Warum und wann dieser Vorgang ausgeführt wird

Beispiele für Übergriffe auf Kennwörter:

• Eine Art des Übergriffs besteht in dem Versuch, alle gehashten Kennwörter im Domino-Verzeichnis zu lesen. Das Internetkennwort eines Benutzers wird in einer gehashten Version im Personendokument des Benutzers im Domino-Verzeichnis gespeichert. Dieses Verzeichnis ist allen Benutzern des Systems öffentlich zugänglich. Sie können sich vor dieser Art von Übergriff schützen, indem Sie xACLs verwenden, um den Zugriff auf die gehashten Kennwörter zu unterbinden.
• Eine weitere Art des Übergriffs basiert auf dem Erraten von Kennwörtern bei der Authentifizierung. Dabei versucht ein Benutzer, sich als ein anderer Benutzer zu authentifizieren, indem er versucht, dessen Kennwort zu erraten. Gegen derartige Übergriffe schützen Sie sich, indem Sie ein sichereres Kennwortformat verwenden, indem Sie Kennwörter verwenden, die schwer zu erraten sind, oder indem Sie die Sperrfunktion für Internetkennwörter auf dem Server verwenden.

• xACLs
• Sichereres Kennwortformat
• Internetkennwortsperre

Internetkennwörter mithilfe von xACLs sichern

Eine Möglichkeit zum Sichern von Internetkennwörtern besteht in der Verwendung von erweiterten ACLs, auch xACLs genannt, zur Kontrolle des Zugriffs auf Grundlage von Ebenen in der Namenshierarchie sowie auf Masken- und Feldebene. Für die im Domino-Verzeichnis gespeicherten Kennwörter können Administratoren xACLs einrichten, um den Zugriff auf Internetkennwörter auf den jeweiligen Benutzer selbst und Administratoren zu beschränken, sodass der Benutzer auf sein eigenes Kennwort zugreifen kann und administrative Änderungen an Kennwörtern durchgeführt werden können.

Prozedur

1. Aktivieren Sie zunächst den erweiterten Zugriff für das Domino-Verzeichnis:

a. Öffnen Sie die Datenbank und wählen Sie Datei -> Anwendung -> Zugriffskontrolle aus.

b. Stellen Sie sicher, dass Sie in der Datenbank-ACL über Managerzugriff verfügen.

c. Klicken Sie auf Erweitert und wählen Sie anschließend Erweiterten Zugriff aktivieren aus.

d. Klicken Sie auf Ja, wenn Folgendes angezeigt wird: Das Aktivieren der erweiterten Zugriffskontrolle erzwingt zusätzliche Sicherheitsüberprüfungen. Weitere Informationen dazu finden Sie in der Domino Administratorhilfe. Möchten Sie fortfahren?

e. Wenn die erweiterte Datenbank-ACL-Option Konsistente ACL über alle Repliken dieser Datenbank erzwingen noch nicht aktiviert ist, wird folgende Nachricht angezeigt: Zuerst muss die konsistente Zugriffskontrolle aktiviert sein. Möchten Sie sie jetzt aktivieren? Klicken Sie auf Ja.

f. Klicken Sie auf OK, wenn die folgende Nachricht angezeigt wird: Wenn mehr als ein Administrator die Zugriffsrechte für den erweiterten Zugriff auf diese Datenbank verwaltet, aktivieren Sie für diese Datenbank die Dokumentsperre, um Konflikte zu vermeiden.

g. Klicken Sie im Dialogfeld "Zugriffskontrollliste" auf OK.

h. Wenn die Nachricht "Aktivieren von Beschränkungen bei der erweiterten Zugriffskontrolle. Bitte warten. angezeigt wird, klicken Sie auf OK.

a. Öffnen Sie die Datenbank und wählen Sie Datei -> Anwendung -> Zugriffskontrolle aus.

b. Klicken Sie auf Erweiterten Zugriff. Das Dialogfeld "Erweiterter Zugriff" wird angezeigt.

