Restringir los permisos de la carpeta de datos
La carpeta de datos de MyQ Central Server contiene datos altamente confidenciales, incluida la base de datos de usuarios y la clave privada del certificado TLS. Su ubicación actual se muestra en la aplicación MyQ Central Server Easy Config:
Todos los usuarios (locales/de dominio) tienen acceso de lectura de forma predeterminada:
Solo los administradores, el SISTEMA y la cuenta de servicio MyQ deben tener acceso a este directorio. A continuación se muestra un script por lotes de ejemplo que se puede utilizar para reforzar los permisos:
@ECHO OFF
REM Añadir los SID de las cuentas virtuales a todos los servicios de MyQ Central Server:
sc sidtype myqm_platform unrestricted
sc sidtype myqm_apache unrestricted
sc sidtype FirebirdServerMasterInstance unrestricted
REM Conceder derechos a las cuentas de servicio virtuales:
icacls "%ProgramData%\Central Server" /grant:r "NT AUTHORITY\SYSTEM:(OI)(CI)F" /grant "BUILTIN\Administrators:(OI)(CI)F" /grant "NT SERVICE\myqm_platform:(OI)(CI)M" /grant "NT SERVICE\myqm_apache:(OI)(CI)M" /grant "NT SERVICE\FirebirdServerMasterInstance:(OI)(CI)M"
/inheritance:r /Q
Habilitar el cifrado de la base de datos
Cuando utilice la base de datos integrada, cifre siempre con un certificado personalizado para reducir el riesgo de fugas de datos:
El certificado debe tener el uso de clave mejorado (EKU) «Encrypting File System» y debe estar ubicado en uno de los siguientes almacenes de certificados del equipo:
-
Personal
-
Editores de confianza
-
Autoridades de certificación raíz de terceros
-
Otras personas
El almacén personal es el preferido.
Cifrar copias de seguridad
Las copias de seguridad de la base de datos deben protegerse con contraseñas seguras generadas aleatoriamente:
Habilitar el cifrado del disco
Si es posible, se debe habilitar una tecnología de cifrado completo del disco, como Microsoft BitLocker, en el Central Server MyQ para proteger los datos en reposo:
