AEM Forms versterken op JEE-omgeving

Laatste update: 2023-05-04
  • Gemaakt voor:
  • Admin
LET OP

AEM 6.4 heeft het einde van de uitgebreide ondersteuning bereikt en deze documentatie wordt niet meer bijgewerkt. Raadpleeg voor meer informatie onze technische ondersteuningsperioden. Ondersteunde versies zoeken hier.

Leer een verscheidenheid van veiligheid-verhardende montages om de veiligheid van AEM Forms op JEE te verbeteren die in een collectieve Intranet loopt.

In het artikel worden aanbevelingen en aanbevolen procedures beschreven voor het beveiligen van servers die AEM Forms uitvoeren op JEE. Dit is geen uitgebreid host-hardend document voor uw besturingssysteem en toepassingsservers. In plaats daarvan, beschrijft dit artikel een verscheidenheid van veiligheid-verhardende montages die u zou moeten uitvoeren om de veiligheid van AEM Forms op JEE te verbeteren die binnen een collectief Intranet loopt. Om ervoor te zorgen dat de AEM Forms op JEE toepassingsservers veilig blijft, echter, zou u veiligheid controle, opsporing, en reactieprocedures ook moeten uitvoeren.

In het artikel worden verhardingstechnieken beschreven die tijdens de levenscyclus van de installatie en configuratie in de volgende fasen moeten worden toegepast:

  • Voorinstallatie: Gebruik deze technieken voordat u AEM Forms op JEE installeert.
  • Installatie: Gebruik deze technieken tijdens het installatieproces van AEM Forms on JEE.
  • Na de installatie: Gebruik deze technieken na installatie en periodiek daarna.

AEM Forms on JEE is zeer aanpasbaar en kan in vele verschillende omgevingen werken. Sommige aanbevelingen passen mogelijk niet in de behoeften van uw organisatie.

Voorinstallatie

Voordat u AEM Forms op JEE installeert, kunt u beveiligingsoplossingen toepassen op de netwerklaag en het besturingssysteem. In deze sectie worden enkele problemen beschreven en worden aanbevelingen gedaan om beveiligingsrisico's op deze gebieden te verminderen.

Installatie en configuratie op UNIX en Linux

U moet AEM Forms niet installeren of configureren op JEE met behulp van een hoofdshell. Standaard worden bestanden geïnstalleerd onder de map /opt en heeft de gebruiker die de installatie uitvoert, alle bestandsmachtigingen onder /opt nodig. Een installatie kan ook worden uitgevoerd in de map /user van een individuele gebruiker, waar deze al over alle bestandsmachtigingen beschikt.

Installatie en configuratie in Windows

U moet de installatie in Windows als beheerder uitvoeren als u AEM Forms op JEE op JBoss installeert met de methode key of als u PDF Generator installeert. Wanneer u PDF Generator in Windows installeert met native toepassingsondersteuning, moet u de installatie uitvoeren als dezelfde Windows-gebruiker die Microsoft Office heeft geïnstalleerd. Zie het document* AEM Forms installeren en implementeren op JEE* voor meer informatie over installatiemacht.

Netwerklaagbeveiliging

De de veiligheidskwetsbaarheid van het netwerk is onder de eerste bedreigingen aan om het even welke Internet-Onder ogen ziet of intranet-Onder ogen ziet toepassingsserver. Deze sectie beschrijft het proces om gastheren op het netwerk tegen deze kwetsbaarheid te verharden. Het richt netwerksegmentatie, de stapelverharding van het Protocol van de Controle van de Transmissie/van Internet-protocol (TCP/IP), en het gebruik van firewalls voor gastheerbescherming.

De volgende lijst beschrijft gemeenschappelijke processen die de kwetsbaarheid van de netwerkveiligheid verminderen.

Probleem

Beschrijving

Gedemilitariseerde zones (DMZ's)

Stel vormenservers binnen een gedemilitariseerde streek (DMZ) op. Segmentatie moet bestaan op ten minste twee niveaus, waarbij de toepassingsserver wordt gebruikt om AEM Forms uit te voeren op JEE die achter de binnenfirewall is geplaatst. Scheid het externe netwerk van DMZ die de Webservers bevat, die beurtelings van het interne netwerk moeten worden gescheiden. Gebruik firewalls om de scheidingslagen te implementeren. Categoriseer en controleer het verkeer dat door elke netwerklaag overgaat om ervoor te zorgen dat slechts het absolute minimum van vereiste gegevens wordt toegestaan.

Persoonlijke IP-adressen

De Vertaling van het Adres van het Netwerk van het gebruik (NATIONAAL) met RFC 1918 privé IP adressen op de de toepassingsserver van AEM Forms. Wijs privé IP adressen (10.0.0.0/8, 172.16.0.0/12, en 192.168.0.0/16) toe om het voor een aanvaller moeilijker te maken om verkeer aan en van een NATIONAAL interne gastheer door Internet te leiden.

Vuurmuren

Gebruik de volgende criteria om een firewalloplossing te selecteren:

  • Voer firewalls uit die volmachtsservers en/of steunen stateful inspectie in plaats van eenvoudige pakketfilteroplossingen.

  • Een firewall gebruiken die ondersteuning biedt voor een alle services weigeren, behalve de uitdrukkelijk toegestane veiligheidsparadigma's.

  • Voer een firewalloplossing uit die dubbel-homed of multihomed is. Deze architectuur biedt het grootste beveiligingsniveau en helpt te voorkomen dat onbevoegde gebruikers de firewallbeveiliging omzeilen.

Databasepoorten

Gebruik geen standaard luisterpoorten voor databases (MySQL - 3306, Oracle - 1521, MS SQL - 1433). Raadpleeg de documentatie bij uw database voor informatie over het wijzigen van databasepoorten.

Het gebruiken van een verschillende gegevensbestandhaven beïnvloedt algemene AEM Forms op configuratie JEE. Als u standaardhavens verandert, moet u overeenkomstige wijzigingen in andere gebieden van configuratie, zoals de gegevensbronnen voor AEM Forms op JEE aanbrengen.

Voor informatie over het configureren van gegevensbronnen in AEM Forms op JEE raadpleegt u AEM Forms installeren en upgraden in JEE of Upgraden naar AEM Forms op JEE voor uw toepassingsserver op AEM Forms-gebruikershandleiding.

Beveiliging van besturingssystemen

In de volgende tabel worden enkele mogelijke benaderingen beschreven om beveiligingskwetsbaarheden die in het besturingssysteem zijn aangetroffen, tot een minimum te beperken.

Probleem

Beschrijving

Beveiligingspatches

Er is een verhoogd risico dat een niet-geautoriseerde gebruiker toegang krijgt tot de toepassingsserver als beveiligingspatches en upgrades van leveranciers niet tijdig worden toegepast. Test beveiligingspatches voordat u ze op productieservers toepast.

Ook kunt u beleidsregels en procedures maken om regelmatig te controleren op patches en deze te installeren.

Virusbeveiligingssoftware

Virusscanners kunnen geïnfecteerde bestanden herkennen door te zoeken naar een handtekening of op ongewoon gedrag te kijken. Scanners bewaren hun virushandtekeningen in een bestand dat meestal op de lokale vaste schijf wordt opgeslagen. Omdat nieuwe virussen vaak worden gedetecteerd, moet u dit bestand regelmatig bijwerken voor de virusscanner om alle huidige virussen te identificeren.

Netwerktijdprotocol (NTP)

Voor forensische analyse moet u nauwkeurige tijd op de formulierservers houden. Gebruik NTP om de tijd op alle systemen te synchroniseren die direct met Internet worden verbonden.

Voor meer beveiligingsinformatie voor uw besturingssysteem raadpleegt u "Beveiligingsinformatie van besturingssysteem".

Installatie

In deze sectie worden technieken beschreven die u tijdens het AEM Forms-installatieproces kunt gebruiken om beveiligingsrisico's te beperken. In sommige gevallen maken deze technieken gebruik van opties die deel uitmaken van het installatieproces. In de volgende tabel worden deze technieken beschreven.

Probleem

Beschrijving

Bevoegdheden

Gebruik het minste aantal rechten dat nodig is om de software te installeren. Meld u aan bij uw computer met een account die zich niet in de groep Beheerders bevindt. In Windows kunt u de opdracht Uitvoeren als gebruiken om het AEM Forms-installatieprogramma van JEE als een beheergebruiker uit te voeren. Bij UNIX- en Linux-systemen gebruikt u een opdracht zoals sudo om de software te installeren.

Softwarebron

Download of voer AEM Forms niet uit op JEE van niet-vertrouwde bronnen.

De kwaadwillige programma's kunnen code bevatten om veiligheid op verscheidene manieren, met inbegrip van gegevensdiefstal, wijziging en schrapping, en ontkenning van de dienst te schenden. Installeer AEM Forms op JEE vanaf de Adobe-dvd of alleen vanaf een vertrouwde bron.

Schijfpartities

Plaats AEM Forms op JEE op een toegewezen schijfpartitie. De segmentatie van de schijf is een proces dat specifieke gegevens op uw server op afzonderlijke fysieke schijven voor extra veiligheid houdt. Het schikken van gegevens op deze manier vermindert het risico van folderaanvallen. Maak een partitie die los staat van de systeempartitie waarop u de AEM Forms in de JEE-inhoudsmap kunt installeren. (In Windows bevat de systeempartitie de directory system32 of de opstartpartitie.)

Onderdelen

Evalueer de bestaande diensten en maak of desinstalleer om het even welke onbruikbaar die niet worden vereist. Installeer geen overbodige onderdelen en services.

De standaardinstallatie van een toepassingsserver zou de diensten kunnen omvatten die niet noodzakelijk voor uw gebruik zijn. U zou alle onnodige diensten voorafgaand aan plaatsing moeten onbruikbaar maken om punten van ingang voor een aanval te minimaliseren. Op JBoss kunt u bijvoorbeeld opmerkingen plaatsen over overbodige services in het beschrijvingsbestand META-INF/jboss-service.xml.

Interdomeinbeleidsbestand

De aanwezigheid van een crossdomain.xml op de server kan die server onmiddellijk verzwakken. U wordt aangeraden de lijst met domeinen zo restrictief mogelijk te maken. Plaats de crossdomain.xml bestand dat tijdens de ontwikkeling naar de productie is gebruikt bij het gebruik van hulplijnen (afgekeurd). Voor een gids die de Webdiensten gebruikt, als de dienst op de zelfde server is die omhoog de gids, crossdomain.xml bestand is helemaal niet nodig. Maar als de dienst op een andere server is, of als de clusters betrokken zijn, de aanwezigheid van crossdomain.xml bestand is vereist. Zie https://kb2.adobe.com/cps/142/tn_14213.htmlvoor meer informatie over het bestand crossdomain.xml.

Beveiligingsinstellingen van besturingssysteem

Als u 192-bits of 256-bits XML-codering op Solaris-platforms moet gebruiken, moet u de installatie pkcs11_softtoken_extra.so in plaats van pkcs11_softtoken.so.

Stappen na de installatie

Nadat u AEM Forms met succes op JEE installeert, is het belangrijk om het milieu uit veiligheidsperspectief periodiek te handhaven.

In de volgende sectie worden de verschillende taken beschreven die worden aanbevolen om de geïmplementeerde formulierserver te beveiligen.

AEM Forms-beveiliging

De volgende aanbevolen instellingen gelden voor de AEM Forms op de JEE-server buiten de beheerwebtoepassing. Als u de beveiligingsrisico's voor de server wilt beperken, past u deze instellingen direct toe nadat u AEM Forms op JEE hebt geïnstalleerd.

Beveiligingspatches

Er is een verhoogd risico dat een onbevoegde gebruiker toegang tot de toepassingsserver zou kunnen krijgen als de patches en upgrades van de verkopersveiligheid niet tijdig worden toegepast. Test beveiligingspatches voordat u ze op productieservers toepast om de compatibiliteit en beschikbaarheid van toepassingen te garanderen. Ook kunt u beleidsregels en procedures maken om regelmatig te controleren op patches en deze te installeren. AEM Forms on JEE-updates zijn beschikbaar op de downloadsite voor Enterprise-producten.

Servicerekeningen (alleen voor JBoss-sleutel in Windows)

AEM Forms on JEE installeert standaard een service via de LocalSystem-account. De ingebouwde LocalSystem-gebruikersaccount heeft een hoog toegankelijkheidsniveau; het maakt deel uit van de groep Beheerders. Als een worker-process-identiteit wordt uitgevoerd als LocalSystem-gebruikersaccount, heeft dat arbeidersproces volledige toegang tot het gehele systeem.

Volg de onderstaande instructies om de toepassingsserver uit te voeren waarop AEM Forms op JEE wordt geïmplementeerd met een specifieke niet-beheeraccount:

  1. Maak in de Microsoft Management Console (MMC) een lokale gebruiker voor de service van de formulierserver om u aan te melden als:

    • Selecteren Gebruiker kan wachtwoord niet wijzigen.
    • Op de Lid van zorgt u ervoor dat de Gebruikers wordt weergegeven.
    OPMERKING

    U kunt deze instelling niet wijzigen voor PDF Generator.

  2. Selecteren Start > Instellingen > Administratieve gereedschappen > Services.

  3. Dubbelklik op JBoss voor AEM Forms op JEE en stop de service.

  4. Op de Aanmelden tab, selecteert u Dit account Blader naar de gebruikersaccount die u hebt gemaakt en voer het wachtwoord voor de account in.

  5. In de MMC, open Lokale beveiligingsinstellingen en selecteert u Lokaal beleid > Toewijzing gebruikersrechten.

  6. Wijs de volgende rechten toe aan de gebruikersaccount waarop de formulierserver wordt uitgevoerd:

    • Ontken login door de EindDiensten
    • Aanmelden lokaal weigeren
    • Aanmelden als service (moet al zijn ingesteld)
  7. Geef de nieuwe gebruikersaccount de machtiging Lezen en uitvoeren, Lijstmapinhoud en Leesmachtigingen voor de AEM Forms op het item van directory's met JEE-webinhoud.

  8. Start de toepassingsserver.

Het onbruikbaar maken van de reservereserlet van de Manager van de Configuratie

De Manager van de configuratie maakte gebruik van een servlet die op uw toepassingsserver wordt opgesteld om bootstrapping van AEM Forms op gegevensbestand uit te voeren JEE. Omdat de Manager van de Configuratie tot dit servlet toegang heeft alvorens de configuratie volledig is, is de toegang tot het niet beveiligd voor erkende gebruikers, en het zou moeten worden onbruikbaar gemaakt nadat u met succes de Manager van de Configuratie hebt gebruikt om AEM Forms op JEE te vormen.

  1. De adobe-livecycle uitpakken[appserver].ear-bestand.

  2. Open het bestand META-INF/application.xml.

  3. Zoek naar de adobe-bootstrapper.war sectie:

    <!-- bootstrapper start -->
    <module id="WebApp_adobe_bootstrapper">
        <web>
            <web-uri>adobe-bootstrapper.war</web-uri>
            <context-root>/adobe-bootstrapper</context-root>
        </web>
    </module>
    <module id="WebApp_adobe_lcm_bootstrapper_redirector">
        <web>
            <web-uri>adobe-lcm-bootstrapper-redirector.war</web-uri>
            <context-root>/adobe-lcm-bootstrapper</context-root>
        </web>
    </module>
    <!-- bootstrapper end-->
    
  4. Stop de AEM Forms-server.

  5. Maak een commentaarregel van adobe-bootstrapper.war en de adobe-lcm-bootstrapper-redirectory. oorlogsmodules, als hieronder:

    <!-- bootstrapper start -->
    <!--
    <module id="WebApp_adobe_bootstrapper">
        <web>
            <web-uri>adobe-bootstrapper.war</web-uri>
            <context-root>/adobe-bootstrapper</context-root>
        </web>
    </module>
    <module id="WebApp_adobe_lcm_bootstrapper_redirector">
        <web>
            <web-uri>adobe-lcm-bootstrapper-redirector.war</web-uri>
            <context-root>/adobe-lcm-bootstrapper</context-root>
        </web>
    </module>
    -->
    <!-- bootstrapper end-->
    
  6. Sla het bestand META-INF/application.xml op en sluit het.

  7. Zip het EAR-bestand en implementeer het opnieuw op de toepassingsserver.

  8. Start de AEM Forms-server.

  9. Typ de onderstaande URL in een browser om de wijziging te testen en te controleren of deze niet meer werkt.

    https://<localhost>:<port>/adobe-bootstrapper/bootstrap

Externe toegang vergrendelen tot de Trust Store

Met Configuratiebeheer kunt u een Acrobat Reader DC-extensie uploaden die is gecrediteerd aan de AEM Forms in de JEE-vertrouwde opslag. Dit betekent dat de toegang tot de Dienst van de Referentie van de Opslag van het Vertrouwen over verre protocollen (ZEEP en EJB) door gebrek is toegelaten. Deze toegang is niet meer noodzakelijk nadat u de credentie van Rechten gebruikend de Manager van de Configuratie hebt geupload of als u besluit om de Console van het Beleid later te gebruiken om geloofsbrieven te beheren.

U kunt de externe toegang tot alle services van de Trust Store uitschakelen door de stappen in de sectie uit te voeren Het onbruikbaar maken van niet essentiële verre toegang tot de diensten.

Alle niet-essentiële anonieme toegang uitschakelen

Sommige diensten van de vormenserver hebben verrichtingen die door een anonieme bezoeker kunnen worden aangehaald. Als anonieme toegang tot deze diensten niet wordt vereist, maak het onbruikbaar door de stappen in te volgen Niet-essentiële anonieme toegang tot services uitschakelen.

Het standaardbeheerderswachtwoord wijzigen

Wanneer AEM Forms op JEE is geïnstalleerd, wordt één standaardgebruikersaccount geconfigureerd voor de beheerder van de superbeheerder/aanmeldings-id van de gebruiker met een standaardwachtwoord van password. U zou dit wachtwoord onmiddellijk moeten veranderen gebruikend de Manager van de Configuratie.

  1. Typ de volgende URL in een webbrowser:

    https://[host name]:[port]/adminui
    

    Het standaardpoortnummer is een van de volgende:

    JBoss: 8080

    WebLogic-server: 7001

    WebSphere: 9080.

  2. In de Gebruikersnaam veld, type administrator en in de Wachtwoord veld, type password.

  3. Klikken Instellingen > Gebruikersbeheer > Gebruikers en groepen.

  4. Type administrator in de Zoeken en klik op Zoeken.

  5. Klikken Superbeheerder in de lijst met gebruikers.

  6. Klikken Wachtwoord wijzigen op de pagina Gebruiker bewerken.

  7. Geef het nieuwe wachtwoord op en klik op Opslaan.

Daarnaast wordt aangeraden het standaardwachtwoord voor CRX Administrator te wijzigen door de volgende stappen uit te voeren:

  1. Aanmelden https://[server]:[port]/lc/libs/granite/security/content/useradmin.html de standaardgebruikersnaam/het standaardwachtwoord gebruiken.
  2. Typ Beheerder in het zoekveld en klik op Ga.
  3. Selecteren Beheerder in het zoekresultaat en klik op de knop Bewerken aan de rechterbenedenhoek van de gebruikersinterface.
  4. Geef het nieuwe wachtwoord op in het dialoogvenster Nieuw wachtwoord en het oude wachtwoord in de Uw wachtwoord veld.
  5. Klik op het pictogram Opslaan rechtsonder in de gebruikersinterface.

WSDL-generatie uitschakelen

De generatie van de Definitie van de Taal van de Dienst van het Web (WSDL) zou slechts voor ontwikkelomgevingen moeten worden toegelaten, waar de generatie WSDL door ontwikkelaars wordt gebruikt om hun cliënttoepassingen te bouwen. U kunt verkiezen om de generatie van WSDL in een productiemilieu onbruikbaar te maken vermijden blootstellend de interne details van de dienst.

  1. Typ de volgende URL in een webbrowser:

    https://[host name]:[port]/adminui
    
  2. Klikken Settings > Core System Settings > Configurations.

  3. Deselecteren WSDL inschakelen en klik op OK.

Beveiliging toepassingsserver

In de volgende tabel worden enkele technieken beschreven waarmee u uw toepassingsserver kunt beveiligen nadat de AEM Forms op JEE-toepassing is geïnstalleerd.

Probleem

Beschrijving

Beheerconsole toepassingsserver

Nadat u AEM Forms op JEE op uw toepassingsserver hebt geïnstalleerd, geconfigureerd en geïmplementeerd, moet u de toegang tot de beheerconsoles van de toepassingsserver uitschakelen. Raadpleeg de documentatie bij de toepassingsserver voor meer informatie.

Cookinstellingen toepassingsserver

Toepassingscookies worden beheerd door de toepassingsserver. Bij het implementeren van de toepassing kan de beheerder van de toepassingsserver cookie-voorkeuren opgeven op een serverspecifieke of toepassingsspecifieke basis. Standaard hebben de serverinstellingen de voorkeur.

Alle sessiecookies die door uw toepassingsserver worden gegenereerd, moeten de opdracht HttpOnly kenmerk. Bijvoorbeeld, wanneer het gebruiken van de Server van de Toepassing JBoss, kunt u het element SessionCookie wijzigen aan httpOnly="true" in de WEB-INF/web.xml bestand.

U kunt het verzenden van cookies beperken met alleen HTTPS. Als gevolg hiervan worden ze niet ongecodeerd via HTTP verzonden. Toepassingsserverbeheerders moeten beveiligde cookies voor de server op algemene basis inschakelen. Wanneer u bijvoorbeeld de JBoss-toepassingsserver gebruikt, kunt u het verbindingselement aanpassen aan secure=true in de server.xml bestand.

Raadpleeg de documentatie bij de toepassingsserver voor meer informatie over cookie-instellingen.

Bladeren door mappen

Wanneer iemand om een pagina verzoekt die niet bestaat of om de naam van een directeur verzoekt (het verzoekkoord beëindigt met een voorwaartse schuine streep (/)), zou de toepassingsserver niet de inhoud van die folder moeten terugkeren. Om dit te voorkomen, kunt u bladeren door mappen op uw toepassingsserver uitschakelen. U zou dit voor de toepassing van de beleidsconsole en voor andere toepassingen moeten doen die op uw server lopen.

Stel voor JBoss de waarde in van de initialisatieparameter voor lijsten in het dialoogvenster DefaultServlet eigenschap aan false in het bestand web.xml, zoals in dit voorbeeld wordt getoond:

<servlet>

<servlet-name>default</servlet-name>

<servlet-class>

org.apache.catalina.servlets.DefaultServlet

</servlet-class>

<init-param>

<param-name>aanbiedingen</param-name>

<param-value>false</param-value>

</init-param>

<load-on-startup>1</load-on-startup>

</servlet>

Voor WebSphere stelt u de directoryBrowsingEnabled eigenschap in het bestand ibm-web-ext.xmi naar false.

Voor WebLogic stelt u de eigenschappen voor indexmappen in het bestand weblogic.xml in op false, zoals in dit voorbeeld wordt getoond:

<container-descriptor>

<index-directory-enabled>false

</index-directory-enabled>

</container-descriptor>

Databasebeveiliging

Wanneer het beveiligen van uw gegevensbestand, zou u de maatregelen moeten uitvoeren die door uw gegevensbestandverkoper worden beschreven. U zou een gegevensbestandgebruiker met de minimaal vereiste gegevensbestandtoestemmingen moeten toewijzen die voor gebruik door AEM Forms op JEE worden verleend. Gebruik bijvoorbeeld geen account met databasebeheerdersrechten.

Bij Oracle heeft de databaseaccount die u gebruikt alleen de bevoegdheden CONNECT, RESOURCE en CREATE VIEW nodig. Voor vergelijkbare vereisten voor andere databases, zie Installatie van AEM Forms op JEE (één server) voorbereiden.

Het vormen geïntegreerde veiligheid voor SQL Server op Vensters voor JBoss

  1. Wijzigen [JBOSS_HOME]\standalone\configuration\lc_{datasource.xml} toevoegen integratedSecurity=true naar de verbindings-URL, zoals in dit voorbeeld wordt getoond:

     jdbc:sqlserver://<serverhost>:<port>;databaseName=<dbname>;integratedSecurity=true
    
  2. Voeg het bestand sqljdbc_auth.dll toe aan het Windows-systeempad op de computer waarop de toepassingsserver wordt uitgevoerd. Het bestand sqljdbc_auth.dll bevindt zich bij de installatie van het stuurprogramma voor Microsoft SQL JDBC 6.2.1.0.