c. Wählen Sie im Teilfenster "Ziel" die Root [ /] aus und klicken Sie auf Hinzufügen.

d. Wählen Sie im Teilfenster "Zugriffsliste" die Option Vorgabe aus.

e. Klicken Sie auf Masken- und Feldzugriff. Das Dialogfeld "Masken- und Feldzugriff" wird angezeigt.

f. Wählen Sie im Listenfeld Masken die Maske Person aus. Lassen Sie die Zugriffseinstellungen für Masken leer.

g. Gehen Sie im Listenfeld Felder wie folgt vor:

h. Klicken Sie auf OK.

i. Wiederholen Sie diesen Vorgang für die Einstellungen HttpPassword und dspHttpPassword (wenn dieses angezeigt wird) in der Maske "Person":


Tabelle 1. Zugriffslisteneinträge in der Maske "Person"

Zugriffslisteneintrag	Lesezugriffseinstellung	Schreibzugriffseinstellung
Eigener Name	Zulassen	Zulassen
[Local administrators group]	Zulassen	Zulassen
[Local servers group]	Zulassen	Zulassen




Anmerkung: Wenn in der Zugriffsliste zuvor anonymer Zugriff festgelegt wurde, muss diese so eingerichtet werden, dass der Lese- und Schreibzugriff auf die Felder HTTPPassword und dspHTTPPassword (wenn dieses angezeigt wird) in der Maske "Person" abgelehnt wird.

Anmerkung: Nach dem Aktivieren von xACLs für ein Domino-Verzeichnis wird der anonyme LDAP-Zugriff nicht mehr von der Liste der Felder im Konfigurationsdokument für alle Server gesteuert. Da für "Anonymous" die standardmäßige xACL-Einstellung "Kein Zugriff" gilt, schlagen nach dem Aktivieren von xACLs alle anonymen LDAP-Suchen fehl.

Wenn Sie ein Internetkennwort eingeben und das Personendokument speichern, vergibt Domino automatisch einen Hash-Wert für das Feld "Internetkennwort". Sie können das Standardkennwort verbessern, indem Sie das sichere Kennwortformat verwenden. Sie können das Kennwortformat für bereits vorhandene Personendokumente aktualisieren oder automatisch das Kennwortformat mit höherer Sicherheit für alle Personendokumente verwenden, die Sie erstellen.

Für vorhandene Personendokumente

Prozedur

1. Klicken Sie in Domino Administrator auf Personen und Gruppen und wählen Sie die Personendokumente aus, die Sie auf ein sichereres Kennwortformat aktualisieren möchten.

2. Wählen Sie Aktionen -> Aktualisierung auf ein sichereres Internetkennwortformat aus.

3. Wenn alle Server in der Domino-Domäne die Version 8.0.1 oder höher ausführen, wählen Sie Ja - Kennwortüberprüfung ist kompatibel mit Version 8.0.1 oder höher aus. Wählen Sie anderenfalls Ja - Kennwortüberprüfung ist kompatibel mit Version 4.6 oder höher aus.

Für neue Personendokumente

Prozedur

1. Klicken Sie in Domino Administrator auf Konfiguration und wählen Sie Alle Serverdokumente aus.

2. Wählen Sie Aktionen -> Verzeichnisprofil bearbeiten aus.

3. Wenn alle Server in der Domino-Domäne die Version 8.0.1 oder höher ausführen, wählen Sie Ja - Kennwortüberprüfung ist kompatibel mit Version 8.0.1 oder höher aus. Wählen Sie anderenfalls Ja - Kennwortüberprüfung ist kompatibel mit Version 4.6 oder höher aus.

4. Speichern und schließen Sie das Dokument.

Anmerkung: Das sicherere Kennwortformat ist erforderlich, wenn Sie das Internetkennwort eines Benutzers mit seinem Notes-Kennwort synchronisieren.

