La sécurité par menu limite les utilisateurs aux choix de menus fournis par l'application, permettant à l'utilisateur d'exécuter des programmes qui affichent et modifient des données de production. Les applications de production comportent souvent des dispositifs qui limitent les modifications que les utilisateurs peuvent effectuer. Des contrôles d'application classiques limitent
Limitations de la sécurité par interface
le type et la taille des transactions
que les utilisateurs peuvent effectuer
– par exemple, empêcher le transfert
de grosses sommes d’argent ou ne
laisser voir à un utilisateur que certaines
sections des données de production.
La sécurité par menu empêche la
plupart des utilisateurs d’entrer des
commandes iSeries parce que
LMTCPB(*YES) figure dans leurs profils
utilisateur. Si un utilisateur appartient
à un profil de groupe qui possède
des objets de production, il faut l’empêcher
d’accéder aux commandes
iSeries. Si un utilisateur a l’autorité de
propriété de la part de son profil de
groupe et la possibilité ligne de commande,
il peut parfaitement modifier
ou supprimer des données de production.
Quand un utilisateur a des droits
sur des objets de production, il ne suffit
pas de restreindre la ligne de commande.
Un utilisateur de PC qui n’a pas
d’accès par ligne de commande et un
profil utilisateur avec LMTCPB(*YES)
peut néanmoins associer des lecteurs
de réseau ou utiliser Operations Navigator pour supprimer, retirer ou
renommer des objets OS/400, par un
simple pointer et cliquer. Les utilisateurs
de Client Access PC5250 et
d’autres émulateurs de terminaux
Windows ont des icônes sur leur PC
qui simplifient et encouragent l’utilisation
des opérations de transfert de fichiers.
Outre les transferts de fichiers, les
utilisateurs de PC peuvent émettre des
commandes iSeries en utilisant le programme
Client Access RMTCMD
(Remote Command). Quand les utilisateurs
émettent des commandes
OS/400 en utilisant RMTCMD, le profil
utilisateur LMTCPB(*YES) ne restreint
pas l’entrée des fonctions de commandes
CL. Si les utilisateurs ont le
droit d’accéder aux données de production,
les opérations de transfert de
fichiers ou les commandes CL fonctionneront.
Certaines installations tentent de
restreindre l’utilisation de ces interfaces
PC Client Access en ne chargeant
pas les programmes PC sur les PC des
utilisateurs. C’est une bonne première
ligne de défense qui, malheureusement,
n’arrêtera pas les utilisateurs de
PC déterminés et compétents qui veulent
accéder au transfert de fichiers ou
aux commandes à distance. Les utilisateurs
de PC peuvent obtenir des copies
des programmes PC Client Access et
les exécuter à partir d’une disquette. La
protection complète n’est pas non plus
assurée par l’installation d’ordinateurs
en réseau ou de stations de travail sans
disque : un utilisateur peut accéder par
commutation à partir d’un PC étoffé.
Dans « ordinateur personnel », l’adjectif
« personnel » signifie que chacun
peut personnaliser son PC en fonction
de ses besoins, et donc la plupart des
tentatives de restriction des programmes
PC sont forcément limitées.
Pour restreindre les utilisateurs de PC,
il faut appliquer le contrôle sur
l’OS/400, pas sur le PC.
Téléchargez cette ressource
Préparer l’entreprise aux technologies interconnectées
Avec la « quatrième révolution industrielle », les environnements hyperconnectés entraînent de nouveaux risques en matière de sécurité. Découvrez, dans ce guide Kaspersky, comment faire face à cette nouvelle ère de vulnérabilité.
Les articles les plus consultés
A travers cette chaîne
A travers ITPro
Les plus consultés sur iTPro.fr
- Teams Live Event: Kollective ou Microsoft ECDN ?
- Baromètre de la Transformation digitale 2024 en France
- Le secteur financier reste dans la ligne de mire des cyberattaquants
- CyberPatriot ®, le SOC de dernière génération de CHEOPS TECHNOLOGY
- L’IA comme levier d’évangélisation du COMEX à la cybersécurité
