Segurança do Servidor AX
Siga as recomendações de segurança do Servidor AX para controlar o acesso ao ACL GRC Analytics Exchange e manter dados de auditoria confidenciais seguros.
Acesso geral do usuário
Como diretriz geral, você deve garantir acesso ao Servidor AX ao número mínimo necessário de contas, com o mínimo necessário de direitos e permissões.
Segurança da conta de usuário do Windows
A conta de usuário do Windows utilizada para executar o serviço Analytics Exchange
Use uma conta de usuário de domínio dedicado somente para executar a conta do "Serviço AX". Não use nenhum dos tipos de conta a seguir:
- uma conta genérica de TI do domínio
- uma conta de funcionário individual
- Contas de usuários locais e a conta LocalSystem
Nota
A conta de usuário dedicada do domínio especificada exige acesso ao controlador do domínio do Active Directory para autenticar usuários que fazem login no ACL GRC Analytics Exchange. Se a conta especificada usa uma senha que expira, não deixe de implementar um processo para manter a senha atualizada.
A conta de usuário do Windows utilizada para executar o Nó do Motor AX
Use a mesma conta de usuário de domínio usada para executar o serviço Analytics Exchange.
As permissões necessárias para executar o Nó do Motor AX e o serviço Analytics Exchange são as mesmas. Se você usar a mesma conta para os dois, terá de controlar apenas uma conta.
Contas de usuários do Windows individuais
Para gerenciar os direitos e permissões de usuários no Servidor AX, adicione primeiro contas de usuários individuais a um grupo de usuários do Windows. Na concessão de direitos e permissões do Servidor AX para contas de usuários individuais, há duas opções de grupo de usuários:
- Crie um grupo de usuários do domínio especificamente para usuários do Cliente AX
- Adicione usuários do Cliente AX ao grupo local "Usuários" do Servidor AX
Nota
A primeira opção é mais segura porque:
- permite especificar permissões de prefixo de pasta por usuário individual, evitando que usuários acessem arquivos de dados de outros usuários
- atualizações subsequentes podem ser feitas no Active Directory, em vez de exigir acesso ao servidor que hospeda o Servidor AX
Os direitos de login e as permissões de pasta para os dois tipos de grupo são especificados nas próximas seções.
Tentativas de login
Não desative o controle de login para tentativas de login do usuário ou do administrador do Servidor AX. Para reduzir o risco de tentativas de força bruta na quebra da senha, o ACL GRC Analytics Exchange ativa o controle de login por padrão:
- Usuários após duas tentativas de login malsucedidas, o usuário é bloqueado por três segundos.
Esses valores padrão podem ser alterados no arquivo de configuração deployerConfigContext.xml.
- Administradores após cinco tentativas de login malsucedidas, o usuário é bloqueado por dez segundos.
Esses valores padrão podem ser alterados no arquivo de configuração admin-security.xml.
Configurações de tempo limite de sessão
Por padrão, o Cliente AX encerra quando fica ocioso por 30 minutos. Para configurar um tempo ocioso máximo diferente para o Cliente AX, atualize as configurações no arquivo de configuração aclAuditExchange.xml. Para obter mais informações, consulte aclAuditExchange.xml.
Nota
Se o aplicativo estiver concluindo uma grande importação ou exportação com tempo de processamento que ultrapassa o tempo limite, o contador de tempo limite inicia depois da conclusão do processo. A importação ou exportação não falha por causa de uma definição de limite de tempo ocioso.
Se uma caixa de diálogo não relacionada à importação e exportação de arquivos estiver aberta após o limite de tempo, o aplicativo e todas as caixas de diálogo serão fechados.
Informações sobre instalações confidenciais
Proteja informações confidenciais relacionadas à instalação do Servidor AX. Durante o processo de instalação, se você criou qualquer arquivo que contém informações confidenciais como credenciais de conta ou definições de configuração, deve armazenar os arquivos em um local seguro.
Restrições de IP da configuração do servidor
As páginas de configuração do servidor a seguir exigem autenticação de nome de usuário e senha administrativos:
- /manager
- /aclconfig
Você pode aumentar a segurança dessas páginas limitando o acesso à página a um subconjunto de endereços IP.
Nota
Se você restringir o acesso ao localhost, deve inserir 127.0.0.1 no endereço do navegador para acessar as páginas de configuração.
Para restringir o acesso a essas páginas, adicione os seguintes arquivos ao diretório ACL\App\Tomcat\conf\Catalina\localhost e especifique os endereços IP solicitantes permitidos em uma lista delimitada por vírgulas:
-
manager.xml: restringe acesso à página /manager:
<Context path="/manager" debug="0" privileged="true"> <!-- Restringe acesso ao localhost. --> <!-- Os servidores permitidos devem ser adicionados em uma lista delimitada por vírgulas --> <Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="127.0.0.1"/> </Context>
-
aclconfig.xml: restringe o acesso à página /aclconfig:
<Context path="/aclconfig" debug="0" privileged="true"> <!-- Restringe acesso ao localhost. --> <!-- Os servidores permitidos devem ser adicionados em uma lista delimitada por vírgulas --> <Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="127.0.0.1"/> </Context>
Nota
Para desfazer essa alteração e remover as restrições de IP, é necessário fazer backup do diretório ACL\App\Tomcat\webapps\manager, interromper o serviço do Tomcat e excluir os arquivos adicionados em ACL\App\Tomcat\conf\Catalina\localhost. Após concluir essas etapas, substitua a pasta manager com o backup e reinicie o serviço.
Direitos de login na conta
A tabela a seguir descreve os direitos de login necessários para as contas que exigem acesso ao Servidor AX. Não conceda nenhum direito de login a uma conta além dos especificados abaixo. Os direitos de login são especificados na área Atribuições de direitos de usuário da política de segurança do Windows.
A restrição de direitos de login reduz o risco de que alguém obtenha acesso não autorizado ao Servidor AX.
Direitos de login na conta
|
Direito de login |
Conta do Serviço AX (incluindo todos os nós do motor) |
Conta do PostgreSQL (não se aplica se o servidor de banco de dados é Oracle) |
Conta do grupo de usuários do AX (grupo de usuários do Windows Cliente AX, Cliente Web AX e usuários de suplementos do AX) |
Conta do Conector do AX (usuários do ACL Analytics) |
|---|---|---|---|---|
|
Permitir login local |
Não |
Não |
Não |
Não Nota Se você precisar de uma conexão ao SQL Server usando um perfil de banco de dados, Permitir login local é necessário. |
|
Negar login local |
Sim (deve ser atribuído manualmente) |
Sim (deve ser atribuído manualmente) |
Sim (deve ser atribuído manualmente) |
Não |
|
Fazer logon como um serviço |
Sim (atribuída automaticamente pelo instalador do AX) |
Sim (atribuída automaticamente pelo instalador do AX) |
Não |
Não |
Permissões da pasta
Cuidado
Não conceda a usuários individuais ou a grupos de usuários permissões para todo o diretório "ACL" no Servidor AX, nem para os diretórios do sistema operacional do Servidor AX. Esse tipo de configuração cria um risco de segurança considerável e não é recomendada.
A tabela a seguir descreve as permissões de pasta necessárias para as contas que exigem acesso ao Servidor AX. Não conceda nenhuma permissão de pasta a uma conta além das especificados abaixo.
A restrição de acesso à pasta para apenas as contas e pastas necessárias reduz o risco de que alguém obtenha acesso não autorizado ao Servidor AX. Além disso, evita que um script do ACL obtenha acesso ou modifique arquivos fora das pastas adequadas.
Permissões da pasta do Servidor AX
|
Pasta no Servidor AX |
Conta do Serviço AX (incluindo todos os nós do motor) |
Conta do PostgreSQL (não se aplica se o servidor de banco de dados é Oracle) |
Conta do grupo de usuários do AX (grupo de usuários do Windows Cliente AX, Cliente Web AX e usuários de suplementos do AX) |
Conta do Conector do AX (usuários do ACL Analytics) |
|---|---|---|---|---|
|
ACL\App |
Leitura Gravação |
Sem permissão |
Sem permissão |
Sem permissão |
|
ACL\App\analytic_engine\aclse\conf (a pasta de configuração do Conector do AX) |
Leitura Gravação |
Sem permissão |
Sem permissão |
Leitura |
|
ACL\App\TomCat\conf (a pasta de configuração de servidor do aplicativo TomEE) Essa subpasta contém arquivos de configuração que controlam a funcionalidade do ACL GRC Analytics Exchange. Após a instalação do Servidor AX, os arquivos de configuração podem conter informações confidenciais, como credenciais e nomes de host no formato hash. |
Leitura Gravação |
Sem permissão |
Sem permissão |
Sem permissão |
|
ACL\Data |
Leitura Gravação |
Sem permissão |
Sem permissão |
Sem permissão |
|
ACL\Data\aclse\<nome do usuário> (se você está usando um grupo de usuários de domínio para usuários do AX) |
Leitura Gravação |
Sem permissão |
Sem permissão |
Controle total para usuários no seu próprio subdiretório |
|
ACL\Data\aclse (se você está usando o grupo local "Usuários" do Servidor AX para usuários do AX) |
Leitura Gravação |
Sem permissão |
Sem permissão |
Controle total, se não seguro Sem permissão, se seguro |
|
ACL\Data\jobs |
Controle total |
Sem permissão |
Sem permissão |
Sem permissão |
|
ACL\Data\savedfailedjobs |
Controle total |
Sem permissão |
Sem permissão |
Sem permissão |
|
ACL\Data\repository |
Leitura Gravação |
Sem permissão |
Sem permissão |
Leitura |
|
ACL\Data\repository\datafiles (contém os arquivos de dados de origem armazenados no ACL GRC Analytics Exchange) |
Leitura Gravação |
Sem permissão |
Sem permissão |
Leitura |
|
ACL\Data\repository\upload |
Leitura Gravação |
Sem permissão |
Sem permissão |
Leitura |
|
pasta de arquivos de dados compartilhados (se você usa nó do motor, ou um servidor de arquivos de dados separado) |
Leitura Gravação |
Sem permissão |
Sem permissão |
Leitura |
|
diretório de dados arquivar e restaurar |
Leitura Gravação |
Sem permissão |
Sem permissão |
Sem permissão |