  3. Wijzig JBoss de dienstbezit van Vensters (JBoss voor AEM Forms op JEE) voor Aanmelden vanaf Lokaal Systeem aan een login rekening die het gegevensbestand van AEM Forms en een minimumreeks voorrechten heeft. Als u JBoss van de bevellijn in plaats van als dienst van Vensters in werking stelt, te hoeven u niet om deze stap uit te voeren.

  4. Beveiliging voor SQL Server instellen vanuit Gemengd modus to Alleen Windows-verificatie.

Geïntegreerde beveiliging voor SQL Server configureren in Windows voor WebLogic

  1. Start de WebLogic Server Administration Console door de volgende URL te typen in de URL-regel van een webbrowser:

    https://[host name]:7001/console
    
  2. Klik onder Wijzigen in midden op Vergrendelen en bewerken.

  3. Klik onder Domeinstructuur op [base_domain] > Services > JDBC > Gegevensbronnen en klikt u in het rechterdeelvenster op IDP_DS.

  4. Op het volgende scherm, op het volgende scherm Configuratie klikt u op de knop Verbindingspool en, in de Eigenschappen vak, tekst integratedSecurity=true.

  5. Klik onder Domeinstructuur op [base_domain] > Services > JDBC > Gegevensbronnen en klikt u in het rechterdeelvenster op RM_DS.

  6. Op het volgende scherm, op het volgende scherm Configuratie klikt u op de knop Verbindingspool en, in de Eigenschappen vak, tekst integratedSecurity=true.

  7. Voeg het bestand sqljdbc_auth.dll toe aan het Windows-systeempad op de computer waarop de toepassingsserver wordt uitgevoerd. Het bestand sqljdbc_auth.dll bevindt zich bij de installatie van het stuurprogramma voor Microsoft SQL JDBC 6.2.1.0.

  8. Beveiliging voor SQL Server instellen vanuit Gemengd modus to Alleen Windows-verificatie.

Het vormen geïntegreerde veiligheid voor SQL Server op Vensters voor WebSphere

Op WebSphere, kunt u geïntegreerde veiligheid vormen slechts wanneer u een externe SQL bestuurder van de Server JDBC, niet de SQL bestuurder van de Server JDBC gebruikt die met WebSphere wordt ingebed.

  1. Meld u aan bij de beheerconsole van WebSphere.
  2. Klik in de navigatiestructuur op Bronnen > JDBC > Gegevensbronnen en klikt u in het rechterdeelvenster op IDP_DS.
  3. Klik in het rechterdeelvenster onder Extra eigenschappen op Aangepaste eigenschappen en klik vervolgens op Nieuw.
  4. In de Naam vak, tekst integratedSecurity en in de Waarde vak, tekst true.
  5. Klik in de navigatiestructuur op Bronnen > JDBC > Gegevensbronnen en klikt u in het rechterdeelvenster op RM_DS.
  6. Klik in het rechterdeelvenster onder Extra eigenschappen op Aangepaste eigenschappen en klik vervolgens op Nieuw.
  7. In de Naam vak, tekst integratedSecurity en in de Waarde vak, tekst true.
  8. Voeg op de computer waarop WebSphere is geïnstalleerd het bestand sqljdbc_auth.dll toe aan het systeempad van Windows (C:\Windows). Het bestand sqljdbc_auth.dll bevindt zich op dezelfde locatie als de installatie van het stuurprogramma voor Microsoft SQL JDBC 1.2 (standaard is [InstallDir]/sqljdbc_1.2/enu/auth/x86).
  9. Selecteren Start > Deelvenster Beheer > Services, klikt u met de rechtermuisknop op de Windows-service voor WebSphere (IBM WebSphere Application Server) <version> - <node>) en selecteert u Eigenschappen.
  10. Klik in het dialoogvenster Eigenschappen op de knop Aanmelden tab.
  11. Selecteren Dit account en geef de informatie op die nodig is om de aanmeldingsaccount in te stellen die u wilt gebruiken.
  12. Beveiliging instellen op SQL Server vanuit Gemengd modus to Alleen Windows-verificatie.

Toegang tot gevoelige inhoud in de database beveiligen

Het AEM Forms-databaseschema bevat gevoelige informatie over systeemconfiguratie en bedrijfsprocessen en moet achter de firewall worden verborgen. De database moet worden beschouwd binnen dezelfde vertrouwensgrens als de formulierserver. Om tegen informatieonthulling en diefstal van bedrijfsgegevens te beschermen, moet het gegevensbestand door de gegevensbestandbeheerder (DBA) worden gevormd om toegang slechts door erkende beheerders toe te staan.

Als toegevoegde voorzorg, zou u het gebruiken van gegevensbestand verkoper-specifieke hulpmiddelen moeten overwegen om kolommen in lijsten te coderen die de volgende gegevens bevatten:

  • Documenttoetsen Rights Management
  • Sleutel voor versleuteling HSM PIN-code opslaan
  • Hashes lokaal gebruikerswachtwoord

Voor informatie over verkoper-specifieke hulpmiddelen, zie "Gegevensbeveiligingsinformatie".

LDAP-beveiliging

Een Lightweight Directory Access Protocol (LDAP)-directory wordt door AEM Forms in JEE doorgaans gebruikt als bron voor zakelijke gebruikers- en groepsgegevens en als middel om wachtwoordverificatie uit te voeren. Zorg ervoor dat uw LDAP-directory is geconfigureerd voor gebruik van SSL (Secure Socket Layer) en dat AEM Forms op JEE is geconfigureerd voor toegang tot uw LDAP-directory via de SSL-poort.

LDAP-ontkenning van service

Een algemene aanval met LDAP heeft tot gevolg dat een aanvaller opzettelijk meerdere keren niet verifieert. Hierdoor wordt de LDAP-directoryserver gedwongen een gebruiker uit alle LDAP-afhankelijke services te weren.

U kunt het aantal mislukkingspogingen en de daaropvolgende sluitingstijd instellen die AEM Forms implementeert wanneer een gebruiker er herhaaldelijk niet in slaagt te verifiëren bij AEM Forms. Kies lage waarden in de beheerconsole. Wanneer het selecteren van het aantal mislukkingspogingen, is het belangrijk om te begrijpen dat nadat alle pogingen worden gemaakt, AEM Forms de gebruiker sluit alvorens de Server van de Folder LDAP doet.

Automatische accountvergrendeling instellen

  1. Meld u aan bij de beheerconsole.
  2. Klikken Instellingen > Gebruikersbeheer > Domeinbeheer.
  3. Onder Instellingen voor automatisch vergrendelen van account instellen Maximale opeenvolgende verificatiefouten tot een laag aantal, zoals 3.
  4. Klikken Opslaan.

Controle en registratie

Het juiste en veilige gebruik van toepassingscontrole en het registreren kan helpen ervoor zorgen dat de veiligheid en andere anomalische gebeurtenissen worden gevolgd en zo snel mogelijk ontdekt. Het effectieve gebruik van controle en het registreren binnen een toepassing omvat punten zoals het volgen van succesvolle en ontbroken logins, evenals zeer belangrijke toepassingsgebeurtenissen zoals de verwezenlijking of de schrapping van zeer belangrijke verslagen.

U kunt controle gebruiken om vele soorten aanvallen, met inbegrip van deze te ontdekken:

  • Brugtforce-wachtwoordaanvallen
  • Ontkenning van de dienstaanvallen
  • Injectie van vijandige input en verwante klassen van scriptaanvallen

In deze tabel worden de controle- en registratietechnieken beschreven die u kunt gebruiken om de kwetsbaarheden van uw server te beperken.

Probleem

Beschrijving

Logbestand-ACL's

Plaats aangewezen AEM Forms op de lijsten van het de toegangsbeheer van het JEE- logboekdossier (ACLs).

Door de juiste referenties in te stellen, voorkomt u dat aanvallers de bestanden verwijderen.

De veiligheidstoestemmingen op de folder van het logboekdossier zouden Volledige Controle voor Beheerders en de groepen van het SYSTEEM moeten zijn. De AEM Forms-gebruikersaccount mag alleen de machtiging Lezen en Schrijven hebben.

redundantie van logbestanden

Als de middelen toelaten, verzend logboeken naar een andere server in real time die niet door de aanvaller (schrijf slechts) door Syslog, Tivoli, de Server van de Manager van de Verrichtingen van Microsoft (MOM), of een ander mechanisme te gebruiken toegankelijk is.

Als u logbestanden op deze manier beschermt, voorkomt u dat er wordt geknoeid. Bovendien wordt het opslaan van logbestanden in een centrale opslagplaats ondersteund op het gebied van correlatie en controle (bijvoorbeeld als meerdere formulierservers in gebruik zijn en er op meerdere computers waar elke computer om een wachtwoord wordt gevraagd een aanval met het wachtwoord plaatsvindt).

AEM Forms configureren op JEE voor toegang buiten de onderneming

Nadat u AEM Forms op JEE met succes hebt geïnstalleerd, is het belangrijk om de veiligheid van uw milieu periodiek te handhaven. In deze sectie worden de taken beschreven die worden aanbevolen om de beveiliging van uw AEM Forms op de JEE-productieserver te behouden.

Een reverse-proxy instellen voor webtoegang

A reverse, proxy kan worden gebruikt om ervoor te zorgen dat één set URL's voor AEM Forms op JEE-webtoepassingen beschikbaar is voor zowel externe als interne gebruikers. Deze configuratie is veiliger dan gebruikers toe te staan om rechtstreeks met de toepassingsserver te verbinden die AEM Forms op JEE loopt. De reverse-proxy voert alle HTTP-aanvragen uit voor de toepassingsserver waarop AEM Forms op JEE wordt uitgevoerd. Gebruikers hebben alleen netwerktoegang tot de reverse-proxy en kunnen alleen proberen URL-verbindingen te maken die door de reverse-proxy worden ondersteund.

AEM Forms op URL's met JEE-hoofdmap voor gebruik met reverse-proxyserver

De volgende URL's van de hoofdmap van de toepassing voor elke AEM Forms in JEE-webtoepassing. Configureer de reverse-proxy alleen om URL's beschikbaar te maken voor de functionaliteit van webtoepassingen die u aan eindgebruikers wilt verschaffen.

Bepaalde URL's worden gemarkeerd als eindgebruikers gerichte webtoepassingen. U zou moeten vermijden blootstellend andere URLs voor de Manager van de Configuratie voor toegang tot externe gebruikers door de omgekeerde volmacht.

URL van hoofdmap

Doel en/of bijbehorende webtoepassing

Webinterface

Toegang voor eindgebruikers

/ReaderExtensions/*

Acrobat Reader DC-extensies voor eindgebruikers, webtoepassing voor het toepassen van gebruiksrechten op PDF-documenten

Ja

Ja

/edc/*

De eindgebruikerwebtoepassing van het Rights Management

Ja

Ja

/edcws/*

Webservice-URL voor Rights Management

Nee

Ja

/pdfgui/*

PDF Generator-beheerwebtoepassing

Ja

Ja

/workspace/*

Werkruimte-webtoepassing voor eindgebruikers

Ja

Ja

/workspace-server/*

Werkruimteneservers en gegevensservices die de Workspace client-toepassing vereist

Ja

Ja

/adobe-bootstrapper/*

Servlet voor bootstrapping van de AEM Forms op JEE-opslagplaats

Nee

Nee

/zeep/*

Informatiepagina voor webservices voor formulierserver

Nee

Nee

/soap/services/*

Webservice-URL voor alle services van formulierservers

Nee

Nee

/edc/admin/*

Webtoepassing voor beheer van Rights Managementen

Ja

Nee

/adminui/*

Homepage van beheerconsole

Ja

Nee

/TruststoreComponent/

beveiligd/*

Beheerpagina's voor winkelbeheer vertrouwen

Ja

Nee

/FormsIVS/*

Forms IVS-toepassing voor het testen en opsporen van fouten bij het genereren van formulieren

Ja

Nee

/OutputIVS/*

Uitvoer IVS toepassing voor het testen en het zuiveren van de outputdienst

Ja

Nee

/rmws/*

REST URL for Rights Management

Nee

Ja

/OutputAdmin/*

Uitvoerbeheerpagina's

Ja

Nee

/FormServer/*

Forms-webtoepassingsbestanden

Ja

Nee

/FormServer/GetImage

Servlet

Wordt gebruikt voor het ophalen van JavaScript tijdens transformatie van HTML

Nee

Nee

/FormServerAdmin/*

Forms-beheerpagina's

Ja

Nee

/repository/*

URL voor WebDAV-toegang (foutopsporing)

Ja

Nee

/AACComponent/*

Gebruikersinterface Toepassingen en Services

Ja

Nee

/WorkspaceAdmin/*

Werkruimtebeheerpagina's

Ja

Nee

/rest/*

Ondersteuningspagina's opnieuw instellen

Ja

Nee

/CoreSystemConfig/*

AEM Forms on JEE Core Configuration Settings page

Ja

Nee

/um/

Verificatie van gebruikersbeheer

Nee

Ja

/um/*

Gebruikersbeheerinterface

Ja

Nee

/DocumentManager/*

Uploaden en downloaden van documenten die moeten worden verwerkt wanneer toegang wordt verkregen tot externe eindpunten, SOAP WSDL-eindpunten en de Java SDK via SOAP-transport of EJB-transport met HTTP-documenten ingeschakeld.

Ja

Ja

Beveiligen tegen aanvallen met Smederij voor meerdere sites

Een CSRF-aanval (Cross-Site Request Svervalsing) misbruikt het vertrouwen dat een website heeft voor de gebruiker, om opdrachten door te geven die niet door de gebruiker zijn geautoriseerd en onbedoeld. De aanval wordt opstelling door een verbinding of een manuscript in een Web-pagina, of een URL in een e-mailbericht te omvatten, om tot een andere plaats toegang te hebben waaraan de gebruiker reeds voor authentiek is verklaard.

U kunt bijvoorbeeld zijn aangemeld bij de beheerconsole terwijl u tegelijkertijd door een andere website bladert. Een van de webpagina's kan een HTML-afbeeldingstag met een src kenmerk dat een serverscript op de website van het slachtoffer aanwijst. Door gebruik te maken van het op cookies gebaseerde mechanisme voor sessieverificatie dat door webbrowsers wordt geboden, kan de aanvallende website kwaadaardige verzoeken verzenden naar dit script op de server van het slachtoffer, waarbij de vraag als de legitieme gebruiker wordt gesteld.

De volgende kenmerken komen voor in KVP:

  • Neem sites op die afhankelijk zijn van de identiteit van een gebruiker.
  • Gebruik het vertrouwen van de site in die identiteit.
  • Steek de browser van de gebruiker in het verzenden van HTTP-aanvragen naar een doelsite.
  • Neem HTTP-aanvragen op die bijwerkingen hebben.

AEM Forms on JEE gebruikt de functie Filter referentie om CSRF-aanvallen te blokkeren. In deze sectie worden de volgende termen gebruikt om het filtermechanisme van de verwijzer te beschrijven:

  • Toegestane referentie: Een verwijzing is het adres van de bronpagina die een verzoek naar de server verzendt. Voor JSP-pagina's of -formulieren is de referentie meestal de vorige pagina in de browsergeschiedenis. Verwijzers voor afbeeldingen zijn meestal de pagina's waarop de afbeeldingen worden weergegeven. U kunt de Referrer identificeren die toegang tot uw servermiddelen door hen aan de Toegestane lijst van de Referant wordt verleend toe te voegen.
  • Uitzonderingen toegestane verwijzer: U wilt mogelijk het bereik van toegang voor een bepaalde referentie beperken in uw lijst Toegestane referentie. Als u deze beperking wilt toepassen, kunt u afzonderlijke paden van die referentie toevoegen aan de lijst Toegestane uitzonderingen Referrer. Verzoeken die afkomstig zijn van paden in de lijst Toegestane uitzonderingen voor referenties kunnen geen bron op de formulierserver aanroepen. U kunt de Uitzonderingen van de Verwijzer van de Toestemming voor een specifieke toepassing bepalen en ook een globale lijst van uitzonderingen gebruiken die op alle toepassingen van toepassing zijn.
  • Toegestane URI's: Dit is een lijst met bronnen die moeten worden gebruikt zonder de koptekst van de verwijzer te controleren. De middelen, bijvoorbeeld, hulppagina's, die niet in staatsveranderingen op de server resulteren, kunnen aan deze lijst worden toegevoegd. De bronnen in de lijst Toegestane URI's worden nooit geblokkeerd door het filter Referrer, ongeacht wie de Referrer is.
  • Null-referentie: Een serveraanvraag die niet is gekoppeld aan of niet afkomstig is van een bovenliggende webpagina, wordt beschouwd als een aanvraag van een Null-referentie. Wanneer u bijvoorbeeld een nieuw browservenster opent, typt u een adres en drukt u op Enter, is de referentie die naar de server is verzonden null. Een Desktoptoepassing (.NET of SWING) die een HTTP- verzoek aan een Webserver indienen, verzendt ook een Null Referrer naar de server.