Tipp: Eine weitere Möglichkeit, das Erraten von Kennwörtern zu verhindern, besteht ganz einfach darin, die Kennwörter so festzulegen, dass sie schwieriger zu erraten sind, z. B. indem man ein längeres, komplexeres Kennwort wählt, viele verschiedene Zeichen dafür verwendet, keine Wörter verwendet, die in einem Wörterbuch zu finden sind usw.

Warum und wann dieser Vorgang ausgeführt wird

Mithilfe der Internetkennwortsperre können Administratoren einen Schwellenwert für Internetkennwort-Authentifizierungsfehler für Benutzer von Domino Web und Domino Web Access festlegen. Dies hilft, Brute-Force- und Wörterbuch-Angriffen auf Benutzer-Internet-Konten zu verhindern, indem jeder Benutzer ausgesperrt wird, bei dem eine voreingestellte Anzahl von Anmeldefehlversuchen aufgetreten ist. Informationen zu Authentifizierungsfehlern und Sperren werden in der Internetsperrenanwendung aufbewahrt, wo der Administrator Fehler beheben und Benutzerkonten entsperren kann.

Es muss beachtet werden, dass diese Funktion anfällig für Denial of Service-Angriffe (DoS) ist. Bei einem DoS-Angriff verhindern böswillige Benutzer die Benutzung eines Service durch rechtmäßige Benutzer. Im Fall der Internetkennwortsperre kann es vorkommen, dass Angreifer absichtlich fehlgeschlagene Anmeldeversuche herbeiführen, um zu verhindern, dass berechtigte Internetbenutzer sich auf einem Domino-Server anmelden können.

Anmerkung: Die Internetkennwortsperre hat keine Auswirkungen auf die Domino Off-Line Services (DOLS).

Es bestehen einige Benutzungseinschränkungen für die Internetkennwortsperre:

• Die Internetkennwortsperre kann nur im Zusammenhang mit dem Webzugriff verwendet werden. Andere Internetprotokolle und -services wie LDAP, POP, IMAP, DIIOP, IBM® Lotus Quickr und IBM Sametime werden derzeit nicht unterstützt. Die Internetkennwortsperre kann jedoch im Zusammenhang mit dem Webzugriff verwendet werden, wenn das Kennwort für die Authentifizierung auf einem LDAP-Server gespeichert ist.
• Sie können die Funktionalität der Internetsperrenfunktion möglicherweise nicht wirksam einsetzen, wenn benutzerdefinierte DSAPI-Filter verwendet werden, da der DSAPI-Filter eine Möglichkeit bietet, die Notes-/Domino-Authentifizierung zu umgehen.

Die Internetsperrdatenbank

Warum und wann dieser Vorgang ausgeführt wird

Die Internetsperrdatenbank (inetlockout.nsf) wird in einer der beiden folgenden Situationen aus der Schablone inetlockout.ntf erstellt:

• Während des Startvorgangs, wenn die Internetsperrfunktion aktiviert ist.
• Wenn auf die Sperrdatenbank zum ersten Mal zugegriffen oder in sie geschrieben wird. Dazu ist kein Neustart erforderlich, allerdings muss zwischen der Aktivierung der Funktion und dem Öffnen der Datenbank bzw. dem Schreiben in die Datenbank ein Zeitraum von zehn Minuten liegen.

Für jeden Benutzer, der mit einem Internetnamen und -kennwort versucht, sich bei Domino anzumelden, werden Informationen zum Sperrzustand in der Internetsperrdatenbank aufbewahrt, darunter der Benutzername, die Anzahl der fehlgeschlagenen Versuche und der Sperrstatus. Sperrversuche werden nicht in der Sperrdatenbank gespeichert, wenn der Benutzer bereits ausgesperrt ist oder sich erfolgreich anmeldet. Während die Internetsperrdatenbank Sperrstatusinformationen speichert, sollten Anmeldefehlversuche und historische Sperrinformationen im Domino Domain Manager (DDM) gespeichert werden, der Ihnen historische Datensätze mit Anmeldefehlversuchen bereitstellt.

