Sécurisation de votre environnement d’AEM Forms sur JEE

Découvrez divers paramètres de renforcement de la sécurité pour améliorer la sécurité d’AEM Forms sur JEE dans le cadre d’une exécution pour un intranet d’entreprise.

Cet article décrit les recommandations et les bonnes pratiques relatives à la sécurisation des serveurs exécutant AEM Forms on JEE. Il ne vise pas à expliquer de manière exhaustive comment renforcer des hôtes pour votre système d’exploitation et vos serveurs d’applications. Au lieu de cela, cet article décrit plusieurs paramètres de renforcement de la sécurité, que vous pouvez implémenter pour améliorer la sécurité d’AEM Forms lorsque celui-ci est exécuté pour un intranet d’entreprise. Toutefois, pour garantir la sécurité des serveurs d’applications AEM Forms on JEE, vous devez également mettre en oeuvre des procédures de surveillance, de détection et de réponse de sécurité.

L’article décrit les techniques de renforcement qui doivent être appliquées lors des étapes suivantes du cycle de vie de l’installation et de la configuration :

• Préinstallation : Utilisez ces techniques avant d’installer AEM Forms on JEE.
• Installation : utilisez ces techniques pendant le processus d’installation d’AEM Forms sur JEE.
• Post-installation : Utilisez ces techniques après l’installation et régulièrement par la suite.

AEM Forms on JEE est hautement personnalisable et peut fonctionner dans de nombreux environnements différents. Certaines des recommandations peuvent ne pas correspondre aux besoins de votre entreprise.

Préinstallation

Avant d’installer AEM Forms sur JEE, vous pouvez appliquer des solutions de sécurité à la couche réseau et au système d’exploitation. Cette section décrit certains problèmes et fournit des recommandations pour réduire les vulnérabilités de la sécurité dans ces domaines.

Installation et configuration sous UNIX et Linux

Vous ne devez pas installer ni configurer AEM Forms on JEE à l’aide d’un shell racine. Par défaut, les fichiers sont installés sous le répertoire /opt et l’utilisateur qui effectue l’installation a besoin de toutes les autorisations de fichier sous /opt. Vous pouvez également effectuer une installation dans le répertoire /user d’un utilisateur spécifique, où il dispose déjà de toutes les autorisations de fichier.

Installation et configuration sous Windows

Sous Windows, vous devez effectuer l’installation en tant qu’administrateur si vous installez AEM Forms on JEE sur JBoss à l’aide de la procédure clé en main ou si vous installez PDF Generator. En outre, lorsque vous installez PDF Generator sous Windows avec prise en charge des applications natives, vous devez exécuter l’installation en tant qu’utilisateur Windows ayant installé Microsoft Office. Pour plus de détails sur l’installation des privilèges, reportez-vous au document Installer et déployer AEM Forms sur JEE de votre serveur d’applications.

Sécurité des couches réseau

Les vulnérabilités de la sécurité réseau sont parmi les premières menaces qui pèsent sur un serveur d’applications utilisant Internet ou un intranet. Cette section décrit le processus de renforcement des hôtes sur le réseau contre ces vulnérabilités. Il traite de la segmentation du réseau, du renforcement de la pile TCP/IP (Transmission Control Protocol/Internet Protocol) et de l’utilisation de pare-feu pour la protection des hôtes.

Le tableau suivant décrit les processus courants qui réduisent les vulnérabilités de la sécurité réseau.

Sécurité du système d’exploitation

Le tableau suivant décrit certaines approches possibles pour réduire les vulnérabilités de sécurité du système d’exploitation.

Pour plus d’informations de sécurité pour votre système d’exploitation, consultez « Informations sur la sécurité des systèmes d’exploitation ».

Installation

Cette section décrit les techniques que vous pouvez utiliser pendant le processus d'installation d'AEM Forms pour réduire les vulnérabilités de sécurité. Dans certains cas, ces techniques utilisent des options qui font partie du processus d’installation. Le tableau suivant décrit ces techniques.

Etapes de post-installation

Une fois AEM Forms on JEE installé avec succès, il est important de maintenir régulièrement l’environnement du point de vue de la sécurité.

La section suivante décrit en détail les différentes tâches recommandées pour sécuriser le serveur de formulaires déployé.

Sécurité AEM Forms

Les paramètres recommandés suivants s’appliquent au serveur AEM Forms sur JEE hors de l’application Web administrative. Pour réduire les risques de sécurité sur le serveur, appliquez ces paramètres immédiatement après l’installation d’AEM Forms on JEE.

Correctifs de sécurité

Le risque augmente qu’un utilisateur non autorisé puisse accéder au serveur d’applications si les correctifs de sécurité et les mises à niveau du fournisseur ne sont pas appliqués en temps voulu. Testez les correctifs de sécurité avant de les appliquer aux serveurs de production afin de garantir la compatibilité et la disponibilité des applications. Créez également des stratégies et des procédures pour vérifier et installer régulièrement les correctifs. Les mises à jour d’AEM Forms on JEE se trouvent sur le site de téléchargement des produits Enterprise.

Comptes de service (JBoss clé en main sous Windows uniquement)

AEM Forms on JEE installe un service par défaut à l’aide du compte système local. Le compte utilisateur système local intégré présente un haut niveau d’accessibilité ; il fait partie du groupe Administrateurs . Si une identité de processus de travail s’exécute en tant que compte utilisateur système local, ce processus de travail dispose d’un accès complet à l’ensemble du système.

Pour exécuter le serveur d’applications sur lequel AEM Forms on JEE est déployé à l’aide d’un compte non administratif spécifique, suivez les instructions suivantes :

1. Dans la console de gestion Microsoft (MMC), créez un utilisateur local pour que le service de serveur de formulaires se connecte en tant que :

   • Sélectionner L’utilisateur ne peut pas changer de mot de passe.
   • Vérifiez que le groupe Utilisateurs figure dans l’onglet Membre de.
   REMARQUE

   Vous ne pouvez pas modifier ce paramètre pour PDF Generator.

2. Sélectionner Début > Paramètres > Outils d’administration > Services.

3. Double-cliquez sur JBoss pour AEM Forms on JEE et arrêtez le service.

4. Sur le Connexion onglet, sélectionnez Ce compte, recherchez le compte utilisateur que vous avez créé et saisissez le mot de passe du compte.

5. Dans le MMC, ouvrez Paramètres de sécurité locale et sélectionnez Stratégies locales > Attribution des droits utilisateur.

6. Attribuez les droits suivants au compte utilisateur sous lequel le serveur Forms est exécuté :

   • Refuser de se connecter via les services Terminal
   • Refuser la connexion locale
   • Ouvrir une session en tant que service (ce droit doit être déjà défini)

7. Donnez au nouveau compte utilisateur les autorisations de modification sur les répertoires suivants :

   • Répertoire de stockage global de documents : l’emplacement du répertoire de stockage global de documents est configuré manuellement pendant le processus d’installation d’AEM Forms. Si le paramètre d’emplacement du stockage global de documents n’est pas défini pendant l’installation, l’emplacement par défaut utilisé est un sous-répertoire de l’emplacement d’installation du serveur d’applications : [JBoss root]/server/[type]/svcnative/DocumentStorage
   • Répertoire CRX-Repository : l’emplacement par défaut est [AEM-Forms-installation-location]\crx-repository
   • Répertoires temporaires AEM Forms :
     • (Windows) Chemin TMP ou TEMP tel que défini dans les variables d’environnement
     • (AIX, Linux ou Solaris) Répertoire racine de l’utilisateur connecté Sur les systèmes UNIX, un utilisateur non root peut utiliser le répertoire suivant comme répertoire temporaire :
     • (Linux) /var/tmp ou /usr/tmp
     • (AIX) /tmp ou /usr/tmp
     • (Solaris) /var/tmp ou /usr/tmp

8. Donnez au nouveau compte utilisateur les autorisations d’écriture pour les répertoires suivants :

   • [JBoss-directory]\standalone\deployment
   • [JBoss-directory]\standalone\
   • [JBoss-directory]\bin\
   REMARQUE

   L’emplacement de l’installation par défaut de JBoss Application Server :

   • Windows : C:\Adobe\Adobe_Experience_Manager_Forms\jboss
   • Linux : /opt/jboss/

9. Démarrez le serveur d’applications.

Désactivation de la servlet d’amorçage de Configuration Manager

Configuration Manager a utilisé une servlet déployée sur votre serveur d’applications pour amorcer la base de données AEM Forms sur JEE. Configuration Manager accédant à ce servlet avant la fin de la configuration, son accès n’a pas été sécurisé pour les utilisateurs autorisés et il doit être désactivé une fois que vous avez correctement utilisé Configuration Manager pour configurer AEM Forms on JEE.

1. Décompressez le fichier adobe-livecycle-[appserver].ear.

2. Ouvrez le fichier META-INF/application.xml .

3. Recherchez la section adobe-bootstrapper.war :

   <!-- bootstrapper start -->
   <module id="WebApp_adobe_bootstrapper">
       <web>
           <web-uri>adobe-bootstrapper.war</web-uri>
           <context-root>/adobe-bootstrapper</context-root>
       </web>
   </module>
   <module id="WebApp_adobe_lcm_bootstrapper_redirector">
       <web>
           <web-uri>adobe-lcm-bootstrapper-redirector.war</web-uri>
           <context-root>/adobe-lcm-bootstrapper</context-root>
       </web>
   </module>
   <!-- bootstrapper end-->
   

4. Arrêtez le serveur AEM Forms.

5. Mettez en commentaire adobe-bootstrapper.war et le répertoire adobe-lcm-bootstrapper-redirectory. les modules de guerre comme suit :

   <!-- bootstrapper start -->
   <!--
   <module id="WebApp_adobe_bootstrapper">
       <web>
           <web-uri>adobe-bootstrapper.war</web-uri>
           <context-root>/adobe-bootstrapper</context-root>
       </web>
   </module>
   <module id="WebApp_adobe_lcm_bootstrapper_redirector">
       <web>
           <web-uri>adobe-lcm-bootstrapper-redirector.war</web-uri>
           <context-root>/adobe-lcm-bootstrapper</context-root>
       </web>
   </module>
   -->
   <!-- bootstrapper end-->
   

6. Enregistrez et fermez le fichier META-INF/application.xml .

7. Compressez le fichier EAR et redéployez-le sur le serveur d’applications.

8. Démarrez le serveur AEM Forms.

9. Entrez l’URL suivante dans un navigateur pour tester la modification et garantir que l’adresse ne fonctionne plus.

   https://<localhost>:<port>/adobe-bootstrapper/bootstrap

Verrouillage de l’accès distant au Trust Store

Configuration Manager vous permet de charger des informations d’identification des extensions Acrobat Reader DC dans le trust store d’AEM Forms on JEE. Cela signifie que l’accès à Trust Store Credential Service sur les protocoles distants (SOAP et EJB) a été activé par défaut. Cet accès n’est plus nécessaire après avoir téléchargé les informations d’identification des droits en utilisant Configuration Manager, ou si vous décidez d’utiliser la console d’administration ultérieurement pour gérer les informations d’identification.

Vous pouvez désactiver l’accès distant à tous les services Trust Store en suivant les étapes de la section . Désactivation de l’accès distant non essentiel aux services.

Désactiver tous les accès anonymes non indispensables

Certains services de serveur de formulaires comportent des opérations qui peuvent être appelées par un appelant anonyme. Si l’accès anonyme à ces services n’est pas requis, désactivez-le en suivant les étapes de la section Désactivation des accès anonymes non indispensables à des services.

Modification du mot de passe administrateur par défaut

Lors de l’installation d’AEM Forms on JEE, un seul compte utilisateur par défaut est configuré pour l’utilisateur Super administrateur/Administrateur avec un mot de passe par défaut : password. Modifiez immédiatement ce mot de passe à l’aide de Configuration Manager.

1. Saisissez l’URL suivante dans un navigateur Web :

   https://[host name]:[port]/adminui
   

   Le numéro de port par défaut est l’un des suivants :

   JBoss : 8080

   WebLogic Server : 7001

   WebSphere : 9080.

2. Dans le champ Nom d’utilisateur, saisissez administrator et dans le champ Mot de passe, saisissez password.

3. Cliquez sur Paramètres > User Management > Utilisateurs et groupes.

4. Saisissez administrator dans le champ Rechercher, puis cliquez sur Rechercher.

5. Cliquez sur Super administrateur dans la liste des utilisateurs.

6. Cliquez sur Modifier le mot de passe sur la page Modifier l’utilisateur .

7. Indiquez le nouveau mot de passe et cliquez sur Enregistrer.

En outre, il est recommandé de modifier le mot de passe par défaut de l’administrateur CRX en procédant comme suit :

1. Connectez-vous à https://[server]:[port]/lc/libs/granite/security/content/useradmin.html à l’aide du nom d’utilisateur/mot de passe par défaut.
2. Saisissez Administrator dans le champ de recherche, puis cliquez sur Aller.
3. Sélectionnez Administrateur dans les résultats de la recherche, puis cliquez sur l’icône Modifier située dans le coin inférieur droit de l’interface utilisateur.
4. Indiquez le nouveau mot de passe dans le champ Nouveau mot de passe et l’ancien mot de passe dans le champ Votre mot de passe.
5. Cliquez sur l’icône Enregistrer située dans le coin inférieur droit de l’interface utilisateur.

Désactiver la génération WSDL

La génération WSDL (Web Service Definition Language) ne doit être activée que pour les environnements de développement dans lesquels la génération WSDL est utilisée par les développeurs pour créer leurs applications clientes. Vous pouvez choisir de désactiver la génération WSDL dans un environnement de production afin d’éviter d’exposer les détails internes d’un service.

1. Saisissez l’URL suivante dans un navigateur Web :

   https://[host name]:[port]/adminui
   

2. Cliquez sur Paramètres > Paramètres de Core System > Configurations.

3. Désactivez la case à cocher Activer WSDL, puis cliquez sur OK.

Sécurité du serveur d’applications

Le tableau suivant décrit certaines techniques de sécurisation de votre serveur d’applications une fois l’application AEM Forms on JEE installée.

Sécurité des bases de données

Lorsque vous sécurisez votre base de données, vous devez implémenter les mesures décrites par le fournisseur de votre base de données. Attribuez à l’utilisateur de la base de données le nombre minimum d’autorisations requises sur cette base de données pour permettre l’utilisation avec AEM Forms sur JEE. Par exemple, n’utilisez pas de compte avec des privilèges d’administrateur de base de données.

Sur Oracle, le compte de base de données que vous utilisez nécessite uniquement les privilèges CONNECT, RESOURCE et CREATE VIEW. Pour connaître les mêmes exigences sur d’autres bases de données, voir Préparation à l’installation d’AEM Forms on JEE (serveur unique).

Configuration de la sécurité intégrée pour SQL Server sous Windows pour JBoss

1. Modifiez [JBOSS_HOME]\standalone\configuration\lc_{datasource.xml} pour ajouter integratedSecurity=true à l’URL de connexion, comme indiqué dans l’exemple suivant :

    jdbc:sqlserver://<serverhost>:<port>;databaseName=<dbname>;integratedSecurity=true
   

2. Ajoutez le fichier sqljdbc_auth.dll au chemin d’accès du système Windows sur l’ordinateur exécutant le serveur d’applications. Le fichier sqljdbc_auth.dll se trouve avec les fichiers d’installation du pilote Microsoft SQL JDBC 6.2.1.0.

3. Modifiez la propriété du service Windows JBoss (JBoss pour AEM Forms on JEE) pour Ouvrir une session en tant que depuis le système local vers un compte de connexion qui dispose d’une base de données AEM Forms et d’un ensemble minimum de privilèges. Si vous exécutez JBoss à partir de la ligne de commande et non en tant que service Windows, il n’est pas nécessaire d’effectuer cette étape.

4. Faites passer la sécurité de SQL Server du mode Mixte au mode Authentification Windows.

Configuration de la sécurité intégrée dans SQL Server sur Windows pour WebLogic

1. Démarrez la console d’administration WebLogic Server en saisissant l’URL suivante dans la barre d’adresse d’un navigateur web :

   https://[host name]:7001/console
   

2. Sous Change Center, cliquez sur Lock & Edit.

3. Sous Domain Structure, cliquez sur [base_domain] > Services > JDBC > Data Sources et, dans le volet de droite, cliquez sur IDP_DS.

4. Dans l’écran suivant, dans l’onglet Configuration, cliquez sur l’onglet Connection Pool et, dans la zone Properties, saisissez integratedSecurity=true.

5. Sous Domain Structure, cliquez sur [base_domain] > Services > JDBC > Data Sources et, dans le volet de droite, cliquez sur RM_DS.

6. Dans l’écran suivant, dans l’onglet Configuration, cliquez sur l’onglet Connection Pool et, dans la zone Properties, saisissez integratedSecurity=true.

7. Ajoutez le fichier sqljdbc_auth.dll au chemin d’accès du système Windows sur l’ordinateur exécutant le serveur d’applications. Le fichier sqljdbc_auth.dll se trouve avec les fichiers d’installation du pilote Microsoft SQL JDBC 6.2.1.0.

8. Faites passer la sécurité de SQL Server du mode Mixte au mode Authentification Windows.

Configuration de la sécurité intégrée pour SQL Server sous Windows pour WebSphere

Sur WebSphere, vous pouvez configurer la sécurité intégrée uniquement lorsque vous utilisez un pilote JDBC SQL Server externe et non le pilote JDBC SQL Server incorporé avec WebSphere.

1. Connectez-vous à la console d’administration WebSphere.
2. Dans l’arborescence de navigation, cliquez sur Resources > JDBC > Data Sources, puis, dans le volet de droite, cliquez sur IDP_DS.
3. Dans le volet de droite, sous Additional Properties, cliquez sur Custom Properties, puis sur New.
4. Dans la case Nom, saisissez integratedSecurity et, dans la case Valeur, saisissez true.
5. Dans l’arborescence de navigation, cliquez sur Resources > JDBC > Data Sources, puis, dans le volet de droite, cliquez sur RM_DS.
6. Dans le volet de droite, sous Additional Properties, cliquez sur Custom Properties, puis sur New.
7. Dans la case Nom, saisissez integratedSecurity et, dans la case Valeur, saisissez true.
8. Sur l’ordinateur sur lequel WebSphere est installé, ajoutez le fichier sqljdbc_auth.dll au chemin du système Windows (C:\Windows). Le fichier sqljdbc_auth.dll est situé au même emplacement que le programme d’installation du pilote Microsoft SQL JDBC 1.2 (le chemin par défaut est [InstallDir]/sqljdbc_1.2/enu/auth/x86).
9. Sélectionner Début > Panneau de Contrôle > Services, cliquez avec le bouton droit de la souris sur le service Windows pour WebSphere (IBM WebSphere Application Server). <version> - <node>) et sélectionnez Propriétés.
10. Dans la boîte de dialogue Propriétés, cliquez sur le bouton Connexion .
11. Sélectionner Ce compte et fournissez les informations requises pour définir le compte de connexion que vous souhaitez utiliser.
12. Définir la sécurité sur SQL Server à partir de Mixte en mode Authentification Windows uniquement.

Protection de l'accès aux contenus sensibles dans la base

Le schéma de la base de données AEM Forms contient des informations sensibles sur la configuration du système et les processus métier et doit être masqué derrière le pare-feu. La base de données doit être considérée comme faisant partie de la même limite de confiance que le serveur Forms. Pour éviter toute divulgation d’informations et tout vol de données d’entreprise, la base de données doit être configurée par l’administrateur de base de données (DBA) afin de n’autoriser l’accès que par les administrateurs autorisés.

Par mesure de précaution supplémentaire, vous devez envisager d’utiliser des outils spécifiques au fournisseur de la base de données pour chiffrer les colonnes dans les tableaux contenant les données suivantes :

• Clés de document Rights Management
• Clé de cryptage PIN HSM Trust Store
• hachages du mot de passe de l’utilisateur local ;

Pour plus d’informations des outils spécifiques à des revendeurs, voir « Informations sur la sécurité des bases de données ».

Sécurité LDAP

Un répertoire LDAP (Lightweight Directory Access Protocol) est généralement utilisé par AEM Forms on JEE comme source d’informations sur les utilisateurs et les groupes d’entreprise, et comme moyen d’authentifier un mot de passe. Assurez-vous que votre annuaire LDAP est configuré pour utiliser le protocole SSL (Secure Socket Layer) et qu’AEM Forms on JEE est configuré pour accéder à votre annuaire LDAP à l’aide de son port SSL.

Déni de service LDAP

Une attaque courante utilisant LDAP implique qu’un attaquant omette délibérément de s’authentifier plusieurs fois. Cela oblige le serveur d’annuaire LDAP à interdire à un utilisateur tous les services dépendant de LDAP.

Vous pouvez définir le nombre de tentatives d’échec et le délai de verrouillage consécutif mis en oeuvre par AEM Forms lorsqu’un utilisateur ne parvient pas à s’authentifier auprès d’AEM Forms à plusieurs reprises. Dans la console d’administration, choisissez des valeurs faibles. Lors de la sélection du nombre d’échecs d’authentification, il est important de comprendre qu’une fois toutes les tentatives effectuées, AEM Forms verrouille l’utilisateur avant que le serveur d’annuaire LDAP ne le fasse.

Définir le verrouillage automatique des comptes

1. Connectez-vous à Administration Console.
2. Cliquez sur Paramètres > Gestion des utilisateurs > Gestion des domaines.
3. Sous Paramètres de verrouillage de compte automatique, définissez Échecs d’authentification consécutifs max. à un nombre faible, par exemple 3.
4. Cliquez sur Enregistrer.

