Burgy Zapp
09-11-04, 20:02
[]NEWSartikel für NEWSabonnenten plus im Orginal jetzt lesen (http://www.newsolutions.de/news400/artikel/aboplus/sonder.php)
Artikel Auszug
OS/400-Sonderberechtigungen: Eine Einführung
von Dan Riehl
Hier finden Sie Informationen über die Sonderberechtigungen, die OS/400 zur Verfügung stellt und über die Risiken, die mit ihrer Vergabe verbunden sind. Wenn Sie diese Einführung gelesen haben, wissen Sie, warum es so wichtig ist, Sonderberechtigungen nicht wahllos zu vergeben.
*SPLCTL
Beschreibung: Spoolkontrolle. Vielleicht die am häufigsten falsch verstandene Sonderberechtigung. *SPLCTL macht einen Benutzer zum Herren über alle Spool-Dateien auf Ihrem System. Wie der Name "Spool Control" andeutet, hat ein Benutzer mit dieser Sonderberechtigung die volle Kontrolle über alle Spool-Funktionen des Systems. Diese Kontrolle umfasst nicht nur Ausgabewarteschlangen sondern auch Jobwarteschlangen. Der Benutzer kann Job- und Ausgabewarteschlangen anhalten, freigeben und leeren.
Risiken: Mit *SPLCTL kann ein Benutzer alle Spooldateien im System ansehen und bearbeiten, auch wenn sie in einer besonders abgesicherten Ausgabewarteschlange stehen. Auch die vertraulichsten Dokumente sind für einen Benutzer mit der Sonderberechtigung *SPLCTL zugänglich.
*ALLOBJ
Beschreibung: Alle Objekte. Die umfassendste Sonderberechtigung. Mit *ALLOBJ hat ein Benutzer die Berechtigung, jedes Objekt auf dem System zu bearbeiten. Ein Benutzer mit *ALLOBJ-Berechtigung kann auf Objektebene Berechtigungen vergeben, unabhängig davon, welche Berechtigung bereits für ein Objekt angegeben ist.
Risiken: Alle Dateien, Programme, Datenbereiche und alle anderen Objekte auf Ihrem System können von einem Benutzer mit *ALLOBJ-Berechtigung angesehen, verändert und sogar gelöscht werden. Die Bibliothek der Lohn- und Gehaltsabrechnung löschen? Kein Problem mit *ALLOBJ! Ein Benutzer mit der Sonderberechtigung *ALLOBJ kann auch einen Batchjob absetzen, der ein anderes, hochrangiges Benutzerprofil verwendet, um jede beliebige Systemfunktion auszuführen. Auch wenn Sie einem Benutzer, der über die Sonderberechtigung *ALLOBJ verfügt, nicht die Sonderberechtigung *SECADM geben, kann dieser Benutzer z.B. einen Batchjob für ein Benutzerprofil mit *SECADM-Berechtigung absetzen und damit andere Benutzerprofile erstellen oder verändern.
...
Kommentare und Diskussionen sind willkommen.
discuss away ...
Artikel Auszug
OS/400-Sonderberechtigungen: Eine Einführung
von Dan Riehl
Hier finden Sie Informationen über die Sonderberechtigungen, die OS/400 zur Verfügung stellt und über die Risiken, die mit ihrer Vergabe verbunden sind. Wenn Sie diese Einführung gelesen haben, wissen Sie, warum es so wichtig ist, Sonderberechtigungen nicht wahllos zu vergeben.
*SPLCTL
Beschreibung: Spoolkontrolle. Vielleicht die am häufigsten falsch verstandene Sonderberechtigung. *SPLCTL macht einen Benutzer zum Herren über alle Spool-Dateien auf Ihrem System. Wie der Name "Spool Control" andeutet, hat ein Benutzer mit dieser Sonderberechtigung die volle Kontrolle über alle Spool-Funktionen des Systems. Diese Kontrolle umfasst nicht nur Ausgabewarteschlangen sondern auch Jobwarteschlangen. Der Benutzer kann Job- und Ausgabewarteschlangen anhalten, freigeben und leeren.
Risiken: Mit *SPLCTL kann ein Benutzer alle Spooldateien im System ansehen und bearbeiten, auch wenn sie in einer besonders abgesicherten Ausgabewarteschlange stehen. Auch die vertraulichsten Dokumente sind für einen Benutzer mit der Sonderberechtigung *SPLCTL zugänglich.
*ALLOBJ
Beschreibung: Alle Objekte. Die umfassendste Sonderberechtigung. Mit *ALLOBJ hat ein Benutzer die Berechtigung, jedes Objekt auf dem System zu bearbeiten. Ein Benutzer mit *ALLOBJ-Berechtigung kann auf Objektebene Berechtigungen vergeben, unabhängig davon, welche Berechtigung bereits für ein Objekt angegeben ist.
Risiken: Alle Dateien, Programme, Datenbereiche und alle anderen Objekte auf Ihrem System können von einem Benutzer mit *ALLOBJ-Berechtigung angesehen, verändert und sogar gelöscht werden. Die Bibliothek der Lohn- und Gehaltsabrechnung löschen? Kein Problem mit *ALLOBJ! Ein Benutzer mit der Sonderberechtigung *ALLOBJ kann auch einen Batchjob absetzen, der ein anderes, hochrangiges Benutzerprofil verwendet, um jede beliebige Systemfunktion auszuführen. Auch wenn Sie einem Benutzer, der über die Sonderberechtigung *ALLOBJ verfügt, nicht die Sonderberechtigung *SECADM geben, kann dieser Benutzer z.B. einen Batchjob für ein Benutzerprofil mit *SECADM-Berechtigung absetzen und damit andere Benutzerprofile erstellen oder verändern.
...
Kommentare und Diskussionen sind willkommen.
discuss away ...