Alle Änderungen an den Zugriffsinformationen für Benutzer, die in der Internetsperrdatenbank gespeichert sind, werden unmittelbar implementiert. Sie müssen den HTTP-Server nicht neu starten, damit die Änderungen wirksam werden.

In der Sperrdatenbank gibt es zwei Ansichten:

• Locked Out Users - Diese Ansicht enthält Datensätze für Benutzer, die den Schwellenwert für fehlgeschlagene Kennworteingabeversuche überschritten haben und sich nun nicht mehr mit ihrem Internetnamen und -kennwort auf dem Server anmelden können.
• Login Failures - Diese Ansicht enthält Datensätze, die die Anzahl der fehlgeschlagenen Authentifizierungsversuche von Benutzern enthalten.

• Server name - Der Server, für den der Benutzer entweder gesperrt ist oder fehlgeschlagene Authentifizierungsversuche aufweist.
• User name - Der Name des Benutzers, der gesperrt ist oder für den fehlgeschlagene Authentifizierungsversuche protokolliert wurden.
• Locked out - Dieser Wert kann in der Ansicht "Login Failures" entweder "Yes" oder "No" sein. In der Ansicht "Locked Out Users" ist der Wert auf "Yes" gesetzt.
• Failed attempts - Zeigt die aktuelle Anzahl an fehlgeschlagenen Authentifizierungsversuchen für die einzelnen Benutzer an. In der Ansicht "Locked Out Users" muss dieser Wert mit der Schwellenwerteinstellung übereinstimmen.
• First failure time - Zeigt Datum und Uhrzeit des ersten Authentifizierungsfehlers an.
• Last failure time - Zeigt Datum und Uhrzeit des letzten Authentifizierungsfehlers an. Dabei kann es sich ebenfalls um den Zeitpunkt handeln, an dem der Benutzer gesperrt wurde. Wenn der Benutzer gesperrt ist und erneut versucht sich anzumelden, wird dieser Zeitpunkt nicht aktualisiert.

Sie können mehrere Datensätze zum Entsperren oder Löschen markieren, indem Sie in der Symbolleiste auf Mark for Delete/Unlock klicken, und sie dann löschen, indem Sie auf Delete Marked Items klicken.

Es wird empfohlen, in regelmäßigen Abständen zu überprüfen, ob die Internetsperrdatenbank nur Datensätze für gültige Benutzer enthält. Entfernen Sie die Namen von Benutzern, deren Namen sich geändert haben, oder die als Benutzer des Domino-Servers entfernt wurden. Es findet keine automatische Bereinigung der Datenbank statt. Veraltete Benutzerdatensätze verursachen zwar keine Funktionsprobleme, eine zu große Anzahl von Datensätzen in der Datenbank kann jedoch die Arbeitsgeschwindigkeit der Internet-Authentifizierung beeinträchtigen.

Sie können benutzerdefinierte Anmeldemasken für die Internetsperrdatenbank erstellen, die dazu verwendet werden können, um Benutzern mitzuteilen, dass sie möglicherweise ausgesperrt werden.

Die Internetsperrdatenbank replizieren

Warum und wann dieser Vorgang ausgeführt wird

Als Administrator müssen Sie entscheiden, ob die Replizierung der Internetsperrdatenbank auf andere Server für Sie nützlich ist. Ein großer Vorteil der Datenbankreplizierung besteht darin, dass Sperrinformationen auf mehrere Server repliziert wird. Sie können alle Repliken ansehen und den Sperrstatus von Benutzern über mehrere Server hinweg ermitteln, anstatt die Internetsperrdatenbank auf jedem Server, auf dem die Internetkennwortsperre aktiviert ist, öffnen zu müssen.

Allerdings hat die Replizierung auch ihre Nachteile: So kann es beispielsweise zu Replizierungsstürmen kommen, wenn Ihr Netzwerk angegriffen wird oder Denial-of-Service-Angriffe eintreten. Wenn Ihre Replizierung langsam abläuft, kann es außerdem vorkommen, dass jemand, der die Sperrdatenbank auf einem bestimmten Server überprüft, erst dann sehen kann, dass eine Person gesperrt ist, wenn die Replizierung stattgefunden hat (die Replik kann jedoch immer direkt auf dem fraglichen Server geöffnet werden).

