建立安全性策略設定文檔

安全性原則設定文件可讓您管理HCL Notes ®和 Internet 密碼、為您的組織配置自訂密碼原則、設定金鑰輪替、管理管理 ECL、向用戶端推送受信任的交叉憑證以及設定 ID 保險庫。您也可以為複合應用程式設定簽章外掛程式和主入口網站伺服器的設定。

在你開始之前

確保您具有HCL Domino ®目錄的編輯者存取權限以及以下角色之一：

用於建立設定文件的 PolicyCreator 角色
用於修改設定文件的 PolicyModifier 角色

關於這個任務

注意：有關Notes 共享登入或Nomad共享登入標籤以及使用 Notes 或Nomad共享登入抑制密碼提示的信息，請參閱相關主題。有關「聯合登入」標籤的信息，請參閱相關主題以取得有關向使用者應用 Notes 聯合登入配置的資訊。

注意：有關為HCL iNotes ®使用者建立安全策略設定以及使用 HTTP 代理 servlet 將 URL 限制為外部伺服器的信息，請參閱相關資訊中的HCL iNotes ®管理產品文件。

程序

從 Domino Administrator 中，選擇「人員和群組」選項卡，然後開啟「設定」視圖。
點擊新增設置，然後選擇安全性。
在「基本資訊」標籤上，填寫以下欄位：

表1 .基本選項卡字段

場地行動

姓名輸入可識別使用這些設定的使用者的名稱。

描述輸入設定的說明。
完成以下任務中所述的所有必填欄位。

表1 .基本選項卡字段
場地	行動
姓名	輸入可識別使用這些設定的使用者的名稱。
描述	輸入設定的說明。

管理 Notes 和 Internet 密碼

程序

在密碼管理標籤上，填寫以下選項欄位：

表2 .密碼管理選項
場地	行動
對 Notes 用戶端使用自訂密碼策略	選一個：否（預設）是 - 實施自訂密碼原則。自訂密碼原則可讓您配置特定的密碼參數，使密碼不再瑣碎或不可預測。使用自訂密碼原則標籤上的設定來設定策略。
檢查 Notes ID 檔案上的密碼	選一個：否（預設）是 - 要求使用者 ID 的所有副本都具有相同的密碼必須在伺服器上啟用此功能，方法是啟用「伺服器」文件「安全性」標籤中的「檢查 Notes ID 上的密碼」欄位。有關詳細信息，請參閱設定密碼驗證。注意：當使用者的Notes ID 上的密碼變更時，當使用者下次向伺服器進行身份驗證時，身分驗證進程會產生管理進程(AdminP) 要求，以更新目錄中「個人」文件中使用者的「密碼摘要”字段。如果在不到兩天內再次變更密碼，則下一個驗證程序將延遲建立新的密碼變更要求，直到兩天過去。例如，如果使用者在星期一更改密碼並啟動 AdminP 請求，如果他們在星期二再次更改密碼，則身份驗證過程不會建立第二個 AdminP 請求，直到星期三進行身份驗證。同樣的延遲也適用於使用notes.ini 設定IDV_RESETPASSWORD_DIGEST 以及重設ID 保險庫中的密碼。直到週三（上次密碼重設兩天後）進行下一次密碼重設時，才會建立新請求。
允許使用者透過 HTTP 更改 Internet 密碼	選一個：是（預設）－允許使用者使用 Web 瀏覽器變更其 Internet 密碼。不
Notes 用戶端密碼更改時更新 Internet 密碼	選一個：否（預設）是 — 將使用者 Internet 密碼與 Notes 用戶端密碼同步。注意：選擇「是」將啟動更安全的 Internet 密碼格式（如果尚未使用）。
其他基於 Notes 的程式不提示輸入密碼（降低安全性）	選擇「是」會在「安全性」對話方塊中的「您的登入名稱和密碼設定」中為套用此原則的 Notes 用戶端使用者設定此選項。啟用該選項後，對於與 Notes 共享資料的任何基於 Notes 的應用程序，可以重複使用使用者對 Notes 的初始登錄，從而消除密碼提示。
為標準 Notes 用戶端啟用 Windows 單一登入	為基於 Eclipse 的功能和產品（例如小部件和即時文字、提要、Connections、複合應用程式和 Sametime）啟用整合 Windows 身份驗證（使用 SPNEGO/Kerberos）支援。此選項不會影響 Notes 用戶端啟動密碼提示，但會消除參與嵌入式應用程式和其他應用程式和元件的密碼提示。