Filterverwijzing

Het filterproces Referrer kan als volgt worden beschreven:

  1. De formulierserver controleert de HTTP-methode die wordt gebruikt voor oproepen:

    1. Als het POST is, voert de formulierserver de koptekstcontrole Referrer uit.
    2. Als dit GET is, wordt de controle Referrer door de formulierserver overgeslagen, tenzij CSRF_CHECK_GETS is ingesteld op true, in welk geval de koptekstcontrole Referrer wordt uitgevoerd. CSRF_CHECK_GETS wordt opgegeven in het dialoogvenster web.xml bestand voor uw toepassing.
  2. De formulierserver controleert of de aangevraagde URI is gevoegd op lijst van gewenste personen:

    1. Als URI wordt gevoegd op lijst van gewenste personen, accepteert de server de aanvraag.
    2. Als gevraagde URI niet wordt gevoegd op lijst van gewenste personen, wint de server de Referrer van het verzoek terug.
  3. Als er een Referrer in het verzoek is, controleert de server of het een Toegestane Referrer is. Als dit is toegestaan, controleert de server op een uitzondering Referrer:

    1. Als het een uitzondering is, wordt het verzoek geblokkeerd.
    2. Als het geen uitzondering is, wordt het verzoek overgegaan.
  4. Als er geen Referrer in het verzoek is, controleert de server of een Null Referrer wordt toegestaan:

    1. Als een Null-referentie is toegestaan, wordt het verzoek doorgegeven.
    2. Als een Null Referrer niet wordt toegestaan, controleert de server of gevraagde URI een uitzondering voor de Null Referrer is en behandelt dienovereenkomstig het verzoek.

Filteren van referenties beheren

AEM Forms on JEE biedt een Referrer Filter om Referrer op te geven die toegang krijgen tot uw serverbronnen. Standaard filtert het filter Referenter geen aanvragen die een veilige HTTP-methode gebruiken, bijvoorbeeld GET, tenzij CSRF_CHECK_GETS is ingesteld op true. Als het havenaantal voor een Toegestane ingang van de Verwijzing aan 0 wordt geplaatst, zal AEM Forms op JEE alle verzoeken met Referrer van die gastheer ongeacht het havenaantal toestaan. Als er geen poortnummer is opgegeven, zijn alleen aanvragen van standaardpoort 80 (HTTP) of poort 443 (HTTPS) toegestaan. Filteren met verwijzing is uitgeschakeld als alle items in de lijst Toegestane verwijzing worden verwijderd.

Wanneer u de Diensten van het Document eerst installeert, wordt de Toegestane lijst van de Verwijzing bijgewerkt met het adres van de server waarop de Diensten van het Document geïnstalleerd is. De ingangen voor de server omvatten de servernaam, het IPv4 adres, het IPv6 adres als IPv6 wordt toegelaten, het loopbackadres, en een localhost ingang. De namen die aan de lijst Toegestane verwijzing worden toegevoegd, worden geretourneerd door het hostbesturingssysteem. Een server met een IP-adres van 10.40.54.187 bevat bijvoorbeeld de volgende vermeldingen: https://server-name:0, https://10.40.54.187:0, https://127.0.0.1:0, http://localhost:0. Voor om het even welke niet gekwalificeerde naam die door het werkende systeem van de Gastheer (namen wordt teruggegeven die geen IPv4 adres, IPv6 adres of gekwalificeerde domeinnaam) hebben wordt de lijst van gewenste personen niet bijgewerkt. Wijzig de Toegestane lijst van Referiteers om uw bedrijfsomgeving aan te passen. Implementeer de formulierserver niet in de productieomgeving met de standaardlijst Toegestane verwijzing. Nadat u een van de toegestane referentie-, referentie-uitzonderingen of URI's hebt gewijzigd, zorgt u ervoor dat de server opnieuw wordt gestart zodat de wijzigingen van kracht worden.

Toegestane verwijzingslijst beheren

U kunt de lijst Toegestane verwijzing beheren via de gebruikersbeheerinterface van de beheerconsole. De gebruikersbeheerinterface biedt u de functionaliteit om de lijst te maken, bewerken of verwijderen. Raadpleeg de * Voorkomen van CSRF-aanvallen* deel van de administratie Help voor meer informatie over het werken met de Toegestane lijst van de Referant.

Toegestane uitzondering Referrer en Toegestane URI-lijsten beheren

AEM Forms on JEE biedt API's voor het beheer van de lijst Uitzondering toegestane verwijzing en de lijst Toegestane URI. U kunt deze API's gebruiken om de lijst op te halen, te maken, te bewerken of te verwijderen. Hieronder volgt een lijst met beschikbare API's:

  • createAllowedURIsList
  • getAllowedURIsList
  • updateAllowedURIsList
  • deleteAllowedURIsList
  • addAllowedRefererExceptions
  • getAllowedRefererExceptions
  • updateAllowedRefererExceptions
  • deleteAllowedRefererExceptions

Raadpleeg de* AEM Forms on JEE API Reference* voor meer informatie over de API's.

Gebruik de LC_GLOBAL_ALLOWED_REFERER_EXCEPTION lijst voor toegestane uitzonderingen van de Referent op globaal niveau d.w.z. om uitzonderingen te bepalen die op alle toepassingen van toepassing zijn. Deze lijst bevat alleen URI's met een absoluut pad (bijvoorbeeld /index.html) of een relatief pad (bijvoorbeeld /sample/). U kunt bijvoorbeeld ook een reguliere expressie aan het einde van een relatieve URI toevoegen. /sample/(.)*.

De LC_GLOBAL_ALLOWED_REFERER_EXCEPTION lijst-id is gedefinieerd als een constante in het dialoogvenster UMConstants klasse van de com.adobe.idp.um.api naamruimte, gevonden in adobe-usermanager-client.jar. U kunt de AEM Forms API's gebruiken om deze lijst te maken, te wijzigen of te bewerken. Als u bijvoorbeeld de lijst Uitzonderingen globale toegestane verwijzingsverwijzing wilt maken, gebruikt u:

addAllowedRefererExceptions(UMConstants.LC_GLOBAL_ALLOWED_REFERER_EXCEPTION, Arrays.asList("/index.html", "/sample/(.)*"))

Gebruik de CSRF_ALLOWED_REFERER_EXCEPTIONS lijst voor toepassingsspecifieke uitzonderingen.

Het filter Referrer uitschakelen

Als het filter Referrer de toegang tot de formulierserver volledig blokkeert en u de lijst Toegestane verwijzing niet kunt bewerken, kunt u het opstartscript van de server bijwerken en het filteren van referenties uitschakelen.

Inclusief de -Dlc.um.csrffilter.disabled=true JAVA-argument in het opstartscript en start de server opnieuw. Zorg ervoor dat u het argument JAVA schrapt nadat u correct de Toegestane lijst van de Verwijzing hebt aangepast.

Filteren met referenties voor aangepaste WAR-bestanden

Mogelijk hebt u aangepaste WAR-bestanden gemaakt die u met AEM Forms op JEE kunt gebruiken om aan uw zakelijke vereisten te voldoen. Als u Referrer Filteren wilt inschakelen voor uw aangepaste WAR-bestanden, neemt u adobe-usermanager-client.jar in het klassepad voor de WAR en neem een filteritem op in het bestand* web.xml* met de volgende parameters:

CSRF_CHECK_GETS controleert de controle van de Referateur op verzoeken van GET. Wanneer deze parameter niet is gedefinieerd, wordt de standaardwaarde op false ingesteld. Neem deze parameter alleen op als u uw GET-aanvragen wilt filteren.

CSRF_ALLOWED_REFERER_EXCEPTIONS Dit is de id van de lijst Uitzonderingen toegestane verwijzing. Met het filter Referrer voorkomt u dat aanvragen die afkomstig zijn van referenties in de lijst die met de lijst-id wordt aangegeven, een bron op de formulierserver aanroepen.

CSRF_ALLOWED_URIS_LIST_NAME Dit is de id van de lijst Toegestane URI's. Het filter Referrer blokkeert geen aanvragen voor een van de bronnen in de lijst die door de lijst-id wordt geïdentificeerd, ongeacht de waarde van de verwijzaarheader in de aanvraag.

CSRF_ALLOW_NULL_REFERER Hiermee wordt het gedrag Filter referentie ingesteld wanneer de verwijzer null is of niet aanwezig is. Wanneer deze parameter niet is gedefinieerd, wordt de standaardwaarde op false ingesteld. Neem deze parameter alleen op als u Null-referenties wilt toestaan. Het toestaan van ongeldige verwijzers kan sommige types van het Verzoek van de Vervalsing van de Plaats van de Overeenkomst toestaan.

CSRF_NULL_REFERER_EXCEPTIONS is een lijst van URIs waarvoor een controle van de Referateur niet wordt uitgevoerd wanneer de Referteur ongeldig is. Deze parameter wordt alleen ingeschakeld wanneer CSRF_ALLOW_NULL_REFERER is ingesteld op false. Scheid meerdere URI's in de lijst met een komma.

Hieronder ziet u een voorbeeld van het filteritem in het dialoogvenster web.xml bestand voor een MONSTER WAR-bestand:

<filter>
       <filter-name> filter-name </filter-name>
       <filter-class> com.adobe.idp.um.auth.filter.RemoteCSRFFilter </filter-class>
     <!-- default is false -->
     <init-param>
      <param-name> CSRF_ALLOW_NULL_REFERER </param-name>
      <param-value> false </param-value>
     </init-param>
     <!-- default is false -->
     <init-param>
      <param-name> CSRF_CHECK_GETS </param-name>
      <param-value> true </param-value>
     </init-param>
     <!-- Optional -->
     <init-param>
       <param-name> CSRF_NULL_REFERER_EXCEPTIONS </param-name>
       <param-value> /SAMPLE/login, /SAMPLE/logout  </param-value>
     </init-param>
     <!-- Optional -->
     <init-param>
      <param-name> CSRF_ALLOWED_REFERER_EXCEPTIONS </param-name>
      <param-value> SAMPLE_ALLOWED_REF_EXP_ID </param-value>
     </init-param>
     <!-- Optional -->
     <init-param>
      <param-name> CSRF_ALLOWED_URIS_LIST_NAME </param-name>
      <param-value> SAMPLE_ALLOWED_URI_LIST_ID     </param-value>
     </init-param>
</filter>
    ........
    <filter-mapping>
      <filter-name> filter-name </filter-name>
      <url-pattern>/*</url-pattern>
    </filter-mapping>

Problemen oplossen

Als de legitieme serververzoeken door het filter CSRF worden geblokkeerd, probeer één van het volgende:

  • Als het afgewezen verzoek een verwijzingskopbal heeft, denk zorgvuldig na toevoegend het aan de Toegestane lijst van de Referant. Voeg alleen de referentie toe die u vertrouwt.
  • Als het afgewezen verzoek geen verwijzingskopbal heeft, wijzig uw cliënttoepassing om een verwijzingskopbal te omvatten.
  • Als de client in een browser kan werken, probeert u dat implementatiemodel.
  • Als laatste redmiddel kunt u het middel aan de Toegestane lijst URIs toevoegen. Dit is geen aanbevolen instelling.

Beveiligde netwerkconfiguratie

Deze sectie beschrijft de protocollen en de havens die door AEM Forms op JEE worden vereist en verstrekt aanbevelingen voor het opstellen van AEM Forms op JEE in een veilige netwerkconfiguratie.

De protocollen van het netwerk die door AEM Forms op JEE worden gebruikt

Wanneer u een veilige netwerkarchitectuur zoals die in de vorige sectie wordt beschreven vormt, worden de volgende netwerkprotocollen vereist voor interactie tussen AEM Forms op JEE en andere systemen in uw ondernemingsnetwerk.

Protocol

Gebruiken

HTTP

  • Browser toont de Manager van de Configuratie en de toepassingen van het eindgebruikerWeb

  • Alle SOAP-verbindingen

SOAP

  • De de dienstcliënttoepassingen van het Web, zoals .NET toepassingen

  • Adobe Reader® gebruikt SOAP voor AEM Forms op JEE-server webservices

  • Adobe Flash®-toepassingen gebruiken SOAP voor webservices van formulierservers

  • AEM Forms op JEE SDK-aanroepen bij gebruik in SOAP-modus

  • Workbench ontwerpomgeving

RMI

AEM Forms op JEE SDK-aanroepen bij gebruik in de modus Enterprise JavaBeans (EJB)

IMAP/POP3

  • Op e-mail-gebaseerde input aan de dienst (E-maileindpunt)

  • Taakmeldingen gebruiker via e-mail

UNC-bestand IO

AEM Forms on JEE bewaking van gecontroleerde mappen voor invoer naar een service (gecontroleerd mapeindpunt)

LDAP

  • Synchronisaties van gebruikers- en groepsgegevens in een directory

  • LDAP-verificatie voor interactieve gebruikers

JDBC

  • Vraag en procedurevraag aan een extern gegevensbestand tijdens uitvoering van een proces die de dienst JDBC gebruikt wordt gemaakt

  • Interne toegang AEM Forms op JEE-opslagplaats

WebDAV

Maakt het op afstand doorbladeren van de AEM Forms in de JEE design-time opslagruimte (formulieren, fragmenten, enzovoort) door elke WebDAV-client mogelijk

AMF

De toepassingen van Adobe Flash, waar AEM Forms op de serverdiensten JEE met een Remoting eindpunt wordt gevormd

JMX

AEM Forms on JEE stelt MBans beschikbaar voor controle met behulp van JMX

Poorten voor toepassingsservers

Deze sectie beschrijft de standaardhavens (en afwisselende configuratiereiken) voor elk type van gesteunde toepassingsserver. Deze poorten moeten in- of uitgeschakeld zijn op de binnenfirewall, afhankelijk van de netwerkfunctionaliteit die u wilt toestaan voor clients die verbinding maken met de toepassingsserver waarop AEM Forms op JEE wordt uitgevoerd.

OPMERKING

Standaard stelt de server verschillende JMX MBans beschikbaar onder de naamruimte adobe.com. Alleen informatie die nuttig is voor de bewaking van de serverstatus wordt weergegeven. Nochtans, om informatieonthulling te verhinderen, zou u bezoekers in een onvertrouwd netwerk moeten verhinderen omhoog JMX MBans te kijken en tot gezondheidsmetriek toegang te hebben.

JBoss-poorten

Doel

Poort

Toegang tot webtoepassingen

[JBOSS_Root]/standalone/configuration/lc_[database].xml

HTTP/1.1 Connector poort 8080

AJP 1.3 Connector poort 8009

SSL/TLS-connectorpoort 8443

CORBA-ondersteuning

[JBoss root]/server/all/conf/jacorb.properties

OAPort 3528

OASSLPort 3529

WebLogic-poorten

Doel

Poort

Toegang tot webtoepassingen

  • Admin Server-luisterpoort: standaardwaarde is 7001

  • SSL-luisterpoort voor Admin Server: standaardwaarde is 7002

  • Poort geconfigureerd voor beheerde server, bijvoorbeeld 8001

WebLogic-beheerpoorten niet vereist voor toegang tot AEM Forms op JEE

  • Aanluisterpoort voor beheerde server: Configureerbaar van 1 tot 65534

  • SSL-luisterpoort voor beheerde server: Configureerbaar van 1 tot 65534

  • Node Manager luistert poort: standaardwaarde is 5556

WebSphere-poorten

Voor informatie over havens WebSphere die AEM Forms op JEE vereist, ga naar het aantal dat van de Haven in WebSphere de Server UI van de Toepassing plaatst.

SSL configureren

Verwijzen naar de fysieke architectuur die in de sectie wordt beschreven AEM Forms op JEE fysieke architectuurmoet u SSL configureren voor alle verbindingen die u wilt gebruiken. Specifiek, moeten alle verbindingen van de ZEEP over SSL worden geleid om blootstelling van gebruikersgeloofsbrieven op een netwerk te verhinderen.

Voor instructies over hoe te om SSL op JBoss, WebLogic, en WebSphere te vormen, zie "het Vormen SSL"in administratie Help.

SSL-omleiding configureren

Nadat u uw toepassingsserver vormt om SSL te steunen, moet u ervoor zorgen dat al verkeer van HTTP aan toepassingen en de diensten wordt afgedwongen om de SSL haven te gebruiken.

Raadpleeg de documentatie bij de toepassingsserver voor informatie over SSL-omleiding voor WebSphere of WebLogic.

  1. Open bevelherinnering, navigeer aan /JBOSS_HOME/standalone/configuratiemap, en voer het volgende bevel uit:

    keytool -genkey -alias jboss7 -keyalg RSA -keystore server.keystore -validity 10950

  2. Open het bestand JBOSS_HOME/standalone/configuration/standalone.xml voor bewerking.

    Na de <subsystem xmlns="urn<span id=" translate="no" />domein:web:1.1" native="false" default-virtual-server="default-host">-element, voeg de volgende details toe::jboss:

    <connector name="https" protocol="HTTP/1.1" scheme="https" socket-binding="https" enabled="true" secure="true"/>

  3. Voeg de volgende code toe in het https-verbindingselement:

    <connector name="https" protocol="HTTP/1.1" scheme="https" socket-binding="https" secure="true" enabled="true">
     <ssl name="jboss7_ssl" key-alias="jboss71" password="Tibco321" certificate-key-file="../standalone/configuration/server.keystore" protocol="TLSv1"/>
     </connector>
    

    Sla het bestand standalone.xml op en sluit het.

Windows-specifieke beveiligingsaanbevelingen

Deze sectie bevat veiligheidsaanbevelingen die voor Vensters wanneer gebruikt specifiek zijn om AEM Forms op JEE in werking te stellen.

JBoss-serviceaccounts

Bij de turnkey-installatie van AEM Forms op JEE wordt standaard een serviceaccount ingesteld met behulp van de lokale systeemaccount. De ingebouwde gebruikersaccount voor het lokale systeem heeft een hoge mate van toegankelijkheid; het maakt deel uit van de groep Beheerders. Als de identiteit van een arbeidersproces als Lokale de gebruikersrekening van het Systeem loopt, heeft dat arbeidersproces volledige toegang tot het volledige systeem.

De toepassingsserver uitvoeren met een niet-beheeraccount

  1. Maak in de Microsoft Management Console (MMC) een lokale gebruiker voor de service van de formulierserver om u aan te melden als:

    • Selecteren Gebruiker kan wachtwoord niet wijzigen.
    • Op de Lid van selecteert, controleert u of de gebruikersgroep wordt weergegeven.
  2. Selecteren Instellingen > Administratieve gereedschappen > Services.

  3. Dubbelklik op de service van de toepassingsserver en stop de service.

  4. Op de Aanmelden tab, selecteert u Dit account Blader naar de gebruikersaccount die u hebt gemaakt en voer het wachtwoord voor de account in.

  5. Geef in het venster Lokale beveiligingsinstellingen onder Toewijzing gebruikersrechten de volgende rechten op de gebruikersaccount waarop de formulierserver wordt uitgevoerd:

    • Ontken login door de EindDiensten
    • Aanmelden lokaal weigeren
    • Aanmelden als service (moet al zijn ingesteld)
  6. Geef de nieuwe gebruikersaccount lees- en uitvoermachtigingen, de inhoud van de map List en de machtiging Lezen aan AEM Forms op de JEE-directory's met webinhoud.

  7. Start de service van de toepassingsserver.

Beveiliging bestandssysteem

AEM Forms on JEE gebruikt het bestandssysteem op de volgende manieren:

  • Hiermee worden tijdelijke bestanden opgeslagen die worden gebruikt bij de verwerking van de invoer en uitvoer van documenten
  • Slaat dossiers in het globale archiefopslag op die worden gebruikt om de oplossingscomponenten te steunen die worden geïnstalleerd
  • Gecontroleerde mappen slaan neergezette bestanden op die worden gebruikt als invoer voor een service vanaf de locatie van een bestandssysteemmap

Als u gecontroleerde mappen gebruikt als een manier om documenten met een service van de formulierserver te verzenden en te ontvangen, moet u extra voorzorgsmaatregelen treffen met betrekking tot de beveiliging van het bestandssysteem. Wanneer een gebruiker inhoud in de controlemap neerzet, wordt die inhoud via de controlemap weergegeven. In dit geval wordt de werkelijke eindgebruiker niet geverifieerd door de service. In plaats daarvan, baseert het zich op ACL en het niveauveiligheid van het Aandeel op het omslagniveau om te bepalen wie de dienst kan effectief aanhalen.

JBoss-specifieke veiligheidsaanbevelingen

Deze sectie bevat aanbevelingen voor de configuratie van toepassingsservers die specifiek zijn voor JBoss 7.0.6 wanneer deze wordt gebruikt om AEM Forms uit te voeren op JEE.

JBoss Management Console en JMX Console uitschakelen

De toegang tot de JBoss Management Console en de Console JMX is reeds gevormd (JMX controle wordt onbruikbaar gemaakt) wanneer u AEM Forms op JEE op JBoss door de kant-en-klare installatiemethode te gebruiken installeert. Als u uw eigen JBoss Server van de Toepassing gebruikt, zorg ervoor dat de toegang tot de Console van het Beheer JBoss en JMX controleconsole wordt beveiligd. De toegang tot de JMX controleconsole wordt geplaatst in het JBoss configuratiedossier genoemd jmx-invoker-service.xml.

Bladeren door directory's uitschakelen

Na het registreren in de Console van het Beleid, is het mogelijk om de de folderlijst van de console te doorbladeren door URL te wijzigen. Als u bijvoorbeeld de URL wijzigt in een van de volgende URL's, wordt mogelijk een mappenlijst weergegeven:

https://<servername>:8080/adminui/secured/
https://<servername>:8080/um/

WebLogic-specifieke beveiligingsaanbevelingen

Deze sectie bevat aanbevelingen voor de configuratie van toepassingsservers voor het beveiligen van WebLogic 9.1 wanneer AEM Forms wordt uitgevoerd op JEE.

Bladeren door directory's uitschakelen

Stel de eigenschappen voor indexmappen in het bestand weblogic.xml in op false, zoals in dit voorbeeld wordt getoond:

<container-descriptor>
    <index-directory-enabled>false
    </index-directory-enabled>
</container-descriptor>

WebLogic SSL-poort inschakelen

Standaard schakelt WebLogic de standaard SSL-luisterpoort 7002 niet in. Schakel deze poort in de WebLogic Server Administration Console in voordat u SSL configureert.

WebSphere-specifieke beveiligingsaanbevelingen

Deze sectie bevat aanbevelingen voor de configuratie van de toepassingsserver om WebSphere te beveiligen die AEM Forms op JEE uitvoert.

Bladeren door directory's uitschakelen

Stel de directoryBrowsingEnabled eigenschap in het bestand ibm-web-ext.xml naar false.

Beveiliging van WebSphere-beheer inschakelen

  1. Meld u aan bij de beheerconsole van WebSphere.
  2. Ga in de navigatiestructuur naar Beveiliging > Algemene beveiliging
  3. Selecteren Beheersbeveiliging inschakelen.
  4. Selectie opheffen Toepassingsbeveiliging inschakelen en Java 2-beveiliging gebruiken.
  5. Klikken OK of Toepassen.
  6. In de Berichten vak, klikt u op Direct opslaan in de master configuratie.

Op deze pagina