> Tech > Principes essentiels du kit de sécurité pour gérer des profils utilisateurs

Principes essentiels du kit de sécurité pour gérer des profils utilisateurs

Tech - Par iTPro.fr - Publié le 24 juin 2010
email

par Dan Riehl - Mis en ligne le 30/03/2005 - Publié en Mai 2004

L'OS/400 offre quelques superbes outils d'administration pour gérer les profils utilisateur. Bien qu'il y ait profusion de commandes pour gérer ces profils, j'ai choisi mes préférées que je vous conseille vivement d'ajouter à  votre kit, ou boîte à  outils, de sécurité ...

Le risque est grand quand certains utilisateurs choisissent tout simplement
leur nom de compte comme mot de passe. La commande CL ANZDFTPWD
(Analyze Default Passwords) permet de recenser facilement les utilisateurs (figure
1) qui ont des mots de passe correspondants (un exploit si l’on considère
que l’OS/400 stocke les mots de passe en utilisant un algorithme de cryptage
unidirectionnel). En option, la commande vous permet de lancer une action
contre ces profils fautifs. Par exemple, vous pouvez désactiver de tels profils
(l’utilisateur ne pourra donc plus se connecter) ou déclarer que le mot de
passe a expiré (l’utilisateur devra donc attribuer un nouveau mot de passe lors
de la prochaine connexion).
En exécutant cette commande sur votre système, vous obtiendrez peutêtre
des résultats semblables à  ceux de la figure 1. Ici, plusieurs profils utilisateur
ont des mots de passe correspondants
et beaucoup sont activés. Dans cette
liste, le profil QSYSOPR est le plus dangereux.
En effet, un mot de passe correspondant
est activé. Sachant que n’importe
quel intrus essayant de pénétrer dans le
système essaiera très probablement de se
connecter avec les profils fournis par IBM
par défaut, tels que QSECOFR or QSYSOPR,
c’est une porte béante.
Il est donc très important de s’assurer
que rien n’apparaîtra jamais sur cette liste.
Les profils utilisateur ne devraient jamais avoir de mots de passe correspondants.
J’ai pour habitude de programmer l’exécution automatique de ce rapport
chaque semaine. A cet effet, j’ajoute une entrée au job scheduler WRKJOBSCDE
(Work with Scheduled Jobs) ou quelque autre scheduler, pour
exécuter ANZDFT-PWD avec des options sélectionnées. Par exemple

ANZFFTPWD ACTION(*PWDEXP)

exécute ce rapport et attribue automatiquement
l’état expiré à  tous les mots
de passe par défaut.

Téléchargez cette ressource

Checklist de protection contre les ransomwares

Checklist de protection contre les ransomwares

Comment évaluer votre niveau de protection contre les ransomwares à la périphérie du réseau, et améliorer vos défenses notamment pour la détection des ransomwares sur les terminaux, la configuration des appareils, les stratégies de sauvegarde, les opérations de délestage... Découvrez la check list complète des facteurs clés pour améliorer immédiatement la sécurité des terminaux.

Tech - Par iTPro.fr - Publié le 24 juin 2010

A lire aussi sur le site

Revue Smart DSI

La Revue du Décideur IT