AEM Forms versterken op JEE-omgeving

Leer een verscheidenheid van veiligheid-verhardende montages om de veiligheid van AEM Forms op JEE te verbeteren die in een collectieve Intranet loopt.

In het artikel worden aanbevelingen en aanbevolen procedures beschreven voor het beveiligen van servers die AEM Forms uitvoeren op JEE. Dit is geen uitgebreid host-hardend document voor uw besturingssysteem en toepassingsservers. In plaats daarvan, beschrijft dit artikel een verscheidenheid van veiligheid-verhardende montages die u zou moeten uitvoeren om de veiligheid van AEM Forms op JEE te verbeteren die binnen een collectief Intranet loopt. Om ervoor te zorgen dat de AEM Forms op JEE toepassingsservers veilig blijft, echter, zou u veiligheid controle, opsporing, en reactieprocedures ook moeten uitvoeren.

In het artikel worden verhardingstechnieken beschreven die tijdens de levenscyclus van de installatie en configuratie in de volgende fasen moeten worden toegepast:

• Voorinstallatie: gebruik deze technieken voordat u AEM Forms op JEE installeert.
• Installatie: gebruik deze technieken tijdens het installatieproces van AEM Forms op JEE.
• Na de installatie: gebruik deze technieken na de installatie en periodiek daarna.

AEM Forms on JEE is zeer aanpasbaar en kan in vele verschillende omgevingen werken. Sommige aanbevelingen passen mogelijk niet in de behoeften van uw organisatie.

Voorinstallatie

Voordat u AEM Forms op JEE installeert, kunt u beveiligingsoplossingen toepassen op de netwerklaag en het besturingssysteem. In deze sectie worden enkele problemen beschreven en worden aanbevelingen gedaan om beveiligingsrisico's op deze gebieden te verminderen.

Installatie en configuratie op UNIX en Linux

U moet AEM Forms niet installeren of configureren op JEE met behulp van een hoofdshell. Standaard worden bestanden geïnstalleerd onder de map /opt en heeft de gebruiker die de installatie uitvoert, alle bestandsmachtigingen onder /opt nodig. Een installatie kan ook worden uitgevoerd in de map /user van een individuele gebruiker, waar deze al over alle bestandsmachtigingen beschikt.

Installatie en configuratie in Windows

U moet de installatie in Windows als beheerder uitvoeren als u AEM Forms op JEE op JBoss installeert met de methode key turnkey of als u PDF Generator installeert. Wanneer u PDF Generator in Windows installeert met ondersteuning voor native toepassingen, moet u de installatie uitvoeren als dezelfde Windows-gebruiker die Microsoft Office heeft geïnstalleerd. Zie het document* AEM Forms installeren en implementeren op JEE* voor meer informatie over installatiemacht.

Netwerklaagbeveiliging

De de veiligheidskwetsbaarheid van het netwerk is onder de eerste bedreigingen aan om het even welke Internet-Onder ogen ziet of intranet-Onder ogen ziet toepassingsserver. Deze sectie beschrijft het proces om gastheren op het netwerk tegen deze kwetsbaarheid te verharden. Het richt netwerksegmentatie, de stapelverharding van het Protocol van de Controle van de Transmissie/van Internet-protocol (TCP/IP), en het gebruik van firewalls voor gastheerbescherming.

De volgende lijst beschrijft gemeenschappelijke processen die de kwetsbaarheid van de netwerkveiligheid verminderen.

Beveiliging van besturingssystemen

In de volgende tabel worden enkele mogelijke benaderingen beschreven om beveiligingskwetsbaarheden die in het besturingssysteem zijn aangetroffen, tot een minimum te beperken.

Voor extra veiligheidsinformatie voor uw werkend systeem, zie "de veiligheidsinformatie van het werkende systeem".

Installatie

In deze sectie worden technieken beschreven die u tijdens het AEM Forms-installatieproces kunt gebruiken om beveiligingsrisico's te beperken. In sommige gevallen maken deze technieken gebruik van opties die deel uitmaken van het installatieproces. In de volgende tabel worden deze technieken beschreven.

Stappen na de installatie

Nadat u AEM Forms met succes op JEE installeert, is het belangrijk om het milieu uit veiligheidsperspectief periodiek te handhaven.

In de volgende sectie worden de verschillende taken beschreven die worden aanbevolen om de geïmplementeerde formulierserver te beveiligen.

AEM Forms-beveiliging

De volgende aanbevolen instellingen gelden voor de AEM Forms op de JEE-server buiten de beheerwebtoepassing. Als u de beveiligingsrisico's voor de server wilt beperken, past u deze instellingen direct toe nadat u AEM Forms op JEE hebt geïnstalleerd.

Beveiligingspatches

Er is een verhoogd risico dat een onbevoegde gebruiker toegang tot de toepassingsserver zou kunnen krijgen als de patches en upgrades van de verkopersveiligheid niet tijdig worden toegepast. Test beveiligingspatches voordat u ze op productieservers toepast om de compatibiliteit en beschikbaarheid van toepassingen te garanderen. Ook kunt u beleidsregels en procedures maken om regelmatig te controleren op patches en deze te installeren. AEM Forms on JEE-updates zijn beschikbaar op de downloadsite voor Enterprise-producten.

Servicerekeningen (alleen voor JBoss-sleutel in Windows)

AEM Forms on JEE installeert standaard een service via de LocalSystem-account. De ingebouwde LocalSystem-gebruikersaccount heeft een hoog toegankelijkheidsniveau; het maakt deel uit van de groep Beheerders. Als een worker-process-identiteit wordt uitgevoerd als LocalSystem-gebruikersaccount, heeft dat arbeidersproces volledige toegang tot het gehele systeem.

Volg de onderstaande instructies om de toepassingsserver uit te voeren waarop AEM Forms op JEE wordt geïmplementeerd met een specifieke niet-beheeraccount:

1. In de Console van het Beheer van Microsoft (MMC), creeer een lokale gebruiker voor de dienst van de vormenserver om login als:

   • Selecteer Gebruiker kan wachtwoord niet veranderen.
   • Controleer op het tabblad Lid van of de groep Users wordt weergegeven.
   OPMERKING

   U kunt deze instelling niet wijzigen voor PDF Generator.

2. Selecteer Start > Instellingen > Systeembeheer > Services.

3. Dubbelklik op JBoss voor AEM Forms op JEE en stop de service.

4. Selecteer Dit account op het tabblad Aanmelden, blader naar de gebruikersaccount die u hebt gemaakt en voer het wachtwoord voor de account in.

5. Open Lokale beveiligingsinstellingen in de MMC en selecteer Lokaal beleid > Gebruikersrechtentoewijzing.

6. Wijs de volgende rechten toe aan de gebruikersaccount waarop de formulierserver wordt uitgevoerd:

   • Ontken login door de EindDiensten
   • Aanmelden lokaal weigeren
   • Aanmelden als service (moet al zijn ingesteld)

7. Geef de nieuwe gebruikersaccount de machtiging Lezen en uitvoeren, Lijstmapinhoud en Leesmachtigingen voor de AEM Forms op het item van directory's met JEE-webinhoud.

8. Start de toepassingsserver.

Het onbruikbaar maken van de reservereserlet van de Manager van de Configuratie

De Manager van de configuratie maakte gebruik van een servlet die op uw toepassingsserver wordt opgesteld om bootstrapping van AEM Forms op gegevensbestand uit te voeren JEE. Omdat de Manager van de Configuratie tot dit servlet toegang heeft alvorens de configuratie volledig is, is de toegang tot het niet beveiligd voor erkende gebruikers, en het zou moeten worden onbruikbaar gemaakt nadat u met succes de Manager van de Configuratie hebt gebruikt om AEM Forms op JEE te vormen.

1. Pak het bestand adobe-livecycle-[appserver].ear uit.

2. Open het bestand META-INF/application.xml.

3. Zoek naar de adobe-bootstrapper.war sectie:

   <!-- bootstrapper start -->
   <module id="WebApp_adobe_bootstrapper">
       <web>
           <web-uri>adobe-bootstrapper.war</web-uri>
           <context-root>/adobe-bootstrapper</context-root>
       </web>
   </module>
   <module id="WebApp_adobe_lcm_bootstrapper_redirector">
       <web>
           <web-uri>adobe-lcm-bootstrapper-redirector.war</web-uri>
           <context-root>/adobe-lcm-bootstrapper</context-root>
       </web>
   </module>
   <!-- bootstrapper end-->
   

4. Stop de AEM Forms-server.

5. Maak een commentaarregel van adobe-bootstrapper.war en de adobe-lcm-bootstrapper-redirectory. oorlogsmodules, als hieronder:

   <!-- bootstrapper start -->
   <!--
   <module id="WebApp_adobe_bootstrapper">
       <web>
           <web-uri>adobe-bootstrapper.war</web-uri>
           <context-root>/adobe-bootstrapper</context-root>
       </web>
   </module>
   <module id="WebApp_adobe_lcm_bootstrapper_redirector">
       <web>
           <web-uri>adobe-lcm-bootstrapper-redirector.war</web-uri>
           <context-root>/adobe-lcm-bootstrapper</context-root>
       </web>
   </module>
   -->
   <!-- bootstrapper end-->
   

6. Sla het bestand META-INF/application.xml op en sluit het.

7. Zip het EAR-bestand en implementeer het opnieuw op de toepassingsserver.

8. Start de AEM Forms-server.

9. Typ de onderstaande URL in een browser om de wijziging te testen en te controleren of deze niet meer werkt.

   https://<localhost>:<port>/adobe-bootstrapper/bootstrap

Externe toegang vergrendelen tot de Trust Store

Met Configuratiebeheer kunt u een Acrobat Reader DC-extensie uploaden die is gecrediteerd aan de AEM Forms in de JEE-vertrouwde opslag. Dit betekent dat de toegang tot de Dienst van de Referentie van de Opslag van het Vertrouwen over verre protocollen (ZEEP en EJB) door gebrek is toegelaten. Deze toegang is niet meer noodzakelijk nadat u de credentie van Rechten gebruikend de Manager van de Configuratie hebt geupload of als u besluit om de Console van het Beleid later te gebruiken om geloofsbrieven te beheren.

U kunt externe toegang tot alle services van de Trust Store uitschakelen door de stappen in de sectie Niet-essentiële externe toegang tot services uitschakelen uit te voeren.

Alle niet-essentiële anonieme toegang uitschakelen

Sommige diensten van de vormenserver hebben verrichtingen die door een anonieme bezoeker kunnen worden aangehaald. Als anonieme toegang tot deze diensten niet wordt vereist, maak het onbruikbaar door de stappen in het onbruikbaar maken van niet-essentiële anonieme toegang tot de diensten te volgen.

Het standaardbeheerderswachtwoord wijzigen

Als AEM Forms op JEE is geïnstalleerd, wordt één standaardgebruikersaccount geconfigureerd voor de beheerder van de superbeheerder/aanmeldingsnaam van de gebruiker met een standaardwachtwoord van password. U zou dit wachtwoord onmiddellijk moeten veranderen gebruikend de Manager van de Configuratie.

1. Typ de volgende URL in een webbrowser:

   https://[host name]:[port]/adminui
   

   Het standaardpoortnummer is een van de volgende:

   JBoss: 8080

   WebLogic-server: 7001

   WebSphere: 9080.

2. Typ administrator in het veld Gebruikersnaam en typ Wachtwoord in het veld passwordWachtwoord.

3. Klik Instellingen > Gebruikersbeheer > Gebruikers en groepen.

4. Typ administrator in het veld Zoeken en klik op Zoeken.

5. Klik Super Administrator van de lijst van gebruikers.

6. Klik Wachtwoord wijzigen op de pagina Gebruiker bewerken.

7. Geef het nieuwe wachtwoord op en klik op Opslaan.

Daarnaast wordt aangeraden het standaardwachtwoord voor CRX Administrator te wijzigen door de volgende stappen uit te voeren:

1. Meld u aan bij https://[server]:[port]/lc/libs/granite/security/content/useradmin.html met de standaardgebruikersnaam/het standaardwachtwoord.
2. Typ Beheerder in het zoekveld en klik op Go.
3. Selecteer Beheerder in het zoekresultaat en klik op het pictogram Bewerken rechtsonder in de gebruikersinterface.
4. Geef het nieuwe wachtwoord op in het veld Nieuw wachtwoord en het oude wachtwoord in het veld Uw wachtwoord.
5. Klik op het pictogram Opslaan rechtsonder in de gebruikersinterface.

WSDL-generatie uitschakelen

De generatie van de Definitie van de Taal van de Dienst van het Web (WSDL) zou slechts voor ontwikkelomgevingen moeten worden toegelaten, waar de generatie WSDL door ontwikkelaars wordt gebruikt om hun cliënttoepassingen te bouwen. U kunt verkiezen om de generatie van WSDL in een productiemilieu onbruikbaar te maken vermijden blootstellend de interne details van de dienst.

1. Typ de volgende URL in een webbrowser:

   https://[host name]:[port]/adminui
   

2. Klik op Instellingen > Kernsysteeminstellingen > Configuraties.

3. Schakel WSDL inschakelen uit en klik op OK.

Beveiliging toepassingsserver

In de volgende tabel worden enkele technieken beschreven waarmee u uw toepassingsserver kunt beveiligen nadat de AEM Forms op JEE-toepassing is geïnstalleerd.

Databasebeveiliging

Wanneer het beveiligen van uw gegevensbestand, zou u de maatregelen moeten uitvoeren die door uw gegevensbestandverkoper worden beschreven. U zou een gegevensbestandgebruiker met de minimaal vereiste gegevensbestandtoestemmingen moeten toewijzen die voor gebruik door AEM Forms op JEE worden verleend. Gebruik bijvoorbeeld geen account met databasebeheerdersrechten.

Bij Oracle heeft de databaseaccount die u gebruikt alleen de bevoegdheden CONNECT, RESOURCE en CREATE VIEW nodig. Voor gelijkaardige vereisten op andere gegevensbestanden, zie Voorbereidend om AEM Forms op (Enige Server) te installeren JEE.

Het vormen geïntegreerde veiligheid voor SQL Server op Vensters voor JBoss

1. Wijzig [JBOSS_HOME]\standalone\configuration\lc_{datasource.xml} om integratedSecurity=true aan verbindingsURL, zoals aangetoond in dit voorbeeld toe te voegen:

    jdbc:sqlserver://<serverhost>:<port>;databaseName=<dbname>;integratedSecurity=true
   

2. Voeg het bestand sqljdbc_auth.dll toe aan het Windows-systeempad op de computer waarop de toepassingsserver wordt uitgevoerd. Het bestand sqljdbc_auth.dll bevindt zich bij de installatie van het stuurprogramma JDBC 6.2.1.0 van Microsoft SQL.

3. Wijzig JBoss de dienstbezit van Vensters (JBoss voor AEM Forms op JEE) voor Aanmelden vanaf Lokaal Systeem aan een login rekening die het gegevensbestand van AEM Forms en een minimumreeks voorrechten heeft. Als u JBoss van de bevellijn in plaats van als dienst van Vensters in werking stelt, te hoeven u niet om deze stap uit te voeren.

4. Stel Beveiliging voor SQL Server in van Gemengde modus naar Alleen Windows-verificatie.

Geïntegreerde beveiliging voor SQL Server configureren in Windows voor WebLogic

1. Start de WebLogic Server Administration Console door de volgende URL te typen in de URL-regel van een webbrowser:

   https://[host name]:7001/console
   

2. Klik onder Wijzigen midden op Vergrendelen en bewerken.

3. Klik onder Domeinstructuur op [base_domain] > Services > JDBC > Gegevensbronnen en klik in het rechterdeelvenster op IDP_DS.

4. Op het volgende scherm, op Configuratie lusje, klik de Pool van de Verbinding tabel en, in Eigenschappen doos, type integratedSecurity=true.

5. Klik onder Domeinstructuur op [base_domain] > Services > JDBC > Gegevensbronnen en klik in het rechterdeelvenster op RM_DS.

6. Op het volgende scherm, op Configuratie lusje, klik de Pool van de Verbinding tabel en, in Eigenschappen doos, type integratedSecurity=true.

7. Voeg het bestand sqljdbc_auth.dll toe aan het Windows-systeempad op de computer waarop de toepassingsserver wordt uitgevoerd. Het bestand sqljdbc_auth.dll bevindt zich bij de installatie van het stuurprogramma JDBC 6.2.1.0 van Microsoft SQL.

8. Stel Beveiliging voor SQL Server in van Gemengde modus naar Alleen Windows-verificatie.

Het vormen geïntegreerde veiligheid voor SQL Server op Vensters voor WebSphere

Op WebSphere, kunt u geïntegreerde veiligheid vormen slechts wanneer u een externe SQL bestuurder van de Server JDBC, niet de SQL bestuurder van de Server JDBC gebruikt die met WebSphere wordt ingebed.

1. Meld u aan bij de beheerconsole van WebSphere.
2. Klik in de navigatiestructuur op Bronnen > JDBC > Gegevensbronnen en klik in het rechterdeelvenster op IDP_DS.
3. Klik in het rechterdeelvenster onder Extra eigenschappen op Aangepaste eigenschappen en klik vervolgens op Nieuw.
4. Typ integratedSecurity in het tekstvak Naam en typ true in het tekstvak Waarde.
5. Klik in de navigatiestructuur op Bronnen > JDBC > Gegevensbronnen en klik in het rechterdeelvenster op RM_DS.
6. Klik in het rechterdeelvenster onder Extra eigenschappen op Aangepaste eigenschappen en klik vervolgens op Nieuw.
7. Typ integratedSecurity in het tekstvak Naam en typ true in het tekstvak Waarde.
8. Voeg op de computer waarop WebSphere is geïnstalleerd het bestand sqljdbc_auth.dll toe aan het systeempad van Windows (C:\Windows). Het bestand sqljdbc_auth.dll bevindt zich op dezelfde locatie als de installatie van het stuurprogramma voor Microsoft SQL JDBC 1.2 (standaard is [InstallDir]/sqljdbc_1.2/enu/auth/x86).
9. Selecteer Start > Configuratiescherm > Services, klik met de rechtermuisknop op de Windows-service voor WebSphere (IBM WebSphere Application Server <version> - <node>) en selecteer Eigenschappen.
10. Klik in het dialoogvenster Eigenschappen op het tabblad Aanmelden.
11. Selecteer Dit account en geef de informatie op die nodig is om de aanmeldingsaccount in te stellen die u wilt gebruiken.
12. Plaats Veiligheid op SQL Server van Gemengd wijze aan de Authentificatie van Vensters slechts.

