密码安全策略配置建议.doc

· 一、 保护 Internet 口令的安全 3 二、 部署密码安全策略对用户可能造成的扰动 10 三、 创建安全性设置文档 11 四、 管理 Notes 和 Internet 口令 12 五、 配置 Internet 口令锁定 14 六、 配置定制口令策略 15 七、 配置管理 ECL 18 八、 管理 admin ECL 19 九、 将信任交叉证书应用到客户机 20 十、 启用口令结转 20 十一、 启用联机证书状态协议（OCSP）检查 22 十二、 配置已签署的插件 22 十三、 为 Lotus iNotes 用户创建安全性策略设置 23  安全性策略设置文档允许您管理 IBM(R) Lotus(R) Notes(R) 和 Internet 口令、配置为组织定制的口令策略、设置密钥结转、管理管理 ECL、将信任交叉证书应用到客户机并配置标识符保险库。还可以为组合应用程序的已签名插件以及主门户网站服务器配置设置。 保护 Internet 口令的安全 Internet 口令可能会受到恶意源头的攻击。例如： 一种攻击类型是读取 IBM(R) Lotus(R) Domino(TM) 目录中的所有散列口令。用户的 Internet 口令以散列版本存储在 Domino 目录的用户“个人”记录中。该目录可由系统的所有用户公开访问。您可以使用 xACL 来防止此类攻击，从而阻止对散列口令的访问。 另一种攻击类型是认证时基于口令猜度的攻击。在这种攻击类型中，用户仍然可以尝试作为别人进行认证，并尝试和猜度口令。通过使用更为安全的口令格式、使用更难猜度的口令，或者通过在服务器上启用 Internet 口令锁定功能，可以防止此类攻击。 使用下面一种或多种功能可保护对 Domino 目录所存储的 Internet 口令的访问，或者使得这些口令更加难以猜度。 xACL 更多安全口令格式 Internet 口令锁定 使用 xACL 保护 Internet 口令的安全 用来保护 Internet 口令的一种方式是使用扩展的 ACL（即 xACL）来基于命名层次结构中的级别，并在表单和域级别来控制访问。 对于存储在 Domino 目录中的口令，管理员可以设置 xACL 将 Internet 口令限制为这些用户自己（用于访问他们自己的口令）和管理员（允许对口令进行管理性更改）。 首先，为 Domino 目录启用扩展访问： 1. 打开数据库，然后选择“文件”-“应用程序”-“访问控制”。 2. 确保在数据库的 ACL 中具有“管理者”访问权限。 3. 单击“高级”，然后选择“启用扩展权限”。 4. 在下列提示中单击“是”以继续。 “启用扩展访问控制将强制进行附加的安全检查。有关详细信息，请参阅 Domino Administrator 帮助。Do you want to continue?”时， 5. 在下列提示中单击“是”。该提示只有在数据库 ACL 的高级选项“强制所有副本使用一致的访问控制列表”尚未启用时才会出现： “必须首先启用一致性访问控制。是否立即启用？” 6. 在下列的提示中单击“确定”： “如果有多个管理员管理此数据库的扩展访问控制权限，请对该数据库启用文档锁定以避免冲突。” 7. 在“访问控制列表”对话框中单击“确定”。 8. 在下列的提示中单击“确定”： “正在启用扩展访问控制限制。这可能要花费一点时间。” 接下来，设置扩展访问权限来保护 Internet 口令。 9. 打开数据库，然后选择“文件”-“应用程序”-“访问控制”。 10. 单击“扩展权限”。此时将出现“扩展访问权限”对话框。 11. 在“目标”窗格中，选择根目录 [ /] 然后单击“添加”。 12. 在“访问列表”窗格中，选择“缺省”。 13. 单击“表单和域权限”。此时出现“表单和域”对话框。 14. 在“表单”列表框中选择“个人”。将“表单”的“访问”设置保留为空。 15. 在“域”列表框中： 选择 HttpPassword，然后将“读写”访问权限设置为“拒绝”。 如果出现 dspHttpPassword，则选择 dspHttpPassword 然后将“读写”访问权限设置为“拒绝”。 16. 单击“确定”。 17. 对于下列访问列表条目的“个人”表单中的 HttpPassword 和 dspHttpPassword（如果出现的话）设置重复此过程： 访问列表条目 读取访问设置 写入访问设置 自己 允许 允许 [本地管理员组] 允许 允许 [本地服务器组] 允许 允许 附注 如果以前在访问列表中定义了匿名访问，则应该将其设置为拒绝对“个人”表单中 HTTPPassword 和 d