Práticas recomendadas
-
Instalar a Sincronização de Senhas nos controladores de domínio adequados Para assegurar uma sincronização consistente de senhas de domínio com senhas UNIX, a Sincronização de Senhas deve ser instalada no controlador de domínio principal e, no caso de um domínio Windows 2000, em todos os controladores do domínio.
-
Se você acrescentar um controlador a um domínio, deverá instalar a Sincronização de Senhas no novo controlador de domínio tão logo possível e configurá-lo de forma a corresponder aos outros controladores de domínio.
-
Se você precisar remover a Sincronização de Senhas de qualquer controlador de domínio, será necessário rebaixar o servidor para servidor membro antes de desinstalar a Sincronização de Senhas.
-
Se você acrescentar um controlador a um domínio, deverá instalar a Sincronização de Senhas no novo controlador de domínio tão logo possível e configurá-lo de forma a corresponder aos outros controladores de domínio.
-
Assegurar políticas de senha consistentes Se você estiver oferecendo sincronização de senha unidirecional, assegure-se de que a política de senha do computador do qual as senhas serão sincronizadas seja pelo menos tão restritiva, em todas as áreas, quanto a política do computador para o qual as senhas serão sincronizadas. Por exemplo: se você configurar a sincronização de Windows para UNIX, a política de senha do Windows deve ser pelo menos tão restritiva quanto a política dos computadores UNIX com os quais sincronizará senhas. Se oferecer suporte à sincronização bidirecional, as políticas de senha devem ser igualmente restritivas em ambos os sistemas. Políticas de senha inconsistentes podem resultar em falha de sincronização quando um usuário alterar uma senha no sistema menos restritivo; ou a senha poderá ser alterada no sistema mais restritivo, mesmo que não esteja em conformidade com as políticas do sistema.
Verifique se os usuários do Windows conhecem as restrições de senha especiais dos sistemas UNIX com os quais suas senhas serão sincronizadas. Por exemplo: algumas versões do UNIX suportam um tamanho máximo de senha de oito caracteres. Para oferecer compatibilidade máxima com a política de senha padrão do Windows e com estas limitações do UNIX, as senhas devem ter sete ou oito caracteres, a menos que você tenha certeza de que todos os sistemas UNIX oferecem suporte a senhas maiores.
-
Configurar a Sincronização de Senhas para oferecer proteção máxima para as senhas dos usuários
Siga estas recomendações para manter a segurança ideal:
-
Listar explicitamente os usuários cujas senhas serão sincronizadas Para oferecer controle máximo para que os usuários possam sincronizar senhas, não use a palavra-chave ALL com a lista SYNC_USERS em sso.conf no host UNIX. Em vez disso, você deve listar explicitamente cada usuário para o qual a sincronização de senha será permitida ou bloqueada. No computador com Windows que está executando a Sincronização de Senhas, crie o grupo PasswordPropAllow e adicione as contas de usuários cujas senhas você deseja sincronizar. Para obter mais informações, consulte Controlando a sincronização de senha para contas de usuários.
-
Não sincronizar senhas para contas UNIX desabilitadas Em algumas versões do UNIX, alterar a senha de uma conta de usuário desabilitada ativa essa conta. Conseqüentemente, se um usuário possuir uma conta desabilitada em um computador com UNIX configurado para sincronizar senhas com um computador com Windows, o usuário ou um administrador pode ativar a conta UNIX alterando a senha de Windows do usuário. Para evitar isso, use o grupo PasswordPropDeny para bloquear a sincronização de contas UNIX desabilitadas.
Além disso, quando um administrador desabilita uma conta UNIX, o administrador deve usar a entrada SYNC_USERS em sso.conf para bloquear a sincronização de senha para a conta.
-
Evitar sincronizar senhas do administrador Não sincronize senhas de membros de grupos de Administradores do Windows ou as senhas de contas super-usuário ou raiz do UNIX.
-
Realizar a verificação de compatibilidade do Windows Server 2003 Service Pack 1 (SP1) ao habilitar a sincronização de senha do Windows para NIS (Active Directory) na caixa de diálogo Propriedades da Sincronização de Senha, guia Configuração. Para proteger a segurança de senhas de contas de usuário na sua empresa, recomenda-se permitir a Sincronização de Senhas para identificar todos os controladores de domínio da floresta que não estejam executando Windows Server 2003 SP1 ou versões posteriores.
A Sincronização de Senhas pedirá que você permita a verificação de compatibilidade ao selecionar Habilitar na área sincronização de senha do Windows para NIS (Active Directory). Com o Windows Server 2003 SP1 ou versão posterior instalada em todos os controladores de domínio da floresta, o risco de expor hashes de senha de usuário a visitantes não autorizados é bastante reduzido. Quando o Windows Server 2003 SP1 não é o nível funcional mínimo de todos os controladores de domínio da floresta, qualquer usuário autenticado do domínio pode visualizar o hash de senha de qualquer usuário UNIX cuja conta tenha sido migrada para o Serviços de Domínio do Active Directory (AD DS).
