Internet 口令锁定Internet 口令锁定在服务器配置设置文档中启用。这就使得管理员能够为多个服务器打开 Internet 锁定功能。附注建议启用“服务器”文档的选项“名称变化越少，安全性越高”。这样可以将不明确名称的问题减到最少。Domino 支持使用用户名的缩写形式登录 Web 服务器（如果

21、口令正确），即使缩写名称可能与目录中一个或多个其他人以上重复也无所谓。用户键入不明确名称时发生的不正确登录将导致每个不明确名称匹配的失败，因为没有办法分清哪个用户正在尝试登录。另外，只有当用户名和口令成功匹配时，才能使用锁定截止时间设置清除失败尝试。启用和配置 Internet 口令锁定 1. 在 Domino Administrator 中，单击“配置”-“服务器”-“配置”。打开要为其启用 Internet 口令锁定的服务器的配置设置文档。 2. 单击?安全?。对于设置强制 Internet 口令锁定具有三个选项。是 - 服务器强制实施 Internet 口令锁定。要使得任何 Inte

22、rnet 口令锁定功能能够运行，必须启用此选项。长江三峡集团 Domino 基础环境运维密码安全策略配置建议广州市拓维信息有限公司第 10 页否 - 服务器不强制实施 Internet 口令锁定。（空白）- 如果此设置为空，则不一定非要禁用该强制选项，而可以让另一服务器配置文档（可能是适用于所有服务器的文档）来确定是否为此服务器启用 Internet 口令锁定。附注如果该“服务器”文档中没有强制 Internet 口令锁定，则任何其他 Internet 锁定设置（如策略文档中的设置）也将被禁用。如果启用，则会出现下列设置：设置指定日志设置您可以选择要在控制台和 DDM 中记录的事

23、件类型。还会记录用户名和 IP 地址。如果已启用“锁定”，则会记录用户已经锁定的事件以及用户尝试认证但已锁定的事件。缺省为启用。如果已启用“失败”，则会记录任何失败的认证尝试。日志中还会包括正在尝试认证的客户机的 IP 地址和用户名。缺省允许的最大尝试次数指定用户被锁定之前允许的失败口令尝试的最大次数。缺省值为 5。一旦用户被锁定，则必须首先解锁该用户，然后此设置的任何新值才能对于该用户生效。如果某个用户在其用户策略中对此设置具有不同的值，该值则会覆盖服务器配置文档中的设置。附注如果此值为 0，则允许无限次数的口令尝试。缺省锁定截止时间指定强制锁定的时间段。指定的时限之后，用户下一

24、次尝试认证时该用户帐户将自动解除锁定。另外，所有失败尝试也将被清除。附注如果此值为零，锁定则不会自动过期。必须手动解锁帐户。缺省最大尝试时间间隔指定失败口令尝试要在锁定数据库中保留多长时间之后，才能被成功认证清除。缺省值为 24 小时。此设置不适用于已被锁定的用户。如果用户被锁定，清除失败尝试和解锁帐户的唯一方法是在 Internet 锁定数据库中或在“锁定截止时间”到期时手动执行此操作。附注如果此值为 0，则对于某个尚未锁定的特定用户，每次成功登录都会清除该用户的所有失败口令尝试。 Internet 口令锁定的策略设置除了日志设置之外，前面讲述的选项还可在用户策略中指定。这在管理员仅希

25、望对组织内长江三峡集团 Domino 基础环境运维密码安全策略配置建议广州市拓维信息有限公司第 11 页的某个用户子集强制执行 Internet 口令锁定时非常有用。这种情况下，可以为该组建立这些设置。二、部署密码安全策略对用户可能造成的扰动提升密码安全等级应用该功能后会造成用户无法再创建简单的密码组合，而必须创建如指定位数，指定复杂度的密码。过于复杂的密码组合对普通用户的记忆和使用都会产生一定的困扰和障碍；周期修改口令策略应用该功能后需要用户在指定的周期内进行一次密码修改，否则无法继续使用邮件服务，通常会结合复杂密码设置一起生效。一旦启用普通用户会因为熟悉的行为习惯被强制更改而产

