Berechtigungen für Datenordner einschränken
Der Datenordner von MyQ Central Server enthält hochsensible Daten, darunter die Benutzerdatenbank und den privaten Schlüssel des TLS-Zertifikats. Sein aktueller Speicherort wird in der Anwendung MyQ Central Server Easy Config angezeigt:
Alle Benutzer (lokal/Domäne) haben standardmäßig Lesezugriff:
Nur Administratoren, SYSTEM und das MyQ-Dienstkonto sollten Zugriff auf dieses Verzeichnis haben. Hier ist ein Beispiel für ein Batch-Skript, das zur Verschärfung der Berechtigungen verwendet werden kann:
@ECHO OFF
REM Fügen Sie die virtuellen Konto-SIDs zu allen MyQ Central Server-Diensten hinzu:
sc sidtype myqm_platform unrestricted
sc sidtype myqm_apache unrestricted
sc sidtype FirebirdServerMasterInstance unrestricted
REM Rechte für die virtuellen Dienstkonten gewähren:
icacls "%ProgramData%\MyQ Central Server" /grant:r "NT AUTHORITY\SYSTEM:(OI)(CI)F" /grant "BUILTIN\Administrators:(OI)(CI)F" /grant "NT SERVICE\myqm_platform:(OI)(CI)M" /grant "NT SERVICE\myqm_apache:(OI)(CI)M" /grant "NT SERVICE\FirebirdServerMasterInstance:(OI)(CI)M"
/inheritance:r /Q
Datenbankverschlüsselung aktivieren
Wenn Sie die eingebettete Datenbank verwenden, verschlüsseln Sie diese immer mit einem benutzerdefinierten Zertifikat, um das Risiko von Datenlecks zu verringern:
Das Zertifikat muss über die erweiterte Schlüsselverwendung (EKU) „Encrypting File System“ verfügen und sich in einem der folgenden Computerzertifikatspeicher befinden:
-
Persönlich
-
Vertrauenswürdige Herausgeber
-
Stammzertifizierungsstellen von Drittanbietern
-
Andere Personen
Der persönliche Speicher ist der bevorzugte Speicherort.
Backups verschlüsseln
Datenbank-Backups sollten durch sichere, zufällig generierte Passwörter geschützt werden:
Festplattenverschlüsselung aktivieren
Wenn möglich, sollte auf dem MyQ Central Server eine vollständige Festplattenverschlüsselungstechnologie wie Microsoft BitLocker aktiviert werden, um die gespeicherten Daten zu schützen:
