viernes, 26 de abril de 2013

Cambiar contraseñas conocidas

El sistema operativo viene con algunos usuarios genéricos ya instalados y cuya contraseña es igual al nombre del perfil de usuario.
Para evitar accesos no controlados con estos usuarios a nuestros sistemas es altamente, yo diría imprescindible  cambiar la contraseña de dichos usuarios inmediatamente después de instalar el sistema operativo. Los perfiles de usuario más conocidos son QSECOFR, QSYSOPR y QPGMR, debemos asignarles una contraseña, que sea difícil de adivinar y fácil de recordar. Podéis ver mi entrada "La clave de las claves" con ideas de que contraseña elegir.
Por otra parte existen otros usuarios que no son tan conocidos pero que debemos evitar se usen sin nuestro conocimiento, estos usuarios son QUSER, QSRV y QSRVBAS. Lo más recomendable para estos perfiles es cambiar la contraseña a *NONE, con este cambio impedimos que se puedan conectar al sistema usándolos  Tened mucho cuidado en deshabilitarlos ya que, por ejemplo el perfil QUSER, debe estar activo ya que se usa en muchos trabajos de sistema, que dan servicio a otros usuarios, por ejemplo las conexiones ODBC en los trabajos QZDASOINIT.
También se deberían cambiar las contraseñas de los usuarios de servicios de la DST.

Ademas es altamente recomendable:
- Tener el nivel de seguridad del sistema (valor de sistema QSECURITY) con un valor de 30 como mínimo, 40 como recomendable o superior. ver entrada "Configurar seguridad del sistema"
- Duplicar el perfil de usuario QSECOFR, como QSECOFR2 para, por si alguna razón alguien nos bloquea QSECOFR, con ese usuario podamos entrar y poder habilitarlo de nuevo.
- Cambiar todos los perfiles de usuario que tengan como contraseña igual al nombre de perfil, ver entrada "Desactivar usuarios con contraseña por omisión".
- Los perfiles de usuarios que uséis como perfiles de grupo recomiendo cambiarlos a contraseña *NONE, en mi opinión deberían como contenedores de perfiles de usuarios, para asignar más fácilmente permisos a los objetos creados.

En el IBM Information Center tenéis una explicación más amplia de este tema: Changing known passwords

No hay comentarios: