密码安全策略配置建议

1、长江三峡集团Domino基础环境运维密码安全策略配置建议Domino邮件系统支持服务密码安全策略配置建议·广州市拓维信息有限公司广州市天河区黄埔大道西平云路163号广电科技大厦903#电话：(020)38267170传真：(020)38267171邮编：510656客户热线：(020) 38267173一、保护 Internet 口令的安全3二、部署密码安全策略对用户可能造成的扰动10三、创建安全性设置文档11四、管理 Notes 和 Internet 口令12五、配置 Internet 口令锁定14六、配置定制口令策略15七、配置管理 ECL18八、管理 admin ECL19九、

2、将信任交叉证书应用到客户机20十、启用口令结转20十一、启用联机证书状态协议（OCSP）检查22十二、配置已签署的插件22十三、为 Lotus iNotes 用户创建安全性策略设置23安全性策略设置文档允许您管理 IBM(R) Lotus(R) Notes(R) 和 Internet 口令、配置为组织定制的口令策略、设置密钥结转、管理管理 ECL、将信任交叉证书应用到客户机并配置标识符保险库。还可以为组合应用程序的已签名插件以及主门户网站服务器配置设置。一、 保护 Internet 口令的安全Internet 口令可能会受到恶意源头的攻击。例如： · 一种攻击类型是读取 IBM(R)

3、 Lotus(R) Domino(TM) 目录中的所有散列口令。用户的 Internet 口令以散列版本存储在 Domino 目录的用户“个人”记录中。该目录可由系统的所有用户公开访问。您可以使用 xACL 来防止此类攻击，从而阻止对散列口令的访问。 · 另一种攻击类型是认证时基于口令猜度的攻击。在这种攻击类型中，用户仍然可以尝试作为别人进行认证，并尝试和猜度口令。通过使用更为安全的口令格式、使用更难猜度的口令，或者通过在服务器上启用 Internet 口令锁定功能，可以防止此类攻击。使用下面一种或多种功能可保护对 Domino 目录所存储的 Internet 口令的访问，或者使得这

4、些口令更加难以猜度。 · xACL · 更多安全口令格式· Internet 口令锁定使用 xACL 保护 Internet 口令的安全用来保护 Internet 口令的一种方式是使用扩展的 ACL（即 xACL）来基于命名层次结构中的级别，并在表单和域级别来控制访问。 对于存储在 Domino 目录中的口令，管理员可以设置 xACL 将 Internet 口令限制为这些用户自己（用于访问他们自己的口令）和管理员（允许对口令进行管理性更改）。首先，为 Domino 目录启用扩展访问： 1.打开数据库，然后选择“文件”-“应用程序”-“访问控制”。 2.确保在数据库

5、的 ACL 中具有“管理者”访问权限。 3.单击“高级”，然后选择“启用扩展权限”。 4.在下列提示中单击“是”以继续。 “启用扩展访问控制将强制进行附加的安全检查。有关详细信息，请参阅 Domino Administrator 帮助。Do you want to continue?”时， 5.在下列提示中单击“是”。该提示只有在数据库 ACL 的高级选项“强制所有副本使用一致的访问控制列表”尚未启用时才会出现： “必须首先启用一致性访问控制。是否立即启用？” 6.在下列的提示中单击“确定”： “如果有多个管理员管理此数据库的扩展访问控制权限，请对该数据库启用文档锁定以避免冲突。” 7.在“访

6、问控制列表”对话框中单击“确定”。 8.在下列的提示中单击“确定”： “正在启用扩展访问控制限制。这可能要花费一点时间。”接下来，设置扩展访问权限来保护 Internet 口令。 9.打开数据库，然后选择“文件”-“应用程序”-“访问控制”。 10.单击“扩展权限”。此时将出现“扩展访问权限”对话框。 11.在“目标”窗格中，选择根目录 / 然后单击“添加”。 12.在“访问列表”窗格中，选择“缺省”。 13.单击“表单和域权限”。此时出现“表单和域”对话框。 14.在“表单”列表框中选择“个人”。将“表单”的“访问”设置保留为空。 15.在“域”列表框中：选择 HttpPassword，然后

7、将“读写”访问权限设置为“拒绝”。如果出现 dspHttpPassword，则选择 dspHttpPassword 然后将“读写”访问权限设置为“拒绝”。 16.单击“确定”。 17.对于下列访问列表条目的“个人”表单中的 HttpPassword 和 dspHttpPassword（如果出现的话）设置重复此过程：访问列表条目读取访问设置写入访问设置自己允许允许本地管理员组允许允许本地服务器组允许允许附注 如果以前在访问列表中定义了匿名访问，则应该将其设置为拒绝对“个人”表单中 HTTPPassword 和 dspHTTPPassword（如果出现的话）域的读写访问权限。 附注 为 Domin

8、o 目录启用了 xACL 之后，LDAP 匿名访问就不受“所有服务器配置”文档中域列表的控制了。因为匿名的缺省 xACL 设置为“无访问权限”，所以一旦启用了 xACL，所有匿名 LDAP 搜索则都会失败。 使用更为安全的口令格式输入 Internet 口令并保存“个人”文档后，Domino 自动单向加密 Internet 口令域。要提高缺省口令的质量，请使用更为安全的口令格式。 可升级现有的“个人”文档的口令格式，或者自动对创建的所有“个人”文档使用更安全的口令格式。现有的“个人”文档 1.从 Domino Administrator 中，单击“个人和组”，然后选择要升级到更安全的口令格式的

9、“个人”文档。 2.选择“操作”-“升级 Internet 口令格式”。 3.如果 Domino 域中所有的服务器运行 8.0.1 或更高版本，请选择“是 - 与 8.0.1 或更高版本相兼容的口令验证”。否则请选择“是 - 与 4.6 或更高版本相兼容的口令验证”。 新的“个人”文档 1.从 Domino Administrator 中，单击“配置”，然后选择“所有服务器文档”。 2.选择“操作”-“编辑目录概要文件”。 3.如果 Domino 域中所有的服务器运行 8.0.1 或更高版本，请选择“是 - 与 8.0.1 或更高版本相兼容的口令验证”。否则请选择“是 - 与 4.6 或更高版

10、本相兼容的口令验证”。 4.保存并关闭文档。附注 如果您选择将用户的 Internet 口令与其 Notes 口令同步，则需要更安全的口令格式。另一种用来防止恶意源头猜度口令的方式是使得这些口令难以猜度：通过让口令更长并且更复杂、使用多种字符、避免使用实际词语等。 使用 Internet 口令锁定Internet 口令锁定使得管理员能够为 Domino Web 和 Domino Web 访问用户的 Internet 认证失败次数设置一个阈值。这种方式通过将任何在已建立的阈值范围内无法登录的用户进行锁定，可帮助防止针对用户 Internet 帐户的恶意力量和字典攻击。有关认证失败和锁定的信息在

11、Internet 锁定应用程序中维护，管理员可以在该应用程序中分别清除失败和解锁用户帐户。 应该注意的一点是，此功能容易受到服务拒绝 (DoS) 攻击。DoS 攻击指的是这样一种攻击：恶意用户明确阻止某个服务的合法用户使用该服务。对于这种 Internet 口令锁定情况，可能会有故意进行失败登录尝试的攻击者来阻止合法的 Internet 用户登录 Domino 服务器。 附注 Internet 口令锁定对 Domino 脱机服务 (DOLS) 没有影响。Internet 口令锁定有一些使用限制： · 只能对于 Web 访问使用 Internet 口令锁定。其他 Internet 协议

12、和服务（如 LDAP、POP、IMAP、DIIOP、IBM(R) Lotus(R) QuickPlace(R) 和 IBM(R) Lotus(R) Sametime(R)）目前不受支持。但是，如果用于认证的口令存储在 LDAP 服务器上，则可以将 Internet 口令锁定用于 Web 访问。· 如果正在使用定制的 DSAPI 过滤器，则可能不能使用 Internet 锁定功能，因为 DSAPI 过滤器是一种忽略 Notes/Domino 认证的方式。对于单次登录，其中启用了 Internet 口令锁定的 Domino 服务器必须同时是颁发单次登录密钥的服务器。如果此密钥是从另一个源

13、（另一个 Domino 服务器或 WebSphere 服务器）检索的，SSO 令牌在该 Domino 服务器上则一直有效，而无论是否启用了 Internet 口令锁定。 Internet 锁定数据库Internet 锁定数据库 (inetlockout.nsf) 是根据 inetlockout.ntf 在以下情况下创建的：· 启动时（如果已经启用了 Internet 锁定功能），或者 · 需要第一次查看或写入锁定数据库时。这种情况不需要重新启动，但是启用了该功能的时间与打开或写入锁定数据库的时间之间必须经过十分钟。 缺省情况下，Internet 锁定数据库 ACL 仅允许管

14、理员访问 Admin 组。缺省和匿名用户被拒绝访问。但是该数据库 ACL 可以进行修改，以便为用户和组提供查看和解锁用户的权限。对于每个尝试使用 Internet 名称和口令登录 Domino 的用户，有关锁定状态的信息在 Internet 锁定数据库中维护，其中包括用户名、失败尝试次数，以及锁定状态。如果用户已经注销，或者用户登录成功，则不在锁定数据库中记录锁定尝试。尽管 Internet 锁定数据库维护着锁定状态信息，但是如果您希望拥有登录失败尝试的历史记录的话，仍然应该在 Domino 域管理器 (DDM) 中维护登录失败和锁定历史信息。对用户存储在 Internet 锁定数据库中的访问

15、信息进行的任何更改将立即执行。无需重新启动 HTTP 服务器即可使得更改生效。 锁定数据库具有两个视图：· “锁定的用户”，其中包含了失败口令尝试超过阈值，现在无法使用其 Internet 名称和口令访问服务器的用户的记录。· “登录失败”，其中包含的用户记录显示了失败认证尝试的次数。两个视图的域是相同的：· 服务器名称- 用户被锁定或认证尝试失败的服务器· 用户名- 被锁定或者被记录了失败认证尝试的用户的名称· 已锁定- 在“登录失败”视图中，此值可能是“是”或“否”。在“锁定的用户”视图中，此域将设置为“是”。 · 失败次数- 显

16、示每个用户当前的失败认证尝试次数。在“锁定的用户”视图中，此值应该等于阈值设置。 · 第一次失败时间- 显示第一次认证失败的日期和时间· 最后一次失败时间- 显示最后一次认证失败的日期和时间。此值也可能是用户被锁定的时间。如果用户被锁定之后再次尝试，此时间则不会更新。可以通过删除记录来解锁用户。您可以通过单击工具栏中的“标记为删除/解锁”将多个记录标记为进行解锁或删除，然后单击“删除标记的项目”将其删除。建议您定期确认 Internet 锁定数据库中是否只包含了有效用户的记录。请删除名称已经更改或者已经作为 Domino 服务器用户被删除的用户的名称。该数据库没有自动清理功

17、能；尽管拥有过期用户记录不会导致功能问题，但是数据库中的记录太多可能会导致 Internet 认证性能下降。 您可以为 Internet 锁定数据库创建定制表单，该表单可用于告知用户他们可能已被锁定。 复制 Internet 锁定数据库作为管理员，您需要决定是否将 Internet 锁定数据库复制到对您有用的其他服务器中。复制数据库的一个重要优点在于，锁定信息会复制到多个服务器。您可以查看任何副本然后确定用户在多个服务器上的锁定状态，而不必在启用了 Internet 口令锁定的每个服务器上都打开 Internet 锁定数据库。 但是，复制也有其缺点，例如，如果您的网络正在遭受攻击或者发生了拒绝

18、服务攻击，则可能发生复制风暴。另外，如果复制的速度较慢，则在复制发生之前，在某个特定服务器上检查锁定数据库的任何用户可能都无法看到某个个人已被锁定（但是他们总是可以在问题服务器上直接打开副本）。Internet 锁定数据库是使用副本标识符创建的，对于域中启用了 Internet 口令锁定的任何服务器上的任何副本都是相同的。缺省情况下，可以为 Internet 锁定数据库临时禁用复制。这样可以防止前面所说的复制风暴。要将数据库复制到另一个服务器上，请在“复制设置”对话框的“其他”部分，禁用“临时禁用复制”选项。然后您可以设置该数据库以便进行复制（调度复制或集群复制）。 附注 将此数据库复制到其他

19、服务器时，将为每个单独的用户计算“无效尝试次数”信息。例如，如果为“John Doe”设置的阈值为三次，并且在服务器 A 上的无效尝试次数为两次，在服务器 B 上的尝试次数为一次，则 John Doe 未在任何服务器上被锁定。这些尝试不会组合为总共三次。复制的原因是便于管理，而不是建立全局性阈值。配置 Internet 口令锁定Internet 口令锁定在服务器配置设置文档中启用。这就使得管理员能够为多个服务器打开 Internet 锁定功能。 附注 建议启用“服务器”文档的选项“名称变化越少，安全性越高”。这样可以将不明确名称的问题减到最少。Domino 支持使用用户名的缩写形式登录 Web

20、 服务器（如果口令正确），即使缩写名称可能与目录中一个或多个其他人以上重复也无所谓。用户键入不明确名称时发生的不正确登录将导致每个不明确名称匹配的失败，因为没有办法分清哪个用户正在尝试登录。另外，只有当用户名和口令成功匹配时，才能使用锁定截止时间设置清除失败尝试。 启用和配置 Internet 口令锁定 1.在 Domino Administrator 中，单击“配置”-“服务器”-“配置”。打开要为其启用 Internet 口令锁定的服务器的配置设置文档。 2.单击?安全?。对于设置强制 Internet 口令锁定具有三个选项。 · 是 - 服务器强制实施 Internet 口令锁

21、定。要使得任何 Internet 口令锁定功能能够运行，必须启用此选项。 · 否 - 服务器不强制实施 Internet 口令锁定。 · （空白）- 如果此设置为空，则不一定非要禁用该强制选项，而可以让另一服务器配置文档（可能是适用于所有服务器的文档）来确定是否为此服务器启用 Internet 口令锁定。附注 如果该“服务器”文档中没有强制 Internet 口令锁定，则任何其他 Internet 锁定设置（如策略文档中的设置）也将被禁用。如果启用，则会出现下列设置：设置指定日志设置您可以选择要在控制台和 DDM 中记录的事件类型。还会记录用户名和 IP 地址。 ·

22、; 如果已启用“锁定”，则会记录用户已经锁定的事件以及用户尝试认证但已锁定的事件。缺省为启用。 · 如果已启用“失败”，则会记录任何失败的认证尝试。日志中还会包括正在尝试认证的客户机的 IP 地址和用户名。缺省允许的最大尝试次数指定用户被锁定之前允许的失败口令尝试的最大次数。缺省值为 5。一旦用户被锁定，则必须首先解锁该用户，然后此设置的任何新值才能对于该用户生效。 如果某个用户在其用户策略中对此设置具有不同的值，该值则会覆盖服务器配置文档中的设置。附注 如果此值为 0，则允许无限次数的口令尝试。 缺省锁定截止时间指定强制锁定的时间段。指定的时限之后，用户下一次尝试认证时该用户帐户将

23、自动解除锁定。另外，所有失败尝试也将被清除。附注 如果此值为零，锁定则不会自动过期。必须手动解锁帐户。 缺省最大尝试时间间隔指定失败口令尝试要在锁定数据库中保留多长时间之后，才能被成功认证清除。缺省值为 24 小时。此设置不适用于已被锁定的用户。如果用户被锁定，清除失败尝试和解锁帐户的唯一方法是在 Internet 锁定数据库中或在“锁定截止时间”到期时手动执行此操作。附注 如果此值为 0，则对于某个尚未锁定的特定用户，每次成功登录都会清除该用户的所有失败口令尝试。 Internet 口令锁定的策略设置除了日志设置之外，前面讲述的选项还可在用户策略中指定。这在管理员仅希望对组织内的某个用户子集

24、强制执行 Internet 口令锁定时非常有用。这种情况下，可以为该组建立这些设置。二、 部署密码安全策略对用户可能造成的扰动Ø 提升密码安全等级· 应用该功能后会造成用户无法再创建简单的密码组合，而必须创建如指定位数，指定复杂度的密码。过于复杂的密码组合对普通用户的记忆和使用都会产生一定的困扰和障碍；Ø 周期修改口令策略· 应用该功能后需要用户在指定的周期内进行一次密码修改，否则无法继续使用邮件服务，通常会结合复杂密码设置一起生效。一旦启用普通用户会因为熟悉的行为习惯被强制更改而产生不适，并且密码修改次数过多也容易混淆；Ø Internet

25、口令锁定· 应用该功能后会对用户每次登录时都进行安全过滤，如果用户在指定的次数内未输入正确密码用户帐号将被锁定，直到管理员将其解锁。如果配置的尝试次数过少或者响应时间果短很容易将用户帐号锁定，使得用户不能正常使用邮箱；Ø 新旧密码同时存在· 标准的密码安全策略中一旦用户修改密码，其新旧密码会同时生效一段时间，该时间由管理员手动配置。在同时生效期内用户可能会因为输入旧密码依然能正常登录而产生困扰，需要在变更前在通告中进行相关说明；三、 创建安全性设置文档 1.确保拥有对于 IBM(R) Lotus(R) Domino(R) 目录的编辑者权限和以下某种角色：·

26、; 创建设置文档的 PolicyCreator 角色· 修改设置文档的 PolicyModifier 角色 2.从 Domino Administrator 中，选择“个人和组”附签，然后打开“设置”视图。 3.单击“添加设置”，然后选择“安全性”。 4.在“基本”附签中，填写下列域： 域操作名称输入标识符使用这些设置的用户（如果您是服务提供者，应输入东道主组织）的名称。描述输入设置的说明。 5.您可以在安全性设置文档上执行下列任一或全部操作：四、 管理 Notes 和 Internet 口令填写“口令管理”附签上的下列域。附注 有关 Notes“共享登录”附签的更多信息，请参阅主题