另外，在「密碼管理」標籤上，填寫以下過期欄位：

表3 .密碼有效期限設定
場地	行動
強制密碼過期	選一個：禁用（預設）－禁用密碼過期。如果您停用密碼過期，請不要填寫本部分中的其餘欄位。啟用注意：如果您為以下任一選項啟用密碼過期，則安全設定文件預設值會變更。僅 Notes——僅對 Notes 密碼啟用密碼過期。僅 Internet — 僅對 Internet 密碼啟用密碼過期。 Notes 和 Internet — 為 Notes 和 Internet 密碼啟用密碼過期。注意： Internet 密碼過期設定僅可由 HTTP 協定識別。這意味著 Internet 密碼可以無限期地與其他 Internet 協定（例如 LDAP 或 POP3）一起使用。注意：如果使用者使用智慧卡登入 Domino 伺服器，請不要啟用密碼過期功能。
所需的更換間隔	指定必須更改密碼之前的有效天數。預設值為 0。注意：如果將此值設為小於 30，則會自動計算警告期欄位的值。計算值是為此欄位輸入的值的 80%。
允許的寬限期	指定使用者在被鎖定之前必須更改過期密碼的天數。預設值為 0，表示使用者不會被鎖定。
密碼歷史記錄（僅限註解）	指定要儲存的過期密碼的數量。儲存密碼可防止使用者重複使用舊密碼。預設值為 0。
警告期	指定密碼到期前使用者收到到期警告訊息的天數。預設值為 0。注意：如果所需變更間隔設定設定為小於 30 天，則計算此欄位的值。必須啟用密碼過期才能計算此欄位的值。如果計算出該值，則無法覆寫它。
自訂警告訊息	輸入自訂警告訊息，該訊息將發送給密碼已超過「警告期限」欄位中指定的過期閾值的使用者。注意：自訂警告訊息僅適用於 Notes 用戶端，無論您如何啟用密碼過期。網路使用者看不到警告訊息。

設定網路密碼鎖定

關於這個任務

如果您的組織使用 SAML 進行會話驗證，則 Internet 密碼鎖定設定將被忽略。

程序

在「密碼管理」標籤上，完成以下鎖定設定：

表4 .網路密碼鎖定設定
場地	行動
覆蓋伺服器的網路鎖定設定？	啟用此原則文件設定後，政策中的設定將覆蓋伺服器設定檔中的 Internet 密碼鎖定設定。注意：伺服器必須強制執行 Internet 密碼鎖定才能使這些政策設定生效。
允許的最大嘗試次數	發生鎖定之前允許的最大密碼嘗試次數。設定為 0 時，允許無限制的密碼嘗試。
鎖定到期	強制鎖定的時間段。在此時間段之後，用戶帳戶將在用戶下次嘗試進行身份驗證時自動解鎖。設定為 0 時，自動解鎖已停用。
最大嘗試間隔	如果使用者未被鎖定，則這是在成功的身份驗證清除任何先前的失敗嘗試之前必須經過的時間段。指定更長的保護強度時間以獲得更高的安全性。設定為 0 時，每次成功進行身份驗證時都會清除失敗的密碼嘗試。

另外，在「密碼管理」標籤上，填寫以下品質設定欄位：

表5 .密碼品質設定
場地	行動
所需的密碼質量	如果您要求使用者根據密碼品質選擇密碼，請透過從清單中選擇一個值來指定該品質。
使用長度代替	如果您要求使用者根據長度選擇密碼，請按一下「是」。執行此操作後， “所需的密碼品質”欄位將變更為“所需的密碼長度” 。在此指定最小密碼長度。

