Seguridad del Servidor de AX
Siga las recomendaciones de seguridad del Servidor de AX para controlar el acceso a Analytics Exchange y mantener la seguridad de los datos de auditoría confidenciales.
Acceso de usuario general
Como regla general, debe otorgarle acceso al Servidor de AX a la menor cantidad de cuentas necesarias, con la menor cantidad de derechos y permisos necesarios.
Seguridad de la cuenta de usuario de Windows
Cuenta de usuario de Windows que se utilizó para ejecutar el servicio ACL Analytics Exchange
Utilice una cuenta de usuario de dominio dedicado solo para ejecutar la cuenta "Servicio de AX". No utilice ninguno de los siguientes tipos de cuentas:
- una cuenta de dominio de TI genérica
- una cuenta de empleado individual
- Cuentas de usuario local y cuenta LocalSystem
Nota
La cuenta de usuario de dominio dedicado que especifique necesita acceso al controlador de dominios de Active Directory para autenticar a los usuarios que inician sesión en Analytics Exchange. Si la cuenta que especifica utiliza una contraseña que caduca, asegúrese de contar con un procedimiento establecido para mantener actualizada la contraseña.
Cuenta de usuario de Windows que se usó para ejecutar el Nodo del motor de AX
Utilice la misma cuenta de usuario de dominio que utiliza para ejecutar el servicio ACL Analytics Exchange.
Los permisos necesarios para ejecutar el Nodo del motor de AX y el servicio ACL Analytics Exchange Service son iguales. Si usa la misma cuenta para ambos, solo debe hacer el seguimiento de una cuenta.
Cuentas de usuario de Windows individuales
Administre los permisos y derechos de los usuarios en el Servidor de AX agregando primero cuentas de usuario individuales a un grupo de usuarios de Windows Existen dos opciones de grupo de usuarios al otorgar permisos y derechos en el Servidor de AX para las cuentas de usuario individuales:
- cree un grupo de usuarios de dominio específicamente para los usuarios de AX Cliente.
- agregue usuarios de AX Cliente al grupo "Usuarios" local del Servidor de AX.
Nota
La primera opción es más segura porque:
- permite especificar permisos preestablecidos sobre la carpeta a nivel del usuario individual, lo cual impide que los usuarios accedan a los archivos de datos de otros usuarios.
- las actualizaciones posteriores se pueden realizar en Active Directory en lugar de necesitar acceder al servidor que aloja al Servidor de AX.
Los derechos de inicio de sesión y los permisos para la carpeta de cualquiera de los dos grupos se especifican en las próximas secciones.
Intentos de inicio de sesión
No deshabilite el límite de inicio de sesión para los intentos de inicio de sesión de un usuario o administrador de Servidor de AX. Para reducir el riesgo de intentos de descifrar las contraseñas por la fuerza, Analytics Exchange permite limitar los inicios de sesión de forma predeterminada:
- Usuarios después de dos intentos fallidos de inicio de sesión, se bloquea al usuario durante tres segundos.
Estos valores predeterminados se pueden modificar en el archivo de configuración deployerConfigContext.xml.
- Administradores después de cinco intentos fallidos de inicio de sesión, se bloquea al usuario durante diez segundos.
Estos valores predeterminados se pueden modificar en el archivo de configuración admin-security.xml.
Configuración del tiempo de espera en AX Cliente
De forma predeterminada, AX Cliente agota el tiempo de espera cuando permanece inactivo durante 30 minutos. Para configurar un tiempo de inactividad máximo distinto para AX Cliente, actualice la configuración en el archivo de configuración aclAuditExchange.xml. Si desea obtener más información, consulte aclAuditExchange.xml.
Nota
Si la aplicación está completando una importación o exportación grande con un tiempo de procesamiento que excede el tiempo de espera, el contador de tiempo de espera se inicia después de que se complete el proceso. La importación o la exportación no falla debido al ajuste máximo del tiempo de inactividad.
Si hay un cuadro de diálogo no relacionado con la importación y exportación de archivos cuando finaliza el tiempo de espera, la aplicación y todos los cuadros de diálogo asociados se cierran.
Información de instalación sensible
Proteja toda la información confidencial relacionada con la instalación del Servidor de AX. Durante el proceso de instalación, si creó archivos que contienen información sensible, como credenciales de cuentas o ajustes de configuración, debe almacenar los archivos en una ubicación segura.
Restricciones de IP en la configuración del servidor
Las siguientes páginas de configuración del Servidor requieren la autenticación del nombre de usuario y la contraseña del administrador:
- /manager
- /aclconfig
Puede incrementar la seguridad de estas páginas limitando también el acceso a la página a un subconjunto de direcciones IP.
Nota
Si restringe el acceso a su host local, debe introducir 127.0.0.1 en la dirección de su navegador al acceder a estas páginas de configuración.
Para restringir el acceso a estas páginas, agregue los siguientes archivos al directorio ACL\App\Tomcat\conf\Catalina\localhost y especifique las direcciones IP que tienen permitido el acceso en una lista delimitada por comas:
-
manager.xml: restringe el acceso a la página /manager:
<Context path="/manager" debug="0" privileged="true"> <!-- Restringe el acceso al localhost. --> <!-- Los servidores permitidos se deben agregar en una lista delimitada por comas --> <Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="127.0.0.1"/> </Context>
-
aclconfig.xml: restringe el acceso a la página /aclconfig:
<Context path="/aclconfig" debug="0" privileged="true"> <!-- Restringe el acceso a localhost. --> <!-- Los servidores permitidos se deben agregar en una lista delimitada por comas --> <Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="127.0.0.1"/> </Context>
Nota
Para revertir este cambio y eliminar las restricciones de IP, debe hacer una copia de seguridad de su directorio ACL\App\Tomcat\webapps\manager, detener el servicio Tomcat y, a continuación, eliminar los archivos que agregó en ACL\App\Tomcat\conf\Catalina\localhost. Una vez que haya completado estos pasos, sobrescriba su carpeta manager con la copia de seguridad y reinicie el servicio.