27、“使用 Notes 共享登录来禁止口令提示”。域操作口令管理选项为 Notes 客户机使用定制口令策略选择下列选项之一：· 否（缺省值）· 是 - 执行定制口令策略。定制口令策略使您能够配置特定的口令参数，从而这些口令比较有价值且不容易预测到。使用“定制口令策略”附签上的设置来设置策略。 检查 Notes 标识符文件中的口令选择下列选项之一：· 否（缺省值）· 是 - 要求所有用户标识符副本都要有相同的口令允许用户通过 HTTP 更改 Internet 口令选择下列选项之一：· 是（缺省） - 允许用户使用 Web 浏览器更改其 Interne

28、t 口令。 · 否当 Notes 客户机口令变化时升级 Internet 口令选择下列选项之一：· 否（缺省值）· 是 - 使用户 Internet 口令和 Notes 客户机口令同步。 附注 选择“是”将在更安全的 Internet 口令格式尚未使用的情况下激活它的使用。启用 Workplace 富客户机（仅 8.0 前的版本）的 Notes 单次登录选择下列选项之一：· 否（缺省值）· 是 - 允许用户启用使用 IBM Workplace 富客户机的 Notes 插件单一登录口令到期设置强制口令到期 选择下列选项之一：· 禁用（缺

29、省）- 禁用口令到期。如果禁用口令到期，不要完成此区段中的剩余域。附注 如果为下列某个选项启用口令到期，“安全性设置”文档缺省值将更改。 · 仅 Notes - 只对 Notes 口令启用口令到期。· 仅 Internet - 只对 Internet 口令启用口令到期。· Notes 和 Internet - 对 Notes 和 Internet 口令启用口令到期。附注 只有 HTTP 协议能够识别 Internet 口令到期设置。这意味着可以永远将 Internet 口令与其他 Internet 协议（如 LDAP 或 POP3）同时使用。注意 如果用户使用智能

30、卡登录到 Domino 服务器，则不要启用口令到期。必需的更改时间间隔指定必须更改口令之前口令有效的天数。缺省为 0。 附注 如果设置该值为小于 30 天，“警告期”域的值将会自动计算。计算值为该域输入的值的 80% 。 允许的宽限期指定锁定之前用户必须更改到期口令的天数。缺省值是 0，表示不会锁定用户。口令历史记录（仅 Notes）指定将存储的到期口令的数目。存储口令可防止用户重新使用旧口令。缺省为 0。警告期指定口令到期前用户收到到期警告消息的天数。缺省为 0。附注 如果“必需的更改时间间隔”设置被设置成小于 30 天，将计算该域的值。为了计算该域的值，必须启用口令到期。如果计算该值，该值

31、不能被覆盖。 定制警告消息输入定制警告消息，这些警告消息将发送到那些口令已超过在“警告期”域中指定的过期阈值的用户。附注 定制警告消息仅对 Notes 客户机可用， 不管如何启用口令到期。Internet 用户看不到警告消息。五、 配置 Internet 口令锁定域操作Internet 口令锁定设置是否覆盖服务器的 Internet 锁定设置？当启用此策略文档设置时，策略中的设置将覆盖服务器配置设置文档中的 Internet 口令锁定设置。附注 服务器必须强制这些策略设置的 Internet 口令锁定生效。允许最大尝试数锁定之前允许的最大口令尝试次数。设置为 0 时，允许无限次的口令尝试。锁定

32、到期强制执行锁定的时间周期。此时限之后，用户下一次尝试认证时该用户帐户将自动解除锁定。设置为 0 时，将禁用自动解锁。最大尝试时间间隔如果用户未被锁定，这是在成功认证清除任何先前失败尝试之前必须经历的时间周期。对于较强的安全性，请指定较长的保护强度时间。设置为 0 时，每次成功认证时都会清除失败的口令尝试。口令安全性设置必需的口令安全性如果需要用户选择基于口令安全性的口令，从下拉列表中选择一个值来指定该安全性。 使用长度如果需要用户选择基于长度的口令，单击“是”。单击“是”后, 必需的口令安全性域更改为必需的口令长度。在此指定最小口令长度。填写“口令锁定设置”附签上的下列域。 六、 配置定制口

33、令策略如果已选择实现定制口令策略，填写“定制口令策略”附签上的下列域。 域操作在第一个使用的 Notes 客户机上更改口令第一次登录使用 Notes 时，需要用户更改他们的口令。附注 只有当策略在用户注册期间应用时，该域才有效。在口令中允许公共名称在口令中允许使用用户的公共名称组合。例如：John232 是用户 CN=John Doe/O=Mutt 的口令，其中，公共名称为 John Doe。最小口令长度指定用户可以在口令中设置的最小字符数最大口令长度指定用户可以在口令中设置的最大字符数最小口令安全性指定用户可以在口令中设置的最小口令安全性的值需要的最小字母字符数指定允许用户在口令中设置的最小

