La mauvaise utilisation de la valeur système QCrtAut constitue la plus grande menace qui plane sur l'implémentation des droits publics par défaut sur un AS/400. Sans doute simplifierait-on la sécurité si elle était définie par *All à chaque fois, mais cela ne ferait que supprimer tout contrôle de l'utilisation des
Concevoir les droits publics
" title="Concevoir les droits publics">
nouvelles bibliothèques et des nouveaux objets, chose inacceptable. Il est
donc conseillé de définir cette valeur système par *Change.
Pour implémenter efficacement les droits publics, il faut tout d’abord examiner
les bibliothèques utilisateurs et déterminer si les droits publics existants sont
ou non appropriés aux bibliothèques et aux objets. Puis il faut modifier le paramètre
CrtAut des bibliothèques pour qu’il corresponde au droit public défini sur chaque
objet créé dans chaque bibliothèque. Ceci permet de définir le droit au niveau
de la bibliothèque et non d’utiliser la valeur par défaut CrtAut(*SysVal) (valeur
qui fait référence à la valeur système QCrtAut). En règle générale, lors de la
création d’une bibliothèque, il est conseillé d’utiliser le niveau de droit donné
par l’objet bibliothèque (le paramètre Aut library) comme valeur par défaut au
paramètre CrtAut. Ceci est un bon point de départ.
On peut examiner l’exemple suivant : une bibliothèque ne contient que des objets
programmes utilitaires utilisés par plusieurs applications du système. (Programmes
de conversion de données, programmes de conversion binaire-décimale, programmes
de vérification d’objets …). Comme tous ces programmes doivent être accessibles,
il est logique de définir le paramètre CrtAut de cette bibliothèque à *Use afin
que tout nouvel objet créé ait un droit public par défaut *Use.
On peut aussi examiner l’exemple suivant : on travaille sur une bibliothèque contenant
toutes les fiches de paye et toutes les données sur les salariés. Il est alors
souhaitable de restreindre l’accès à cette bibliothèque et de le contrôler par
des profils utilisateurs ou des profils de groupe ou par une liste d’autorisation.
De même, il faudrait sans doute définir *Exclude à tout nouvel objet créé dans
cette bibliothèque sauf si le programme ou la personne qui crée cet objet lui
attribue un droit spécifique avec le paramètre Aut. Dans ce cas on modifierait
le paramètre CrtAut par la valeur *Exclude.
Le point essentiel est donc que le droit public au niveau de la bibliothèque et
le droit public sur les objets créés dans cette bibliothèque doivent être spécialement
planifiés et implémentés et non pas seulement définis par défaut via la valeur
système QCrtAut.
Téléchargez cette ressource
Microsoft 365 Tenant Resilience
Face aux failles de résilience des tenants M365 (configurations, privilèges, sauvegarde). Découvrez 5 piliers pour durcir, segmenter et surveiller vos environnements afin de limiter l’impact des attaques. Prioriser vos chantiers cyber et améliorer la résilience de vos tenants Microsoft 365.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
- Cybersécurité Active Directory et les attaques de nouvelle génération
- Activer la mise en veille prolongée dans Windows 10
- Partager vos images, vidéos, musique et imprimante avec le Groupe résidentiel
- N° 2 : Il faut supporter des langues multiples dans SharePoint Portal Server
- Une baie de stockage c’est quoi ?
Les plus consultés sur iTPro.fr
- Les agents d’IA fragilisent la sécurité : pour les sécuriser, inutile de repartir de zéro
- Yampa : innovation en IA, souveraineté et sécurité au service des DSI
- Les marchés publics peuvent-ils encore faire émerger des champions numériques français ?
- ESET accélère en France et mise sur l’IA face à la montée des cybermenaces
Articles les + lus
Computex 2026 : 5 signaux forts à retenir
La chaîne d’approvisionnement, point de rupture récurent du SI
Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
Rhea1 : SiPearl allume le CPU européen le plus ambitieux pour le HPC et l’IA souveraine
Analyse Patch Tuesday Mai 2026
À la une de la chaîne Tech
- Computex 2026 : 5 signaux forts à retenir
- La chaîne d’approvisionnement, point de rupture récurent du SI
- Microsoft Build 2026 : contre-offensive des modèles maison face à OpenAI et Anthropic
- Rhea1 : SiPearl allume le CPU européen le plus ambitieux pour le HPC et l’IA souveraine
- Analyse Patch Tuesday Mai 2026
