Советы и рекомендации
- Установите службу синхронизации паролей на
подходящих контроллерах домена. Чтобы обеспечить
согласованную синхронизацию паролей в домене с паролями UNIX,
служба синхронизации паролей должна быть установлена на основном
контроллере домена (а в домене под управлением
Windows 2000 - на всех контроллерах).
- При добавлении контроллера в домен необходимо
как можно скорее установить службу синхронизации паролей на новом
контроллере и настроить ее в соответствии с другими контроллерами
домена.
- Чтобы удалить службу синхронизации паролей с
контроллера домена, необходимо сначала понизить роль сервера до
рядового сервера.
- При добавлении контроллера в домен необходимо
как можно скорее установить службу синхронизации паролей на новом
контроллере и настроить ее в соответствии с другими контроллерами
домена.
- Обеспечьте согласованное использование
политик паролей. При использовании только односторонней
синхронизации паролей убедитесь, что политика паролей компьютера, с
которого будет выполняться синхронизация, имеет по крайней мере
такие же ограничения, как и политика компьютера, на который
выполняется синхронизация. Например, при настройке синхронизации из
Windows в UNIX политика паролей Windows должна иметь по крайней
мере такие же ограничения, как и политика компьютеров UNIX, с
которыми выполняется синхронизация паролей. При использовании
двусторонней синхронизации политики паролей должны иметь
аналогичные ограничения в обеих системах. Несогласованные политики
паролей могут привести к ошибке синхронизации при изменении
пользователем пароля в системе с меньшими ограничениями; или же
пароль может быть изменен в системе с меньшими ограничениями, даже
если это не соответствует системным политикам.
Убедитесь, что пользователи Windows осведомлены обо всех особых ограничениях паролей, используемых в системах UNIX, с которыми будут синхронизироваться пароли. Например, в некоторых версиях ОС UNIX не поддерживаются пароли, длина которых превышает восемь символов. Для максимальной совместимости с политикой паролей Windows по умолчанию и с этими ограничениями длина паролей не должна превышать семи или восьми символов, за исключением тех случаев, когда все системы UNIX поддерживают использование более длинных паролей.
- Настройте синхронизацию паролей таким
образом, чтобы обеспечить максимальную защиту паролей
пользователей.
Чтобы обеспечить оптимальный уровень безопасности, следуйте приведенным ниже рекомендациям.
- Явно указывайте пользователей, чьи пароли
должны синхронизироваться. Для обеспечения максимального
контроля над тем, какие пользователи могут синхронизировать пароли,
не используйте со списком SYNC_USERS ключевое слово ALL в файле
sso.conf на компьютере UNIX. Вместо этого нужно явно указать всех
пользователей, которым разрешено (или запрещено) синхронизировать
пароли. На компьютере Windows со службой синхронизации паролей
создайте группу PasswordPropAllow и добавьте в нее учетные записи
пользователей, чьи пароли должны синхронизироваться. Дополнительные
сведения см. в разделе Управление
синхронизацией паролей для учетных записей пользователей.
- Не выполняйте синхронизацию паролей для
отключенных учетных записей UNIX. В некоторых версиях ОС UNIX
изменение пароля отключенной учетной записи пользователя приводит к
ее активации. Следовательно, если пользователь отключил учетную
запись на компьютере UNIX, который настроен для синхронизации
паролей с компьютером Windows, пользователь или администратор может
активировать эту учетную запись, изменив пароль пользователя
Windows. Чтобы этого не допустить, заблокируйте синхронизацию для
отключенных учетных записей UNIX с помощью группы
PasswordPropDeny.
Помимо этого, если учетная запись UNIX отключается администратором, ему следует использовать в файле sso.conf запись SYNC_USERS, чтобы блокировать синхронизацию паролей для этой учетной записи.
- Избегайте синхронизации паролей
администратора. Не выполняйте синхронизацию паролей для членов
группы «Администраторы» в Windows либо для учетных записей
superuser или root в UNIX.
- Выполните проверку совместимости
Windows Server 2003 с пакетом обновления
1 (SP1) при включении параметра Синхронизация
паролей от Windows к NIS (Active Directory) в диалоговом окне
Свойства: синхронизация паролей на вкладке
Конфигурация. Чтобы защитить пароли пользователей на
предприятии, настоятельно рекомендуется настроить синхронизацию
паролей для выявления всех контроллеров домена в лесу, на которых
не установлен Windows Server 2003 с пакетом обновления
1 (SP1) или более поздние выпуски.
Если в области Синхронизация паролей от Windows к NIS (Active Directory) выбран переключатель Задействовать, служба синхронизации паролей выдаст запрос разрешить проверку совместимости. Установка Windows Server 2003 с пакетом обновления 1 (SP1) или более позднего выпуска на всех контроллерах домена в лесу существенно снижает риск доступа злоумышленников к хэшам паролей. Если Windows Server 2003 с пакетом обновления 1 (SP1) не является минимальным функциональным уровнем всех контроллеров домена в лесу, любой прошедший проверку в домене пользователь может просмотреть хэш пароля любого пользователя UNIX, чей пароль был перенесен в Службы домена Active Directory (Доменные службы Active Directory).
В случае взлома злоумышленником хэша пароля учетной записи пользователя UNIX в Доменные службы Active Directory пароль Windows для этой учетной записи больше не является защищенным.
- Явно указывайте пользователей, чьи пароли
должны синхронизироваться. Для обеспечения максимального
контроля над тем, какие пользователи могут синхронизировать пароли,
не используйте со списком SYNC_USERS ключевое слово ALL в файле
sso.conf на компьютере UNIX. Вместо этого нужно явно указать всех
пользователей, которым разрешено (или запрещено) синхронизировать
пароли. На компьютере Windows со службой синхронизации паролей
создайте группу PasswordPropAllow и добавьте в нее учетные записи
пользователей, чьи пароли должны синхронизироваться. Дополнительные
сведения см. в разделе Управление
синхронизацией паролей для учетных записей пользователей.
Если установлена служба синхронизации паролей, члены локальных групп «Администраторы» и «Администраторы домена» добавляются в группу PasswordPropDeny, что предотвращает синхронизацию их паролей. При добавлении пользователя в любую из этих групп его также следует добавить в группу PasswordPropDeny.
Измените инструкцию SYNC_USERS в файле sso.conf на всех системах UNIX, чтобы запретить синхронизацию паролей суперпользователей.
- Не используйте номер порта и ключ
шифрования по умолчанию. Сохранение номера порта и ключа
шифрования по умолчанию предоставляет злоумышленникам возможность
настроить поддельный узел UNIX и получить пароли. Уделяйте
сохранности номера порта и ключей шифрования такое же внимание, как
и сохранности самих паролей.
- Обеспечьте защиту файла sso.conf. На
каждом узле UNIX файл sso.conf содержит важные сведения о
конфигурации, которые могут быть использованы для нарушения
безопасности. Рекомендуемое значение для битовой маски режима этого
файла - 600.
- Обеспечьте надежную защиту каталога,
определяемого параметром TEMP_FILE_PATH. Временные файлы,
создаваемые на узлах UNIX при синхронизации паролей, содержат
сведения, которыми могут воспользоваться злоумышленники для
нарушения безопасности системы. Поэтому для всех каталогов,
указанных параметром TEMP_FILE_PATH в файле sso.conf, должен быть
разрешен доступ на чтение только для учетной записи root и
запрещен всем остальным пользователям.
- Обеспечьте надежную защиту файлов
журнала. На узлах UNIX служба синхронизации паролей
использует управляющую программу syslogd, которая записывает
в журнал сообщения, полученные в результате синхронизации. В этих
журналах указаны имена пользователей, чьи пароли синхронизируются,
компьютеры, с которыми выполняется синхронизация, ошибки
распространения и прочие данные. Доступ к этим файлам журнала
должны иметь только администраторы.
- Перезапустите управляющую программу
синхронизации паролей после изменения настроек. После внесения
изменений в файл конфигурации (sso.conf) управляющей программы
синхронизации паролей ее необходимо остановить и перезапустить,
чтобы изменения вступили в силу.
- Настройте системы для правильной обработки
регистра символов в именах пользователей. Если не используется
специальный параметр политики, проверяющий совпадение правописания
и регистра букв в именах пользователей Windows и UNIX, убедитесь,
что в файле sso.conf для параметра CASE_IGNORE_NAME указано
значение 1 (используется по умолчанию). Имена пользователей UNIX
чувствительны к регистру, поэтому пароли могут синхронизироваться
неправильно, если имена пользователей не совпадают полностью. Это
происходит из-за того, что управляющая программа синхронизации
паролей не может связать имя пользователя Windows с соответствующим
именем пользователя UNIX.
- Убедитесь в согласованности типа и имени
файла пароля. При настройке управляющей программы синхронизации
паролей убедитесь, что тип файла пароля (заданный в параметре
USE_SHADOW) и путь (заданный в параметре FILE_PATH) соответствуют
друг к другу. Например, если параметру USE_SHADOW присвоено
значение 0 (то есть для синхронизации будет использоваться файл
passwd), тогда для параметра FILE_PATH нужно указать значение
/etc/passwd (это касается большинства систем). Если параметру
USE_SHADOW присвоено значение 1 (то есть для синхронизации будет
использоваться файл shadow), тогда для параметра FILE_PATH нужно
указать значение /etc/shadow. (В системах IBM AIX имя файла shadow
и путь к нему имеют такой вид: /etc/security/passwd.)