Sécurité pour AX Serveur

Suivez les recommandations relatives à la sécurité d'AX Serveur afin de contrôler l'accès à ACL GRC Analytics Exchange et de garantir la sécurité des données d'audit sensibles.

Accès général des utilisateurs

De manière générale, nous vous recommandons d'accorder l'accès à AX Serveur au nombre minimum de comptes requis, avec le minimum de droits et d'autorisations requis.

Sécurité du compte utilisateur Windows

Compte utilisateur Windows utilisé pour exécuter le service Analytics Exchange

Utilisez un compte utilisateur d'un domaine dédié uniquement pour exécuter le compte « Service AX ». N'utilisez aucun des types de compte suivants :

un compte de domaine informatique générique
le compte d'un employé individuel
les comptes utilisateur locaux et le compte LocalSystem

Remarque

Le compte utilisateur de domaine dédié que vous spécifiez requiert l'accès au contrôleur de domaine Active Directory afin d'authentifier les utilisateurs qui se connectent à ACL GRC Analytics Exchange. Si le compte que vous spécifiez utilise un mot de passe qui expire, assurez-vous qu'un processus est mis en place pour garder le mot de passe à jour.

Compte utilisateur Windows utilisé pour exécuter le Nœud moteur AX

Utilisez le même compte utilisateur de domaine que vous utilisez pour exécuter le service Analytics Exchange.

Les autorisations requises pour exécuter le Nœud moteur d'AX et le service Analytics Exchange sont les mêmes. Si vous utilisez le même compte pour les deux, cela signifie que vous devez suivre uniquement un compte.

Comptes utilisateur Windows individuels

Gérez les droits et les autorisations des utilisateurs sur AX Serveur en ajoutant tout d'abord les comptes utilisateur individuels à un groupe d'utilisateurs Windows. Lorsque vous accordez des droits et des autorisations sur AX Serveur pour les comptes utilisateur individuels, deux options liées aux groupes d'utilisateurs s'offrent à vous :

créer un groupe d'utilisateurs de domaine essentiellement pour les utilisateurs d'AX Client
ajouter les utilisateurs d'AX Client au groupe « Utilisateurs » local d'AX Serveur

Remarque

La première option est plus sûre, car :

elle vous permet de spécifier les autorisations de dossier de préfixe au niveau des utilisateurs individuels, ce qui empêche les utilisateurs d'accéder aux fichiers de données des autres utilisateurs.
les mises à jour suivantes peuvent s'effectuer dans Active Directory, plutôt qu'en demandant l'accès au serveur hébergeant AX Serveur.

Les droits de connexion et les autorisations de dossier de chaque type de groupe sont spécifiés dans les sections qui suivent.

Tentatives de connexion

Ne désactivez pas la limitation des connexions pour les tentatives de connexion administrateur ou utilisateur d'AX Serveur. Pour atténuer le risque de tentatives en force brute au décodage du mot de passe, ACL GRC Analytics Exchange active la limitation de connexion par défaut :

Utilisateurs après deux échecs de connexion, l'utilisateur est verrouillé pendant trois secondes.
Ces valeurs par défaut peuvent être modifiées dans le fichier de configuration deployerConfigContext.xml.
Administrateurs après cinq échecs de connexion, l'utilisateur est verrouillé pendant dix secondes.
Ces valeurs par défaut peuvent être modifiées dans le fichier de configuration admin-security.xml.

Paramètres d'expiration d'AX Client

Par défaut, AX Client expire après 30 minutes d'inactivité. Pour configurer une durée d'inactivité maximum différente pour AX Client, mettez à jour les paramètres dans le fichier de configuration aclAuditExchange.xml. Pour plus d'informations, consultez la section aclAuditExchange.xml.

Remarque

Si l'application effectue une importation ou exportation volumineuse et que la durée de traitement dépasse le délai d'expiration, le compteur du délai d'expiration démarrera après le traitement. L'importation ou l'exportation n'échoue pas suite au paramètre de durée d'inactivité maximale.

Si une boîte de dialogue n'ayant aucun lien avec l'importation et l'exportation de fichiers est ouverte lorsque le délai arrive à expiration, l'application et toutes les boîtes de dialogue qui lui sont associées se ferment.

