維護網際網路密碼安全

網際網路密碼會受到惡意來源攻擊。不過,有一些方法您可以採取用來讓網際網路密碼更安全。

執行這項作業的原因和時機

以下是一般密碼攻擊的部分範例:

  • 有一種攻擊類型,是嘗試讀取「Domino® 名錄」中的所有雜湊密碼。使用者的網際網路密碼是以雜湊形式儲存在使用者的「Domino® 名錄」的「人員」記錄中。此目錄開放供系統所有使用者存取。您可以使用 xACL 停止存取雜湊密碼,以保護密碼不遭受此類攻擊。
  • 另一種攻擊類型,則是在鑑別時猜測密碼。在此攻擊類型中,使用者可以他人身分嘗試鑑別並猜測密碼。您可以使用更安全的密碼格式、使用更難猜到的密碼或對伺服器啟用網際網路密碼封鎖功能,保護密碼不遭受此類攻擊。

請使用下列一或多項功能,維護儲存在「Domino® 名錄」中的網際網路密碼存取安全,或讓人更難猜到這些密碼。

  • xACL
  • 更安全的密碼格式
  • 網際網路密碼封鎖

日誌設定除外,上文所述之所有選項亦可在使用者原則中指定。如果管理員只想對組織中部分的使用者施行網際網路密碼封鎖,這可能有所幫助。在此情況中,您可針對該群組建立這些設定。

使用 xACL 維護網際網路密碼安全

維護網際網路密碼安全的方式之一,是以命名階層的層級以及表單與欄位層級為基礎,使用進階 ACL(或稱 xACL)控制存取。至於儲存在「Domino® 名錄」中的密碼,管理員可以針對使用者本人來設定 xACL,以限制網際網路密碼的存取權,來存取他們自己的密碼,而對於管理員,則可允許他們對密碼進行管理性的變更。

程序

  1. 首先,啟用「Domino® 名錄」的進階存取權:
    1. 開啟資料庫,然後選擇「檔案 > 應用程式 > 存取控制」。
    2. 請確定您在資料庫ACL 中具有「管理員」存取權。
    3. 按一下「進階」,然後選取「啟用進階存取權」
    4. 出現提示時,按一下「是」以繼續:啟用進階存取控制會強制執行其他安全性檢查。如需其他詳細資料,請參閱「Domino 管理員說明」。要繼續嗎?
    5. 若尚未啟用進階資料庫ACL 選項「在所有抄本上強制執行一致存取控制清單」,系統會提示您「必須先啟用一致存取控制。您想要立即啟用嗎?」按一下
    6. 提示「如果有多位管理員管理此資料庫的擴充存取控制權,則請啟用資料庫的文件鎖定以避免發生衝突。」時,請按一下「確定」
    7. 在「存取控制清單」對話框中按一下「確定」
    8. 當訊息啟用擴充存取控制限制。這可能需要一些時間。 顯示時,按一下「確定」
  2. 接著,設定進階存取權以維護網際網路密碼的安全:
    1. 開啟資料庫,然後選擇「檔案 > 應用程式 > 存取控制」。
    2. 按一下「進階存取權」。即會出現「進階存取權」對話框。
    3. 在「目標窗格」中選取根 [ /],然後按一下「新增」
    4. 在「存取清單」窗格中,選取「預設值」
    5. 按一下「表單及欄位存取權」。即會出現「表單及欄位」對話框。
    6. 「表單」清單框,請選取「人員」。「表單」的「存取權」設定保持空白。
    7. 「欄位」清單框:
    8. 按一下「確定」
    9. 在「人員」表單中,重複這個 HttpPassworddspHttpPassword(若出現)設定的處理程序:
      1. 「人員」表單中的存取清單項目
      存取清單項目 讀取權設定 寫入權設定
      自己 容許 容許
      [本端管理員群組] 容許 容許
      [本端伺服器群組] 容許 容許
    註: 若曾在存取清單中定義「匿名存取權」,「人員」表單中 HTTPPassworddspHTTPPassword(若出現)欄位的讀寫存取權應設定「拒絕」。
    註: 一旦「Domino® 名錄」啟用 xACL 後,LDAP 匿名存取即不是由「所有伺服器配置」文件中的欄位清單所控制。因為「匿名」的設定 xACL 設定是「不可存取」,一旦啟用 xACL,則所有匿名的 LDAP 搜尋都會失敗。

使用更安全的密碼格式

輸入網際網路密碼及儲存「人員」文件時,Domino® 會自動單向雜湊化網際網路密碼欄位。為改進預設的密碼,請使用更安全的密碼格式。可升級現存的「人員」文件密碼格式,或為所有建立的「人員」文件自動使用較安全的密碼格式。

現有的人員文件

程序

  1. 從「Domino® 管理員」中,按一下「人員與群組」,並選取要升級為更安全之密碼格式的「人員」文件。
  2. 選擇「動作 > 升級至更安全的網際網路密碼格式」。
  3. 如果 Domino® 網域中的所有伺服器都執行 8.0.1 版或更新版本,請選取「是 - 與 Notes/Domino 8.0.1 版或更新版本相容的密碼驗證」。否則,選取「是 - 與 Notes/Domino 4.6 版或更新版本相容的密碼驗證」

若為新的人員文件

程序

  1. 從「Domino® 管理員」中,按一下「配置」,然後選取「所有「伺服器」文件」
  2. 選擇「動作 > 編輯目錄設定檔」。
  3. 如果 Domino® 網域中的所有伺服器都是執行 8.0.1 版或更新版本,請選取「是 - 與 Notes/Domino 8.0.1 版或更新版本相容的密碼驗證」。否則,選取「是 - 與 Notes/Domino 4.6 版或更新版本相容的密碼驗證」
  4. 儲存並關閉文件。
    註: 如果選擇同步化使用者的網際網路密碼與其 Notes® 密碼,則需要更安全的密碼格式。
    提示: 防止惡意來源猜出密碼的另一個方式,就是讓密碼難以猜測:方法是讓密碼更長更複雜、使用各種字元、避免使用實際存在的字詞等等。

使用網際網路密碼封鎖

執行這項作業的原因和時機

網際網路密碼封鎖,讓管理員設定 Domino®網路及 Domino®網路Access 使用者的網際網路密碼鑑別失敗次數臨界值。封鎖任何無法在預先設定之嘗試次數內登入的使用者,有助於防止使用者網際網路帳戶受到暴力及字典式攻擊。有關鑑別失敗及封鎖的資訊是在「網際網路封鎖」應用程式中進行維護,管理員可在此分別清除失敗及解除鎖定使用者帳號。

請注意,此功能會受到拒絕服務 (DoS) 攻擊。DoS 攻擊,是惡意使用者明確阻止服務的合法使用者使用該項服務的一種手法。在網際網路密碼封鎖的情況下,合法的網際網路使用者會因攻擊者故意製造的登入失敗嘗試,而無法登入 Domino® 伺服器。

網際網路密碼封鎖的使用限制如下:

  • 只有網路存取可以使用網際網路密碼封鎖。其他網際網路通訊協定及服務,如 LDAP、POP、IMAP、DIIOP 及 HCL Sametime® 目前都不受支援。但若用於鑑別的密碼儲存 在 LDAP 伺服器上,就可以對網路存取使用網際網路密碼封鎖。
  • 若使用自訂的 DSAPI 過濾器,則可能無法發揮網際網路封鎖功能的威力,因為 DSAPI 過濾器是略過 Notes/Domino 鑑別的一種方法。

對於單一登入,已啟用網際網路密碼封鎖功能的 Domino® 伺服器,必須也同時是核發單一登入金鑰的伺服器。如果此金鑰擷取自另一個來源(另一個 Domino® 伺服器或 WebSphere® 伺服器),則無論是否啟用網際網路密碼封鎖,SSO 記號對 Domino® 伺服器會一律有效。

網際網路封鎖資料庫

執行這項作業的原因和時機

網際網路封鎖資料庫(inetlockout.nsf) 是從範本 inetlockout.ntf 以下列兩種狀況的其中一個進行建立:

  • 啟動期間,若已啟用「網際網路鎖定功能」。
  • 第一次必須查看或寫入封鎖資料庫時。這不需要重新啟動,但啟用功能的時間以及開啟或寫入封鎖資料庫的時間需間隔約十分鐘。

依預設,「網際網路封鎖」資料庫的 ACL 僅允許管理員存取「Admin 群組」。預設值及匿名皆為拒絕存取。但您可以修改資料庫ACL,讓使用者及群組能夠檢視及解除鎖定使用者。

至於每位嘗試使用網際網路名稱及密碼登入 Domino® 的使用者,封鎖狀態的相關資訊是在「網際網路封鎖」資料庫中進行維護,包括使用者名稱、失敗嘗試次數及封鎖狀態。使用者若已遭封鎖或已成功登入,封鎖資料庫中即不記錄封鎖嘗試。但當「網際網路封鎖」資料庫維護封鎖狀態資訊時,「Domino® 網域管理程式」(DDM) 是應維護登入失敗及封鎖歷程資訊的位置,可提供您登入失敗嘗試的歷程記錄。

「網際網路封鎖」資料庫的任何使用者存取資訊變更都會立即施行。您不必重新啟動 HTTP 伺服器,變更也會生效。

「封鎖」資料庫有兩個視圖:

  • 「封鎖的使用者」,為密碼失敗嘗試數超過臨界值,現無法使用其網際網路名稱及密碼登入伺服器的使用者記錄。
  • 「登入失敗」,為顯示鑑別失敗嘗試次數的使用者記錄。

兩個視圖的欄位都相同:

  • 伺服器名稱 - 使用者遭封鎖或出現鑑別失敗嘗試的伺服器
  • 使用者名稱 - 遭封鎖或有鑑別失敗嘗試記錄的使用者名稱
  • 已封鎖 - 在「登入失敗」視圖中,此值可為「是」或「否」。在「封鎖的使用者」視圖中,此值設為「是」。
  • 失敗次數 - 顯示每位使用者目前的鑑別失敗嘗試次數。在「封鎖的使用者」視圖中,此值應等於臨界值設定。
  • 初次失敗時間 - 顯示第一次鑑別失敗的日期與時間
  • 最後失敗時間 - 顯示最後一次鑑別失敗的日期與時間。此值也可能是使用者遭封鎖的時間。使用者如在遭封鎖後再次嘗試,此時間不會更新。

您要刪除記錄才能解除鎖定使用者。

您可以按一下工具列的「標記以刪除/解除鎖定」,標記多筆要解除鎖定或要刪除的記錄,然後按一下「刪除標記的項目」予以刪除。

建議您定期驗證「網際網路封鎖」資料庫是否只包含有效使用者的記錄。將使用者已變更名稱或已移除作為 Domino® 伺服器使用者的名稱移除。資料庫不會執行自動清除,雖然內含過時的使用者記錄不會造成功能問題,但資料庫中有過多記錄會降低網際網路鑑別效能。

您可以為「網際網路封鎖」資料庫自訂登入表單,用以通知可能遭封鎖的使用者。

抄寫網際網路封鎖資料庫

執行這項作業的原因和時機

身為管理員,您必須決定將「網際網路封鎖」資料庫抄寫到其他伺服器,對您是否有幫助。抄寫此資料庫的最大好處是,封鎖資訊會抄寫到多部伺服器。您可以查看任何抄本並決定多部伺服器的封鎖狀態,而不必開啟每部已啟用網際網路密碼鎖定之伺服器的「網際網路封鎖」資料庫。

但抄寫也有其不便之處,例如,網路若受到攻擊或發生拒絕服務攻擊,即會發生抄寫風暴。此外,如太慢執行抄寫,在指定伺服器上查看封鎖資料庫的任何人,可能在抄寫執行之前,都不知道某人已遭封鎖(不過,他們可以直接開啟有問題的伺服器抄本)。

「網際網路封鎖」資料庫是使用抄本 ID 所建立,網域中啟用網際網路密碼鎖定之所有伺服器的所有抄本都有相同的抄本 ID。「網際網路封鎖」資料庫預設暫時停用抄寫。這是為防止發生上文所述之抄寫風暴。若要將資料庫抄寫到其他伺服器,請停用「抄寫設定」對話框之「其他」區段的「暫時停用抄寫」選項。然後設定資料庫執行抄寫(排程或叢集抄寫)。

註: 當您將此資料庫抄寫到其他伺服器時,即會針對每一部伺服器個別計算「無效的嘗試次數」資訊。例如,若 'John Doe' 的臨界值是 3,而他在 Server A 有 2 次無效嘗試、Server B 有 1 次,則任一部伺服器都不會封鎖他。嘗試次數不會加總為三次。抄寫旨在減輕管理負荷,不在建立全域臨界值。

設定網際網路密碼封鎖

執行這項作業的原因和時機

網際網路密碼封鎖要在伺服器的配置設定文件中啟用。這可讓管理員跨多部伺服器開啟「網際網路封鎖」功能。

建議啟用「伺服器」文件的「較少的名稱變更配合較高的安全性」選項。這可縮減歧義名稱的問題。Domino® 支援以短格式使用者名稱登入網路伺服器(若密碼正確),即使目錄中可能有兩人或多人符合此短名稱。當使用者輸入歧義名稱時而發生的不正確登入,會導致每個歧義比對失敗,因為無法分辨哪個使用者在嘗試登入。此外,只有使用者名稱及密碼配對成功的使用者,才會出現使用「鎖定到期日」設定來清除失敗嘗試的作業。

程序

  1. 在「Domino® 管理員」中,按一下「配置 > 伺服器 > 配置」。開啟您要啟用網際網路密碼封鎖之伺服器的配置設定文件。
  2. 按一下安全。強制執行「網際網路密碼鎖定設定」有三個選項:
    • 是 - 伺服器會強制執行網際網路密碼封鎖。必須啟用這個選項,網際網路密碼鎖定功能才能運作。
    • 否 - 伺服器不會強制執行網際網路密碼封鎖。
    • (空白)- 如果此設定保持空白,則不一定要停用「強制執行」選項,而是改讓其他伺服器的「配置」文件(可能是適用所有伺服器的文件)決定是否啟用此伺服器的網際網路密碼鎖定。
      註: 「伺服器」文件中若不強執執行網際網路密碼封鎖,即停用任何其他網際網路封鎖設定,如位於原則文件中者。
  3. 啟用「網際網路密碼」時,請完成下列各項:
    2. 網際網路密碼鎖定設定
    設定 指定
    日誌設定 您可以選擇要在主控台及 DDM 中記錄的事件類型。使用者名稱及 IP 位址也都會予以記載。
    • 若啟用「鎖定」,則使用者已遭封鎖以及使用者嘗試鑑別但已遭封鎖這兩種事件都會被記載。預設為啟用。
    • 若啟用「失敗」,則會記載所有失敗的鑑別嘗試。也會將正要鑑別的用戶端 IP 位址及使用者名稱包含在日誌中。
    允許嘗試的最大預設值 指定封鎖使用者之前所允許的錯誤密碼嘗試上限。預設值為 5。使用者一旦遭封鎖,則必須先解除鎖定,該使用者此項設定的任何新值才會生效。

    此值如與使用者原則中的設定不相同,即會覆寫伺服器配置文件中的值。

    註: 此值如果設為 0,即允許無限次嘗試密碼。
    預設封鎖到期日 指定執行封鎖的時段。在指定的時段到期之後,使用者帳號會在下次使用者嘗試鑑別時自動解除鎖定。此外,也會清除失敗次數。
    註: 此值若為 0,封鎖即不會自動過期。帳號必須以手動方式解除鎖定。
    預設最大嘗試間隔 指定密碼失敗次數為成功鑑別清除之前,保留在封鎖資料庫中的時間長度。預設值為 24 小時。

    不適用已遭封鎖的使用者。使用者如已遭封鎖,唯一能夠清除失敗次數及解除鎖定帳號的方法,就是在「網際網路封鎖」資料庫中或當「封鎖到期日」執行時,以手動方式執行此作業。

    註: 此值若為 0,未被封鎖之指定使用者的每一次成功登入,都會清除其所有的密碼失敗次數。
    註: 日誌設定除外,上文所述之所有選項亦可在使用者原則中指定。如果管理員只想對組織中部分的使用者施行網際網路密碼封鎖,這可能有所幫助。在此情況中,您可針對該群組建立這些設定。