有關填寫ID 檔案加密設定下方欄位的信息，請參閱相關主題中的配置 ID 檔案加密。

配置自訂密碼策略

關於這個任務

只有當您選擇實施自訂密碼原則時，才需要填寫以下欄位。

程序

在「密碼管理」標籤上的「密碼管理選項」下，為「為 Notes 用戶端使用自訂密碼原則」欄位選擇「是」。
將出現「自訂密碼原則」標籤。

填寫以下欄位：

表6 .自訂密碼原則標籤字段
場地	行動
首次使用 Notes 用戶端時變更密碼	要求使用者在第一次使用 Notes 登入時變更密碼。注意：僅當在用戶註冊期間應用該策略時，這才有效。
允許密碼中使用通用名稱	允許在密碼中使用使用者常用名的組合。例如：John232 是使用者 CN=John Doe/O=Mutt 的密碼，其中常用名稱是 John Doe。
密碼最小長度	指定使用者密碼中可以包含的最少字元數
密碼最大長度	指定使用者密碼中可以包含的最大字元數
密碼品質最低	指定使用者可以為其密碼設定的最低密碼品質值
所需的最少字母字元數	指定使用者密碼中允許包含的最少字母字元數
所需的最小大寫字元數	指定使用者密碼中允許包含的最小大寫字元數
所需的最小小寫字元數	指定使用者密碼中允許包含的最小小寫字元數
所需的最少數字字元數	指定允許使用者在密碼中使用的特殊字元（即標點符號）的最小數量
所需特殊字元的最少數量	指定允許使用者在密碼中使用的特殊字元（即標點符號）的最小數量
所需的最小非小寫字元數	指定使用者密碼中所需的特殊字元、數字和大寫字元的最少數量。此處的數值越高，密碼就越難猜測。輸入數字後，會出現一個清單，其中列出了您可以為此要求指定的字元類型。您可以選擇以下任何組合：大寫字符數位特殊字元
所需的最大重複字元數	指定使用者密碼中允許的任何類型的重複字元的最大數量。
所需的最少唯一字元數	指定密碼中僅出現一次的最少字元數
密碼不能以以下開頭	指定使用者密碼不能使用的字元類型
密碼不能以以下結尾	指定使用者不能用來結束密碼的字元類型

配置管理 ECL

關於這個任務

填寫執行控制清單標籤上的欄位以配置組織中使用的管理 ECL。

表7 .執行控制列表選項卡字段
場地	行動
管理員ECL	選一個：編輯－編輯 ECL，其名稱顯示在「編輯」按鈕旁。管理－有關使用此功能的信息，請參閱管理管理 ECL。注意：只有當安全設定文件處於編輯模式時，才會顯示「編輯」和「管理」按鈕。
更新方式	選一個：刷新－使用管理 ECL 中的新資訊或變更資訊更新用戶端 ECL，如下所示：如果用戶端 ECL 列出了管理 ECL 未列出的簽名，則該簽名及其設定在用戶端 ECL 中保持不變。如果管理 ECL 列出了用戶端 ECL 未列出的簽名，則該簽名及其設定將會新增至用戶端 ECL。如果用戶端 ECL 和管理 ECL 列出相同的簽名，則用戶端 ECL 中的簽名設定將被丟棄，並替換為管理 ECL 中的簽名設定。替換 -- 用管理 ECL 覆蓋客戶端 ECL。客戶端 ECL 中的任何資訊都不會保留。
更新頻率	選一個：每日一次 - 當用戶端透過主伺服器進行身份驗證時以及距離上次 ECL 更新已經過去一天或管理 ECL 發生變更時更新客戶端 ECL。當管理 ECL 變更時 - 當用戶端透過主伺服器進行身份驗證並且管理 ECL 自上次更新以來發生變更時更新用戶端 ECL。從不－防止在驗證期間更新用戶端 ECL。