Toegang tot gevoelige inhoud in de database beveiligen

Het AEM Forms-databaseschema bevat gevoelige informatie over systeemconfiguratie en bedrijfsprocessen en moet achter de firewall worden verborgen. De database moet worden beschouwd binnen dezelfde vertrouwensgrens als de formulierserver. Om tegen informatieonthulling en diefstal van bedrijfsgegevens te beschermen, moet het gegevensbestand door de gegevensbestandbeheerder (DBA) worden gevormd om toegang slechts door erkende beheerders toe te staan.

Als toegevoegde voorzorg, zou u het gebruiken van gegevensbestand verkoper-specifieke hulpmiddelen moeten overwegen om kolommen in lijsten te coderen die de volgende gegevens bevatten:

• Documenttoetsen Rights Management
• Sleutel voor versleuteling HSM PIN-code opslaan
• Hashes lokaal gebruikerswachtwoord

Voor informatie over verkoper-specifieke hulpmiddelen, zie "de veiligheidsinformatie van het Gegevensbestand".

LDAP-beveiliging

Een Lightweight Directory Access Protocol (LDAP)-directory wordt door AEM Forms in JEE doorgaans gebruikt als bron voor zakelijke gebruikers- en groepsgegevens en als middel om wachtwoordverificatie uit te voeren. Zorg ervoor dat uw LDAP-directory is geconfigureerd voor gebruik van SSL (Secure Socket Layer) en dat AEM Forms op JEE is geconfigureerd voor toegang tot uw LDAP-directory via de SSL-poort.

LDAP-ontkenning van service

Een algemene aanval met LDAP heeft tot gevolg dat een aanvaller opzettelijk meerdere keren niet verifieert. Hierdoor wordt de LDAP-directoryserver gedwongen een gebruiker uit alle LDAP-afhankelijke services te sluiten.

U kunt het aantal mislukkingspogingen en de daaropvolgende sluitingstijd instellen die AEM Forms implementeert wanneer een gebruiker er herhaaldelijk niet in slaagt te verifiëren bij AEM Forms. Kies lage waarden in de beheerconsole. Wanneer het selecteren van het aantal mislukkingspogingen, is het belangrijk om te begrijpen dat nadat alle pogingen worden gemaakt, AEM Forms de gebruiker sluit alvorens de Server van de Folder LDAP doet.

Automatische accountvergrendeling instellen

1. Meld u aan bij de beheerconsole.
2. Klik Instellingen > Gebruikersbeheer > Domeinbeheer.
3. Stel onder Instellingen voor automatisch vergrendelen van accounts Maximale opeenvolgende verificatie mislukt in op een laag getal, zoals 3.
4. Klik Opslaan.

Controle en registratie

Het juiste en veilige gebruik van toepassingscontrole en het registreren kan helpen ervoor zorgen dat de veiligheid en andere anomalische gebeurtenissen worden gevolgd en zo snel mogelijk ontdekt. Het effectieve gebruik van controle en het registreren binnen een toepassing omvat punten zoals het volgen van succesvolle en ontbroken logins, evenals zeer belangrijke toepassingsgebeurtenissen zoals de verwezenlijking of de schrapping van zeer belangrijke verslagen.

U kunt controle gebruiken om vele soorten aanvallen, met inbegrip van deze te ontdekken:

• Brugtforce-wachtwoordaanvallen
• Ontkenning van de dienstaanvallen
• Injectie van vijandige input en verwante klassen van scriptaanvallen

In deze tabel worden de controle- en registratietechnieken beschreven die u kunt gebruiken om de kwetsbaarheden van uw server te beperken.

AEM Forms configureren op JEE voor toegang buiten de onderneming

Nadat u AEM Forms op JEE met succes hebt geïnstalleerd, is het belangrijk om de veiligheid van uw milieu periodiek te handhaven. In deze sectie worden de taken beschreven die worden aanbevolen om de beveiliging van uw AEM Forms op de JEE-productieserver te behouden.

Een reverse-proxy instellen voor webtoegang

Een reverse-proxy kan worden gebruikt om ervoor te zorgen dat één set URL's voor AEM Forms in JEE-webtoepassingen beschikbaar is voor zowel externe als interne gebruikers. Deze configuratie is veiliger dan gebruikers toe te staan om rechtstreeks met de toepassingsserver te verbinden die AEM Forms op JEE loopt. De reverse-proxy voert alle HTTP-aanvragen uit voor de toepassingsserver waarop AEM Forms op JEE wordt uitgevoerd. Gebruikers hebben alleen netwerktoegang tot de reverse-proxy en kunnen alleen proberen URL-verbindingen te maken die door de reverse-proxy worden ondersteund.

AEM Forms op URL's met JEE-hoofdmap voor gebruik met reverse-proxyserver

De volgende URL's van de hoofdmap van de toepassing voor elke AEM Forms in JEE-webtoepassing. Configureer de reverse-proxy alleen om URL's beschikbaar te maken voor de functionaliteit van webtoepassingen die u aan eindgebruikers wilt verschaffen.

Bepaalde URL's worden gemarkeerd als eindgebruikers gerichte webtoepassingen. U zou moeten vermijden blootstellend andere URLs voor de Manager van de Configuratie voor toegang tot externe gebruikers door de omgekeerde volmacht.

