密码安全策略配置建议

《密码安全策略配置建议》由会员分享，可在线阅读，更多相关《密码安全策略配置建议（24页珍藏版）》请在金锄头文库上搜索。

1、-Domino系统支持效劳密码平安策略配置建议XX市拓维信息XX.topwareinfo.clpclub.XX市天河区黄埔大道西平云路163号广电科技大厦903# ：510656一、保护 Internet 口令的平安3二、部署密码平安策略对用户可能造成的扰动10三、创立平安性设置文档11四、管理 Notes 和 Internet 口令12五、配置 Internet 口令锁定14六、配置定制口令策略15七、配置管理 ECL18八、管理 admin ECL19九、将信任穿插证书应用到客户机20十、启用口令结转20十一、启用联机证书状态协议OCSP检查22十二、配置已签署的插件22十三、为 Lotu

2、s iNotes 用户创立平安性策略设置23平安性策略设置文档允许您管理 IBM(R) Lotus(R) Notes(R) 和 Internet 口令、配置为组织定制的口令策略、设置密钥结转、管理管理 ECL、将信任穿插证书应用到客户机并配置标识符保险库。还可以为组合应用程序的已签名插件以及主门户效劳器配置设置。一、 保护 Internet 口令的平安Internet 口令可能会受到恶意源头的攻击。例如： 一种攻击类型是读取 IBM(R) Lotus(R) Domino(TM) 目录中的所有散列口令。用户的 Internet 口令以散列版本存储在 Domino 目录的用户个人记录中。该目录可由

3、系统的所有用户公开访问。您可以使用 xACL 来防止此类攻击，从而阻止对散列口令的访问。 另一种攻击类型是认证时基于口令猜度的攻击。在这种攻击类型中，用户仍然可以尝试作为别人进展认证，并尝试和猜度口令。通过使用更为平安的口令格式、使用更难猜度的口令，或者通过在效劳器上启用 Internet 口令锁定功能，可以防止此类攻击。使用下面一种或多种功能可保护对 Domino 目录所存储的 Internet 口令的访问，或者使得这些口令更加难以猜度。 xACL 更多平安口令格式 Internet 口令锁定使用 xACL 保护 Internet 口令的平安用来保护 Internet 口令的一种方式是使用扩

4、展的 ACL即 xACL来基于命名层次构造中的级别，并在表单和域级别来控制访问。对于存储在 Domino 目录中的口令，管理员可以设置 xACL 将 Internet 口令限制为这些用户自己用于访问他们自己的口令和管理员允许对口令进展管理性更改。首先，为 Domino 目录启用扩展访问： 1.翻开数据库，然后选择文件-应用程序-访问控制。 2.确保在数据库的 ACL 中具有管理者访问权限。 3.单击高级，然后选择启用扩展权限。 4.在以下提示中单击是以继续。启用扩展访问控制将强制进展附加的平安检查。有关详细信息，请参阅 Domino Administrator 帮助。Do you want t

5、o continue时， 5.在以下提示中单击是。该提示只有在数据库 ACL 的高级选项强制所有副本使用一致的访问控制列表尚未启用时才会出现：必须首先启用一致性访问控制。是否立即启用？ 6.在以下的提示中单击确定：如果有多个管理员管理此数据库的扩展访问控制权限，请对该数据库启用文档锁定以防止冲突。 7.在访问控制列表对话框中单击确定。 8.在以下的提示中单击确定：正在启用扩展访问控制限制。这可能要花费一点时间。接下来，设置扩展访问权限来保护 Internet 口令。 9.翻开数据库，然后选择文件-应用程序-访问控制。 10.单击扩展权限。此时将出现扩展访问权限对话框。 11.在目标窗格中，选择

6、根目录 / 然后单击添加。 12.在访问列表窗格中，选择缺省。 13.单击表单和域权限。此时出现表单和域对话框。 14.在表单列表框中选择个人。将表单的访问设置保存为空。 15.在域列表框中：选择 HttpPassword，然后将读写访问权限设置为拒绝。如果出现 dspHttpPassword，那么选择 dspHttpPassword 然后将读写访问权限设置为拒绝。 16.单击确定。 17.对于以下访问列表条目的个人表单中的 HttpPassword 和 dspHttpPassword如果出现的话设置重复此过程：访问列表条目读取访问设置写入访问设置自己允许允许本地管理员组允许允许本地效劳器组允

7、许允许附注如果以前在访问列表中定义了匿名访问，那么应该将其设置为拒绝对个人表单中 HTTPPassword 和 dspHTTPPassword如果出现的话域的读写访问权限。附注为 Domino 目录启用了 xACL 之后，LDAP 匿名访问就不受所有效劳器配置文档中域列表的控制了。因为匿名的缺省 xACL 设置为无访问权限，所以一旦启用了 xACL，所有匿名 LDAP 搜索那么都会失败。使用更为平安的口令格式输入 Internet 口令并保存个人文档后，Domino 自动单向加密 Internet 口令域。要提高缺省口令的质量，请使用更为平安的口令格式。可升级现有的个人文档的口令格式，或者自动

8、对创立的所有个人文档使用更平安的口令格式。现有的个人文档 1.从 Domino Administrator 中，单击个人和组，然后选择要升级到更平安的口令格式的个人文档。 2.选择操作-升级 Internet 口令格式。 3.如果 Domino 域中所有的效劳器运行 8.0.1 或更高版本，请选择是 - 与 8.0.1 或更高版本相兼容的口令验证。否那么请选择是 - 与 4.6 或更高版本相兼容的口令验证。新的个人文档 1.从 Domino Administrator 中，单击配置，然后选择所有效劳器文档。 2.选择操作-编辑目录概要文件。 3.如果 Domino 域中所有的效劳器运行 8.0

