La mauvaise utilisation de la valeur système QCrtAut constitue la plus grande menace qui plane sur l'implémentation des droits publics par défaut sur un AS/400. Sans doute simplifierait-on la sécurité si elle était définie par *All à chaque fois, mais cela ne ferait que supprimer tout contrôle de l'utilisation des
Concevoir les droits publics
nouvelles bibliothèques et des nouveaux objets, chose inacceptable. Il est
donc conseillé de définir cette valeur système par *Change.
Pour implémenter efficacement les droits publics, il faut tout d’abord examiner
les bibliothèques utilisateurs et déterminer si les droits publics existants sont
ou non appropriés aux bibliothèques et aux objets. Puis il faut modifier le paramètre
CrtAut des bibliothèques pour qu’il corresponde au droit public défini sur chaque
objet créé dans chaque bibliothèque. Ceci permet de définir le droit au niveau
de la bibliothèque et non d’utiliser la valeur par défaut CrtAut(*SysVal) (valeur
qui fait référence à la valeur système QCrtAut). En règle générale, lors de la
création d’une bibliothèque, il est conseillé d’utiliser le niveau de droit donné
par l’objet bibliothèque (le paramètre Aut library) comme valeur par défaut au
paramètre CrtAut. Ceci est un bon point de départ.
On peut examiner l’exemple suivant : une bibliothèque ne contient que des objets
programmes utilitaires utilisés par plusieurs applications du système. (Programmes
de conversion de données, programmes de conversion binaire-décimale, programmes
de vérification d’objets …). Comme tous ces programmes doivent être accessibles,
il est logique de définir le paramètre CrtAut de cette bibliothèque à *Use afin
que tout nouvel objet créé ait un droit public par défaut *Use.
On peut aussi examiner l’exemple suivant : on travaille sur une bibliothèque contenant
toutes les fiches de paye et toutes les données sur les salariés. Il est alors
souhaitable de restreindre l’accès à cette bibliothèque et de le contrôler par
des profils utilisateurs ou des profils de groupe ou par une liste d’autorisation.
De même, il faudrait sans doute définir *Exclude à tout nouvel objet créé dans
cette bibliothèque sauf si le programme ou la personne qui crée cet objet lui
attribue un droit spécifique avec le paramètre Aut. Dans ce cas on modifierait
le paramètre CrtAut par la valeur *Exclude.
Le point essentiel est donc que le droit public au niveau de la bibliothèque et
le droit public sur les objets créés dans cette bibliothèque doivent être spécialement
planifiés et implémentés et non pas seulement définis par défaut via la valeur
système QCrtAut.
Téléchargez cette ressource
Les mégatendances cybersécurité et cyber protection 2024
L'évolution du paysage des menaces et les conséquences sur votre infrastructure, vos outils de contrôles de sécurité IT existants. EPP, XDR, EDR, IA, découvrez la synthèse des conseils et recommandations à appliquer dans votre organisation.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