26、生不适，并且密码修改次数过多也容易混淆； Internet 口令锁定应用该功能后会对用户每次登录时都进行安全过滤，如果用户在指定的次数内未输入正确密码用户帐号将被锁定，直到管理员将其解锁。如果配置的尝试次数过少或者响应时间果短很容易将用户帐号锁定，使得用户不能正常使用邮箱；新旧密码同时存在标准的密码安全策略中一旦用户修改密码，其新旧密码会同时生效一段时间，该时间由管理员手动配置。在同时生效期内用户可能会因为输入旧密码依然能正常登录而产生困扰，需要在变更前在通告中进行相关说明；三、创建安全性设置文档1. 确保拥有对于 IBM(R) Lotus(R) Domino(R) 目录的编辑者权限和

27、以下某种角色：创建设置文档的 PolicyCreator 角色修改设置文档的 PolicyModifier 角色2. 从 Domino Administrator 中，选择“个人和组”附签，然后打开“设置”视图。 3. 单击“添加设置”，然后选择“安全性”。长江三峡集团 Domino 基础环境运维密码安全策略配置建议广州市拓维信息有限公司第 12 页4. 在“基本”附签中，填写下列域：域操作名称输入标识符使用这些设置的用户（如果您是服务提供者，应输入东道主组织）的名称。描述输入设置的说明。 5. 您可以在安全性设置文档上执行下列任一或全部操作：四、管理 Notes 和 Inte

28、rnet 口令填写“口令管理”附签上的下列域。附注有关 Notes“共享登录”附签的更多信息，请参阅主题“使用 Notes 共享登录来禁止口令提示”。长江三峡集团 Domino 基础环境运维密码安全策略配置建议广州市拓维信息有限公司第 13 页域操作口令管理选项为 Notes 客户机使用定制口令策略选择下列选项之一：否（缺省值）是 - 执行定制口令策略。定制口令策略使您能够配置特定的口令参数，从而这些口令比较有价值且不容易预测到。使用“定制口令策略”附签上的设置来设置策略。检查 Notes 标识符文件中的口令选择下列选项之一：否（缺省值）是 - 要求所有用户标识符副本都要有相同

29、的口令允许用户通过 HTTP 更改 Internet 口令选择下列选项之一：是（缺省） - 允许用户使用 Web 浏览器更改其 Internet 口令。否当 Notes 客户机口令变化时升级 Internet 口令选择下列选项之一：否（缺省值）是 - 使用户 Internet 口令和 Notes 客户机口令同步。附注选择“是”将在更安全的 Internet 口令格式尚未使用的情况下激活它的使用。启用 Workplace 富客户机（仅 8.0 前的版本）的 Notes 单次登录选择下列选项之一：否（缺省值）是 - 允许用户启用使用 IBM Workplace 富客户机的 Note

30、s 插件单一登录口令到期设置强制口令到期选择下列选项之一：禁用（缺省）- 禁用口令到期。如果禁用口令到期，不要完成此区段中的剩余域。附注如果为下列某个选项启用口令到期，“安全性设置”文档缺省值将更改。仅 Notes - 只对 Notes 口令启用口令到期。仅 Internet - 只对 Internet 口令启用口令到期。 Notes 和 Internet - 对 Notes 和 Internet 口令启用口令到期。附注只有 HTTP 协议能够识别 Internet 口令到期设置。这意味着可以永远将 Internet 口令与其他 Internet 协议（如 LDAP 或 POP3）

31、同时使用。注意如果用户使用智能卡登录到 Domino 服务器，则不要启用口令到期。长江三峡集团 Domino 基础环境运维密码安全策略配置建议广州市拓维信息有限公司第 14 页必需的更改时间间隔指定必须更改口令之前口令有效的天数。缺省为 0。附注如果设置该值为小于 30 天，“警告期”域的值将会自动计算。计算值为该域输入的值的 80% 。允许的宽限期指定锁定之前用户必须更改到期口令的天数。缺省值是 0，表示不会锁定用户。口令历史记录（仅 Notes）指定将存储的到期口令的数目。存储口令可防止用户重新使用旧口令。缺省为 0。警告期指定口令到期前用户收到到期警告消息的天数。缺省为