Informations d'installation sensibles

Sécurisez toute information sensible en rapport avec votre installation d'AX Serveur. Pendant le processus d'installation, si vous avez créé des fichiers contenant des informations sensibles comme des informations d'identification de compte ou des paramètres de configuration, vous devez stocker ces fichiers dans un emplacement sécurisé.

Restrictions concernant les IP de configuration de serveur

Les pages Configuration du serveur exigent une authentification avec un nom d'utilisateur et un mot de passe d'administrateur :

/manager
/aclconfig

Vous pouvez accroître la sécurité de ces pages en limitant l'accès à ces pages à un sous-ensemble d'adresses IP.

Remarque

Si vous limitez l'accès à votre localhost, vous devez saisir 127.0.0.1 dans l'adresse de votre navigateur lorsque vous accédez aux pages de configuration.

Pour limiter l'accès à ces pages, ajoutez les fichiers suivants au répertoire ACL\App\Tomcat\conf\Catalina\localhost et spécifiez les adresses IP de requêtes autorisées dans une liste séparée par des virgules :

manager.xml : limite l'accès à la page /manager :

<Context path="/manager" debug="0" privileged="true">   
  <!-- Limite l'accès à localhost. -->   
  <!-- Les serveurs autorisés doivent être ajoutés dans une liste séparée par des virgules -->   
  <Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="127.0.0.1"/>
</Contexte>

aclconfig.xml : limite l'accès à la page /aclconfig :

<Context path="/aclconfig" debug="0" privileged="true">   
  <!-- Limite l'accès à localhost. -->   
  <!-- Les serveurs autorisés doivent être ajoutés dans une liste séparée par des virgules -->   
  <Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="127.0.0.1"/>
</Contexte>

Remarque

Pour annuler cette modification et supprimer les restrictions IP, vous devez sauvegarder votre répertoire ACL\App\Tomcat\webapps\manager, arrêter le service Tomcat, puis supprimer les fichiers que vous avez ajoutés à ACL\App\Tomcat\conf\Catalina\localhost. Une fois que vous avez suivi ces étapes, écrasez votre dossier manager avec la sauvegarde, puis redémarrez le service.

Droits de connexion aux comptes

Le tableau suivant décrit les droits de connexion nécessaires pour les comptes qui nécessitent un accès à AX Serveur. N'accordez aucun droit de connexion à un compte au-delà de ce qui est spécifié ci-dessous. Les droits de connexion sont spécifiés dans la zone Attribution des droits utilisateurs de la stratégie de sécurité de Windows.

La restriction des droits de connexion diminue le risque que quelqu'un obtienne un accès non autorisé à AX Serveur.

Droits de connexion aux comptes

Droit de connexion	Compte de Service AX (y compris tous les nœuds moteur)	Compte PostgreSQL (non applicable si le serveur de base de données est Oracle)	Compte du groupe d'utilisateurs AX (groupe d'utilisateurs Windows pour le Client AX, le Client Web d'AX et les compléments AX)	Compte de connecteur AX (utilisateurs ACL Analytics)
Autoriser la connexion locale	Non	Non	Non	Non Remarque S'il vous faut une connexion à SQL Server à l'aide d'un profil de base de données, Autoriser la connexion locale est requis.
Refuser la connexion locale	Oui (doit être affecté manuellement)	Oui (doit être affecté manuellement)	Oui (doit être affecté manuellement)	Non
Se connecter en tant que service	Oui (affecté automatiquement par le programme d'installation AX)	Oui (affecté automatiquement par le programme d'installation AX)	Non	Non

Droit de connexion

Compte de Service AX

(y compris tous les nœuds moteur)

Compte PostgreSQL

(non applicable si le serveur de base de données est Oracle)

Compte du groupe d'utilisateurs AX

(groupe d'utilisateurs Windows pour le Client AX, le Client Web d'AX et les compléments AX)

Compte de connecteur AX

(utilisateurs ACL Analytics)

Autoriser la connexion locale

Non

Remarque

S'il vous faut une connexion à SQL Server à l'aide d'un profil de base de données, Autoriser la connexion locale est requis.