34、字母字符数需要的最小大写字母字符数指定允许用户在口令中设置的最小大写字母字符数需要的最小小写字母字符数指定允许用户在口令中设置的最小小写字母字符数需要的最小数字字符数指定允许用户在口令中设置的最小特殊字符数，即标点符号需要的最小特殊字符数指定允许用户在口令中设置的最小特殊字符数，即标点符号要求的最小非小写字符数指定在用户口令中要求最小特殊字符，数字和大写字符数。此处设定高值会使口令更难猜测。 输入一个数字之后，将出现一个选择列表，列出可为该需求指定的字符类型。可以使用下列任意组合。· 数字· 特殊字符· 大写 需要的最大重复字符数指定允许在用户口令中设置的任何形式

35、的最大重复字符数。需要的唯一字符数指定在口令中仅出现一次的最小字符数口令不能以开头 指定不能用作口令开头的字符类型口令不能以结束指定不能用作口令结尾的字符类型Ø 口令安全性等级为用户、服务器或验证者标识符创建口令时，需要了解 Domino 衡量口令强度和安全性的标准。Domino 根据其口令安全性等级中指定的级别来衡量此标准。安全性等级为标识符文件中的口令指定安全性最低的级别。Domino 基于口令中字符的数目和多样性来确定的口令安全性。 可根据计算口令安全性的算法来强行规定口令的选择，即必须达到一定的复杂程度才能满足选定的用户标识符文件保护口令的安全性级别。用户注册后，用户标识符文

36、件中会包含一个口令强度值。如果用户更改口令，此设置将强制执行。口令安全性等级描述样例0口令是可选的。无。1允许使用任何口令。“b”、“3”2-6允许使用安全性较低，甚至通过反复尝试即可猜出的口令。“password”、“doughnut”（口令安全性等级为 3）“lightferret”、“b 4D”（口令安全性等级为 6）7-12要求口令难以猜出，但可以被自动攻击破解。“pqlrtmxr”、“wefourkings”（口令安全性等级为 8）13-16要求安全性很强的口令，甚至用户都很难记住。“4891spyONu”（口令安全性等级为 13）“lakestreampondriverocean”

37、、“stRem2pO()”（口令安全性等级为 15）“stream8pond1river7lake2ocean”（口令安全性等级为 16）等级范围从 0 （最低，无需口令）到 16 （最强）。安全性为 1 表示任何口令都满足标准。Domino 为验证者、服务器和用户口令安全性定义了缺省级别。应更改这些缺省值以满足您组织的安全性标准。可以在“安全性设置策略”文档、“管理首选项”或者“注册”或“验证”对话框中设置缺省值。口令强度与口令长度不同。并非所有长度相同的口令在口令安全性等级中的强度也相同。例如，8 个字符的单词“password”（因为它是单词）与 8 个字符的单词“1168Acme”（因

38、为它包含字母和数字字符）的字符复杂性级别不同，因此它们在口令安全性等级中的强度也不同。 Ø 指定口令和等级应谨记的提示· 口令中不要使用 Domino 拼写检查字典中的单词。通常，如果口令中包含 Domino 拼写检查字典中的单词，那么它比同样长度但不包含拼写检查字典中的单词的口令的安全性要低。· 应使用混合大小写的单词以及包含数字和标点符号的单词作为口令，而不要使用完全是小写字母的口令。要在不增加长度的情况下使口令安全性更高，应避免使用单词，而应使用混合大小写的字符并包括标点符号和数字。· 使用短语口令而不是单词口令。完整的句子（尤其是有一两个拼错的单

39、词的句子）是攻击者难以猜出的强口令。· 使用安全性不低于 12 的口令。安全性不低于 12 的口令能够抵抗自动攻击。安全性低于 4 的口令容易被人猜出。 为所有的“口令安全性等级”域设置缺省值，以使得为组织中的服务器、用户和验证者标识符指定的所有口令都具有适当的复杂性级别。七、 配置管理 ECL填写“执行控制列表”附签上的域，以配置您组织中使用的管理 ECL。 域操作管理 ECL选择下列选项之一： · 编辑 - 编辑其名称显示在“编辑”按钮旁的 ECL。 · 管理 - 有关使用此功能的信息，请参阅“对管理 ECL 进行管理”。附注 仅当安全性设置文档处于编辑方式时

40、，才显示“编辑”和“管理”按钮。 更新方式选择下列选项之一：· 刷新 - 使用管理 ECL 的新信息或更改信息更新客户机的 ECL， 按照如下步骤操作：如果客户机 ECL 列出了管理 ECL 没有列出的签名，这些签名及其配置将在 客户机 ECL 上保持不变。 如果管理 ECL 列出了客户机 ECL 没有列出的签名，这些签名及其配置将被添加至 客户机 ECL。 如果客户机 ECL 和管理 ECL 列出了相同的签名，那么客户机 ECL 上这些的设置就会被丢弃并被管理 ECL 上同样签名的设置覆盖。· 替换 - 使用管理 ECL 覆盖客户机 ECL。客户机 ECL 上的所有信息都

41、不保留。 更新频率选择下列选项之一：· 每天一次 - 当客户机通过主服务器进行身份认证，并且自上次更新 ECL 已有一天或者自管理 ECL 更改已有一天时，更新客户机 ECL。· 当管理 ECL 更改时 - 当客户机通过主服务器进行身份认证，并且自上次更新以来管理 ECL 已经更改时，更新客户机 ECL。· 无 - 在身份认证期间禁止更新客户机 ECL。八、 管理 admin ECL在域中设置了第一台服务器之后，Domino 会创建一个缺省管理 ECL，您可以为您组织定制管理 ECL。您可能需要有多种类型的管理 ECL，例如一个管理 ECL 用于承包商，而另一个管

42、理 ECL 用于全职员工。您可以使用“工作站安全性：”管理执行控制列表“对话框可管理已创建的任何管理_ ECL。您还可以使用它来创建新的管理 ECL 或删除任何不再需要的管理 ECL。 1.在安全性设置文档工具栏上，单击“编辑设置”。附注 仅当安全性设置文档处于编辑方式时，才显示“编辑”和“管理”按钮。 2.单击“管理”。将显示“工作站”安全性：管理执行控制列表”对话框。现在您有下列选项：收件人执行下列操作：编辑现有管理 ECL· 从列表框中选择要编辑的管理 ECL 的名称，然后单击确定。选定管理 ECL 的名称将显示在“执行控制列表”附签的“管理 ECL”域中。· 单击“

43、编辑”按钮可打开选定的管理 ECL。新建管理 ECL· 在“新建管理 ECL”域中输入新 ECL 的名称，然后单击“确定”。新管理 ECL 的名称将显示在“执行控制列表”附签的“管理 ECL”域中。· 单击“编辑”按钮可打开新管理 ECL。删除现有管理 ECL· 从列表框中选择要删除的管理 ECL 的名称，然后单击确定。· 将删除选定的管理 ECL，并刷新现有管理 ECL 的列表。注意 管理 ECL 独立存储在安全性设置文档中。如果编辑管理 ECL，引用此特定名称的管理 ECL 的所有安全性设置文档都将使用更改如果删除管理 ECL，引用此特定管理 ECL

44、 的所有安全性设置文档将使用缺省管理 ECL。一旦删除管理 ECL，将无法通过单击“取消”来撤销删除。附注 单击“取消”将让管理 ECL 的名称保持不变显示在设置文档中。九、 将信任交叉证书应用到客户机使用密匙和证书附签上的管理信任缺省值摂域，将信任 Internet 证书、Internet 交叉证书和 Lotus Notes 交叉证书推出给 Lotus Notes 客户机，避免创建交叉证书的提示。有关信息，请参阅主题“将信任证书应用到客户机”。 十、 启用口令结转填写“密钥和证书”附签上的域，为用户组配置密钥结转。指定启动用户组密钥结转的触发器。您可以在一段指定时间内为应用该策略的用户组分隔

45、密钥结转过程。附注 有关“文档/邮件加密设置”的更多信息，请参阅主题“为邮件和文档加密配置 AES”。域选择缺省公用密钥需求· 从父策略继承公用密钥需求设置· 在子策略中强制公用密钥需求设置用户的公用密钥需求允许的最小密钥强度附注 比指定密钥弱的密钥将被结转。 · 无最小值。 · 与所有版本最大程度的兼容（630 位）。· 与 R6 和更高版本兼容（1024 位）。· 与 R6 和更高版本（2048 位）兼容。允许的最大密钥强度附注 比指定密钥弱的密钥将被结转。· 与所有版本兼容（630 位）。· 与 R6 和更高

46、版本兼容（1024 位）。· 与 R6 和更高版本（2048 位）兼容。首选密钥强度当创建新的密钥时，选择使用首选密钥强度：· 与所有版本兼容（630 位）。· 与 R6 和更高版本兼容（1024 位）。· 与 R6 和更高版本（2048 位）兼容。允许的最大密钥生存期（天）指定密钥在需要被结转之前能够达到的最大生存期。缺省为 36500 天（100 年）。允许的最早密钥创建日期在此日期之前创建的任何密钥将被翻转。为超越此时间段的所有用户展开新的密钥生成：指定时间段（天）为适用该安全性设置策略文档的所有用户创建新密钥。用户密钥在配置的时间段内可被随机结转

47、。缺省为 180 天。新密钥被创建后旧密钥保持有效的最大天数 指定旧密钥在网络认证期间仍能使用的最大天数。在 Notes 密钥验证期间，所有证书（旧的和新的）和所有结转密钥组成一个树，然后，对该树进行遍历，查找一组可链接在一起以验证密钥的证书。在该链中不能使用已到期的证书。当您因害怕密钥已被泄露而翻转它时，最好为发布到该密钥的旧证书可以使用的时间长度设置一个较短的值。此设置的有效值为 1 到 36500 天，缺省值为 365 天。证书到期设置警告期指定证书到期前用户收到到期警告消息的天数。缺省为 0。定制警告消息输入定制警告消息，这些警告消息将发送到那些证书已超过在“警告期”域中指定的过期阈值

48、的用户。十一、 启用联机证书状态协议（OCSP）检查联机证书状态协议（OCSP）使应用程序能确认已识别证书的撤销状态。在 Notes 客户机进行 S/MIME 签名验证和邮件加密期间，将执行 OCSP 检查。OCSP 使用安全性设置文档密钥和证书附签上的启用 OCSP 检查设置中的某个策略启用。十二、 配置已签署的插件插件可以供应给 Notes 用户，通常使用 Notes 客户机信任的证书进行签署，并验证包含的数据是否损坏。用户随后可以安装或更新已签署的插件。 有时候也会发现有问题的插件。可能是功能部件或插件没有使用信任的证书签名，或者证书已经过期或尚未可用。对于这些情况可以建立策略，使得在插

49、件安装到工作站时从不安装这些插件、总是安装或询问用户以确定是否安装。 可以使用 Java(TM) SDK 提供的 jarsigner 工具标记插件 jar 签名的时间戳，以确保插件签名长期有效。Notes 客户机使用插件 jar 签名中包括的时间戳，以确定在签名时插件签名证书是否有效。如果插件签名证书已过期，但在签名时有效，Notes 将会接受此证书，以便用户不会在插件安装或供应期间遇到安全提示。此外，使用下表中描述的“忽略时间戳记证书的截止日期”设置来控制是否允许安装具有过期时间戳记证书的已签署插件。缺省情况下，允许此安装。 域选择安装已过期或尚未生效的插件· 询问用户·

50、 从不安装· 总是安装 安装未签名的插件· 询问用户· 从不安装· 总是安装安装由未承认实体签名的插件· 询问用户 · 从不安装· 总是安装信任 IBM(R) 插件签署证书· 询问用户· 对安装从不信任· 对安装总是信任忽略时间戳记证书的截止日期· 询问用户· 从不安装· 总是安装十三、 为 Lotus iNotes 用户创建安全性策略设置 要为 IBM(R) Lotus(R) iNotes(TM) 用户创建或强制执行安全性设置，必须创建安全性策略设置文档。尽管可以

51、为 IBM Lotus Notes(R) 用户创建其他安全性策略设置，但这里的设置可以应用于 Lotus iNotes 安全性，下表中的解释说明了这些设置如何影响 Lotus iNotes 用户。 有关使用策略的详细解释，以及策略文档与策略设置文档之间的关系，请参见“用户和服务器配置”-“策略”一节以获取帮助。 1.确保拥有对于 Domino 目录的“编辑者”权限和下列角色之一：· 创建设置文档的 PolicyCreator 角色· 修改设置文档的 PolicyModifier 角色 2.从 Domino Administrator 中，选择“个人和组”附签，然后打开“设置

52、”视图。 3.单击“添加设置”，然后选择“安全性”。 4.在下表中列出的附签中，完成这些域：“口令管理基本”附签描述允许用户通过 HTTP 更改 Internet 口令此设置确定是否显示 Lotus iNotes 用户首选项“更改 Internet 口令”。· 是（缺省）- 允许用户使用 Web 浏览器更改其 Internet 口令。Lotus iNotes 用户使用“更改 Internet 口令”首选项完成该操作。· 否 - 用户首选项更改 Internet 口令将不显示。当 Notes 客户机口令变化时升级 Internet 口令对于 Lotus iNotes 用户，此设置确定是否使用一个用户首选项“更改口令”代替两个首选项“更改 Notes 标识符”和“更改 Internet 口令”。如果只显示一个首选项，则邮件文件中的 Notes 标识符口令将在 Internet