32、 0。附注如果“必需的更改时间间隔”设置被设置成小于 30 天，将计算该域的值。为了计算该域的值，必须启用口令到期。如果计算该值，该值不能被覆盖。定制警告消息输入定制警告消息，这些警告消息将发送到那些口令已超过在“警告期”域中指定的过期阈值的用户。附注定制警告消息仅对 Notes 客户机可用，不管如何启用口令到期。Internet 用户看不到警告消息。五、配置 Internet 口令锁定域操作Internet 口令锁定设置是否覆盖服务器的 Internet 锁定设置？当启用此策略文档设置时，策略中的设置将覆盖服务器配置设置文档中的 Internet 口令锁定设置。附注服务器必须

33、强制这些策略设置的 Internet 口令锁定生效。允许最大尝试数锁定之前允许的最大口令尝试次数。设置为 0 时，允许无限次的口令尝试。锁定到期强制执行锁定的时间周期。此时限之后，用户下一次尝试认证时该用户帐户将自动解除锁定。设置为 0 时，将禁用自动解锁。最大尝试时间间隔如果用户未被锁定，这是在成功认证清除任何先前失败尝试之前必须经历的时间周期。对于较强的安全性，请指定较长的保护强度时间。设置为 0 长江三峡集团 Domino 基础环境运维密码安全策略配置建议广州市拓维信息有限公司第 15 页填写“口令锁定设置”附签上的下列域。六、配置定制口令策略如果已选择实现定制口令策略，填写

34、“定制口令策略”附签上的下列域。时，每次成功认证时都会清除失败的口令尝试。口令安全性设置必需的口令安全性如果需要用户选择基于口令安全性的口令，从下拉列表中选择一个值来指定该安全性。使用长度如果需要用户选择基于长度的口令，单击“是”。单击“是”后, 必需的口令安全性域更改为必需的口令长度。在此指定最小口令长度。长江三峡集团 Domino 基础环境运维密码安全策略配置建议广州市拓维信息有限公司第 16 页域操作在第一个使用的 Notes 客户机上更改口令第一次登录使用 Notes 时，需要用户更改他们的口令。附注只有当策略在用户注册期间应用时，该域才有效。在口令中允许公共名称在口

35、令中允许使用用户的公共名称组合。例如：John232 是用户 CN=John Doe/O=Mutt 的口令，其中，公共名称为 John Doe。最小口令长度指定用户可以在口令中设置的最小字符数最大口令长度指定用户可以在口令中设置的最大字符数最小口令安全性指定用户可以在口令中设置的最小口令安全性的值需要的最小字母字符数指定允许用户在口令中设置的最小字母字符数需要的最小大写字母字符数指定允许用户在口令中设置的最小大写字母字符数需要的最小小写字母字符数指定允许用户在口令中设置的最小小写字母字符数需要的最小数字字符数指定允许用户在口令中设置的最小特殊字符数，即标点符号需要的最小特殊字符数

36、指定允许用户在口令中设置的最小特殊字符数，即标点符号要求的最小非小写字符数指定在用户口令中要求最小特殊字符，数字和大写字符数。此处设定高值会使口令更难猜测。输入一个数字之后，将出现一个选择列表，列出可为该需求指定的字符类型。可以使用下列任意组合。数字特殊字符大写需要的最大重复字符数指定允许在用户口令中设置的任何形式的最大重复字符数。需要的唯一字符数指定在口令中仅出现一次的最小字符数口令不能以开头指定不能用作口令开头的字符类型长江三峡集团 Domino 基础环境运维密码安全策略配置建议广州市拓维信息有限公司第 17 页口令不能以结束指定不能用作口令结尾的字符类型口令安全

37、性等级为用户、服务器或验证者标识符创建口令时，需要了解 Domino 衡量口令强度和安全性的标准。Domino 根据其口令安全性等级中指定的级别来衡量此标准。安全性等级为标识符文件中的口令指定安全性最低的级别。Domino 基于口令中字符的数目和多样性来确定的口令安全性。可根据计算口令安全性的算法来强行规定口令的选择，即必须达到一定的复杂程度才能满足选定的用户标识符文件保护口令的安全性级别。用户注册后，用户标识符文件中会包含一个口令强度值。如果用户更改口令，此设置将强制执行。口令安全性等级描述样例0 口令是可选的。无。1 允许使用任何口令。 “b”、“3”2-6 允许使用安全性较低，甚

38、至通过反复尝试即可猜出的口令。“password”、“doughnut”（口令安全性等级为 3）“lightferret”、“b 4D”（口令安全性等级为 6）7-12 要求口令难以猜出，但可以被自动攻击破解。“pqlrtmxr”、“wefourkings”（口令安全性等级为 8）13-16 要求安全性很强的口令，甚至用户都很难记住。“4891spyONu”（口令安全性等级为 13）“lakestreampondriverocean”、“stRem2pO()”（口令安全性等级为 15）“stream8pond1river7lake2ocean”长江三峡集团 Domino 基础环境运维密码安全策

39、略配置建议广州市拓维信息有限公司第 18 页等级范围从 0 （最低，无需口令）到 16 （最强）。安全性为 1 表示任何口令都满足标准。Domino 为验证者、服务器和用户口令安全性定义了缺省级别。应更改这些缺省值以满足您组织的安全性标准。可以在“安全性设置策略”文档、“管理首选项”或者“注册”或“验证”对话框中设置缺省值。口令强度与口令长度不同。并非所有长度相同的口令在口令安全性等级中的强度也相同。例如，8 个字符的单词“password”（因为它是单词）与 8 个字符的单词“1168Acme”（因为它包含字母和数字字符）的字符复杂性级别不同，因此它们在口令安全性等级中的强度也不同。指定

40、口令和等级应谨记的提示口令中不要使用 Domino 拼写检查字典中的单词。通常，如果口令中包含 Domino 拼写检查字典中的单词，那么它比同样长度但不包含拼写检查字典中的单词的口令的安全性要低。应使用混合大小写的单词以及包含数字和标点符号的单词作为口令，而不要使用完全是小写字母的口令。要在不增加长度的情况下使口令安全性更高，应避免使用单词，而应使用混合大小写的字符并包括标点符号和数字。使用短语口令而不是单词口令。完整的句子（尤其是有一两个拼错的单词的句子）是攻击者难以猜出的强口令。使用安全性不低于 12 的口令。安全性不低于 12 的口令能够抵抗自动攻击。安全性低于 4 的口令容易被

41、人猜出。为所有的“口令安全性等级”域设置缺省值，以使得为组织中的服务器、用户和验证者标识符指定的所有口令都具有适当的复杂性级别。七、配置管理 ECL填写“执行控制列表”附签上的域，以配置您组织中使用的管理 ECL。（口令安全性等级为 16）长江三峡集团 Domino 基础环境运维密码安全策略配置建议广州市拓维信息有限公司第 19 页域操作管理 ECL 选择下列选项之一：编辑 - 编辑其名称显示在“编辑”按钮旁的 ECL。管理 - 有关使用此功能的信息，请参阅“对管理 ECL 进行管理”。附注仅当安全性设置文档处于编辑方式时，才显示“编辑”和“管理”按钮。更新方式选择下列选项

42、之一：刷新 - 使用管理 ECL 的新信息或更改信息更新客户机的 ECL，按照如下步骤操作：如果客户机 ECL 列出了管理 ECL 没有列出的签名，这些签名及其配置将在客户机 ECL 上保持不变。如果管理 ECL 列出了客户机 ECL 没有列出的签名，这些签名及其配置将被添加至客户机 ECL。如果客户机 ECL 和管理 ECL 列出了相同的签名，那么客户机 ECL 上这些的设置就会被丢弃并被管理 ECL 上同样签名的设置覆盖。替换 - 使用管理 ECL 覆盖客户机 ECL。客户机 ECL 上的所有信息都不保留。更新频率选择下列选项之一：每天一次 - 当客户机通过主服务器进行