Derechos de inicio de sesión de la cuenta
La siguiente tabla describe los derechos de inicio de sesión necesarios para las cuentas que necesitan acceder al Servidor de AX. No otorgue a ninguna cuenta un derecho de inicio de sesión que supere lo que se especifica a continuación. Los derechos de inicio de sesión se especifican en el área de Asignación de derechos de usuario de la política de seguridad de Windows.
La restricción de los derechos de inicio de sesión reduce el riesgo de que alguna persona obtenga acceso no autorizado al Servidor de AX.
Derechos de inicio de sesión de la cuenta
|
Derecho de inicio de sesión |
Cuenta de Servicio de AX (incluidos todo los Nodos del motor) |
Cuenta de PostgreSQL (no es aplicable si el servidor de base de datos es Oracle) |
Cuenta de grupo de usuarios de AX (grupo de usuario de Windows para AX Cliente, Cliente Web AX y usuarios de Complementos de AX) |
Cuenta del Conector de AX (Usuarios de Analytics) |
|---|---|---|---|---|
|
Permitir el inicio de sesión local |
No |
No |
No |
No Nota Si necesita una conexión a SQL Server utilizando un perfil de base de datos, es necesario Permitir el inicio de sesión local. |
|
Denegar el inicio de sesión local |
Sí (se debe asignar manualmente) |
Sí (se debe asignar manualmente) |
Sí (se debe asignar manualmente) |
No |
|
Iniciar sesión como servicio |
Sí (asignado automáticamente por el instalador de AX) |
Sí (asignado automáticamente por el instalador de AX) |
No |
No |
Permisos de las carpetas
¡Precaución!
No les asigne permisos a los usuarios individuales o a los grupos de usuarios para que accedan a todo el directorio “ACL” en el Servidor de AX o a los directorios del sistema operativo del Servidor de AX. Este tipo de configuración crea un gran riesgo de seguridad y no es recomendable.
La siguiente tabla describe los permisos de carpeta que debe asignar a las cuentas que necesitan acceder al Servidor de AX. No otorgue a ninguna cuenta permisos para carpetas que superen lo que se especifica a continuación.
La restricción del acceso a las carpetas únicamente para las cuentas y carpetas necesarias reduce el riesgo de que alguien obtenga acceso no autorizado al Servidor de AX. También impide que un script de Analytics modifique o acceda a archivos fuera de las carpetas adecuadas.
Permisos de la carpeta de Servidor de AX
|
Carpeta en el Servidor de AX |
Cuenta de Servicio de AX (incluidos todo los Nodos del motor) |
Cuenta de PostgreSQL (no es aplicable si el servidor de base de datos es Oracle) |
Cuenta de grupo de usuarios de AX (grupo de usuario de Windows para AX Cliente, Cliente Web AX y usuarios de Complementos de AX) |
Cuenta del Conector de AX (Usuarios de Analytics) |
|---|---|---|---|---|
|
ACL\App |
Lectura Escritura |
Sin permisos |
Sin permisos |
Sin permisos |
|
ACL\App\analytic_engine\aclse\conf (la carpeta de configuración del Conector de AX) |
Lectura Escritura |
Sin permisos |
Sin permisos |
Lectura |
|
ACL\App\TomCat\conf (La carpeta de configuración del servidor de aplicaciones TomEE) Esta subcarpeta contiene los archivos de configuración que controlan la funcionalidad Analytics Exchange. Una vez que se ha instalado el Servidor de AX, los archivos de configuración pueden contener información confidencial, como las credenciales y los nombres de host codificados. |
Lectura Escritura |
Sin permisos |
Sin permisos |
Sin permisos |
|
ACL\Data |
Lectura Escritura |
Sin permisos |
Sin permisos |
Sin permisos |
|
ACL\Data\aclse\<nombre de usuario> (si está usando un grupo de usuarios de dominio para los usuarios de AX) |
Lectura Escritura |
Sin permisos |
Sin permisos |
Control absoluto para usuarios en su propia subcarpeta |
|
ACL\Data\aclse (si está usando un grupo "Usuarios" local del Servidor de AX para los usuarios de AX) |
Lectura Escritura |
Sin permisos |
Sin permisos |
Control absoluto si no está asegurado Sin permisos se está asegurado |
|
ACL\Data\jobs |
Control absoluto |
Sin permisos |
Sin permisos |
Sin permisos |
|
ACL\Data\savedfailedjobs |
Control absoluto |
Sin permisos |
Sin permisos |
Sin permisos |
|
ACL\Data\repository |
Lectura Escritura |
Sin permisos |
Sin permisos |
Lectura |
|
ACL\Data\repository\datafiles (contiene los archivos de datos de origen almacenados en Analytics Exchange) |
Lectura Escritura |
Sin permisos |
Sin permisos |
Lectura |
|
ACL\Data\repository\upload |
Lectura Escritura |
Sin permisos |
Sin permisos |
Lectura |
|
carpeta de archivos de datos compartidos (si utiliza el Nodo del motor o un servidor de archivos de datos independiente) |
Lectura Escritura |
Sin permisos |
Sin permisos |
Lectura |
|
directorio de datos Archivar y Restaurar |
Lectura Escritura |
Sin permisos |
Sin permisos |
Sin permisos |
