Restriction des autorisations d'accès au dossier de données
Le dossier de données du Print Server MyQ contient des données hautement sensibles, notamment la base de données des utilisateurs et la clé privée du certificat TLS. Son emplacement actuel est affiché dans l'application MyQ Easy Config :
Tous les utilisateurs (locaux/du domaine) ont un accès en lecture par défaut :
Seuls les administrateurs, SYSTEM et le compte de service MyQ doivent avoir accès à ce répertoire. Voici un exemple de script batch qui peut être utilisé pour renforcer les autorisations :
Activer le chiffrement de la base de données
Cryptez toujours la base de données à l'aide d'un certificat personnalisé afin de réduire le risque de fuite de données :
Le certificat doit disposer de l'utilisation de clé améliorée (EKU) « Encrypting File System » et se trouver dans l'un des magasins de certificats informatiques suivants :
-
Personnel
-
Éditeurs de confiance
-
Autorités de certification racine tierces
-
Autres personnes
Le magasin personnel est le plus recommandé.
Chiffrer les sauvegardes
Les sauvegardes de bases de données doivent être protégées par des mots de passe sécurisés générés de manière aléatoire :
Activer le chiffrement du disque
Si possible, une technologie de chiffrement complet du disque telle que Microsoft BitLocker doit être activée sur le Print Server MyQ afin de protéger les données au repos :
