Restreindre les autorisations d'accès au dossier de données
Le dossier de données de MyQ Central Server contient des données hautement sensibles, notamment la base de données des utilisateurs et la clé privée du certificat TLS. Son emplacement actuel est affiché dans l'application MyQ Central Server Easy Config :
Tous les utilisateurs (locaux/du domaine) ont un accès en lecture par défaut :
Seuls les administrateurs, le SYSTÈME et le compte de service MyQ doivent avoir accès à ce répertoire. Voici un exemple de script batch qui peut être utilisé pour renforcer les autorisations :
@ECHO OFF
REM Ajouter les SID des comptes virtuels à tous les services MyQ Central Server :
sc sidtype myqm_platform unrestricted
sc sidtype myqm_apache unrestricted
sc sidtype FirebirdServerMasterInstance unrestricted
REM Accorder des droits aux comptes de service virtuels :
icacls "%ProgramData%\MyQ Central Server" /grant:r "NT AUTHORITY\SYSTEM:(OI)(CI)F" /grant "BUILTIN\Administrators:(OI)(CI)F" /grant "NT SERVICE\myqm_platform:(OI)(CI)M" /grant "NT SERVICE\myqm_apache:(OI)(CI)M" /grant "NT SERVICE\FirebirdServerMasterInstance:(OI)(CI)M"
/inheritance:r /Q
Activer le chiffrement de la base de données
Lorsque vous utilisez la base de données intégrée, cryptez-la toujours à l'aide d'un certificat personnalisé afin de réduire le risque de fuite de données :
Le certificat doit disposer de l'utilisation de clé améliorée (EKU) « Encrypting File System » et se trouver dans l'un des magasins de certificats informatiques suivants :
-
Personnel
-
Éditeurs de confiance
-
Autorités de certification racine tierces
-
Autres personnes
Le magasin personnel est le plus recommandé.
Chiffrer les sauvegardes
Les sauvegardes de bases de données doivent être protégées par des mots de passe sécurisés générés de manière aléatoire :
Activer le chiffrement du disque
Si possible, une technologie de chiffrement complet du disque telle que Microsoft BitLocker doit être activée sur le Central Server MyQ afin de protéger les données au repos :
