> Tech > Limitations de la sécurité par interface

Limitations de la sécurité par interface

Tech - Par iTPro - Publié le 24 juin 2010
email

La sécurité par menu limite les utilisateurs aux choix de menus fournis par l'application, permettant à  l'utilisateur d'exécuter des programmes qui affichent et modifient des données de production. Les applications de production comportent souvent des dispositifs qui limitent les modifications que les utilisateurs peuvent effectuer. Des contrôles d'application classiques limitent

le type et la taille des transactions
que les utilisateurs peuvent effectuer
– par exemple, empêcher le transfert
de grosses sommes d’argent ou ne
laisser voir à  un utilisateur que certaines
sections des données de production.

La sécurité par menu empêche la
plupart des utilisateurs d’entrer des
commandes iSeries parce que
LMTCPB(*YES) figure dans leurs profils
utilisateur. Si un utilisateur appartient
à  un profil de groupe qui possède
des objets de production, il faut l’empêcher
d’accéder aux commandes
iSeries. Si un utilisateur a l’autorité de
propriété de la part de son profil de
groupe et la possibilité ligne de commande,
il peut parfaitement modifier
ou supprimer des données de production.

Quand un utilisateur a des droits
sur des objets de production, il ne suffit
pas de restreindre la ligne de commande.
Un utilisateur de PC qui n’a pas
d’accès par ligne de commande et un
profil utilisateur avec LMTCPB(*YES)
peut néanmoins associer des lecteurs
de réseau ou utiliser Operations Navigator pour supprimer, retirer ou
renommer des objets OS/400, par un
simple pointer et cliquer. Les utilisateurs
de Client Access PC5250 et
d’autres émulateurs de terminaux
Windows ont des icônes sur leur PC
qui simplifient et encouragent l’utilisation
des opérations de transfert de fichiers.

Outre les transferts de fichiers, les
utilisateurs de PC peuvent émettre des
commandes iSeries en utilisant le programme
Client Access RMTCMD
(Remote Command). Quand les utilisateurs
émettent des commandes
OS/400 en utilisant RMTCMD, le profil
utilisateur LMTCPB(*YES) ne restreint
pas l’entrée des fonctions de commandes
CL. Si les utilisateurs ont le
droit d’accéder aux données de production,
les opérations de transfert de
fichiers ou les commandes CL fonctionneront.

Certaines installations tentent de
restreindre l’utilisation de ces interfaces
PC Client Access en ne chargeant
pas les programmes PC sur les PC des
utilisateurs. C’est une bonne première
ligne de défense qui, malheureusement,
n’arrêtera pas les utilisateurs de
PC déterminés et compétents qui veulent
accéder au transfert de fichiers ou
aux commandes à  distance. Les utilisateurs
de PC peuvent obtenir des copies
des programmes PC Client Access et
les exécuter à  partir d’une disquette. La
protection complète n’est pas non plus
assurée par l’installation d’ordinateurs
en réseau ou de stations de travail sans
disque : un utilisateur peut accéder par
commutation à  partir d’un PC étoffé.

Dans « ordinateur personnel », l’adjectif
« personnel » signifie que chacun
peut personnaliser son PC en fonction
de ses besoins, et donc la plupart des
tentatives de restriction des programmes
PC sont forcément limitées.
Pour restreindre les utilisateurs de PC,
il faut appliquer le contrôle sur
l’OS/400, pas sur le PC.

Téléchargez gratuitement cette ressource

Comment sécuriser la Digital Workplace ?

Comment sécuriser la Digital Workplace ?

Avec le recours généralisé au télétravail, les entreprises ont ouvert davantage leur SI. En dépit des précautions prises, elles ont mécaniquement élargi leur surface d’exposition aux risques. Découvrez 5 axes à ne pas négliger dans ce Top 5 Sécurité du Télétravail.

Tech - Par iTPro - Publié le 24 juin 2010