Caso algum usuário não autorizado viole o hash de senha de uma conta de usuário baseada no UNIX no AD DS, a senha da conta baseada no Windows não será mais segura.
-
Listar explicitamente os usuários cujas senhas serão sincronizadas Para oferecer controle máximo para que os usuários possam sincronizar senhas, não use a palavra-chave ALL com a lista SYNC_USERS em sso.conf no host UNIX. Em vez disso, você deve listar explicitamente cada usuário para o qual a sincronização de senha será permitida ou bloqueada. No computador com Windows que está executando a Sincronização de Senhas, crie o grupo PasswordPropAllow e adicione as contas de usuários cujas senhas você deseja sincronizar. Para obter mais informações, consulte Controlando a sincronização de senha para contas de usuários.
Quando a Sincronização de Senhas é instalada, os membros do grupo local de Administradores e o grupo de Administradores de Domínio são adicionados ao grupo PasswordPropDeny, que impede que suas senhas sejam sincronizadas. Se você adicionar um usuário ao grupo Administradores ou Administradores de Domínio, lembre-se de adicioná-lo também ao grupo PasswordPropDeny.
Modifique a instrução SYNC_USERS no arquivo sso.conf em todos os sistemas baseados em UNIX para impedir a sincronização de senhas de super-usuários.
-
Não usar o número de porta e a chave de criptgrafia padrão Preservar o número de porta e a chave de criptografia padrão permite que um invasor configure um host UNIX falso para capturar senhas. Proteja o número de porta e as chaves de criptografia usados para sincronizar senhas com o mesmo cuidado que você protege as próprias senhas.
-
Proteger o arquivo sso.conf O arquivo sso.conf em cada host UNIX pode conter informações de host importantes que podem ser usadas para comprometer a segurança. Recomenda-se configurar a máscara de bits de modo do arquivo para 600.
-
Verificar se o diretório identificado por TEMP_FILE_PATH está adequadamente protegido Os arquivos temporários criados em hosts UNIX pela Sincronização de Senhas contêm informações que podem ser usadas por um invasor para comprometer a segurança do sistema. Por isso, assegure-se de que qualquer diretório mencionado por TEMP_FILE_PATH em sso.conf tenha acesso de leitura somente para a conta raiz e não possa ser acessado por outros usuários.
-
Verificar se os arquivos de log estão adequadamente protegidos No host UNIX, a Sincronização de Senhas utiliza o daemon syslogd para registrar em log mensagens resultantes de operações de sincronização. Os logs resultantes contêm informações como nomes de usuários cujas senhas estão sendo sincronizadas e os computadores com os quais estão sendo sincronizadas, bem como erros de propagação e assim por diante. Esses arquivos de log devem ser protegidos para assegurar que somente os administradores possam exibi-los.
-
Reiniciar o daemon de Sincronização de Senhas depois de alterar sua configuração Ao alterar o arquivo de configuração do daemon de Sincronização de Senhas (sso.conf), você deve parar e reiniciar o daemon para que as modificações entrem em vigor.
-
Configurar sistemas para diferenciar maiúsculas e minúsculas em nomes de usuários corretamente A menos que você imponha rigorosamente uma política para garantir que os nomes de usuários do Windows e do UNIX correspondam em ortografia e uso de maiúsculas e minúsculas, confirme se a opção CASE_IGNORE_NAME no arquivo sso.conf está configurada para 1 (o padrão). Os nomes de usuário do UNIX diferenciam maiúsculas e minúsculas; portanto, as senhas podem não ser sincronizadas adequadamente se não houver correspondência perfeita entre os nomes de usuários, já que o daemon de Sincronização de Senhas não conseguirá associar o nome de usuário do Windows ao nome de usuário UNIX correspondente.
-
Verificar se o tipo e o nome de arquivo de senha são consistentes Ao configurar o daemon de Sincronização de Senha, confirme que o tipo de arquivo de senha (especificado por USE_SHADOW) e o nome do caminho (definido para FILE_PATH) são adequados entre si. Por exemplo: na maioria dos sistemas, se USE_SHADOW estiver definido para 0 (para indicar que o arquivo passwd é usado para sincronização), a opção FILE_PATH deve ser definida para /etc/passwd. No entanto, se USE_SHADOW estiver definido para 1 (para indicar que o arquivo shadow será usado), a opção FILE_PATH deve ser definida para /etc/shadow. (Em sistemas IBM AIX, o caminho e o nome do arquivo shadow são /etc/security/passwd.)