Restringir los permisos de la carpeta de datos
La carpeta de datos del Print Server MyQ contiene datos altamente confidenciales, incluida la base de datos de usuarios y la clave privada del certificado TLS. Su ubicación actual se muestra en la aplicación MyQ Easy Config:
Todos los usuarios (locales/de dominio) tienen acceso de lectura de forma predeterminada:
Solo los administradores, el SISTEMA y la cuenta de servicio MyQ deben tener acceso a este directorio. A continuación se muestra un script por lotes de ejemplo que se puede utilizar para reforzar los permisos:
Habilitar el cifrado de la base de datos
Cifre siempre la base de datos utilizando un certificado personalizado para reducir el riesgo de fugas de datos:
El certificado debe tener el uso de clave mejorado (EKU) «Encrypting File System» y debe estar ubicado en uno de los siguientes almacenes de certificados del equipo:
-
Personal
-
Editores de confianza
-
Autoridades de certificación raíz de terceros
-
Otras personas
El almacén personal es el preferido.
Cifrar copias de seguridad
Las copias de seguridad de la base de datos deben protegerse con contraseñas seguras generadas aleatoriamente:
Habilitar el cifrado del disco
Si es posible, se debe habilitar una tecnología de cifrado completo del disco, como Microsoft BitLocker, en el Print Server MyQ para proteger los datos en reposo:
