密码安全策略配置建议

·

Domino

邮件系统支持服务

密码安全策略配置建议

广州市拓维信息有限公司

广州市天河区黄埔大道西平云路163号

广电科技大厦903#

电话：(020)38267170

传真：(020)38267171

邮编：510656

客户热线：(020) 38267173

一、保护I NTERNET 口令的安全 (3)

二、部署密码安全策略对用户可能造成的扰动 (10)

三、创建安全性设置文档 (11)

四、管理N OTES 和I NTERNET 口令 (12)

五、配置I NTERNET 口令锁定 (14)

六、配置定制口令策略 (15)

七、配置管理ECL (18)

八、管理 ADMIN ECL (19)

九、将信任交叉证书应用到客户机 (20)

十、启用口令结转 (20)

十一、启用联机证书状态协议（OCSP）检查 (22)

十二、配置已签署的插件 (22)

十三、为L OTUS I N OTES 用户创建安全性策略设置 (23)

安全性策略设置文档允许您管理 IBM(R) Lotus(R) Notes(R) 和 Internet 口令、配置为组织定制的口令策略、设置密钥结转、管理管理 ECL、将信任交叉证书应用到客户机并配置标识符保险库。还可以为组合应用程序的已签名插件以及主门户网站服务器配置设置。

一、保护 Internet 口令的安全

Internet 口令可能会受到恶意源头的攻击。例如：

·一种攻击类型是读取 IBM(R) Lotus(R) Domino(TM) 目录中的所有散列口令。用户的Internet 口令以散列版本存储在 Domino 目录的用户“个人”记录中。该目录可由系统的所有用户公开访问。您可以使用 xACL 来防止此类攻击，从而阻止对散列口令的访问。

·另一种攻击类型是认证时基于口令猜度的攻击。在这种攻击类型中，用户仍然可以尝试作为别人进行认证，并尝试和猜度口令。通过使用更为安全的口令格式、使用更难猜度的口令，或者通过在服务器上启用 Internet 口令锁定功能，可以防止此类攻击。使用下面一种或多种功能可保护对 Domino 目录所存储的 Internet 口令的访问，或者使得这些口令更加难以猜度。

·xACL

·更多安全口令格式

·Internet 口令锁定

使用 xACL 保护 Internet 口令的安全

用来保护 Internet 口令的一种方式是使用扩展的 ACL（即 xACL）来基于命名层次结构中的级别，并在表单和域级别来控制访问。

对于存储在 Domino 目录中的口令，管理员可以设置 xACL 将 Internet 口令限制为这些用户自己（用于访问他们自己的口令）和管理员（允许对口令进行管理性更改）。

首先，为 Domino 目录启用扩展访问：

1. 打开数据库，然后选择“文件”-“应用程序”-“访问控制”。

2. 确保在数据库的 ACL 中具有“管理者”访问权限。

3. 单击“高级”，然后选择“启用扩展权限”。

4. 在下列提示中单击“是”以继续。

“启用扩展访问控制将强制进行附加的安全检查。有关详细信息，请参阅 Domino Administrator 帮助。Do you want to continue?”时，

5. 在下列提示中单击“是”。该提示只有在数据库 ACL 的高级选项“强制所有副本使用

一致的访问控制列表”尚未启用时才会出现：

“必须首先启用一致性访问控制。是否立即启用？”

6. 在下列的提示中单击“确定”：

“如果有多个管理员管理此数据库的扩展访问控制权限，请对该数据库启用文档锁定以避免冲突。”

7. 在“访问控制列表”对话框中单击“确定”。

8. 在下列的提示中单击“确定”：

“正在启用扩展访问控制限制。这可能要花费一点时间。”

接下来，设置扩展访问权限来保护 Internet 口令。

9. 打开数据库，然后选择“文件”-“应用程序”-“访问控制”。

10. 单击“扩展权限”。此时将出现“扩展访问权限”对话框。

11. 在“目标”窗格中，选择根目录 [ /] 然后单击“添加”。

12. 在“访问列表”窗格中，选择“缺省”。

13. 单击“表单和域权限”。此时出现“表单和域”对话框。

14. 在“表单”列表框中选择“个人”。将“表单”的“访问”设置保留为空。

15. 在“域”列表框中：

选择 HttpPassword，然后将“读写”访问权限设置为“拒绝”。

如果出现 dspHttpPassword，则选择 dspHttpPassword 然后将“读写”访问权限设置为“拒绝”。

16. 单击“确定”。

17. 对于下列访问列表条目的“个人”表单中的 HttpPassword 和 dspHttpPassword（如

果出现的话）设置重复此过程：

访问列表条目读取访问设置写入访问设置

自己允许允许

[本地管理员组] 允许允许

[本地服务器组] 允许允许

附注如果以前在访问列表中定义了匿名访问，则应该将其设置为拒绝对“个人”表单中HTTPPassword 和 dspHTTPPassword（如果出现的话）域的读写访问权限。

附注为 Domino 目录启用了 xACL 之后，LDAP 匿名访问就不受“所有服务器配置”文档中域列表的控制了。因为匿名的缺省 xACL 设置为“无访问权限”，所以一旦启用了 xACL，所有匿名 LDAP 搜索则都会失败。

使用更为安全的口令格式

输入 Internet 口令并保存“个人”文档后，Domino 自动单向加密 Internet 口令域。要提高缺省口令的质量，请使用更为安全的口令格式。

可升级现有的“个人”文档的口令格式，或者自动对创建的所有“个人”文档使用更安全的口令格式。

现有的“个人”文档

1. 从 Domino Administrator 中，单击“个人和组”，然后选择要升级到更安全的口令

格式的“个人”文档。

2. 选择“操作”-“升级 Internet 口令格式”。

3. 如果 Domino 域中所有的服务器运行 8.0.1 或更高版本，请选择“是 - 与 8.0.1 或

更高版本相兼容的口令验证”。否则请选择“是 - 与 4.6 或更高版本相兼容的口令验证”。

新的“个人”文档

1. 从 Domino Administrator 中，单击“配置”，然后选择“所有服务器文档”。