Die Internetsperrdatenbank wird mit einer Replik-ID erstellt, die für alle Repliken auf allen Servern in einer Domäne, für die die Internetkennwortsperre aktiviert ist, gleich bleibt. Standardmäßig wird die Replizierung für Internetsperrdatenbanken vorübergehend deaktiviert. Dies dient dazu, die bereits beschriebenen Replizierungsstürme zu verhindern. Um die Datenbank auf einen anderen Server zu replizieren, deaktivieren Sie die Option "Replizierung dieser Replik vorübergehend deaktivieren" im Abschnitt "Andere" des Dialogfelds "Replizierparameter". Anschließend können Sie die Datenbank für die Replizierung einrichten (entweder periodisch oder im Cluster).

Anmerkung: Wenn Sie diese Datenbank auf andere Server replizieren, werden die Informationen zu den ungültigen Versuchen für jeden Server einzeln berechnet. Wenn beispielsweise der Schwellenwert für "Jochen Doering" drei ist und dieser zwei ungültige Anmeldeversuche auf Server A und einen auf Server B zu verzeichnen hat, wird er auf keinem der Server ausgesperrt. Die Versuche werden nicht zu einer Summe von drei kombiniert. Der Grund für die Replizierung ist die Vereinfachung der Administration, nicht die Einrichtung globaler Schwellenwerte.

Internetkennwortsperre konfigurieren

Warum und wann dieser Vorgang ausgeführt wird

Die Internetkennwortsperre kann im Serverkonfigurationsdokument aktiviert werden. Dies erlaubt Administratoren, die Internetsperrenfunktion auf mehreren Servern gleichzeitig zu aktivieren.

Es wird empfohlen, die Serverdokumentenoption Fewer name variations with higher security zu aktivieren. Dadurch wird das Problem nicht eindeutiger Namen minimiert. Domino unterstützt die Anmeldung auf einem Web-Server durch eine Kurzform des Benutzernamens (sofern das Kennwort korrekt ist), selbst wenn der Kurzname auf zwei oder mehr Personen im Verzeichnis zutrifft. Falsche Anmeldungen, die auftreten, wenn ein Benutzer einen nicht eindeutigen Name eingibt, führen zu einem Fehler bei jedem nicht eindeutigen Treffer, da es keine Möglichkeit gibt, um festzustellen, welcher Benutzer sich anmelden wollte. Außerdem werden nur für Benutzer, deren Benutzername und Kennwort erfolgreich übereinstimmen, fehlgeschlagene Versuche mithilfe der Einstellungen für das Ablaufdatum der Sperre gelöscht.

Prozedur

1. Klicken Sie in Domino Administrator auf Konfiguration -> Server -> Konfigurationen. Öffnen Sie das Konfigurationsdokument für den Server, für den Sie die Internetkennwortsperre aktivieren möchten.

2. Klicken Sie auf Sicherheit. Ihnen stehen drei Optionen für die Einstellung Sperre des Internetkennworts erzwingen zur Verfügung:

• Ja - Der Server erzwingt die Internetkennwortsperre. Diese Option muss aktiviert sein, damit die Sperre des Internetkennworts wirksam wird.
• Nein - Der Server erzwingt die Internetkennwortsperre nicht.
• (Leer) - Wenn diese Einstellung leer gelassen wird, ist die Option nicht notwendigerweise deaktiviert, sie erlaubt stattdessen aber einem anderen Serverkonfigurationsdokument (möglicherweise einem, das für alle Server gilt), zu bestimmen, ob die Internetkennwortsperre für diesen Server aktiviert wird.

  Anmerkung: Wenn die Internetkennwortsperre im Serverdokument nicht erzwungen wird, sind alle anderen Einstellungen für die Internetsperre, beispielsweise diejenigen in einem Richtliniendokument, deaktiviert.

Tabelle 2. Sperreinstellungen für Internetkennwörter

Einstellung	Angaben
Protokolleinstellungen	Sie können den Ereignistyp auswählen, der auf der Konsole und im DDM protokolliert werden soll. Benutzername und IP-Adresse werden ebenfalls protokolliert. Falls "Sperren" aktiviert ist, werden sowohl die Ereignisse protokolliert, bei denen ein Benutzer gesperrt wurde, als auch Ereignisse, bei denen ein Benutzer eine Authentifizierung versucht, aber bereits gesperrt ist. Diese Option ist standardmäßig aktiviert. Falls "Fehlschläge" aktiviert ist, wird jeder fehlgeschlagene Authentifizierungsversuch protokolliert. Die IP-Adresse und der Benutzername des Clients, der versucht, sich zu authentifizieren, werden ebenfalls ins Protokoll aufgenommen.
Vorgegebene maximale Anzahl der Versuche	Geben Sie an, wie oft ein Benutzer bei der Anmeldung ein falsches Kennwort angeben kann, bevor er gesperrt wird. Die Vorgabe ist 5. Nachdem der Benutzer gesperrt wurde, muss er zunächst wieder entsperrt werden, bevor neue Werte für diese Einstellung für diesen Benutzer wirksam werden. Wenn in einer Benutzerrichtlinie ein anderer Wert für diese Einstellung vorhanden ist, setzt dieser den im Serverkonfigurationsdokument festgelegten Wert außer Kraft. Anmerkung: Wenn dieser Wert auf 0 gesetzt ist, ist eine unbegrenzte Anzahl von Kennwortversuchen erlaubt.
Vorgegebenes Ablaufdatum der Sperre	Geben Sie den Zeitraum an, für den eine Sperre erzwungen wird. Nach Ablauf des festgelegten Zeitraums wird das Benutzerkonto automatisch entsperrt, wenn der Benutzer das nächste Mal eine Authentifizierung versucht. Außerdem werden alle fehlgeschlagenen Versuche gelöscht. Anmerkung: Wenn dieser Wert auf 0 gesetzt ist, läuft die Sperrung nicht automatisch ab. Das Benutzerkonto muss manuell entsperrt werden.
Intervall für die vorgegebene maximale Anzahl der Versuche	Geben Sie den Zeitraum an, für den fehlgeschlagene Kennworteingabeversuche in der Sperrdatenbank gespeichert werden, bevor sie durch eine erfolgreiche Authentifizierung gelöscht werden können. Der Vorgabewert ist 24 Stunden. Dies gilt nicht für gesperrte Benutzer. Wenn ein Benutzer gesperrt ist, kann das Löschen fehlgeschlagener Versuche nur manuell in der Internetsperrdatenbank oder durch Ablauf des Sperrzeitraums erfolgen; dasselbe gilt für das Entsperren des Benutzerkontos. Anmerkung: Falls dieser Wert 0 ist, löscht jede erfolgreiche Anmeldung eines vorgegebenen Benutzers, der nicht ausgesperrt ist, alle falschen Kennwortversuche dieses Benutzers.




Anmerkung: Mit Ausnahme der Protokolleinstellungen können die oben beschriebenen Optionen auch in einer Benutzerrichtlinie angegeben werden. Dies kann hilfreich sein, wenn ein Administrator die Sperre des Internetkennworts nur für bestimmte Benutzer in einer Organisation erzwingen möchte. In diesem Fall können diese Einstellungen für die entsprechende Benutzergruppe festgelegt werden.

Zugehörige Tasks
Benutzerdefinierte Web-Server-Nachrichten
Einstellungsdokument für Sicherheitsrichtlinien

Feedback zur Hilfe oder Benutzerfreundlichkeit des Produkts?

Hilfe zur Hilfe

Gesamter Inhalt der Hilfe

Feedback zur Hilfe oder Benutzerfreundlichkeit?

Hilfe zur Hilfe