建立安全原則設定文件
安全原則設定文件可讓您管理 HCL Notes® 及網際網路密碼、為組織配置自訂的密碼原則、設定金鑰換用、管理「管理 ECL」、將信任的交互憑證抄寫到用戶端,以及配置 ID 儲存庫。您還可配置已簽署外掛程式的設定,以及複合應用程式的起始入口網站伺服器。
開始之前
- PolicyCreator 角色,可建立設定文件
- PolicyModifier 角色,可修改設定文件
執行這項作業的原因和時機
程序
- 從「Domino 管理員」中,選取「人員與群組」標籤,然後開啟「設定」視圖。
- 按一下「新增設定」,然後選擇「安全性」。
-
在「基本」標籤上,完成下列欄位:
表 1. 「基本」標籤欄位 欄位 動作 名稱 輸入識別使用這些設定值之使用者的名稱。 說明 輸入設定值的說明。 - 完成下列作業中說明的所有必要欄位。
管理 Notes 及網際網路密碼
程序
-
在「密碼管理」標籤上,完成下列選項欄位:
表 2. 密碼管理選項 欄位 動作 使用 Notes 用戶端的自訂密碼原則 請選擇其中一項: - 否(預設值)
- 是 - 執行自訂密碼原則。自訂密碼原則可讓您配置特定密碼參數,讓密碼變成非一般或不可預測。使用「自訂密碼原則」標籤上的設定,以設定原則。
檢查 Notes ID 檔的密碼 請選擇其中一項: - 否(預設值)
- 是 - 需要所有使用者 ID 的副本有相同的密碼。
允許使用者透過 HTTP 變更網際網路密碼 請選擇其中一項: - 是(預設值):允許使用者使用網路瀏覽器變更其網際網路密碼。
- 否
當 Notes 用戶端密碼變更時,更新網際網路密碼 請選擇其中一項: - 否(預設值)
- 是:同步化使用者網際網路密碼與 Notes 用戶端密碼。
註: 選取「是」會啟用更安全的網際網路密碼格式(如果尚未使用它的話)。使用其他 Notes 型程式不提示密碼(降低安全性) 選取「是」,針對要套用此原則的 Notes 用戶端使用者,在「安全性」對話框的「您的登入及密碼設定」中設定這個選項。啟用選項,藉由對與 Notes 共用資料的任何 Notes 型應用程式,重複使用使用者在 Notes 的起始登入,以減少出現密碼提示。 對標準 Notes 用戶端啟用 Windows 單一登入 對 Eclipse 型功能及產品(例如「小組件及即時文字」、「訊息饋送」、「連線」、「複合應用程式」及 Sametime)啟用整合式 Windows 鑑別(使用 SPNEGO/Kerberos)的支援。這個選項不會影響 Notes 用戶端啟動密碼提示,但會減少參與內嵌式及其他應用程式與元件時的密碼提示次數。 如需 IWA 的相關資訊,請參閱相關資訊中的 Technote Integrated Windows 鑑別 (IWA) for Eclipse-based 元件 within Lotus Notes。
-
同時,在「密碼管理」標籤上,完成下列到期日欄位:
表 3. 密碼到期日設定 欄位 動作 強制密碼期限 請選擇其中一項: - 已停用(預設值):停用密碼到期。如果停用密碼有效期限,請勿完成本區段的其餘欄位。
- 已啟用
註: 如果您為下列任何選項啟動密碼到期,則安全性設定文件預設值會變更。- 僅 Notes:僅為 Notes 密碼啟用密碼到期。
- 僅網際網路:僅為網際網路密碼啟用密碼到期。
- Notes 及網際網路:為 Notes 及網際網路密碼啟用密碼到期。