43、身份认证，并且自上次更新 ECL 已有一天或者自管理 ECL 更改已有一天时，更新客户机 ECL。当管理 ECL 更改时 - 当客户机通过主服务器进行身份认证，并且自上次更新以来管理 ECL 已经更改时，更新客户机 ECL。无 - 在身份认证期间禁止更新客户机 ECL。八、管理 admin ECL在域中设置了第一台服务器之后，Domino 会创建一个缺省管理 ECL，您可以为您组织定制管理 ECL。您可能需要有多种类型的管理 ECL，例如一个管理 ECL 用于承包商，而另一个管理 ECL 用于全职员工。您可以使用“工作站安全性：”管理执行控制列表“对话框可管理已创建的任何管理_ ECL。

44、您还可以使用它来创建新的管理 ECL 或删除任何不再需要的管理 ECL。1. 在安全性设置文档工具栏上，单击“编辑设置”。附注仅当安全性设置文档处于编辑方式时，才显示“编辑”和“管理”按钮。长江三峡集团 Domino 基础环境运维密码安全策略配置建议广州市拓维信息有限公司第 20 页2. 单击“管理”。将显示“工作站”安全性：管理执行控制列表”对话框。现在您有下列选项：收件人执行下列操作：编辑现有管理 ECL 从列表框中选择要编辑的管理 ECL 的名称，然后单击确定。选定管理 ECL 的名称将显示在“执行控制列表”附签的“管理 ECL”域中。单击“编辑”按钮可打开选定的管理 ECL。新

45、建管理 ECL 在“新建管理 ECL”域中输入新 ECL 的名称，然后单击“确定”。新管理 ECL 的名称将显示在“执行控制列表”附签的“管理 ECL”域中。单击“编辑”按钮可打开新管理 ECL。删除现有管理 ECL 从列表框中选择要删除的管理 ECL 的名称，然后单击确定。将删除选定的管理 ECL，并刷新现有管理 ECL 的列表。注意管理 ECL 独立存储在安全性设置文档中。如果编辑管理 ECL，引用此特定名称的管理 ECL 的所有安全性设置文档都将使用更改如果删除管理 ECL，引用此特定管理 ECL 的所有安全性设置文档将使用缺省管理 ECL。一旦删除管理 ECL，将无法通过单击“取

46、消”来撤销删除。附注单击“取消”将让管理 ECL 的名称保持不变显示在设置文档中。九、将信任交叉证书应用到客户机使用密匙和证书附签上的管理信任缺省值摂域，将信任 Internet 证书、Internet 交叉证书和 Lotus Notes 交叉证书推出给 Lotus Notes 客户机，避免创建交叉证书的提示。有关信息，请参阅主题“将信任证书应用到客户机”。十、启用口令结转填写“密钥和证书”附签上的域，为用户组配置密钥结转。指定启动用户组密钥结转的触发器。您可以在一段指定时间内为应用该策略的用户组分隔密钥结转过程。附注有关“文档/邮件加密设置”的更多信息，请参阅主题“为邮件和文档加密

47、配置 AES”。长江三峡集团 Domino 基础环境运维密码安全策略配置建议广州市拓维信息有限公司第 21 页域选择缺省公用密钥需求从父策略继承公用密钥需求设置在子策略中强制公用密钥需求设置用户的公用密钥需求允许的最小密钥强度附注比指定密钥弱的密钥将被结转。无最小值。与所有版本最大程度的兼容（630 位）。与 R6 和更高版本兼容（1024 位）。与 R6 和更高版本（2048 位）兼容。允许的最大密钥强度附注比指定密钥弱的密钥将被结转。与所有版本兼容（630 位）。与 R6 和更高版本兼容（1024 位）。与 R6 和更高版本（2048 位）兼容。首选密钥强度当创建新的密钥时，选择使用首选密钥强度：与所有版本兼容（630 位）。与 R6 和更高版本兼容（1024 位）。与 R6 和更高版本（2048 位）兼容。允许的最大密钥生存期（天）指定密钥在需要被结转之前能够达到的最大生存期。缺省为 36500 天（100 年）。允许的最早密钥创建日期在此日

展开阅读全文