Doporučené postupy
-
Instalace funkce Synchronizace hesel na odpovídající řadiče domény: Aby byla zajištěna konzistentní synchronizace hesel domény s hesly v systému UNIX, je třeba funkci Synchronizace hesel nainstalovat na primární řadič domény a v případě domény se systémem Windows 2000 na všechny řadiče v doméně.
-
Přidáte-li do domény nový řadič domény, měli byste na něj co nejdříve nainstalovat funkci Synchronizace hesel a nakonfigurovat jej tak, aby odpovídal ostatním řadičům domény.
-
Potřebujete-li z některého řadiče domény odebrat funkci Synchronizace hesel, měli byste před její odinstalací snížit úroveň daného serveru na členský server.
-
Přidáte-li do domény nový řadič domény, měli byste na něj co nejdříve nainstalovat funkci Synchronizace hesel a nakonfigurovat jej tak, aby odpovídal ostatním řadičům domény.
-
Zajištění konzistentních zásad hesel: Nastavujete-li pouze jednosměrnou synchronizaci hesel, zajistěte, aby zásady hesel v počítači, ze kterého budou hesla synchronizována, byly ve všech oblastech omezující přinejmenším do stejné míry jako zásady v počítači, do kterého se hesla synchronizují. Pokud například konfigurujete synchronizaci ze systému Windows do systému UNIX, zásady hesel v systému Windows musejí být přinejmenším do stejné míry omezující jako zásady v počítačích se systémem UNIX, se kterými se hesla synchronizují. Podporujete-li obousměrnou synchronizaci, zásady hesel musejí být v obou systémech omezující do stejné míry. Nekonzistentní zásady hesel mohou způsobit selhání synchronizace v případě, že uživatel změní heslo v méně omezujícím systému. Případně se heslo může ve více omezujícím systému změnit, ačkoli pak nebude vyhovovat zásadám v tomto systému.
Zajistěte, aby uživatelé systému Windows byli informováni o zvláštních omezeních pro hesla v systémech UNIX, se kterými budou hesla synchronizována. Některé verze systému UNIX například podporují hesla do maximální délky 8 znaků. Pro dosažení maximální kompatibility mezi výchozími zásadami hesel v systému Windows a těmito omezeními v systému UNIX by hesla měla mít délku 7 či 8 znaků, pokud si nejste jisti, zda všechny systémy UNIX dokážou podporovat delší hesla.
-
Konfigurace funkce Synchronizace hesel na zajištění maximální ochrany pro hesla uživatelů
Tato doporučení vám pomohou zajistit optimální zabezpečení:
-
Explicitně vypište uživatele, jejichž hesla se mají synchronizovat: Chcete-li získat maximální kontrolu nad tím, kteří uživatelé mohou synchronizovat hesla, nepoužívejte v seznamu SYNC_USERS v souboru sso.conf na hostiteli UNIX klíčové slovo ALL. Místo toho byste měli explicitně uvést každého uživatele, pro kterého je synchronizace hesel povolena nebo blokována. V počítači se systémem Windows, ve kterém je spuštěna funkce Synchronizace hesel, vytvořte skupinu PasswordPropAllow a přidejte do ní účty uživatelů, jejichž hesla chcete synchronizovat. Další informace naleznete v tématu Řízení synchronizace hesel u uživatelských účtů.
-
Nesynchronizujte hesla pro zakázané účty systému UNIX: V některých verzích systému UNIX se zakázaný uživatelský účet aktivuje při změně jeho hesla. Z toho vyplývá, že pokud má uživatel v počítači se systémem UNIX, který je nakonfigurován na synchronizaci hesel s počítačem se systémem Windows, zakázaný účet, může uživatel nebo správce tento účet aktivovat změnou hesla daného uživatele v systému Windows. Tomu zabráníte zablokováním synchronizace u zakázaných účtů systému UNIX pomocí skupiny PasswordPropDeny.
Kromě toho by měl správce, pokud zakáže účet systému UNIX, použít k zablokování synchronizace hesel u daného účtu položku SYNC_USERS v souboru sso.conf.
-
Nesynchronizujte hesla správců: Nesynchronizujte hesla členů skupin Administrators v systému Windows ani hesla účtů superuživatelů nebo uživatelů root v systému UNIX.
-
Proveďte kontrolu kompatibility v systému Windows Server 2003 Service Pack 1 (SP1): Tuto kontrolu proveďte , pokud povolíte položku Synchronizace hesel ze systému Windows do služby NIS (Active Directory) v dialogovém okně Synchronizace hesel – vlastnosti na kartě Konfigurace. Pro zajištění ochrany hesel uživatelských účtů v rozlehlé síti se velmi doporučuje povolit funkci Synchronizace hesel vyhledání všech řadičů domény v doménové struktuře, ve kterých se nepoužívá systém Windows Server 2003 SP1 nebo pozdější vydání.
Funkce Synchronizace vás vyzve k povolení kontroly kompatibility, jakmile vyberete možnost Povolit v oblasti Synchronizace hesel ze systému Windows do služby NIS (Active Directory). Je-li na všech řadičích domény v doménové struktuře nainstalován systém Windows Server 2003 SP1 nebo pozdější vydání, riziko odhalení algoritmů hash uživatelských hesel pro neoprávněné uživatele se výrazně snižuje. Pokud systém Windows Server 2003 SP1 nepředstavuje minimální funkční úroveň všech řadičů domény v doménové struktuře, může libovolný ověřený uživatel v doméně zobrazit algoritmus hash hesla kteréhokoli uživatele systému UNIX, jehož účet byl migrován do služby Active Directory Domain Services (AD DS).
V případě, že neoprávněný uživatel získá ve službě AD DS algoritmus hash hesla pro uživatelský účet v systému UNIX, heslo v systému Windows pro daný účet již není bezpečné.
-
Explicitně vypište uživatele, jejichž hesla se mají synchronizovat: Chcete-li získat maximální kontrolu nad tím, kteří uživatelé mohou synchronizovat hesla, nepoužívejte v seznamu SYNC_USERS v souboru sso.conf na hostiteli UNIX klíčové slovo ALL. Místo toho byste měli explicitně uvést každého uživatele, pro kterého je synchronizace hesel povolena nebo blokována. V počítači se systémem Windows, ve kterém je spuštěna funkce Synchronizace hesel, vytvořte skupinu PasswordPropAllow a přidejte do ní účty uživatelů, jejichž hesla chcete synchronizovat. Další informace naleznete v tématu Řízení synchronizace hesel u uživatelských účtů.
Při instalaci funkce Synchronizace hesel jsou členové místní skupiny Administrators a skupiny Domain Administrators přidáni do skupiny PasswordPropDeny, což brání synchronizaci jejich hesel. Přidáte-li uživatele do skupiny Administrators nebo Domain Administrators, nezapomeňte jej přidat také do skupiny PasswordPropDeny.
Ve všech systémech UNIX upravte příkaz SYNC_USERS v souboru sso.conf tak, aby zabraňoval synchronizaci hesel superuživatelů.
-
Nepoužívejte výchozí číslo portu a šifrovací klíč: V případě zachování výchozího čísla portu a šifrovacího klíče může útočník nastavit hostitele UNIX s falešnou identitou (spoofing) pro zachycování hesel. Číslo portu a šifrovací klíče používané při synchronizaci hesel byste měli chránit stejně pečlivě jako samotná hesla.
-
Zabezpečte soubor sso.conf: Soubor sso.conf na každém hostiteli UNIX obsahuje důležité informace o konfiguraci, které by mohly být zneužity k narušení zabezpečení. Doporučuje se nastavit bitovou masku režimu souboru na 600.
-
Zajistěte odpovídající ochranu adresáře určeného parametrem TEMP_FILE_PATH: Dočasné soubory vytvořené funkcí Synchronizace hesel v hostitelích UNIX obsahují informace, které by útočník mohl zneužít k narušení zabezpečení systému. Z tohoto důvodu byste měli zajistit, aby adresář zadaný v parametru TEMP_FILE_PATH v souboru sso.conf poskytoval přístup pro čtení jen účtu root a nebyl přístupný pro žádné další uživatele.
-
Zajistěte odpovídající ochranu souborů protokolu Funkce Synchronizace hesel používá v hostiteli UNIX démona syslogd pro zaznamenávání zpráv ze synchronizačních operací. Výsledné protokoly obsahují informace, jako jsou jména uživatelů, jejichž hesla se synchronizují, názvy počítačů, se kterými tyto operace probíhají, chyby šíření apod. Tyto soubory protokolů by měly být chráněny tak, aby je mohli zobrazovat pouze správci.
-
Restartujte démona funkce Synchronizace hesel po změně jeho konfigurace: Pokud provedete změny v konfiguračním souboru démona funkce Synchronizace hesel (sso.conf), je třeba démona zastavit a znovu spustit, aby změny konfigurace začaly platit.
-
Konfigurujte systémy tak, aby správně zpracovávaly velikost písmen v uživatelských jménech: Pokud přísně nevynucujete zásadu vyžadující, aby se uživatelská jména v systémech Windows a UNIX shodovala v pravopise i velikosti písmen, ověřte, zda je možnost CASE_IGNORE_NAME v souboru sso.conf nastavena na hodnotu 1 (výchozí). V uživatelských jménech v systému UNIX se nerozlišují malá a velká písmena, a proto se hesla nemusejí správně synchronizovat, pokud se uživatelská jména přesně neshodují, protože démon funkce Synchronizace hesel nedokáže přiřadit uživatelské jméno v systému Windows k odpovídajícímu uživatelskému jménu v systému UNIX.
-
Ověřte, zda jsou typ a název souboru hesel konzistentní: Při konfiguraci démona funkce Synchronizace hesel ověřte, zda si typ souboru hesel (zadaný v parametru USE_SHADOW) a název cesty (nastavený v parametru FILE_PATH) vzájemně odpovídají. Například ve většině systémů platí, že pokud je parametr USE_SHADOW nastaven na hodnotu 0 (což indikuje, že se pro synchronizaci používá soubor passwd), pak parametr FILE_PATH by měl být nastaven na /etc/passwd. Pokud je však parametr USE_SHADOW nastaven na hodnotu 1 (což indikuje, že se používá soubor shadow), pak parametr FILE_PATH by měl být nastaven na /etc/shadow. (V systémech IBM AIX má cesta a název souboru shadow hodnotu /etc/security/passwd.)