lunes, 10 de mayo de 2010

Desactivar usuarios con contraseña por omision

Para evitar accesos indeseados a nuestros sistemas es una norma básica no utilizar la contraseña por omisión al crear el usuario y que habitualmente es igual al nombre del perfil, ya que cualquier usuario con unos conocimientos muy básicos del sistema podría acceder a nuestro sistema.

Para saber cual es nuestra situación actual podemos analizar las contraseñas actuales con una herramienta del sistema:
  • Ir al menú GO SECTOOLS.
  • Seleccionar la opción "1. Analyze default passwords" (mandato ANZDFTPWD), en este mandato podemos seleccionar varias opciones:
  1. *NONE: Solo imprime el listado de usuarios con contraseña igual al perfil
  2. *DISABLE: Desactiva el usuario
  3. *PWDEXP: Caduca la contraseña del usuario para forzar su cambio en el próximo inicio de sesión.
  • Para evaluar nuestro estado es recomendable utilizar el valor *NONE.
  • Podemos someterlo ya que puede tardar algunos minutos:
  • SBMJOB CMD(ANZDFTPWD ACTION(*NONE)) JOB(ANZDFTPWD)
  • Después analizaremos el resultado del listado y actuaremos en consecuencia.
  • Si nosotros no controlamos la creación de los usuarios, podemos planificar la ejecución de este mandato pero con la opción de *DISABLE o *PWDEXP:
  • ADDJOBSCDE JOB(ANZDFTPWD) CMD(ANZDFTPWD ACTION(*DISABLE)) FRQ(*MONTHLY) SCDDATE(*MONTHEND) SCDDAY(*NONE) JOBQ(*LIBL/QSYSNOMAX) TEXT('Desactiva usuarios con contraseña por omisión')
  • En este caso hemos optado por desactivar automáticamente y mensualmente los usuarios con la contraseña igual al perfil, pero podríamos haber optado por caducarla y forzar su cambio.
  • Es aconsejable hacer estas acciones con el perfil de usuario QSECOFR.
Otra acción recomendable es cambiar el mandato para crear perfiles de usuario (CRTUSRPRF) para que, por omisión, la contraseña sea igual a *NONE, con lo que después de crear un usuario no tendría contraseña y no podría conectarse al sistema:
  • CHGCMDDFT CMD(QSYS/CRTUSRPRF) NEWDFT('PASSWORD(*NONE)')
 Después manualmente le asignaríamos una contraseña que cumpla las políticas y ademas forzaríamos su caducidad en el primer inicio de sesión, para que el usuario la cambie a la que le parezca mejor:
  • CHGUSRPRF USRPRF(New_User) PASSWORD(krl2_lt5vz) PWDEXP(*YES)
    Publicar un comentario en la entrada