Principes essentiels du kit de sécurité pour gérer des profils utilisateurs

Le risque est grand quand certains utilisateurs choisissent tout simplement
leur nom de compte comme mot de passe. La commande CL ANZDFTPWD
(Analyze Default Passwords) permet de recenser facilement les utilisateurs (figure
1) qui ont des mots de passe correspondants (un exploit si l’on considère
que l’OS/400 stocke les mots de passe en utilisant un algorithme de cryptage
unidirectionnel). En option, la commande vous permet de lancer une action
contre ces profils fautifs. Par exemple, vous pouvez désactiver de tels profils
(l’utilisateur ne pourra donc plus se connecter) ou déclarer que le mot de
passe a expiré (l’utilisateur devra donc attribuer un nouveau mot de passe lors
de la prochaine connexion).
En exécutant cette commande sur votre système, vous obtiendrez peutêtre
des résultats semblables à  ceux de la figure 1. Ici, plusieurs profils utilisateur
ont des mots de passe correspondants
et beaucoup sont activés. Dans cette
liste, le profil QSYSOPR est le plus dangereux.
En effet, un mot de passe correspondant
est activé. Sachant que n’importe
quel intrus essayant de pénétrer dans le
système essaiera très probablement de se
connecter avec les profils fournis par IBM
par défaut, tels que QSECOFR or QSYSOPR,
c’est une porte béante.
Il est donc très important de s’assurer
que rien n’apparaîtra jamais sur cette liste.
Les profils utilisateur ne devraient jamais avoir de mots de passe correspondants.
J’ai pour habitude de programmer l’exécution automatique de ce rapport
chaque semaine. A cet effet, j’ajoute une entrée au job scheduler WRKJOBSCDE
(Work with Scheduled Jobs) ou quelque autre scheduler, pour
exécuter ANZDFT-PWD avec des options sélectionnées. Par exemple

ANZFFTPWD ACTION(*PWDEXP)

exécute ce rapport et attribue automatiquement
l’état expiré à  tous les mots
de passe par défaut.