Beveiligen tegen aanvallen met Smederij voor meerdere sites

Een CSRF-aanval (Cross-Site Request Svervalsing) misbruikt het vertrouwen dat een website heeft voor de gebruiker, om opdrachten door te geven die niet door de gebruiker zijn geautoriseerd en onbedoeld. De aanval wordt opstelling door een verbinding of een manuscript in een Web-pagina, of een URL in een e-mailbericht te omvatten, om tot een andere plaats toegang te hebben waaraan de gebruiker reeds voor authentiek is verklaard.

U kunt bijvoorbeeld zijn aangemeld bij de beheerconsole terwijl u tegelijkertijd door een andere website bladert. Een van de webpagina's kan een HTML-afbeeldingstag bevatten met een src-kenmerk dat een serverscript aanwijst op de website van het slachtoffer. Door gebruik te maken van het op cookies gebaseerde mechanisme voor sessieverificatie dat door webbrowsers wordt geboden, kan de aanvallende website kwaadaardige verzoeken verzenden naar dit script op de server van het slachtoffer, waarbij de vraag als de legitieme gebruiker wordt gesteld.

De volgende kenmerken komen voor in KVP:

• Neem sites op die afhankelijk zijn van de identiteit van een gebruiker.
• Gebruik het vertrouwen van de site in die identiteit.
• Steek de browser van de gebruiker in het verzenden van HTTP-aanvragen naar een doelsite.
• Neem HTTP-aanvragen op die bijwerkingen hebben.

AEM Forms on JEE gebruikt de functie Filter referentie om CSRF-aanvallen te blokkeren. In deze sectie worden de volgende termen gebruikt om het filtermechanisme van de verwijzer te beschrijven:

• Toegestane verwijzing: Een referentie is het adres van de bronpagina die een verzoek naar de server verzendt. Voor JSP-pagina's of -formulieren is de referentie meestal de vorige pagina in de browsergeschiedenis. Verwijzers voor afbeeldingen zijn meestal de pagina's waarop de afbeeldingen worden weergegeven. U kunt de Referrer identificeren die toegang tot uw servermiddelen door hen aan de Toegestane lijst van de Referant wordt verleend toe te voegen.
• Toegestane uitzonderingen Referrer: u kunt het werkingsgebied van toegang voor een bepaalde Verwijzer in uw Toegestane lijst van de Referant willen beperken. Als u deze beperking wilt toepassen, kunt u afzonderlijke paden van die referentie toevoegen aan de lijst Toegestane uitzonderingen Referrer. Verzoeken die afkomstig zijn van paden in de lijst Toegestane uitzonderingen voor referenties kunnen geen bron op de formulierserver aanroepen. U kunt de Uitzonderingen van de Verwijzer van de Toestemming voor een specifieke toepassing bepalen en ook een globale lijst van uitzonderingen gebruiken die op alle toepassingen van toepassing zijn.
• Toegestane URI's: dit is een lijst met bronnen die moeten worden gebruikt zonder de koptekst van de verwijzer te controleren. De middelen, bijvoorbeeld, hulppagina's, die niet in staatsveranderingen op de server resulteren, kunnen aan deze lijst worden toegevoegd. De bronnen in de lijst Toegestane URI's worden nooit geblokkeerd door het filter Referrer, ongeacht wie de Referrer is.
• Null-verwijzing: Een serveraanvraag die niet is gekoppeld aan of niet afkomstig is van een bovenliggende webpagina, wordt beschouwd als een aanvraag van een Null-referentie. Wanneer u bijvoorbeeld een nieuw browservenster opent, typt u een adres en drukt u op Enter, is de referentie die naar de server is verzonden null. Een Desktoptoepassing (.NET of SWING) die een HTTP- verzoek aan een Webserver indienen, verzendt ook een Null Referrer naar de server.

Filterverwijzing

Het filterproces Referrer kan als volgt worden beschreven:

1. De formulierserver controleert de HTTP-methode die wordt gebruikt voor oproepen:

   1. Als het POST is, voert de formulierserver de koptekstcontrole Referrer uit.
   2. Als het GET is, overslaat de formulierserver de controle Referrer, tenzij CSRF_CHECK_GETS is ingesteld op true, in welk geval de koptekstcontrole Referrer wordt uitgevoerd. CSRF_CHECK_ GETSis gespecificeerd in web. xmlfile voor uw toepassing.

2. De formulierserver controleert of de aangevraagde URI is gevoegd op lijst van gewenste personen:

   1. Als URI wordt gevoegd op lijst van gewenste personen, accepteert de server de aanvraag.
   2. Als gevraagde URI niet wordt gevoegd op lijst van gewenste personen, wint de server de Referrer van het verzoek terug.

3. Als er een Referrer in het verzoek is, controleert de server of het een Toegestane Referrer is. Als dit is toegestaan, controleert de server op een uitzondering Referrer:

   1. Als het een uitzondering is, wordt het verzoek geblokkeerd.
   2. Als het geen uitzondering is, wordt het verzoek overgegaan.

4. Als er geen Referrer in het verzoek is, controleert de server of een Null Referrer wordt toegestaan:

   1. Als een Null-referentie is toegestaan, wordt het verzoek doorgegeven.
   2. Als een Null Referrer niet wordt toegestaan, controleert de server of gevraagde URI een uitzondering voor de Null Referrer is en behandelt dienovereenkomstig het verzoek.

Filteren van referenties beheren

AEM Forms on JEE biedt een Referrer Filter om Referrer op te geven die toegang krijgen tot uw serverbronnen. Standaard filtert het filter Referrer geen aanvragen die een veilige HTTP-methode gebruiken, bijvoorbeeld GET, tenzij CSRF_CHECK_GETS is ingesteld op true. Als het havenaantal voor een Toegestane ingang van de Verwijzing aan 0 wordt geplaatst, zal AEM Forms op JEE alle verzoeken met Referrer van die gastheer ongeacht het havenaantal toestaan. Als er geen poortnummer is opgegeven, zijn alleen aanvragen van standaardpoort 80 (HTTP) of poort 443 (HTTPS) toegestaan. Filteren met verwijzing is uitgeschakeld als alle items in de lijst Toegestane verwijzing worden verwijderd.

Wanneer u de Diensten van het Document eerst installeert, wordt de Toegestane lijst van de Verwijzing bijgewerkt met het adres van de server waarop de Diensten van het Document geïnstalleerd is. De ingangen voor de server omvatten de servernaam, het IPv4 adres, het IPv6 adres als IPv6 wordt toegelaten, het loopbackadres, en een localhost ingang. De namen die aan de lijst Toegestane verwijzing worden toegevoegd, worden geretourneerd door het hostbesturingssysteem. Een server met een IP-adres van 10.40.54.187 bevat bijvoorbeeld de volgende vermeldingen: https://server-name:0, https://10.40.54.187:0, https://127.0.0.1:0, http://localhost:0. Voor om het even welke niet gekwalificeerde naam die door het werkende systeem van de Gastheer (namen wordt teruggegeven die geen IPv4 adres, IPv6 adres of gekwalificeerde domeinnaam) hebben wordt de lijst van gewenste personen niet bijgewerkt. Wijzig de Toegestane lijst van Referiteers om uw bedrijfsomgeving aan te passen. Implementeer de formulierserver niet in de productieomgeving met de standaardlijst Toegestane verwijzing. Nadat u een van de toegestane referentie-, referentie-uitzonderingen of URI's hebt gewijzigd, zorgt u ervoor dat de server opnieuw wordt gestart zodat de wijzigingen van kracht worden.

Toegestane verwijzingslijst beheren

U kunt de lijst Toegestane verwijzing beheren via de gebruikersbeheerinterface van de beheerconsole. De gebruikersbeheerinterface biedt u de functionaliteit om de lijst te maken, bewerken of verwijderen. Raadpleeg de sectie * CSRF-aanvallen voorkomen* van de administration help voor meer informatie over het werken met de lijst Toegestane referenties.

Toegestane uitzondering Referrer en Toegestane URI-lijsten beheren

AEM Forms on JEE biedt API's voor het beheer van de lijst Uitzondering toegestane verwijzing en de lijst Toegestane URI. U kunt deze API's gebruiken om de lijst op te halen, te maken, te bewerken of te verwijderen. Hieronder volgt een lijst met beschikbare API's:

• createAllowedURIsList
• getAllowedURIsList
• updateAllowedURIsList
• deleteAllowedURIsList
• addAllowedRefererExceptions
• getAllowedRefererExceptions
• updateAllowedRefererExceptions
• deleteAllowedRefererExceptions

Raadpleeg de* AEM Forms on JEE API Reference* voor meer informatie over de API's.

Gebruik de lijst LC_GLOBAL_ALLOWED_REFERER_EXCEPTION voor Toegestane uitzonderingen van de Referateur op globaal niveau d.w.z. om uitzonderingen te bepalen die op alle toepassingen van toepassing zijn. Deze lijst bevat alleen URI's met een absoluut pad (bijvoorbeeld /index.html) of een relatief pad (bijvoorbeeld /sample/). U kunt ook een reguliere expressie toevoegen aan het einde van een relatieve URI, bijvoorbeeld /sample/(.)*.

De LC_GLOBAL_ALLOWED_REFERER_EXCEPTION lijst-id wordt gedefinieerd als een constante in de UMConstants-klasse van de naamruimte com.adobe.idp.um.api, gevonden in adobe-usermanager-client.jar. U kunt de AEM Forms API's gebruiken om deze lijst te maken, te wijzigen of te bewerken. Als u bijvoorbeeld de lijst Uitzonderingen globale toegestane verwijzingsverwijzing wilt maken, gebruikt u:

addAllowedRefererExceptions(UMConstants.LC_GLOBAL_ALLOWED_REFERER_EXCEPTION, Arrays.asList("/index.html", "/sample/(.)*"))

Gebruik de lijst CSRF_ALLOWED_REFERER_EXCEPTIONS voor toepassing-specifieke uitzonderingen.

Het filter Referrer uitschakelen

Als het filter Referrer de toegang tot de formulierserver volledig blokkeert en u de lijst Toegestane verwijzing niet kunt bewerken, kunt u het opstartscript van de server bijwerken en het filteren van referenties uitschakelen.

Neem het argument -Dlc.um.csrffilter.disabled=true JAVA op in het opstartscript en start de server opnieuw. Zorg ervoor dat u het argument JAVA schrapt nadat u correct de Toegestane lijst van de Verwijzing hebt aangepast.

Filteren met referenties voor aangepaste WAR-bestanden

Mogelijk hebt u aangepaste WAR-bestanden gemaakt die u met AEM Forms op JEE kunt gebruiken om aan uw zakelijke vereisten te voldoen. Als u het filteren van verwijzingen wilt inschakelen voor uw aangepaste WAR-bestanden, neemt u adobe-usermanager-client.jar op in het klassepad voor de WAR en neemt u een filteritem op in het bestand* web.xml* met de volgende parameters:

CSRF_CHECK_ GETScontrols the Referrer check on GET request. Wanneer deze parameter niet is gedefinieerd, wordt de standaardwaarde op false ingesteld. Neem deze parameter alleen op als u uw GET-aanvragen wilt filteren.

CSRF_ALLOWED_REFERER_ EXCEPTIONS is identiteitskaart van de Toegestane lijst van Uitzonderingen van de Referteur. Met het filter Referrer voorkomt u dat aanvragen die afkomstig zijn van referenties in de lijst die met de lijst-id wordt aangegeven, een bron op de formulierserver aanroepen.

CSRF_ALLOWED_URIS_LIST_ NAMEis identiteitskaart van de Toegestane lijst URIs. Het filter Referrer blokkeert geen aanvragen voor een van de bronnen in de lijst die door de lijst-id wordt geïdentificeerd, ongeacht de waarde van de verwijzaarheader in de aanvraag.

CSRF_ALLOW_NULL_ REFERERcontrols the Referrer Filter behavior when the Referrer is null or not present. Wanneer deze parameter niet is gedefinieerd, wordt de standaardwaarde op false ingesteld. Neem deze parameter alleen op als u Null-referenties wilt toestaan. Het toestaan van ongeldige verwijzers kan sommige types van het Verzoek van de Vervalsing van de Plaats van de Overeenkomst toestaan.

CSRF_NULL_REFERER_ EXCEPTIONS is een lijst van URIs waarvoor geen controle van de Referteur wordt uitgevoerd wanneer de Referrer ongeldig is. Deze parameter wordt toegelaten slechts wanneer CSRF_ALLOW_NULL_REFERER aan vals wordt geplaatst. Scheid meerdere URI's in de lijst met een komma.

Hieronder ziet u een voorbeeld van de filtervermelding in het bestand web.xml voor een SAMPLE WAR-bestand:

<filter>
       <filter-name> filter-name </filter-name>
       <filter-class> com.adobe.idp.um.auth.filter.RemoteCSRFFilter </filter-class>
     <!-- default is false -->
     <init-param>
      <param-name> CSRF_ALLOW_NULL_REFERER </param-name>
      <param-value> false </param-value>
     </init-param>
     <!-- default is false -->
     <init-param>
      <param-name> CSRF_CHECK_GETS </param-name>
      <param-value> true </param-value>
     </init-param>
     <!-- Optional -->
     <init-param>
       <param-name> CSRF_NULL_REFERER_EXCEPTIONS </param-name>
       <param-value> /SAMPLE/login, /SAMPLE/logout  </param-value>
     </init-param>
     <!-- Optional -->
     <init-param>
      <param-name> CSRF_ALLOWED_REFERER_EXCEPTIONS </param-name>
      <param-value> SAMPLE_ALLOWED_REF_EXP_ID </param-value>
     </init-param>
     <!-- Optional -->
     <init-param>
      <param-name> CSRF_ALLOWED_URIS_LIST_NAME </param-name>
      <param-value> SAMPLE_ALLOWED_URI_LIST_ID     </param-value>
     </init-param>
</filter>
    ........
    <filter-mapping>
      <filter-name> filter-name </filter-name>
      <url-pattern>/*</url-pattern>
    </filter-mapping>

Problemen oplossen

Als de legitieme serververzoeken door het filter CSRF worden geblokkeerd, probeer één van het volgende:

• Als het afgewezen verzoek een verwijzingskopbal heeft, denk zorgvuldig na toevoegend het aan de Toegestane lijst van de Referant. Voeg alleen de referentie toe die u vertrouwt.
• Als het afgewezen verzoek geen verwijzingskopbal heeft, wijzig uw cliënttoepassing om een verwijzingskopbal te omvatten.
• Als de client in een browser kan werken, probeert u dat implementatiemodel.
• Als laatste redmiddel kunt u het middel aan de Toegestane lijst URIs toevoegen. Dit is geen aanbevolen instelling.

Beveiligde netwerkconfiguratie

Deze sectie beschrijft de protocollen en de havens die door AEM Forms op JEE worden vereist en verstrekt aanbevelingen voor het opstellen van AEM Forms op JEE in een veilige netwerkconfiguratie.

De protocollen van het netwerk die door AEM Forms op JEE worden gebruikt

Wanneer u een veilige netwerkarchitectuur zoals die in de vorige sectie wordt beschreven vormt, worden de volgende netwerkprotocollen vereist voor interactie tussen AEM Forms op JEE en andere systemen in uw ondernemingsnetwerk.

Poorten voor toepassingsservers

Deze sectie beschrijft de standaardhavens (en afwisselende configuratiereiken) voor elk type van gesteunde toepassingsserver. Deze poorten moeten in- of uitgeschakeld zijn op de binnenfirewall, afhankelijk van de netwerkfunctionaliteit die u wilt toestaan voor clients die verbinding maken met de toepassingsserver waarop AEM Forms op JEE wordt uitgevoerd.

JBoss-poorten

WebLogic-poorten

WebSphere-poorten

Voor informatie over havens WebSphere die AEM Forms op JEE vereist, ga naar het aantal dat van de Haven in WebSphere de Server UI van de Toepassing plaatst.

SSL configureren

Verwijzend naar de fysieke architectuur die in de sectie AEM Forms op fysieke architectuur JEE wordt beschreven, zou u SSL voor alle verbindingen moeten vormen die u van plan bent te gebruiken. Specifiek, moeten alle verbindingen van de ZEEP over SSL worden geleid om blootstelling van gebruikersgeloofsbrieven op een netwerk te verhinderen.

Voor instructies over hoe te om SSL op JBoss, WebLogic, en WebSphere te vormen, zie "het Vormen SSL"in beleidshulp.

SSL-omleiding configureren

Nadat u uw toepassingsserver vormt om SSL te steunen, moet u ervoor zorgen dat al verkeer van HTTP aan toepassingen en de diensten wordt afgedwongen om de SSL haven te gebruiken.

Raadpleeg de documentatie bij de toepassingsserver voor informatie over SSL-omleiding voor WebSphere of WebLogic.

1. Open bevelherinnering, navigeer aan /JBOSS_HOME/standalone/configuratiemap, en voer het volgende bevel uit:

   keytool -genkey -alias jboss7 -keyalg RSA -keystore server.keystore -validity 10950

2. Open het bestand JBOSS_HOME/standalone/configuration/standalone.xml voor bewerking.

   Voeg de volgende details toe na het <subsystem xmlns="urn:jboss:domain:web:1.1" native="false" default-virtual-server="default-host">-element:

   <connector name="https" protocol="HTTP/1.1" scheme="https" socket-binding="https" enabled="true" secure="true" />

3. Voeg de volgende code toe in het https-verbindingselement:

   <connector name="https" protocol="HTTP/1.1" scheme="https" socket-binding="https" secure="true" enabled="true">
    <ssl name="jboss7_ssl" key-alias="jboss71" password="Tibco321" certificate-key-file="../standalone/configuration/server.keystore" protocol="TLSv1"/>
    </connector>
   

   Sla het bestand standalone.xml op en sluit het.

Windows-specifieke beveiligingsaanbevelingen

Deze sectie bevat veiligheidsaanbevelingen die voor Vensters wanneer gebruikt specifiek zijn om AEM Forms op JEE in werking te stellen.

JBoss-serviceaccounts

Bij de turnkey-installatie van AEM Forms op JEE wordt standaard een serviceaccount ingesteld met behulp van de lokale systeemaccount. De ingebouwde gebruikersaccount voor het lokale systeem heeft een hoge mate van toegankelijkheid; het maakt deel uit van de groep Beheerders. Als de identiteit van een arbeidersproces als Lokale de gebruikersrekening van het Systeem loopt, heeft dat arbeidersproces volledige toegang tot het volledige systeem.

De toepassingsserver uitvoeren met een niet-beheeraccount

1. In de Console van het Beheer van Microsoft (MMC), creeer een lokale gebruiker voor de dienst van de vormenserver om login als:

   • Selecteer Gebruiker kan wachtwoord niet veranderen.
   • Controleer op het tabblad Lid van of de gebruikersgroep wordt vermeld.

2. Selecteer Instellingen > Systeembeheer > Services.

3. Dubbelklik op de service van de toepassingsserver en stop de service.

4. Selecteer Dit account op het tabblad Aanmelden, blader naar de gebruikersaccount die u hebt gemaakt en voer het wachtwoord voor de account in.

5. Geef in het venster Lokale beveiligingsinstellingen onder Toewijzing gebruikersrechten de volgende rechten op de gebruikersaccount waarop de formulierserver wordt uitgevoerd:

   • Ontken login door de EindDiensten
   • Aanmelden lokaal weigeren
   • Aanmelden als service (moet al zijn ingesteld)

6. Geef de nieuwe gebruikersaccount lees- en uitvoermachtigingen, de inhoud van de map List en de machtiging Lezen aan AEM Forms op de JEE-directory's met webinhoud.

7. Start de service van de toepassingsserver.

Beveiliging bestandssysteem

AEM Forms on JEE gebruikt het bestandssysteem op de volgende manieren:

• Hiermee worden tijdelijke bestanden opgeslagen die worden gebruikt bij de verwerking van de invoer en uitvoer van documenten
• Slaat dossiers in het globale archiefopslag op die worden gebruikt om de oplossingscomponenten te steunen die worden geïnstalleerd
• Gecontroleerde mappen slaan neergezette bestanden op die worden gebruikt als invoer voor een service vanaf de locatie van een bestandssysteemmap

Als u gecontroleerde mappen gebruikt als een manier om documenten met een service van de formulierserver te verzenden en te ontvangen, moet u extra voorzorgsmaatregelen treffen met betrekking tot de beveiliging van het bestandssysteem. Wanneer een gebruiker inhoud in de controlemap neerzet, wordt die inhoud via de controlemap weergegeven. In dit geval wordt de werkelijke eindgebruiker niet geverifieerd door de service. In plaats daarvan, baseert het zich op ACL en het niveauveiligheid van het Aandeel op het omslagniveau om te bepalen wie de dienst kan effectief aanhalen.

JBoss-specifieke veiligheidsaanbevelingen

Deze sectie bevat aanbevelingen voor de configuratie van toepassingsservers die specifiek zijn voor JBoss 7.0.6 wanneer deze wordt gebruikt om AEM Forms uit te voeren op JEE.

JBoss Management Console en JMX Console uitschakelen

De toegang tot de JBoss Management Console en de Console JMX is reeds gevormd (JMX controle wordt onbruikbaar gemaakt) wanneer u AEM Forms op JEE op JBoss door de kant-en-klare installatiemethode te gebruiken installeert. Als u uw eigen JBoss Server van de Toepassing gebruikt, zorg ervoor dat de toegang tot de Console van het Beheer JBoss en JMX controleconsole wordt beveiligd. De toegang tot de JMX controleconsole wordt geplaatst in het JBoss configuratiedossier genoemd jmx-invoker-service.xml.

Bladeren door directory's uitschakelen

Na het registreren in de Console van het Beleid, is het mogelijk om de de folderlijst van de console te doorbladeren door URL te wijzigen. Als u bijvoorbeeld de URL wijzigt in een van de volgende URL's, wordt mogelijk een mappenlijst weergegeven:

https://<servername>:8080/adminui/secured/
https://<servername>:8080/um/

WebLogic-specifieke beveiligingsaanbevelingen

Deze sectie bevat aanbevelingen voor de configuratie van toepassingsservers voor het beveiligen van WebLogic 9.1 wanneer AEM Forms wordt uitgevoerd op JEE.

Bladeren door directory's uitschakelen

Stel de eigenschappen van de indexmappen in het bestand weblogic.xml in op false, zoals in dit voorbeeld:

<container-descriptor>
    <index-directory-enabled>false
    </index-directory-enabled>
</container-descriptor>

WebLogic SSL-poort inschakelen

Standaard schakelt WebLogic de standaard SSL-luisterpoort 7002 niet in. Schakel deze poort in de WebLogic Server Administration Console in voordat u SSL configureert.

WebSphere-specifieke beveiligingsaanbevelingen

Deze sectie bevat aanbevelingen voor de configuratie van de toepassingsserver om WebSphere te beveiligen die AEM Forms op JEE uitvoert.

Bladeren door directory's uitschakelen

Stel de eigenschap directoryBrowsingEnabled in het bestand ibm-web-ext.xml in op false.

Beveiliging van WebSphere-beheer inschakelen

1. Meld u aan bij de beheerconsole van WebSphere.
2. Ga in de navigatiestructuur naar Beveiliging > Algemene beveiliging
3. Selecteer Beheerbeveiliging inschakelen.
4. Schakel zowel Toepassingsbeveiliging inschakelen als Java 2-beveiliging gebruiken uit.
5. Klik OK of Toepassen.
6. In Berichten doos, klik sparen direct aan de master configuratie.

Business.Adobe.com-bronnen

Style System Auto Form Fill Cms Cloud Customer Communications Dynamic Media Headless Cms