Es impactante descubrir la cantidad de usuarios de IBM i que cuentan con los permisos necesarios para poner en riesgo la Seguridad de su compañía. Los usuarios poderosos tienen acceso a objetos y comandos restringidos, que raramente necesiten para ejecutar sus tareas diarias. Gestionar quién accede a qué y cuándo es central para garantizar la protección de los datos más críticos para su organización.
Vea este webinar para conocer el alcance de esta vulnerabilidad y cómo corregirla antes de que sea demasiado tarde. Además, obtendrá recomendaciones para:
Controlar los privilegios de los usuarios
Limitar el acceso a información confidencial
Registrar cambios de perfiles en los usuarios
Obtener un equilibrio entre Seguridad y eficiencia con Powertech Authority Broker for IBM i
2. Presentadora de hoy
2
Experta Senior en Monitorización, Automatización y Seguridad
Amneris Teruel
amneris.teruel@helpsystems.com
3. [Anterior] Security Scan, el primer paso para proteger su IBM i - en helpsystems.com/es
[Anterior] Control y prevención de accesos no deseados en IBM i - en helpsystems.com/es
[HOY] Gestión de permisos especiales y accesos en IBM i
[28 NOV] Generación simplificada de reportes de cumplimiento en IBM i
Serie de webinars de Seguridad de IBM i
5. Hablemos de los usuarios
Los perfiles de usuario son objetos de tipo*USRPRF
Estos objetos *USRPRF definen qué puede hacer cada usuario, su
entorno por defecto y sus permisos sobre los recursos (objetos).
IBM provee perfiles de usuario de fábrica con el sistema − algunos
básicos, y otros asociados a productos (por ejemplo, QSECOFR,
QUSER, QBRMS).
No soy un número…
¡Soy un objeto!
6. Gestione sus usuarios
Tarea: Identifique los usuarios poderosos
Ejecute un reporte usando el commando PRTUSRPRF y
revise:
Capacidades limitadas (LMTCPB)
Clase de usuario (SPCAUT)
Permisos especiales (¡revisar grupos!)
9. Limit Capabilities (LMTCPB)
LMTCPB controla ciertas funciones green-screen que el
usuario está habilitado a hacer.
Hay tres opciones: *No, *Yes y*Partial
Gestione sus usuarios
10. Limit Capabilities (LMTCPB)
Muchos administradores se sorprenden...
Existe el commando CHGPRF
Initial Program
Initial Menu
Current Library
Attention Program
Execute commands
*NO *YES *PARTIAL
☐
☐
☐
☐
☐
☐
☐
Gestione sus usuarios
☐
11. Gestione sus usuarios
Si usted usa pantalla de inicio de sesión standard provista por IBM, queda expuesto a los usuarios
sin limitaciones. Considere su modificación.
12. Gestione sus usuarios
User Class (USRCLS)
Existen cinco plantillas standard para los casos más frecuentes:
*SECOFR Oficial de Seguridad
*SECADM Administrador de Seguridad
*SYSOPR Operador del Sistema
*PGMR Desarrollador
*USER Usuario FInal
13. Gestione sus usuarios
Special Authority (SPCAUT)
Solo la primera asignación de permisos especiales se controla con el *USRCLS (es muy frecuente
que sea cambiado).
La definición de usuarios en base a su rol es lo recomendado.
No deberían asignarse permisos especiales sin una justificación fuerte.
14. Gestione sus usuarios
Special Authority (SPCAUT)
Los permisos especiales de los grupos son HEREDADOS por todos los integrantes (se suman). Esta
metodología simplifica y agiliza la asignación-desasignación de permisos.
Recordatorio: Revisar los permisos heredados a través de los grupos.
Considerar la asignación de permisos de forma temporal con adopción de Seguridad o swap APIs.
15. Special Authority (SPCAUT)
*ALLOBJ
All Object es la “llave de oro” para cualquier objeto, y casi
cualquier operación administrativa en el sistema,
incluyendo acceso ilimitado a los datos.
Gestione sus usuarios
16. Special Authority (SPCAUT)
*SECADM
Habilita a un usuario para crear y mantener perfiles de
usuario, sin requerir que el usuario sea *SECOFR, o sin
permiso *ALLOBJ.
Gestione sus usuarios
17. Special Authority (SPCAUT)
*IOSYSCFG
Permite al usuario crear, borrar y gestionar dispositivos,
líneas y controladores. También permite la configuración
de TCP/IP, y el inicio/fin de los servicios asociados (por
ejemplo, FTP).
Gestione sus usuarios
18. Special Authority (SPCAUT)
*AUDIT
Al usuario se le permite gestionar todos los aspectos
relacionados a auditoría, incluyendo la modificación de los
valores del sistema de auditoría y la ejecución de comandos
relacionados (CHGOBJAUD / CHGUSRAUD).
Gestione sus usuarios
19. Special Authority (SPCAUT)
*SPLCTL
Esto es el *ALLOBJ de Spooled Files. Permite que un usuario
vea, borre, retenga o libere cualquier archivo de spool, sin
importar en qué cola está o por quién fue generado.
Gestione sus usuarios
20. Special Authority (SPCAUT)
*SERVICE
Permite el acceso al login de System Service Tools (SST).
Sin embargo, desde V5R1, también se necesita el login de
SST.
Gestione sus usuarios
21. Special Authority (SPCAUT)
*JOBCTL
Permite al usuario arrancar o detener subsistemas, y
manipular trabajos de otros usuarios. También da acceso a
los archivos de spool en aquellas colas de salida designadas
como “operator control.”
Gestione sus usuarios
22. Special Authority (SPCAUT)
*SAVRST
Permite que un usuario realice operaciones de
save/restore de cualquier objeto del sistema, por más que
tenga acceso restringido sobre los permisos de los objetos.
** Atención si se maneja Seguridad solo a nivel de biblioteca **
Gestione sus usuarios
23. Gestione el acceso a los comandos
Visibility
To CMDLINE
Limited
Capabilities
Access to
Network Services
Permission to
Command Object
Permission to
Referenced Object
Required
SPCAUT
AUTHORIZED
DENIED
No
Yes
No
No
No Yes
Yes
No /
Partial
Yes
Yes
No
DENIED
Yes
24. Gestione sus usuarios
Tarea: Chequear cuentas latentes
Ejecutar reporte PRTUSRPRF y revisar:
Date of Last Sign On
Ejecutar reporte DSPOBJD y revisar:
Change Date
Date of Last Use
25. Gestione los permisos
Tarea: Controle permisos abiertos
Reporte DSPOBJAUT:
Bibliotecas con permisos públicos permisivos y permisos privados
Objetos con permisos públicos permisivos y permisos privados
Reporte PRTPUBAUT:
Perfiles que NO tienen *EXCLUDE para usuario *PUBLIC
Reporte PRTJOBD:
Descripciones de trabajo que NO tienen *EXCLUDE para usuario
*PUBLIC y tienen un usuario explícito de ejecución.
26. Gestione la auditoría
Tarea: Controle la auditoría a nivel usuario
Determine si la infraestructura de la auditoría existe:
QAUDJRN journal (WRKOBJ)
Use el commando DSPSYSVAL:
Auditing configuration (QAUDCTL and QAUDLVL)
Use DSPUSRPRF:
Auditoría de Comandos para aquellos que pueden realizarlos
27. Gestione las conexiones de red
Tarea: Chequear Exit Programs
Ejecutar WRKREGINF:
Registración de programas para servicios de red
Uso de los exit points (¿Auditoría? ¿Control de acceso?)
Flexibilidad de los exit programs: ¿reglas?
29. Estudio sobre el Estado de la Seguridad de IBM i
El primer Estudio sobre el Estado de la Seguridad de IBM i fue publicado en 2004
Desde su creación, participaron cientos de organizaciones
Las compañías se postulan de forma voluntaria
Security Scan
Cada año, HelpSystems realiza cientos de Security Scans gratuitos
Los Security Scans identifican las vulnerabilidades del sistema
Proporcionar información para el estudio es voluntario y anónimo
40. Resumen de acciones recomendadas
¡Establezca quiénes son sus usuarios (poderosos) actualmente!
Determine y asigne las autoridades que realmente necesitan.
Restrinja la visibilidad y el uso de la línea de comando siempre que sea posible.
Permisos de comandos.
Permisos especiales.
Establezca una buena seguridad a nivel de objeto para bibliotecas y objetos.
Aproveche la seguridad del menú para controlar a los usuarios que trabajan en la pantalla verde.
Implemente Exit Programs para controlar usuarios con PC que se conectan desde la red.
Realice la limpieza oportuna de los perfiles antiguos (eliminar o deshabilitar / restringir).
41. HelpSystems. All rights reserved.
Soluciones poderosas
Para mitigar los usuarios super-poderosos
47. Asignación temporal de privilegios y auditoría
Al usuario le
faltan permisos
Solicitud de
switch
Permiso otorgado
Comprehensive Reporting
Profile Swap Alerts
Separation of Duties
54. Command Security for IBM i
Ejecución condicionada de comandos
Condicionales
• Accounting Code
• Name of Caller (Program)
• Date
• Day of Week
• Time of Day
• Group Profile
• Job Type
• Job User
• Current User
• Limit Capabilities
• IP Address
• Special Authorities
• Call Stack
• User Class
Acciones
• Add a Parameter
• Allow the Command
• Execute an External Command
• Queue and External Command
• Send a Message to a User
• Send a Message to a Message Queue
• Reject the Command
• Remove a Parameter
• Substitute the Command
• Replace the Command Name or Library
• Replace a Parameter
55. Command Security for IBM i
Ejecución condicionada de comandos
Algunos ejemplos:
• Limita PWRDWNSYS a solo un número selecto de Super-administradores
• Envía un mensaje al responsable cuando se crea una nueva biblioteca
• Cambie el comando WRKACTJOB para ejecutar WRKSYSACT
• Envía una notificación cuando se utiliza DFU en un archivo de producción
• Evite STRSQL, a menos que el usuario tenga privilegios elevados a través de Authority Broker
• Restrinja comandos ENDBS a horas no laborables
• Compruebe un valor personalizado dentro del ERP, antes de que se permita la ejecución de la
copia de seguridad
58. En breve le enviaremos:
La grabación de este webinar
Nuestro último webinar de la serie:
[28 NOV] Generación simplificada de reportes de cumplimiento
en IBM i
Solicite su demo de Powertech Authority Broker for IBM i
Estamos llegando al final…
¡Gracias por asistir a nuestro webinar!
59. >> Solicite un
Security Scan gratuito
de sus servidores IBM i
Solicite su Security Scan - ¡gratuito!
www.helpsystems.com/es/cta/security-scan-gratuito