Skip to main content
Skip table of contents

PS Sécurité des données

Restreindre les droits d'accès aux dossiers de données

Le dossier de données de MyQ Print Server contient des données très sensibles, y compris la base de données des utilisateurs et la clé privée du certificat TLS. Son emplacement actuel est affiché dans l'application MyQ Easy Config :

Data folder settings in MyQ Easy Config

Tous les utilisateurs (local/domaine) ont un accès en lecture par défaut :

Windows folder permissions

Seuls les administrateurs, SYSTEM et le compte de service MyQ doivent avoir accès à ce répertoire. Voici un exemple de script batch qui peut être utilisé pour renforcer les autorisations :

@ECHO OFF
REM Ajouter les SID des comptes virtuels à tous les services de MyQ Print Server :
sc sidtype Apache unrestricted
sc sidtype FirebirdServerDefaultInstance unrestricted
sc sidtype KNM_PM sans restriction
sc sidtype MyQ unrestricted
sc sidtype traefik non affecté

REM Attribuer des droits aux comptes de service virtuel :
icacls "%ProgramData%\MyQ" /grant:r "NT AUTHORITY\SYSTEM :(OI)(CI)F" /grant
"BUILTIN\Administrateurs :(OI)(CI)F" /subvention "NT SERVICE\MyQ :(OI)(CI)M" /subvention "NT
SERVICE\Apache :(OI)(CI)M" /grant "NT SERVICE\FirebirdServerDefaultInstance :(OI)(CI)M"
/grant "NT SERVICE\Apache :(OI)(CI)M" /grant "NT SERVICE\traefik :(OI)(CI)M" /inheritance:r
/Q

Activer le cryptage de la base de données

Cryptez toujours la base de données à l'aide d'un certificat personnalisé afin de réduire le risque de fuite de données :

Encrypting the database in MyQ Easy Config

Le certificat doit avoir l'utilisation de la clé améliorée (EKU) "Encrypting File System" et doit se trouver dans l'un des magasins de certificats informatiques suivants :

  • Personnel

  • Éditeurs de confiance

  • Autorités de certification racine tierces

  • Autres personnes

Le magasin personnel est la solution préférée.

Cryptage des sauvegardes

Les sauvegardes de bases de données doivent être protégées par des mots de passe sécurisés et générés de manière aléatoire :

Data Backup password
Activer le cryptage des disques

Si possible, une technologie de cryptage de disque complet comme Microsoft BitLocker doit être activée sur le MyQ Print Server pour protéger les données au repos :

Encrypting your Windows data
JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.

Contact Support Close