Cette section contient des recommandations de sécurité spécifiques à Windows dans le cadre de l’exécution de LiveCycle.
3.7.1 Comptes de service JBossL’installation clé en main de LiveCycle installe un compte de service par défaut en utilisant le compte système local. Le compte utilisateur système local intégré présente un haut niveau d’accessibilité ; il fait partie du groupe Administrateurs. Si une identité de processus de travail est exécutée en tant que compte utilisateur système local, ce processus de travail dispose d’un accès complet à l’ensemble du système.
3.7.1.1 Exécution du serveur d’applications à l’aide d’un compte non administratif spécifiqueDans Microsoft Management Console (MMC), créez un utilisateur local pour que le service LiveCycle se connecte en tant que cet utilisateur local :
Sélectionnez Paramètres > Outils d’administration > Services.
Cliquez deux fois sur le service de serveur d’applications et arrêtez ce service.
Sur l’onglet Ouvrir une session, sélectionnez Ce compte, recherchez le compte utilisateur que vous avez créé, puis entrez le mot de passe pour ce compte.
Dans la fenêtre Paramètres de sécurité locaux, sous Attribution des droits utilisateur, attribuez les droits suivants au compte utilisateur sous lequel est exécuté le serveur LiveCycle :
Interdire l’ouverture de session par les services Terminal
Interdire l’ouverture d’une session locale
Ouvrir une session en tant que service (ce droit doit être déjà défini)
Attribuez au nouveau compte utilisateur les autorisations de lecture et d’exécution, d’affichage du contenu des dossiers et de lecture pour les répertoires de contenu Web LiveCycle
Démarrez le service de serveur d’applications.
3.7.2 Sécurité du système de fichiersLiveCycle utilise le système de fichiers comme suit :
stocke les fichiers temporaires utilisés lors du traitement des entrées et sorties de documents ;
stocke dans une banque d’archives globale les fichiers utilisés pour prendre en charge les composants de la solution qui sont installés ;
les dossiers de contrôle stockent les fichiers utilisés en entrée dans un service à partir d’un emplacement de dossier du système de fichiers.
Lorsque vous utilisez des dossiers de contrôle comme moyen d’envoyer et de recevoir des documents avec un service LiveCycle, soyez très prudent quant à la sécurité du système de fichiers. Lorsqu’un utilisateur dépose des contenus dans le dossier de contrôle, ces contenus sont exposés via le dossier de contrôle. Dès lors, le service n’authentifie pas l’utilisateur final réel. Au lieu de cela, il considère que la sécurité par liste de contrôle d’accès et par niveau de dossier a été définie au niveau des dossiers pour déterminer qui peut effectivement appeler le service.
|
|
|