> Tech > Exposition No 5 : Droits spéciaux excessifs dans des profils utilisateurs

Exposition No 5 : Droits spéciaux excessifs dans des profils utilisateurs

Tech - Par iTPro - Publié le 24 juin 2010
email

  Des profils utilisateurs ont souvent des champs de droits spéciaux qui sont spécifiés pendant l'installation et la programmation. Ces droits confèrent aux utilisateurs un large accès au système. Une fois les droits spéciaux accordés, il est difficile de les éliminer sans affecter les fonctionna-lités.

  Les expositions liées aux droits spéciaux

Exposition No 5 : Droits spéciaux excessifs dans des profils utilisateurs

incluent les spécifications suivantes :
1 – *ALLOBJ permet aux utilisateurs d’accéder à  tous les objets dans le système
2 – *SPLCTL permet aux utilisateurs d’accéder à  toute la sortie spoulée (imprimée). C’est similaire à  *ALLOBJ mais l’OS/400 ne considère pas les fichiers spoule comme des objets.
3 – *SERVICE permet aux utilisateurs de se servir d’outils de service système, que l’on peut utiliser pour contourner la sécurité et afficher ou altérer des données du système.

  Pour empêcher cette exposition, il faut restreindre soigneusement le nombre d’utilisateurs dotés de droits spéciaux puissants. On peut aussi diriger la commande DSPUSRPRF (Display User Profile) vers un OUT-FILE et créer des rapports montrant quels utilisateurs ont des droits spéciaux. Il existe un problème de même nature : celui des produits tiers qui créent des profils utilisateurs avec des droits excessifs ou qui installent des objets qui adoptent les droits QSECOFR. Il faut prendre le temps de déterminer les implications sur la sécurité, des profils utilisateurs associés à  tous les packages tierce partie que l’on installe. En particulier, si un package tierce partie doit être installé comme QSECOFR, il faut y regarder à  deux fois. Il est bon de demander à  de tels fournisseurs s’ils sont prêts à  remanier leurs installeurs pour qu’ils fonctionnent sans droits sur tous les objets (all-object authority).

Téléchargez gratuitement cette ressource

Les 7 étapes d’un projet de dématérialisation RH

Les 7 étapes d’un projet de dématérialisation RH

Dans ce livre blanc, nous vous donnons les clés pour concevoir votre projet de dématérialisation RH. Vous découvrirez chacune des étapes qui vous permettront d’apporter de nouveaux services aux collaborateurs, de vous adapter aux nouvelles pratiques et de renforcer la marque employeur.

Tech - Par iTPro - Publié le 24 juin 2010