Limitare le autorizzazioni della cartella dati
La cartella dati di MyQ Central Server contiene dati altamente sensibili, tra cui il database degli utenti e la chiave privata del certificato TLS. La sua posizione attuale è visualizzata nell'applicazione MyQ Central Server Easy Config:
Tutti gli utenti (locali/di dominio) hanno accesso in lettura per impostazione predefinita:
Solo gli amministratori, il SISTEMA e l'account di servizio MyQ dovrebbero avere accesso a questa directory. Ecco un esempio di script batch che può essere utilizzato per rafforzare le autorizzazioni:
@ECHO OFF
REM Aggiungere i SID degli account virtuali a tutti i servizi MyQ Central Server:
sc sidtype myqm_platform unrestricted
sc sidtype myqm_apache unrestricted
sc sidtype FirebirdServerMasterInstance unrestricted
REM Concedere i diritti agli account di servizio virtuali:
icacls "%ProgramData%\MyQ Central Server" /grant:r "NT AUTHORITY\SYSTEM:(OI)(CI)F" /grant "BUILTIN\Administrators:(OI)(CI)F" /grant "NT SERVICE\myqm_platform:(OI)(CI)M" /grant "NT SERVICE\myqm_apache:(OI)(CI)M" /grant "NT SERVICE\FirebirdServerMasterInstance:(OI)(CI)M"
/inheritance:r /Q
Abilita la crittografia del database
Quando si utilizza il database incorporato, crittografarlo sempre utilizzando un certificato personalizzato per ridurre il rischio di fughe di dati:
Il certificato deve avere l'uso avanzato della chiave (EKU) "Encrypting File System" e deve trovarsi in uno dei seguenti archivi di certificati del computer:
-
Personale
-
Editori attendibili
-
Autorità di certificazione radice di terze parti
-
Altre persone
L'archivio personale è quello preferibile.
Crittografare i backup
I backup del database devono essere protetti da password sicure generate in modo casuale:
Abilitare la crittografia del disco
Se possibile, è consigliabile abilitare una tecnologia di crittografia completa del disco come Microsoft BitLocker sul Central Server per proteggere i dati inattivi:
