Najważniejsze wskazówki
-
Synchronizację haseł należy zainstalować na odpowiednich kontrolerach domeny Aby zagwarantować spójną synchronizację haseł domeny z hasłami systemu UNIX, należy zainstalować synchronizację haseł na podstawowym kontrolerze domeny i - w przypadku domeny systemu Windows 2000 - na wszystkich kontrolerach domeny w domenie.
-
Jeśli do domeny zostanie dodany kontroler domeny, należy jak najszybciej zainstalować synchronizację haseł na nowym kontrolerze domeny i skonfigurować ją, aby była zgodna z innymi kontrolerami domeny.
-
Jeśli jest konieczne usunięcie synchronizacji haseł z jakiegokolwiek kontrolera domeny, przed odinstalowaniem synchronizacji haseł należy obniżyć poziom serwera do poziomu serwera członkowskiego.
-
Jeśli do domeny zostanie dodany kontroler domeny, należy jak najszybciej zainstalować synchronizację haseł na nowym kontrolerze domeny i skonfigurować ją, aby była zgodna z innymi kontrolerami domeny.
-
Należy zapewnić spójne zasady haseł Jeśli użytkownik udostępnia tylko jednokierunkową synchronizację haseł, powinien się upewnić, że zasady haseł na komputerze, z którego hasła będą synchronizowane, są co najmniej tak samo restrykcyjne we wszystkich obszarach jak zasady na komputerze, do którego hasła będą synchronizowane. Jeśli na przykład użytkownik konfiguruje synchronizację z systemu Windows do systemu UNIX, zasady haseł systemu Windows muszą być co najmniej tak samo restrykcyjne jak zasady komputerów z systemem UNIX, do których hasła będą synchronizowane. Jeśli użytkownik udostępnia synchronizację dwukierunkową, zasady haseł muszą być w równym stopniu restrykcyjne w obu systemach. Niespójne zasady haseł mogą spowodować niepowodzenie synchronizacji, gdy użytkownik zmienia hasło w mniej restrykcyjnym systemie. Może też zajść sytuacja, w której hasło zostanie zmienione w bardziej restrykcyjnym systemie, nawet jeśli nie jest to zgodne z zasadami tego systemu.
Należy się upewnić, że użytkownicy systemu Windows wiedzą o wszelkich specjalnych ograniczeniach dotyczących haseł na komputerach z systemem UNIX, z którymi ich hasła będą synchronizowane. Na przykład niektóre wersje systemu UNIX obsługują hasła o maksymalnej długości ośmiu znaków. W celu zagwarantowania maksymalnej zgodności z domyślnymi zasadami haseł systemu Windows i powyższymi ograniczeniami systemu UNIX hasła powinny mieć długość siedmiu lub ośmiu znaków, jeśli nie ma pewności, że wszystkie komputery z systemem UNIX mogą obsługiwać dłuższe hasła.
-
Należy skonfigurować synchronizację haseł, aby zapewnić maksymalną ochronę haseł użytkowników.
Należy postępować zgodnie z poniższymi zaleceniami, aby utrzymać zabezpieczenia na optymalnym poziomie:
-
Należy jawnie wyszczególnić użytkowników, których hasła mają być synchronizowane Aby udostępnić maksymalną kontrolę nad tym, którzy użytkownicy mogą synchronizować hasła, nie należy używać słowa kluczowego ALL z listą SYNC_USERS w pliku sso.conf na hoście z systemem UNIX. Zamiast tego należy jawnie wyszczególnić wszystkich użytkowników, dla których synchronizacja haseł jest dozwolona lub zablokowana. Na komputerze z systemem Windows z uruchomioną synchronizacją haseł należy utworzyć grupę PasswordPropAllow i dodać do niej konta użytkowników, których hasła mają być synchronizowane. Aby uzyskać więcej informacji, zobacz temat Kontrolowanie synchronizacji haseł dla kont użytkowników.
-
Nie należy synchronizować haseł dla wyłączonych kont systemu UNIX W niektórych wersjach systemu UNIX zmiana hasła wyłączonego konta użytkownika powoduje uaktywnienie tego konta. Z tego względu, jeśli użytkownik ma wyłączone konto na komputerze z systemem UNIX skonfigurowanym do synchronizacji haseł z komputerem z systemem Windows, ten użytkownik lub administrator może uaktywnić konto systemu UNIX przez zmianę hasła systemu Windows użytkownika. Aby temu zapobiec, należy blokować synchronizację dla wyłączonych kont systemu UNIX za pomocą grupy PasswordPropDeny.
Ponadto, gdy administrator wyłączy konto systemu UNIX, powinien za pomocą wpisu SYNC_USERS w pliku sso.conf zablokować synchronizację haseł dla tego konta.
-
Należy unikać synchronizowania haseł administratorów Nie należy synchronizować haseł członków grupy Administratorzy w systemie Windows ani haseł kont superużytkowników i administratorów w systemie UNIX.
-
Należy wykonać sprawdzanie zgodności z systemem Windows Server 2003 z dodatkiem Service Pack 1 (SP1) po włączeniu opcji Synchronizacja haseł z systemu Windows do usługi NIS (usługa Active Directory) w oknie Właściwości synchronizacji haseł na karcie Konfiguracja. W celu ochrony bezpieczeństwa haseł kont użytkowników w przedsiębiorstwie zdecydowanie warto zezwolić synchronizacji haseł na zidentyfikowanie wszystkich kontrolerów domeny w lesie, na których nie jest uruchomiony system Windows Server 2003 z dodatkiem SP1 lub nowszy.
Synchronizacja haseł wyświetli monit o zgodę na sprawdzenie zgodności po wybraniu opcji Włącz w obszarze Synchronizacja haseł z systemu Windows do usługi NIS (usługa Active Directory). Jeśli na wszystkich kontrolerach domeny w lesie jest zainstalowany system Windows Server 2003 z dodatkiem SP1 lub jego nowsza wersja, ryzyko udostępnienia wartości skrótów haseł użytkowników nieautoryzowanym osobom jest znacznie mniejsze. Gdy system Windows Server 2003 z dodatkiem SP1 nie jest minimalnym poziomem funkcjonalnym wszystkich kontrolerów domeny w lesie, każdy uwierzytelniony użytkownik w domenie może przejrzeć wartość skrótu hasła dowolnego użytkownika systemu UNIX, którego konto zostało poddane migracji do programu Usługi domenowe Active Directory (AD DS).
Jeśli nieautoryzowany użytkownik złamie wartość skrótu hasła konta użytkownika systemu UNIX w programie AD DS, hasło systemu Windows dla konta przestanie być bezpieczne.
-
Należy jawnie wyszczególnić użytkowników, których hasła mają być synchronizowane Aby udostępnić maksymalną kontrolę nad tym, którzy użytkownicy mogą synchronizować hasła, nie należy używać słowa kluczowego ALL z listą SYNC_USERS w pliku sso.conf na hoście z systemem UNIX. Zamiast tego należy jawnie wyszczególnić wszystkich użytkowników, dla których synchronizacja haseł jest dozwolona lub zablokowana. Na komputerze z systemem Windows z uruchomioną synchronizacją haseł należy utworzyć grupę PasswordPropAllow i dodać do niej konta użytkowników, których hasła mają być synchronizowane. Aby uzyskać więcej informacji, zobacz temat Kontrolowanie synchronizacji haseł dla kont użytkowników.
Podczas instalowania synchronizacji haseł do grupy PasswordPropDeny zostaną dodani członkowie lokalnej grupy Administratorzy oraz grupy Administratorzy domeny, co uniemożliwi synchronizowanie ich haseł. Jeśli do grup Administratorzy lub Administratorzy domeny zostanie dodany użytkownik, należy go dodać również do grupy PasswordPropDeny.
Należy zmodyfikować instrukcję SYNC_USERS w pliku sso.conf na wszystkich komputerach z systemem UNIX, aby uniemożliwić synchronizację haseł superużytkowników.
-
Nie należy używać domyślnego numeru portu ani klucza szyfrowania Zachowanie domyślnego numeru portu i klucza szyfrowania umożliwia intruzowi skonfigurowanie podszywającego się hosta z systemem UNIX w celu przechwycenia haseł. Należy chronić numer portu i klucze szyfrowania używane do synchronizowania haseł tak samo uważnie jak same hasła.
-
Należy zabezpieczyć plik sso.conf Plik sso.conf na każdym hoście z systemem UNIX zawiera istotne informacje o konfiguracji, które mogą zostać użyte w celu złamania zabezpieczeń. Zalecane jest ustawienie maski bitu trybu tego pliku na wartość 600.
-
Należy zapewnić odpowiednią ochronę katalogu określonego za pomocą wpisu TEMP_FILE_PATH Pliki tymczasowe tworzone na hostach z systemem UNIX przez synchronizację haseł zawierają informacje, które mogą zostać użyte przez intruza w celu złamania zabezpieczeń systemowych. Dlatego należy zagwarantować, że uprawnienie do odczytu każdego katalogu, do którego jest odwołanie we wpisie TEMP_FILE_PATH w pliku sso.conf, ma tylko konto root i że żaden inny użytkownik nie ma dostępu do tych katalogów.
-
Należy zapewnić odpowiednią ochronę plików dziennika Na hoście z systemem UNIX synchronizacja haseł rejestruje komunikaty generowane przez działania synchronizacji za pomocą demona syslogd. Wynikowe dzienniki zawierają informacje dotyczące nazw użytkowników, których hasła są synchronizowane, oraz tego, z którymi komputerami te hasła są synchronizowane, a także błędy propagacji i tak dalej. Należy chronić te pliki dziennika w celu zagwarantowania, że tylko administratorzy mogą je wyświetlać.
-
Należy ponownie uruchomić demona synchronizacji haseł po dokonaniu zmiany jego konfiguracji Po wprowadzeniu zmian w pliku konfiguracyjnym demona synchronizacji haseł (sso.conf) należy zatrzymać i ponownie uruchomić tego demona, aby zmiany konfiguracji zostały zastosowane.
-
Należy skonfigurować systemy, aby prawidłowo rozróżniały wielkość liter w nazwach użytkowników Jeśli zasady gwarantujące, że nazwy użytkowników systemu Windows i systemu UNIX są zgodne zarówno pod względem pisowni, jak i wielkości liter, nie są rygorystycznie egzekwowane, należy sprawdzić, czy dla opcji CASE_IGNORE_NAME w pliku sso.conf jest ustawiona wartość 1 (domyślna). W przypadku nazw użytkowników systemu UNIX wielkość liter jest uwzględniana. Zatem hasła mogą nie być synchronizowane prawidłowo, jeśli nazwy użytkowników nie są w pełni zgodne, ponieważ demon synchronizacji haseł nie może skojarzyć nazwy użytkownika systemu Windows z odpowiadającą jej nazwą użytkownika systemu UNIX.
-
Należy się upewnić, że typ i nazwa pliku haseł są spójne Podczas konfigurowania demona synchronizacji haseł należy sprawdzić, czy typ (określony za pomocą wpisu USE_SHADOW) i nazwa ścieżki (ustawiona za pomocą wpisu FILE_PATH) pliku haseł są dla siebie odpowiednie. Na przykład, jeśli w przypadku większości komputerów dla wpisu USE_SHADOW jest ustawiona wartość 0 (w celu wskazania, że do synchronizacji jest używany plik haseł), dla opcji FILE_PATH powinna być ustawiona wartość /etc/passwd. Jeśli jednak dla wpisu USE_SHADOW jest ustawiona wartość 1 (w celu wskazania, że zamiast pliku haseł jest używany plik cienia), dla opcji FILE_PATH powinna być ustawiona wartość /etc/shadow. Na komputerach z systemem IBM AIX ścieżka i nazwa pliku cienia to /etc/security/passwd.