Советы и рекомендации

  • Установите службу синхронизации паролей на подходящих контроллерах домена. Чтобы обеспечить согласованную синхронизацию паролей в домене с паролями UNIX, служба синхронизации паролей должна быть установлена на основном контроллере домена (а в домене под управлением Windows 2000 - на всех контроллерах).

    • При добавлении контроллера в домен необходимо как можно скорее установить службу синхронизации паролей на новом контроллере и настроить ее в соответствии с другими контроллерами домена.

    • Чтобы удалить службу синхронизации паролей с контроллера домена, необходимо сначала понизить роль сервера до рядового сервера.

  • Обеспечьте согласованное использование политик паролей. При использовании только односторонней синхронизации паролей убедитесь, что политика паролей компьютера, с которого будет выполняться синхронизация, имеет по крайней мере такие же ограничения, как и политика компьютера, на который выполняется синхронизация. Например, при настройке синхронизации из Windows в UNIX политика паролей Windows должна иметь по крайней мере такие же ограничения, как и политика компьютеров UNIX, с которыми выполняется синхронизация паролей. При использовании двусторонней синхронизации политики паролей должны иметь аналогичные ограничения в обеих системах. Несогласованные политики паролей могут привести к ошибке синхронизации при изменении пользователем пароля в системе с меньшими ограничениями; или же пароль может быть изменен в системе с меньшими ограничениями, даже если это не соответствует системным политикам.

    Убедитесь, что пользователи Windows осведомлены обо всех особых ограничениях паролей, используемых в системах UNIX, с которыми будут синхронизироваться пароли. Например, в некоторых версиях ОС UNIX не поддерживаются пароли, длина которых превышает восемь символов. Для максимальной совместимости с политикой паролей Windows по умолчанию и с этими ограничениями длина паролей не должна превышать семи или восьми символов, за исключением тех случаев, когда все системы UNIX поддерживают использование более длинных паролей.

  • Настройте синхронизацию паролей таким образом, чтобы обеспечить максимальную защиту паролей пользователей.

    Чтобы обеспечить оптимальный уровень безопасности, следуйте приведенным ниже рекомендациям.

    • Явно указывайте пользователей, чьи пароли должны синхронизироваться. Для обеспечения максимального контроля над тем, какие пользователи могут синхронизировать пароли, не используйте со списком SYNC_USERS ключевое слово ALL в файле sso.conf на компьютере UNIX. Вместо этого нужно явно указать всех пользователей, которым разрешено (или запрещено) синхронизировать пароли. На компьютере Windows со службой синхронизации паролей создайте группу PasswordPropAllow и добавьте в нее учетные записи пользователей, чьи пароли должны синхронизироваться. Дополнительные сведения см. в разделе Управление синхронизацией паролей для учетных записей пользователей.

    • Не выполняйте синхронизацию паролей для отключенных учетных записей UNIX. В некоторых версиях ОС UNIX изменение пароля отключенной учетной записи пользователя приводит к ее активации. Следовательно, если пользователь отключил учетную запись на компьютере UNIX, который настроен для синхронизации паролей с компьютером Windows, пользователь или администратор может активировать эту учетную запись, изменив пароль пользователя Windows. Чтобы этого не допустить, заблокируйте синхронизацию для отключенных учетных записей UNIX с помощью группы PasswordPropDeny.

      Помимо этого, если учетная запись UNIX отключается администратором, ему следует использовать в файле sso.conf запись SYNC_USERS, чтобы блокировать синхронизацию паролей для этой учетной записи.

    • Избегайте синхронизации паролей администратора. Не выполняйте синхронизацию паролей для членов группы «Администраторы» в Windows либо для учетных записей superuser или root в UNIX.

    • Выполните проверку совместимости Windows Server 2003 с пакетом обновления 1 (SP1) при включении параметра Синхронизация паролей от Windows к NIS (Active Directory) в диалоговом окне Свойства: синхронизация паролей на вкладке Конфигурация. Чтобы защитить пароли пользователей на предприятии, настоятельно рекомендуется настроить синхронизацию паролей для выявления всех контроллеров домена в лесу, на которых не установлен Windows Server 2003 с пакетом обновления 1 (SP1) или более поздние выпуски.

      Если в области Синхронизация паролей от Windows к NIS (Active Directory) выбран переключатель Задействовать, служба синхронизации паролей выдаст запрос разрешить проверку совместимости. Установка Windows Server 2003 с пакетом обновления 1 (SP1) или более позднего выпуска на всех контроллерах домена в лесу существенно снижает риск доступа злоумышленников к хэшам паролей. Если Windows Server 2003 с пакетом обновления 1 (SP1) не является минимальным функциональным уровнем всех контроллеров домена в лесу, любой прошедший проверку в домене пользователь может просмотреть хэш пароля любого пользователя UNIX, чей пароль был перенесен в Службы домена Active Directory (Доменные службы Active Directory).

      В случае взлома злоумышленником хэша пароля учетной записи пользователя UNIX в Доменные службы Active Directory пароль Windows для этой учетной записи больше не является защищенным.

Если установлена служба синхронизации паролей, члены локальных групп «Администраторы» и «Администраторы домена» добавляются в группу PasswordPropDeny, что предотвращает синхронизацию их паролей. При добавлении пользователя в любую из этих групп его также следует добавить в группу PasswordPropDeny.

Измените инструкцию SYNC_USERS в файле sso.conf на всех системах UNIX, чтобы запретить синхронизацию паролей суперпользователей.

  • Не используйте номер порта и ключ шифрования по умолчанию. Сохранение номера порта и ключа шифрования по умолчанию предоставляет злоумышленникам возможность настроить поддельный узел UNIX и получить пароли. Уделяйте сохранности номера порта и ключей шифрования такое же внимание, как и сохранности самих паролей.

  • Обеспечьте защиту файла sso.conf. На каждом узле UNIX файл sso.conf содержит важные сведения о конфигурации, которые могут быть использованы для нарушения безопасности. Рекомендуемое значение для битовой маски режима этого файла - 600.

  • Обеспечьте надежную защиту каталога, определяемого параметром TEMP_FILE_PATH. Временные файлы, создаваемые на узлах UNIX при синхронизации паролей, содержат сведения, которыми могут воспользоваться злоумышленники для нарушения безопасности системы. Поэтому для всех каталогов, указанных параметром TEMP_FILE_PATH в файле sso.conf, должен быть разрешен доступ на чтение только для учетной записи root и запрещен всем остальным пользователям.

  • Обеспечьте надежную защиту файлов журнала. На узлах UNIX служба синхронизации паролей использует управляющую программу syslogd, которая записывает в журнал сообщения, полученные в результате синхронизации. В этих журналах указаны имена пользователей, чьи пароли синхронизируются, компьютеры, с которыми выполняется синхронизация, ошибки распространения и прочие данные. Доступ к этим файлам журнала должны иметь только администраторы.

  • Перезапустите управляющую программу синхронизации паролей после изменения настроек. После внесения изменений в файл конфигурации (sso.conf) управляющей программы синхронизации паролей ее необходимо остановить и перезапустить, чтобы изменения вступили в силу.

  • Настройте системы для правильной обработки регистра символов в именах пользователей. Если не используется специальный параметр политики, проверяющий совпадение правописания и регистра букв в именах пользователей Windows и UNIX, убедитесь, что в файле sso.conf для параметра CASE_IGNORE_NAME указано значение 1 (используется по умолчанию). Имена пользователей UNIX чувствительны к регистру, поэтому пароли могут синхронизироваться неправильно, если имена пользователей не совпадают полностью. Это происходит из-за того, что управляющая программа синхронизации паролей не может связать имя пользователя Windows с соответствующим именем пользователя UNIX.

  • Убедитесь в согласованности типа и имени файла пароля. При настройке управляющей программы синхронизации паролей убедитесь, что тип файла пароля (заданный в параметре USE_SHADOW) и путь (заданный в параметре FILE_PATH) соответствуют друг к другу. Например, если параметру USE_SHADOW присвоено значение 0 (то есть для синхронизации будет использоваться файл passwd), тогда для параметра FILE_PATH нужно указать значение /etc/passwd (это касается большинства систем). Если параметру USE_SHADOW присвоено значение 1 (то есть для синхронизации будет использоваться файл shadow), тогда для параметра FILE_PATH нужно указать значение /etc/shadow. (В системах IBM AIX имя файла shadow и путь к нему имеют такой вид: /etc/security/passwd.)