9、.1 或更高版本，请选择是 - 与 8.0.1 或更高版本相兼容的口令验证。否那么请选择是 - 与 4.6 或更高版本相兼容的口令验证。 4.保存并关闭文档。附注如果您选择将用户的 Internet 口令与其 Notes 口令同步，那么需要更平安的口令格式。另一种用来防止恶意源头猜度口令的方式是使得这些口令难以猜度：通过让口令更长并且更复杂、使用多种字符、防止使用实际词语等。使用 Internet 口令锁定Internet 口令锁定使得管理员能够为 Domino Web 和 Domino Web 访问用户的 Internet 认证失败次数设置一个阈值。这种方式通过将任何在已建立的阈值围无法登录

10、的用户进展锁定，可帮助防止针对用户 Internet 的恶意力量和字典攻击。有关认证失败和锁定的信息在 Internet 锁定应用程序中维护，管理员可以在该应用程序中分别去除失败和解锁用户。应该注意的一点是，此功能容易受到效劳拒绝 (DoS) 攻击。DoS 攻击指的是这样一种攻击：恶意用户明确阻止某个效劳的合法用户使用该效劳。对于这种 Internet 口令锁定情况，可能会有成心进展失败登录尝试的攻击者来阻止合法的 Internet 用户登录 Domino 效劳器。附注 Internet 口令锁定对 Domino 脱机效劳 (DOLS) 没有影响。Internet 口令锁定有一些使用限制： 只

11、能对于 Web 访问使用 Internet 口令锁定。其他 Internet 协议和效劳如 LDAP、POP、IMAP、DIIOP、IBM(R) Lotus(R) QuickPlace(R) 和 IBM(R) Lotus(R) Sametime(R)目前不受支持。但是，如果用于认证的口令存储在 LDAP 效劳器上，那么可以将 Internet 口令锁定用于 Web 访问。 如果正在使用定制的 DSAPI 过滤器，那么可能不能使用 Internet 锁定功能，因为DSAPI 过滤器是一种忽略 Notes/Domino 认证的方式。对于单次登录，其中启用了 Internet 口令锁定的 Domin

12、o 效劳器必须同时是颁发单次登录密钥的效劳器。如果此密钥是从另一个源另一个 Domino 效劳器或 WebSphere 效劳器检索的，SSO 令牌在该 Domino 效劳器上那么一直有效，而无论是否启用了 Internet 口令锁定。Internet 锁定数据库Internet 锁定数据库 (inetlockout.nsf) 是根据 inetlockout.ntf在以下情况下创立的： 启动时如果已经启用了 Internet 锁定功能，或者 需要第一次查看或写入锁定数据库时。这种情况不需要重新启动，但是启用了该功能的时间与翻开或写入锁定数据库的时间之间必须经过十分钟。缺省情况下，Internet

13、 锁定数据库 ACL 仅允许管理员访问 Admin 组。缺省和匿名用户被拒绝访问。但是该数据库 ACL 可以进展修改，以便为用户和组提供查看和解锁用户的权限。对于每个尝试使用 Internet 名称和口令登录 Domino 的用户，有关锁定状态的信息在 Internet 锁定数据库中维护，其中包括用户名、失败尝试次数，以及锁定状态。如果用户已经注销，或者用户登录成功，那么不在锁定数据库中记录锁定尝试。尽管 Internet 锁定数据库维护着锁定状态信息，但是如果您希望拥有登录失败尝试的历史记录的话，仍然应该在 Domino 域管理器 (DDM) 中维护登录失败和锁定历史信息。对用户存储在 In

14、ternet 锁定数据库中的访问信息进展的任何更改将立即执行。无需重新启动 HTTP 效劳器即可使得更改生效。锁定数据库具有两个视图： 锁定的用户，其中包含了失败口令尝试超过阈值，现在无法使用其 Internet 名称和口令访问效劳器的用户的记录。 登录失败，其中包含的用户记录显示了失败认证尝试的次数。两个视图的域是一样的： 效劳器名称- 用户被锁定或认证尝试失败的效劳器 用户名- 被锁定或者被记录了失败认证尝试的用户的名称 已锁定- 在登录失败视图中，此值可能是是或否。在锁定的用户视图中，此域将设置为是。 失败次数- 显示每个用户当前的失败认证尝试次数。在锁定的用户视图中，此值应该等于阈值设

15、置。 第一次失败时间- 显示第一次认证失败的日期和时间 最后一次失败时间- 显示最后一次认证失败的日期和时间。此值也可能是用户被锁定的时间。如果用户被锁定之后再次尝试，此时间那么不会更新。可以通过删除记录来解锁用户。您可以通过单击工具栏中的标记为删除/解锁将多个记录标记为进展解锁或删除，然后单击删除标记的工程将其删除。建议您定期确认 Internet 锁定数据库中是否只包含了有效用户的记录。请删除名称已经更改或者已经作为 Domino 效劳器用户被删除的用户的名称。该数据库没有自动清理功能；尽管拥有过期用户记录不会导致功能问题，但是数据库中的记录太多可能会导致 Internet 认证性能下降。您可以为 Internet 锁定数据库创立