Procedure consigliate
-
Installare Sincronizzazione password nei controller di dominio appropriati Per garantire la coerenza della sincronizzazione delle password del dominio con le password UNIX, è necessario installare Sincronizzazione password nel controller di dominio primario e, nel caso di un dominio Windows 2000, in tutti i controller di dominio di un dominio.
-
Se si aggiunge un controller di dominio a un dominio, è consigliabile installarvi appena possibile Sincronizzazione password e configurarlo in modo che corrisponda agli altri controller di dominio.
-
Se è necessario rimuovere Sincronizzazione password da un controller di dominio, è consigliabile abbassare il server al livello di server membro prima di disinstallare Sincronizzazione password.
-
Se si aggiunge un controller di dominio a un dominio, è consigliabile installarvi appena possibile Sincronizzazione password e configurarlo in modo che corrisponda agli altri controller di dominio.
-
Verificare la coerenza dei criteri password Se si fornisce unicamente la sincronizzazione delle password unidirezionale, verificare che i criteri password attivi in tutte le aree del computer dal quale verranno sincronizzate le password siano altrettanto restrittivi dei criteri attivi nel computer nel quale verranno sincronizzate le password. Ad esempio, se si configura la sincronizzazione da Windows a UNIX, i criteri password di Windows devono essere altrettanto restrittivi dei criteri dei computer UNIX con i quali vengono sincronizzate le password. Se si fornisce il supporto per la sincronizzazione bidirezionale, i criteri password devono essere egualmente restrittivi in entrambi i sistemi. L'incoerenza dei criteri password può comportare errori di sincronizzazione nel momento in cui un utente modifica una password nel sistema con i criteri meno restrittivi oppure è possibile che la password venga modificata nel sistema con i criteri più restrittivi, anche se non è conforme ai criteri del sistema.
Verificare che gli utenti Windows siano a conoscenza delle restrizioni specifiche per le password attive nei sistemi UNIX con i quali verranno sincronizzate le relative password. Ad esempio, alcune versioni di UNIX supportano una lunghezza massima delle password di otto caratteri. Per garantire la massima compatibilità con i criteri password predefiniti di Windows e queste limitazioni di UNIX, è consigliabile che la lunghezza delle password sia di sette o otto caratteri, a meno che non si sia certi che tutti i sistemi UNIX possano supportare password di lunghezza maggiore.
-
Configurare Sincronizzazione password in modo da garantire la massima protezione per le password degli utenti
Per mantenere un livello di sicurezza ottimale, tenere presenti le considerazioni seguenti:
-
Elencare in modo esplicito gli utenti di cui verranno sincronizzate le password Per fornire il massimo controllo sugli utenti che possono sincronizzare le password, non utilizzare la parola chiave ALL con l'elenco SYNC_USERS del file sso.conf nell'host UNIX. Elencare invece in modo esplicito tutti gli utenti per i quali è consentita o è bloccata la sincronizzazione delle password. Nel computer basato su Windows che esegue Sincronizzazione password, creare il gruppo PasswordPropAllow e aggiungervi gli account degli utenti di cui si desidera sincronizzare le password. Per ulteriori informazioni, vedere Controllare la sincronizzazione delle password per gli account utente.
-
Non sincronizzare le password per gli account UNIX disabilitati In alcune versioni di UNIX, la modifica della password di un account disabilitato comporta l'attivazione di tale account. Di conseguenza, se un utente ha un account disabilitato in un computer UNIX configurato per la sincronizzazione delle password con un computer basato su Windows, l'utente stesso o un amministratore può attivare l'account UNIX modificando la password Windows dell'utente. Per evitare che ciò accada, utilizzare il gruppo PasswordPropDeny per bloccare la sincronizzazione per gli account UNIX disabilitati.
Se un amministratore disabilita un account UNIX, dovrebbe inoltre utilizzare la voce SYNC_USERS del file sso.conf per bloccare la sincronizzazione delle password per l'account.
-
Evitare di sincronizzare le password degli amministratori Non sincronizzare le password dei membri dei gruppi Administrators di Windows o le password degli account ROOT di UNIX.
-
Eseguire il controllo di compatibilità di Windows Server 2003 Service Pack 1 (SP1) quando si seleziona Sincronizzazione password da Windows a NIS (Active Directory) nella scheda Configurazione della finestra di dialogo Proprietà della sincronizzazione password. Per garantire la sicurezza delle password degli account utente aziendali, è consigliabile consentire a Sincronizzazione password di identificare tutti i controller di dominio della foresta che non eseguono Windows Server 2003 SP1 o versioni successive.
Sincronizzazione password richiede di consentire l'esecuzione del controllo di compatibilità se si seleziona Abilita nell'area Sincronizzazione password da Windows a NIS (Active Directory). Se in tutti i controller di dominio di una foresta è installato Windows Server 2003 SP1 o versioni successive, il rischio di esporre gli hash delle password utente a utenti non autorizzati viene notevolmente ridotto. Se Windows Server 2003 SP1 non è il livello di funzionalità minimo di tutti i controller di dominio in una foresta, è possibile che qualsiasi utente autenticato nel dominio visualizzi l'hash della password di qualsiasi utente UNIX il cui account è stato migrato a Servizi dei domini Active Directory (AD DS).
Se un utente non autorizzato riesce ad accedere all'hash della password per un account utente UNIX in AD DS, la password Windows dell'account non è più sicura.
-
Elencare in modo esplicito gli utenti di cui verranno sincronizzate le password Per fornire il massimo controllo sugli utenti che possono sincronizzare le password, non utilizzare la parola chiave ALL con l'elenco SYNC_USERS del file sso.conf nell'host UNIX. Elencare invece in modo esplicito tutti gli utenti per i quali è consentita o è bloccata la sincronizzazione delle password. Nel computer basato su Windows che esegue Sincronizzazione password, creare il gruppo PasswordPropAllow e aggiungervi gli account degli utenti di cui si desidera sincronizzare le password. Per ulteriori informazioni, vedere Controllare la sincronizzazione delle password per gli account utente.
Se è installato Sincronizzazione password, i membri del gruppo Administrators locale e del gruppo Domain Administrators vengono aggiunti al gruppo PasswordPropDeny, che impedisce la sincronizzazione delle relative password. Se si aggiunge un utente al gruppo Administrators o al gruppo Domain Administrators, assicurarsi di aggiungerlo anche al gruppo PasswordPropDeny.
Modificare l'istruzione SYNC_USERS nel file sso.conf in tutti i sistemi basati su UNIX per evitare che vengano sincronizzate le password degli utenti ROOT.
-
Non utilizzare il numero di porta e la chiave di crittografia predefiniti Se si mantengono il numero di porta e la chiave di crittografia predefiniti, è possibile che l'autore di un attacco esegua un tentativo di spoofing tramite un host UNIX per acquisire le password. È consigliabile applicare al numero di porta e alle chiavi di crittografia utilizzati per la sincronizzazione delle password lo stesso livello di protezione riservato alle password.
-
Proteggere il file sso.conf Il file sso.conf presente in ogni host UNIX contiene informazioni di configurazione importanti che potrebbero essere utilizzate per compromettere la sicurezza. È consigliabile impostare la maschera di bit di modalità del file a 600.
-
Verificare che il livello di protezione della directory identificata da TEMP_FILE_PATH sia adeguato I file temporanei creati negli host UNIX da Sincronizzazione password contengono informazioni che potrebbero essere utilizzate dall'autore di un attacco per compromettere la sicurezza del sistema. Per questo motivo, è consigliabile verificare che per ogni directory a cui viene fatto riferimento da TEMP_FILE_PATH in sso.conf sia disponibile solo l'accesso in lettura per l'account root e che a tale directory non possano accedere altri utenti.
-
Verificare che il livello di protezione dei file di registro sia adeguato Negli host UNIX, Sincronizzazione password utilizza il daemon syslogd per registrare i messaggi risultanti dalle operazioni di sincronizzazione. I registri risultanti contengono informazioni quali i nomi degli utenti con le password che vengono sincronizzate, i computer che eseguono le sincronizzazioni, gli errori di propagazione e così via. È consigliabile proteggere i file di registro per consentire solo agli amministratori di visualizzarli.
-
Riavviare il daemon di Sincronizzazione password dopo averne modificato la configurazione Se si modifica il file di configurazione del daemon di Sincronizzazione password (sso.conf), è necessario arrestare e riavviare il daemon affinché le modifiche abbiano effetto.
-
Configurare i sistemi in modo da gestire correttamente la distinzione tra maiuscole e minuscole nei nomi utente A meno che non venga impostato un criterio specifico che prevede la corrispondenza esatta dell'ortografia e della distinzione tra maiuscole e minuscole nei nomi utente Windows e UNIX, verificare che l'opzione CASE_IGNORE_NAME nel file sso.conf sia impostata su 1 (impostazione predefinita). I nomi utente UNIX distinguono le maiuscole e le minuscole e pertanto le password non possono essere sincronizzate correttamente se la corrispondenza del nome utente non è esatta, perché il daemon di Sincronizzazione password non può associare il nome utente Windows con il nome utente UNIX corrispondente.
-
Verificare che il tipo e il nome di file della password siano coerenti Quando si configura il daemon di Sincronizzazione password, verificare che il tipo di file (specificato da USE_SHADOW) e il percorso (impostato da FILE_PATH) della password siano coerenti. Ad esempio, nella maggior parte dei sistemi, se USE_SHADOW è impostato su 0 (a indicare che per la sincronizzazione viene utilizzato il file passwd), l'opzione FILE_PATH dovrebbe essere impostata su /etc/passwd. Se tuttavia USE_SHADOW è impostato su 1 (a indicare che viene invece utilizzato il file shadow), l'opzione FILE_PATH dovrebbe essere impostata su /etc/shadow. (Nei sistemi AIX IBM, il percorso e il nome del file shadow è /etc/security/passwd.)