Refuser la connexion locale

Oui

(doit être affecté manuellement)

Oui

(doit être affecté manuellement)

Oui

(doit être affecté manuellement)

Non

Se connecter en tant que service

Oui

(affecté automatiquement par le programme d'installation AX)

Oui

(affecté automatiquement par le programme d'installation AX)

Non

Autorisations de dossier

Attention

N'attribuez pas d'autorisations de groupes d'utilisateurs ou d'utilisateurs individuels à tout le répertoire « ACL » sur AX Serveur ou aux répertoires du système d'exploitation d'AX Serveur. Ce type de configuration crée un risque de sécurité majeur et n'est pas recommandé.

Le tableau qui suit décrit les autorisations de dossier que vous devez accorder aux comptes qui nécessitent un accès à AX Serveur. N'accordez aucune autorisation de dossier à un compte au-delà de ce qui est spécifié ci-dessous.

Limiter l'accès aux dossiers aux seuls comptes et aux seuls dossiers requis diminue le risque que quelqu'un obtienne un accès non autorisé à AX Serveur. Cela empêche également qu'un script ACL accède aux fichiers ou les modifie en dehors des dossiers appropriés.

Autorisations pour le dossier d'AX Serveur

Dossier sur AX Serveur	Compte de Service AX (y compris tous les nœuds moteur)	Compte PostgreSQL (non applicable si le serveur de base de données est Oracle)	Compte du groupe d'utilisateurs AX (groupe d'utilisateurs Windows pour le Client AX, le Client Web d'AX et les compléments AX)	Compte de connecteur AX (utilisateurs ACL Analytics)
ACL\App	Lecture Écriture	Pas d'autorisations	Pas d'autorisations	Pas d'autorisations
ACL\App\analytic_engine\aclse\conf (le dossier de configuration de Connecteur AX)	Lecture Écriture	Pas d'autorisations	Pas d'autorisations	Lecture
ACL\App\TomCat\conf (le dossier de configuration pour le serveur d'application TomEE) Ce sous-répertoire contient les fichiers de configuration qui contrôlent la fonctionnalité d'ACL GRC Analytics Exchange. Après l'installation d'AX Serveur, il se peut que les fichiers de configuration contiennent des informations sensibles comme des informations d'identification hachées et des noms d'hôte.	Lecture Écriture	Pas d'autorisations	Pas d'autorisations	Pas d'autorisations
ACL\Data	Lecture Écriture	Pas d'autorisations	Pas d'autorisations	Pas d'autorisations
ACL\Data\aclse\<nom de l'utilisateur> (si vous utilisez un groupe d'utilisateurs de domaine pour les utilisateurs AX)	Lecture Écriture	Pas d'autorisations	Pas d'autorisations	Contrôle total des utilisateurs pour leur propre sous-répertoire
ACL\Data\aclse (si vous utilisez le groupe « Utilisateurs » local d'AX Serveur pour les utilisateurs AX)	Lecture Écriture	Pas d'autorisations	Pas d'autorisations	Contrôle total si pas sécurisé Aucune autorisation si sécurisé
ACL\Data\jobs	Contrôle total	Pas d'autorisations	Pas d'autorisations	Pas d'autorisations
ACL\Data\savedfailedjobs	Contrôle total	Pas d'autorisations	Pas d'autorisations	Pas d'autorisations
ACL\Data\repository	Lecture Écriture	Pas d'autorisations	Pas d'autorisations	Lecture
ACL\Data\repository\datafiles (contient les fichiers de données source stockés dans ACL GRC Analytics Exchange)	Lecture Écriture	Pas d'autorisations	Pas d'autorisations	Lecture
ACL\Data\repository\upload	Lecture Écriture	Pas d'autorisations	Pas d'autorisations	Lecture
dossier de fichiers de données partagé (si vous utilisez un nœud moteur ou un serveur de fichiers de données différent)	Lecture Écriture	Pas d'autorisations	Pas d'autorisations	Lecture
répertoire d'archivage et de restauration des données	Lecture Écriture	Pas d'autorisations	Pas d'autorisations	Pas d'autorisations

[ Retour au début ]