註: 只有 HTTP 通訊協定可辨識網際網路密碼有效期限設定。這意味著網際網路密碼可永遠用於其他網際網路通信協定(如 LDAP 或 POP3)。註: 如果使用者使用智慧卡登入 Domino 伺服器,請不要啟用密碼到期。需要的變更率 指定密碼的有效天數,超過此天數便必須變更密碼。預設值為 0。 註: 如果將此值設為小於 30,則會自動計算「警告週期」欄位的值。計算的值是此欄位所輸入值的 80%。容許的寬限期 指定在使用者必須變更到期的密碼以防被封鎖之前的天數。預設值為 0,表示將不鎖定使用者。 密碼歷程(僅適用於 Notes) 指定要儲存的到期密碼數目。儲存密碼可防止使用者重新使用舊密碼。預設值為 0。 警告期間 指定密碼到期前的天數,使用者會收到到期警告訊息。預設值為 0。 註: 如果將「所需的變更間隔」設定設為小於 30 天,則會計算此欄位的值。必須啟動密碼到期功能,此欄位的值才能被計算。如果計算此值,便無法覆寫。自訂警告訊息 輸入自訂警告訊息;當使用者的密碼超過在「警告週期」欄位中所指定的到期臨界值時,就會傳送此訊息給使用者。 註: 自訂警告訊息僅適用於 Notes 用戶端,不論您如何啟動密碼到期。網際網路使用者不會看到警告訊息。
設定網際網路密碼封鎖
執行這項作業的原因和時機
程序
-
在「密碼管理」標籤上,完成下列鎖定設定:
表 4. 網際網路密碼鎖定設定 欄位 動作 是否覆寫伺服器的網際網路鎖定設定值? 啟用此原則文件設定時,原則中的設定值會覆寫伺服器之「配置設定」文件中的網際網路密碼鎖定設定值。 註: 伺服器必須強制執行網際網路密碼鎖定才能使這些原則設定生效。最大容許嘗試次數 執行鎖定前允許的密碼嘗試次數上限。如果設為 0,則容許無限制的密碼嘗試次數。 鎖定有效期限 強制執行鎖定的時段。過了此時段,會自動解除使用者下次要嘗試認證的使用者帳戶。如果設為 0,則會停用自動解除鎖定。 最大嘗試間隔 如果使用者未遭鎖定,這就是成功鑑別已清除任何先前的失敗嘗試前必須經歷的時間。指定較長的保護強度時間,以便獲得更大的安全性。當設定為 0,每次認證成功就會清除失敗的密碼嘗試。 -
同時,在「密碼管理」標籤上,完成下列品質設定欄位:
表 5. 密碼品質設定 欄位 動作 所需的密碼品質 如果需要使用者根據密碼品質來選擇密碼,請從清單中選擇值以指定該品質。 改為使用長度 如果您需要使用者根據長度來選擇密碼,請按一下「是」。當您完成時,「所需密碼品質」欄位會變成「所需密碼長度」。請在此處指定密碼長度下限。 - 如需完成「ID 檔案加密設定」下方欄位的相關資訊,請參閱相關主題中的「配置 ID 檔案的加密」主題。
設定自訂密碼原則
執行這項作業的原因和時機
只有在您選擇實作自訂密碼原則時,才需要完成下列欄位。
程序
-
在「密碼管理」標籤的「密碼管理選項」下,於對「Notes 用戶端使用自訂密碼原則」欄位中選取「是」。
即會出現「自訂密碼原則」標籤。
-
完成下列欄位:
表 6. 自訂密碼原則標籤欄位 欄位 動作 第一次使用 Notes 用戶端時變更密碼 使用者第一次登入使用 Notes 時需要變更其密碼。 註: 這只在使用者註冊期間套用了原則時才會運作。允許密碼中的一般名稱 允許在密碼中使用組合的通用使用者名稱。例如:John232 是使用者 CN=John Doe/O=Mutt 的密碼,其中通用名稱是 John Doe。 最小密碼長度 指定使用者密碼中最小的密碼數 最大密碼長度 指定使用者最多可在其密碼中使用多少個字元 最低密碼品質 指定使用者密碼中的最低密碼品質 所需的英文字母字元數下限 指定使用者密碼中的最小字母字元數目 所需的大寫字元數目下限 指定使用者密碼中最小的大寫字元數目 所需的小寫字元數目下限 指定使用者密碼中最小的小寫字元數目 所需的數值字元數下限 指定特殊字元的數量下限,即允許使用者加入密碼的標點符號。 所需的特殊字元數下限 指定特殊字元的數量下限,即允許使用者加入密碼的標點符號。 所需的非小寫字元數目下限 指定您在使用者密碼中需要的特殊字元、數字以及大寫字元的數目下限。此數的值越多會讓密碼越難猜測。 在您輸入一個數目之後,會顯示檢查清單,列出您可以為此需求指定的字元類型。您可以選取下列的任意組合:
- 大寫字元
- Number
- 特殊字元
所需的重複字元數上限 指定重複字元任何形式的最大數目。 所需的唯一字元數下限 指定僅在密碼中顯示一次的最小字元數目 密碼開頭不能是 指定使用者無法用來當密碼開頭的字元類型。 密碼結尾不能是 指定使用者無法用來當密碼結尾的字元類型。
設定管理 ECL
執行這項作業的原因和時機
完成「執行控制清單」標籤上的欄位,以配置組織中使用的管理 ECL。
欄位 | 動作 |
---|---|
Admin ECL | 請選擇其中一項:
註: 只有當安全設定文件處於編輯模式時,畫面上才會顯示「編輯」和「管理」按鈕。 |
更新模式 | 請選擇其中一項:
如果用戶端 ECL 列出的簽章是 admin ECL 所沒有的簽章,則會在用戶端 ECL 保持原來的簽章及其設定。 如果 admin ECL 列出的簽章是用戶端 ECL 所沒有的簽章,則會將該簽章及其設定新增到用戶端 ECL。 如果用戶端 ECL 與 admin ECL 雙方列出相同的簽章,則用戶端 ECL 簽章的設定會被捨棄,並以 admin ECL 簽章的設定來取代。
|
更新頻率 | 請選擇其中一項:
|
管理「管理執行控制清單 (ECL)」
執行這項作業的原因和時機
程序
- 在「安全設定」文件的工具列上,按一下「編輯設定」。
-
按一下「管理」。隨即出現「工作站安全性:管理執行控制清單」對話框。從下列選項中選取:
表 8. 工作站安全性:管理執行控制清單選項 欄位 動作 編輯現有的 admin ECL - 從清單框中選取您要編輯的管理 ECL 名稱,然後按一下「確定」。所選 admin ECL 的名稱會顯示在「執行控制清單」標籤的「Admin ECL」欄位中。
- 按一下「編輯」按鈕以開啟所選的 admin ECL。
建立新的 admin ECL - 在「建立新的管理 ECL」欄位中,鍵入新 ECL 的名稱,然後按一下「確定」。新 admin ECL 的名稱會顯示在「執行控制清單」標籤的「Admin ECL」欄位中。
- 按一下「編輯」按鈕,以建立新的管理 ECL。
刪除現有的 admin ECL - 從清單框中選取您要刪除的管理 ECL 名稱,然後按一下「刪除」。
- 所選的 admin ECL 即遭刪除,且現有 admin ECL 的清單會重新整理。
結果
按一下「取消」,會讓顯示在設定文件中的管理 ECL 名稱保持不變。
啟用金鑰輪替
執行這項作業的原因和時機
完成「金鑰及憑證」標籤上的欄位,以為使用者的群組配置金鑰換用。您可以指定會起始一個以上的使用者群組的金鑰換用之觸發。您可以選擇在特定的時間內,為要套用此原則的使用者群組隔開換用程序。
如需配置 AES 以進行郵件及文件加密的相關資訊,請參閱相關主題。
程序
-
在「預設公開金鑰需求」欄位中,指定母項及子項原則的設定。選取一項:
- 從母項原則繼承公開金鑰需求設定
- 在子項原則強制執行公開金鑰需求設定
-
在「使用者公開金鑰需求」下,完成下列欄位。
表 9. 使用者公開金鑰需求 欄位 動作 可容許金鑰強度下限 註: 比指定的金鑰更弱的金鑰會遭到換用。- 無下限。
- 與所有版本相容的最大值(630 位元)。
- 與第 6 版與以上的版本相容(1024 位元)。
- 與第 7 版以及更新版本相容(2048 位元)。
容許的最大金鑰強度 註: 比指定的金鑰更弱的金鑰會遭到換用。- 與所有版次相容(630 位元)。
- 與第 6 版與以上的版本相容(1024 位元)。
- 與第 7 版以及更新版本相容(2048 位元)。
喜好的金鑰強度 選擇建立新金鑰時,要使用的喜好金鑰強度: - 與所有版次相容(630 位元)。
- 與第 6 版與以上的版本相容(1024 位元)。
- 與第 7 版以及更新版本相容(2048 位元)。
容許的最大金鑰經歷時間(以天數為單位) 指定在需要替換金鑰前,金鑰可達到的經歷時間上限。預設值為 36500 天(100 年)。 最早的可容許金鑰建立日期 在此日期前建立的任何金鑰將被替換。 在這些天內,為所有使用者傳送新產生的金鑰 指定要針對此「安全設定」原則文件要套用的所有使用者,產生新金鑰的時段(以天數為單位)。使用者金鑰會在配置的時段內隨機換用。預設值為 180 天。 建立新金鑰後,舊金鑰仍為有效的天數上限 指定在網路驗證期間,可使用舊金鑰的時間長短。在驗證 Notes 金鑰期間,所有舊的及新的憑證以及所有換用金鑰都將組織成樹狀結構,然後會遍訪該樹狀結構,以尋找一組可以一起鏈結以驗證金鑰的憑證。若憑證已到期,則無法在該鏈接中使用它。若因金鑰有受損之虞而加以換用,最好能設定一個簡短的值,作為該金鑰的舊發行憑證能夠使用的時間期限。此設定的有效值為 1 到 36500 天,而預設值為 365。 - 使用相關主題中「配置 AES 來加密郵件及文件」主題的資訊,完成「文件/郵件加密設定」中的欄位。
- 「在憑證有效期限設定」下的「警告週期」欄位中,指定憑證有效期限之前的天數,達到此天數時使用者會收到到期警告訊息;預設值為 0。
- 在「憑證有效期限設定」的「自訂警告訊息欄」位中,輸入當其憑證已超過在「警告週期」欄位中所指定的到期日臨界值時,將會傳送給使用者的自訂警告訊息。
啟用線上憑證狀態通訊協定 (OCSP) 檢查
執行這項作業的原因和時機
將信任交互憑證套用至用戶端
執行這項作業的原因和時機
配置已簽署外掛程式的安裝
執行這項作業的原因和時機
外掛程式可提供給 Notes 使用者,一般是以 Notes 用戶端所信任且可驗證其所含資料並未毀損的憑證來簽署。然後使用者可安裝或更新已簽署的外掛程式。
有時候會發現外掛程式有問題。它可能未經簽署、未使用授信憑證簽署,或者憑證已過期或已不再有效。對於這些情況,您可以建立下列項目的原則:永不安裝這些外掛程式、一律安裝這些外掛程式,或者要求使用者在其電腦上已安裝外掛程式時作出決定。
您可以使用 Java SDK 提供的 jar 簽章者工具,在外掛程式 jar 簽章加上時間戳記,以確保外掛程式簽章長期有效。Notes 用戶端使用外掛程式 jar 檔簽章包括的時間戳記,來判斷外掛程式簽署憑證在簽署時是否有效。如果外掛程式簽署憑證到期,但在簽署時有效,Notes 會接受它,如此使用者在外掛程式安裝或供應期間就不會看到安全性提示。使用已簽署外掛程式標籤上的「忽略時間戳記憑證的到期日」設定,控制是否容許以到期時間戳記憑證進行「簽署的外掛程式」安裝。依預設容許其安裝。
欄位 | 動作 |
---|---|
外掛程式的安裝已過期或不再有效 |
|
安裝未經簽署的外掛程式 |
|
安裝由無法辨識之實體簽署的外掛程式 |
|
信任外掛程式簽署憑證 |
|
忽略時間戳記憑證的到期 |
|
配置入口網站伺服器設定
執行這項作業的原因和時機
欄位 | 動作 |
---|---|
起始入口網站伺服器 | 輸入管理 Notes 使用者帳戶的 HCL 數位體驗伺服器名稱。 |
鑑別 URL | 輸入 URL,Notes 使用者需要存取它才能鑑別入口網站伺服器。 |
認證類型 | 請選擇其中一項:
|