管理管理執行控制清單 (ECL)

關於這個任務

當您在網域中設定第一台伺服器時，Domino 會建立一個預設的管理 ECL，然後您可以為您的組織自訂該 ECL。您可能需要擁有不只一種類型的管理 ECL，例如，一種用於承包商，一種用於全職員工。您可以使用「工作站安全性：管理執行控制清單」對話方塊來管理您建立的管理 ECL。您也可以使用它來建立新的或刪除不再需要的任何內容。

注意：只有當安全設定文件處於編輯模式時，才會顯示「編輯」和「管理」按鈕。

程序

在安全性設定文件工具列上，按一下編輯設定。

按一下“管理” 。將出現「工作站安全：管理執行控制清單」對話方塊。從以下選項中選擇：

表8 .工作站安全性：管理執行控制清單選項
場地	行動
編輯現有的管理 ECL	從列錶框中選擇要編輯的管理 ECL 的名稱，然後按一下「確定」。所選管理 ECL 的名稱顯示在「執行控制清單」標籤的「管理 ECL」欄位中。點選編輯按鈕開啟選定的管理 ECL。
建立新的管理員 ECL	在「建立新管理 ECL」欄位中輸入新 ECL 的名稱，然後按一下「確定」。新管理 ECL 的名稱顯示在「執行控制清單」標籤的「管理 ECL」欄位中。點選編輯按鈕以建立新的管理 ECL。
刪除現有的管理 ECL	從列錶框中選擇要刪除的管理 ECL 的名稱，然後按一下「刪除」。選定的管理 ECL 將被刪除，並重新整理現有管理 ECL 的清單。

結果

管理 ECL 的儲存獨立於安全設定文件。如果您編輯管理 ECL，則引用該特定命名管理 ECL 的所有安全性設定文件將使用所做的變更。如果您刪除管理 ECL，則引用該特定管理 ECL 的所有安全性設定文件都會使用預設管理 ECL。刪除管理 ECL 後，您無法透過按一下「取消」撤銷刪除操作。

按一下「取消」將使設定文件中顯示的管理 ECL 名稱保持不變。

啟用密鑰翻轉

關於這個任務

填寫「金鑰和憑證」標籤上的字段，為使用者群組配置金鑰更新。您可以指定為一組或多組使用者啟動金鑰捲動更新的觸發器。您可以選擇在指定的時間段內為套用此策略的使用者群組間隔捲動過程。

有關配置 AES 以進行郵件和文件加密的信息，請參閱相關主題。

程序

在預設公鑰要求欄位中，指定父策略和子策略的設定。選擇一項：
- 從父策略繼承公鑰要求設定
- 在子策略中強制執行公鑰要求設置

根據用戶公鑰要求，填寫以下欄位。

表9 .用戶公鑰要求
場地	行動
最小允許鍵強度	注意：弱於指定密鑰的密鑰將被滾動。沒有最低限度。最大程度相容於所有版本（630 位元）。與版本 6 及更高版本相容（1024 位元）。與版本 7 及更高版本相容（2048 位元）。
最大允許鍵強度	注意：弱於指定密鑰的密鑰將被滾動。與所有版本相容（630 位元）。與版本 6 及更高版本相容（1024 位元）。與版本 7 及更高版本相容（2048 位元）。
首選關鍵強度	選擇建立新密鑰時要使用的首選密鑰強度：與所有版本相容（630 位元）。與版本 6 及更高版本相容（1024 位元）。與版本 7 及更高版本相容（2048 位元）。
密鑰的最大允許使用期限（以天為單位）	指定密鑰在需要滾動之前可以達到的最長期限。預設值為 36500 天（100 年）。
最早允許的密鑰創建日期	在此日期之前創建的任何密鑰都將被滾動。
在這幾天裡為所有用戶傳播新的密鑰產生：	指定為套用此安全性設定策略文件的所有使用者產生新金鑰的時間段（以天為單位）。使用者密鑰在配置的時間段內隨機滾動。預設值為 180 天。
建立新密鑰後舊密鑰應保持有效的最大天數	指定網路認證過程中舊密鑰可以使用的時間長度。在 Notes 金鑰驗證期間，所有舊憑證和新憑證以及所有滾動更新金鑰都被組織到一棵樹中，然後遍歷該樹以查找一組可以連結在一起以驗證金鑰的憑證。如果憑證已過期，則無法在該鏈中使用。當您擔心密鑰已洩露而滾動密鑰時，最好為頒發給該密鑰的舊證書的可用時間長度設定一個較短的值。此設定的有效值為 1 到 36500 天，預設值為 365 天。

