Exposition No 5 : Droits spéciaux excessifs dans des profils utilisateurs

incluent les spécifications suivantes :
1 – *ALLOBJ permet aux utilisateurs d’accéder à  tous les objets dans le système
2 – *SPLCTL permet aux utilisateurs d’accéder à  toute la sortie spoulée (imprimée). C’est similaire à  *ALLOBJ mais l’OS/400 ne considère pas les fichiers spoule comme des objets.
3 – *SERVICE permet aux utilisateurs de se servir d’outils de service système, que l’on peut utiliser pour contourner la sécurité et afficher ou altérer des données du système.

  Pour empêcher cette exposition, il faut restreindre soigneusement le nombre d’utilisateurs dotés de droits spéciaux puissants. On peut aussi diriger la commande DSPUSRPRF (Display User Profile) vers un OUT-FILE et créer des rapports montrant quels utilisateurs ont des droits spéciaux. Il existe un problème de même nature : celui des produits tiers qui créent des profils utilisateurs avec des droits excessifs ou qui installent des objets qui adoptent les droits QSECOFR. Il faut prendre le temps de déterminer les implications sur la sécurité, des profils utilisateurs associés à  tous les packages tierce partie que l’on installe. En particulier, si un package tierce partie doit être installé comme QSECOFR, il faut y regarder à  deux fois. Il est bon de demander à  de tels fournisseurs s’ils sont prêts à  remanier leurs installeurs pour qu’ils fonctionnent sans droits sur tous les objets (all-object authority).