Procedimentos recomendados

  • Instalar a Sincronização de Palavra-passe em todos os controladores de domínio adequados  Para garantir a sincronização consistente de palavras-passe de domínio com palavras-passe UNIX, a Sincronização de Palavra-passe terá de estar instalada no controlador de domínio primário e, no caso de um domínio do Windows 2000, em todos os controladores de domínio existentes num domínio.

    • Se adicionar um controlador de domínio a um domínio, deve instalar a Sincronização de Palavra-passe no novo controlador de domínio logo que seja possível e configurá-la para corresponder aos outros controladores de domínio.

    • Se necessitar de remover a Sincronização de Palavra-passe de qualquer controlador de domínio, deverá despromover o servidor para um servidor membro antes de desinstalar a Sincronização de Palavra-passe.

  • Garantir políticas de palavras-passe consistentes   Se está a tratar apenas da sincronização de palavra-passe unidireccional, certifique-se de que a política de palavra-passe no computador a partir do qual as palavras-passe serão sincronizadas é, pelo menos, tão restritiva em todas as áreas que a política no computador com o qual as palavras-passe serão sincronizadas. Por exemplo, se configurar a sincronização Windows para UNIX, a política de palavras-passe do Windows tem de ser pelo menos tão restritiva como a política dos computadores UNIX com os quais sincroniza palavras-passe. Se estiver a suportar a sincronização bidireccional, as políticas de palavras-passe têm de ser igualmente restritivas em ambos os sistemas. As políticas de palavras-passe inconsistentes podem resultar numa falha de sincronização quando um utilizador alterar uma palavra-passe no sistema menos restritivo; ou a palavra-passe pode ser alterada no sistema mais restritivo, mesmo quando não está em conformidade com as políticas do sistema.

    Certifique-se de que os utilizadores do Windows têm conhecimento de quaisquer restrições especiais de palavras-passe nos sistemas UNIX com os quais as respectivas palavras-passe serão sincronizadas. Por exemplo, algumas versões do UNIX suportam um comprimento máximo de palavra-passe de oito caracteres. Para máxima compatibilidade com a política predefinida de palavras-passe do Windows e estas limitações do sistema UNIX, as palavras-passe devem ter sete ou oito caracteres de comprimento a menos que tenha a certeza de que todos os sistemas UNIX podem suportar palavras-passe mais longas.

  • Configurar Sincronização de Palavra-passe para fornecer o máximo de protecção às palavras-passe dos utilizadores

    Siga estas recomendações para manter a segurança óptima:

    • Listar explicitamente os utilizadores UNIX cujas palavras-passe serão sincronizadas  Para fornecer o máximo de controlo sobre que utilizadores podem sincronizar palavras-passe, não utilize a palavra-chave ALL com a lista SYNC_USERS no ficheiro sso.conf no anfitrião UNIX. Em vez disso, deve listar explicitamente cada utilizador para o qual a sincronização de palavra-passe é permitida ou bloqueada. No computador baseado em Windows a executar a Sincronização de Palavra-passe, crie o grupo PasswordPropAllow e adicione as contas dos utilizadores cujas palavras-passe pretende sincronizar. Para obter mais informações, consulte Controlar sincronização de palavra-passe para contas de utilizador.

    • Não sincronizar palavras-passe para contas UNIX desactivadas  Nalgumas versões do UNIX, alterar a palavra-passe de uma conta de utilizador desactivada activa essa conta. Consequentemente, se um utilizador tiver uma conta desactivada num computador UNIX que esteja configurada para sincronizar palavras-passe com um computador baseado no Windows, o utilizador ou um administrador pode activar a conta UNIX alterando a palavra-passe do Windows. Para impedir isto, utilize o grupo PasswordPropDeny para bloquear a sincronização para contas UNIX desactivadas.

      Além disso, quando um administrador desactiva uma conta UNIX, o administrador deve utilizar a entrada SYNC_USERS em sso.conf para bloquear a sincronização de palavra-passe para a conta.

    • Evitar sincronizar palavras-passe de administrador  Não sincronize palavra-passe para membros dos grupos Administradores do Windows ou palavras-passe das contas de raiz e super-utilizador (superuser) UNIX.

    • Executar a verificação de compatibilidade do Windows Server 2003 SP1 (Service Pack 1) ao activar a Sincronização de palavra-passe do Windows para NIS (Active Directory) na caixa de diálogo Propriedades da Sincronização de Palavra-passe, separador Configuração. Para proteger a segurança das palavras-passe de conta de utilizador na empresa, recomenda-se vivamente que permita a Sincronização de Palavra-passe para identificar todos os controladores de domínio na floresta que não têm o Windows Server 2003 SP1 ou versões posteriores.

      A Sincronização de Palavra-passe pede-lhe que permita a verificação de compatibilidade quando selecciona Activar na área Sincronização de palavra-passe do Windows para NIS (Active Directory). Com o Windows Server 2003 SP1 ou uma versão posterior instalada nos controladores de domínio numa floresta, o risco de expor hashes da palavra-passe do utilizador a visualizadores não autorizados é largamente reduzido. Quando o Windows Server 2003 SP1 não está no nível funcional mínimo de todos os controladores de domínio numa floresta, é possível qualquer utilizador autenticado do domínio ver o hash de palavra-passe para qualquer utilizador UNIX cuja conta tenha sido migrada para os Serviços do domínio Active Directory (AD DS).

      No caso de um utilizador não autorizado decifrar o hash de palavra-passe para uma conta de utilizador baseada em UNIX no AD DS, a palavra-passe baseada em Windows para a conta já não é segura.

Quando a Sincronização de Palavras-Passe estiver instalada, os membros do grupo Administradores local e do grupo Administradores de Domínio serão adicionados ao grupo PasswordPropDeny, o que impede a sincronização das respectivas palavras-passe. Se adicionar um utilizador ao grupo Administradores ou Administradores de Domínio, certifique-se de que adiciona o utilizador ao grupo PasswordPropDeny.

Modifique a instrução SYNC_USERS no ficheiro sso.conf em todos os sistemas baseados em UNIX para impedir que as palavras-passe de super-utilizadores sejam sincronizadas.

  • Não utilizar o número da porta e a chave de encriptação predefinidos  Preservar o número da porta e a chave de encriptação predefinidos torna possível a um atacante configurar um anfitrião UNIX de spoofing para capturar palavras-passe. Deve proteger as chaves de encriptação e o número da porta utilizados para sincronizar palavras-passe com tanto cuidado como as próprias palavras-passe.

  • Proteger o ficheiro sso.conf  O ficheiro sso.conf em cada anfitrião UNIX contém informações de configuração importantes que podem ser utilizadas para comprometer a segurança. Recomenda-se que defina a máscara de bit de modo do ficheiro como 600.

  • Garantir que o directório identificado por TEMP_FILE_PATH está devidamente protegido  Os ficheiros temporários criados nos anfitriões UNIX pela função Sincronização de Palavra-passe contêm informações que podem ser utilizadas por um atacante para comprometer a segurança do sistema. Por este motivo, deve certificar-se de que qualquer directório referenciado por TEMP_FILE_PATH em sso.conf tem acesso de leitura para a conta root e não pode ser acedido por quaisquer outros utilizadores.

  • Garantir que os ficheiros estão bem protegidos  No anfitrião UNIX, a Sincronização de Palavras-Passe utiliza o daemon syslogd para registar mensagens que resultam de operações de sincronização. Os registos resultantes contêm informações tais como os nomes de utilizadores cujas palavras-passe estão a ser sincronizadas e com que computadores, os erros de propagação, entre outras. Estes ficheiros de registo devem ser protegidos para assegurar que apenas os administradores podem visualizá-los.

  • Iniciar o daemon de Sincronização de Palavra-passe depois de alterar a configuração  Quando efectuar alterações ao ficheiro de configuração de daemon de Sincronização de Palavra-passe (sso.conf), tem de parar e reiniciar o daemon para as alterações de configuração terem em efeito.

  • Configurar sistemas para processar correctamente a sensibilidade a maiúsculas e minúsculas do nome do utilizador  A menos que imponha rigorosamente uma política para assegurar que os nomes de utilizador Windows e UNIX correspondem em termos de ortografia e maiúsculas e minúsculas, verifique se a opção CASE_IGNORE_NAME no ficheiro sso.conf está definida como 1 (a predefinição). Os nomes de utilizador UNIX são sensíveis a maiúsculas e minúsculas; portanto, as palavras-passe podem não ser correctamente sincronizadas se os nomes de utilizador não corresponderem exactamente, como o daemon Sincronização de Palavra-passe não consegue associar o nome de utilizador Windows ao nome de utilizador UNIX correspondente.

  • Certificar-se de que o nome e o tipo de ficheiro de palavra-passe são consistentes  Quando configura o daemon Sincronização de Palavra-passe, verifique se o tipo de ficheiro de palavra-passe (especificado por USE_SHADOW) e o nome do caminho (definido como FILE_PATH) são apropriados um para o outro. Por exemplo, na maioria dos sistemas, se USE_SHADOW estiver definido como 0 (para indicar que o ficheiro passwd é utilizado para sincronização), a opção FILE_PATH deve ser definida como /etc/passwd. No entanto, se USE_SHADOW estiver definido como 1 (para indicar que o ficheiro shadow é utilizado em seu lugar), em seguida, a opção FILE_PATH deve ser definida como /etc/shadow. (Em sistemas IBM AIX, o caminho e nome do ficheiro sombra é /etc/security/passwd.)