Sécurité des données
Restreindre les droits d'accès aux dossiers de données
Le dossier de données de MyQ Central Server contient des données très sensibles, y compris la base de données des utilisateurs et la clé privée du certificat TLS. Son emplacement actuel est affiché dans l'application Easy Config de MyQ Central Server :
Tous les utilisateurs (local/domaine) ont un accès en lecture par défaut :
Seuls les administrateurs, SYSTEM et le compte de service MyQ doivent avoir accès à ce répertoire. Voici un exemple de script batch qui peut être utilisé pour renforcer les autorisations :
@ECHO OFF
REM Ajouter les SID des comptes virtuels à tous les services de MyQ Central Server :
sc sidtype myqm_platform unrestricted
sc sidtype myqm_apache unrestricted
sc sidtype FirebirdServerMasterInstance unrestricted
REM Attribuer des droits aux comptes de service virtuel :
icacls "%ProgramData%\MyQ Central Server" /grant:r "NT AUTHORITY\SYSTEM :(OI)(CI)F" /grant "BUILTIN\Administrators :(OI)(CI)F" /grant "NT SERVICE\myqm_platform :(OI)(CI)M" /grant "NT SERVICE\myqm_apache :(OI)(CI)M" /grant "NT SERVICE\FirebirdServerMasterInstance :(OI)(CI)M"
/héritage:r /Q
Activer le cryptage de la base de données
Lorsque vous utilisez la base de données intégrée, cryptez-la toujours à l'aide d'un certificat personnalisé afin de réduire le risque de fuite de données :
Le certificat doit avoir l'utilisation de la clé améliorée (EKU) "Encrypting File System" et doit se trouver dans l'un des magasins de certificats d'ordinateur suivants :
Personnel
Éditeurs de confiance
Autorités de certification racine tierces
Autres personnes
Le magasin personnel est la solution préférée.
Cryptage des sauvegardes
Les sauvegardes de bases de données doivent être protégées par des mots de passe sécurisés et générés de manière aléatoire :
Activer le cryptage des disques
Si possible, une technologie de cryptage de disque complet comme Microsoft BitLocker doit être activée sur le MyQ Central Server pour protéger les données au repos :