使用相關主題中的設定 AES 進行郵件和文件加密中的資訊填寫文件/郵件加密設定中的欄位。
在「憑證過期設定」下的「警告期限」欄位中，指定憑證過期前使用者收到過期警告訊息的天數；預設值為 0。
在「憑證過期設定」下的「自訂警告訊息」欄位中，輸入將發送給其憑證已超過「警告期限」欄位中指定的過期閾值的使用者的自訂警告訊息。

啟用線上憑證狀態協定 (OCSP) 檢查

關於這個任務

線上證書狀態協定 (OCSP) 可讓應用程式確定已識別憑證的撤銷狀態。OCSP 檢查是在 Notes 用戶端進行 S/MIME 簽章驗證和郵件加密期間進行的。OCSP 是透過政策啟用的，使用安全性設定文件的金鑰和憑證標籤上的啟用 OCSP 檢查設定。

將可信任交叉憑證應用於用戶端

關於這個任務

您可以避免使用者提示建立交叉證書。使用「金鑰和憑證」標籤的「管理信任預設值」部分將受信任的 Internet 憑證、Internet 交叉憑證和 Notes 交叉憑證套用到 Notes 用戶端。有關向客戶端套用（有時稱為推送）受信任憑證的信息，請參閱相關主題。

配置簽名插件的安裝

關於這個任務

插件可以提供給 Notes 用戶，並且通常使用 Notes 用戶端信任的憑證進行簽名，並驗證它們包含的資料沒有損壞。然後，用戶可以安裝或更新已簽署的插件。

有時，會發現某個插件有問題。未簽名、未使用受信任的憑證簽名，或憑證已過期或尚未生效。對於這些情況，您可以製定策略，從不安裝這些插件、始終安裝它們，或要求使用者在將插件安裝到其電腦上時做出決定。

您可以使用Java SDK提供的jar簽章工具對外掛程式jar簽章進行時間戳，以確保外掛程式簽章的長期有效性。Notes 用戶端使用插件 jar 簽章中包含的時間戳記來確定插件簽章憑證在簽章時是否有效。如果外掛程式簽署憑證已過期但在簽署時有效，Notes 會接受該證書，以便使用者在插件安裝或設定期間不會看到安全性提示。使用「簽署外掛」標籤上的「忽略時間戳憑證過期」設定可以控制是否允許安裝具有過期時間戳憑證的簽署插件。預設允許安裝它們。

表10 .忽略時間戳證書設定的過期時間
場地	行動
安裝過期或尚未生效的插件	詢問用戶切勿安裝始終安裝
安裝未簽名的插件	詢問用戶切勿安裝始終安裝
安裝由無法辨識的實體簽署的插件	詢問用戶切勿安裝始終安裝
信任插件簽署證書	詢問用戶永遠不要相信安裝始終信任安裝
忽略時間戳證書的過期時間	詢問用戶切勿安裝始終安裝

配置 Portal Server 設定

關於這個任務

表11 .門戶伺服器設置
場地	行動
家庭入口網站伺服器	輸入託管 Notes 使用者帳戶的 HCL Digital Experience Server 的名稱。
認證網址	輸入 Notes 使用者需要存取的 URL，以便透過入口網站伺服器進行身份驗證。
認證類型	選一個： J2EE-Form，用於 HTTP，用於基於 Web 的身份驗證

注意：有關ID Vault和代理選項卡的信息，請參閱相關主題。