Audit et journalisation

L’utilisation correcte et sécurisée des capacités de contrôle et de journalisation de l’application peut vous aider à assurer le suivi et la détection rapides de la sécurité et d’autres événements irréguliers. L’utilisation efficace de l’audit et de la journalisation dans une application inclut des éléments tels que le suivi des connexions réussies et échouées, ainsi que des événements d’application clés tels que la création ou la suppression d’enregistrements clés.

Vous pouvez utiliser le contrôle pour détecter de nombreux types d’attaques, notamment :

• Blocage du mot de passe de force
• Les attaques par déni de service
• Injection d’entrées hostiles et des classes associées d’attaques de script

Ce tableau décrit les techniques de contrôle et de journalisation que vous pouvez utiliser pour réduire les vulnérabilités de votre serveur.

Autorisation d’un utilisateur non administrateur à exécuter PDF Generator

Vous pouvez permettre à un utilisateur non administrateur d’utiliser PDF Generator. Normalement, seuls les utilisateurs disposant de privilèges d’administrateur peuvent utiliser PDF Generator. Effectuez les étapes suivantes pour permettre à un utilisateur non administrateur d’exécuter PDF Generator :

1. Création d’un nom de variable d’environnement PDFG_NON_ADMIN_ENABLED.

2. Définissez la valeur de la variable à TRUE.

3. Redémarrez l’instance AEM Forms.

Configuration d’AEM Forms on JEE pour un accès au-delà de l’entreprise

Une fois AEM Forms sur JEE installé avec succès, il est important que vous assuriez une maintenance régulière de la sécurité de votre environnement. Cette section décrit les tâches recommandées pour maintenir la sécurité de votre serveur de production AEM Forms on JEE.

Configuration d’un proxy inverse pour l’accès web

A proxy inverse peut être utilisé pour s’assurer qu’un ensemble d’URL pour les applications Web d’AEM Forms on JEE est disponible pour les utilisateurs externes et internes. Cette configuration est plus sûre que si vous autorisiez des utilisateurs à se connecter directement au serveur d’applications sur lequel est exécuté AEM Forms sur JEE. Le proxy inverse exécute toutes les requêtes HTTP pour le serveur d’applications qui exécute AEM Forms sur JEE. Les utilisateurs disposent uniquement d’un accès réseau au proxy inverse et peuvent uniquement tenter des connexions URL prises en charge par le proxy inverse.

URL racine AEM Forms on JEE pour une utilisation avec un serveur proxy inverse

Les URL racine d’application suivantes pour chaque application Web d’AEM Forms on JEE. Configurez votre proxy inverse uniquement pour exposer les URL de fonctionnalités d’application web que vous souhaitez fournir aux utilisateurs finaux.

Certaines URL sont indiquées comme des applications web destinées aux utilisateurs finaux. Évitez d’exposer d’autres URL de Configuration Manager pour l’accès à des utilisateurs externes par le biais du proxy inverse.

Protection contre les attaques multisites par usurpation de requête

Un Cross-site request forgery (CSRF) exploite la confiance d’un site web envers l’utilisateur dans le but de transmettre des instructions non autorisées à son insu. Le principe de l’attaque consiste à inclure un lien ou un script dans une page web ou une URL dans un courrier électronique afin d’accéder à un autre site sur lequel l’utilisateur a déjà été authentifié.

Par exemple, vous pouvez être connecté à la console d’administration tout en explorant un autre site web. L’une des pages Web peut inclure une balise d’image HTML avec un attribut src visant un script côté serveur sur le site Web de la victime. En exploitant le mécanisme d’authentification de session basé sur les cookies, le site Web attaquant peut envoyer des requêtes malveillantes au script côté serveur ciblé en les faisant passer pour les requêtes de l’utilisateur autorisé. Pour obtenir d’autres exemples, voir https://owasp.org/www-community/attacks/csrf#Examples.

Les caractéristiques suivantes sont communes aux CSRF :

• impliquent des sites qui reposent sur l’identité d’un utilisateur ;
• Exploitez la confiance du site dans cette identité.
• trompez le navigateur de l’utilisateur pour envoyer des requêtes HTTP à un site cible.
• impliquent des requêtes HTTP ayant des effets secondaires.

AEM Forms on JEE utilise la fonctionnalité de filtrage des référents pour bloquer les attaques CSRF. Les termes suivants sont utilisés dans cette section pour décrire ce dispositif de filtrage des référents :

• Référent autorisé : un référent est l’adresse de la page source qui envoie une requête au serveur. Pour les pages ou les formulaires JSP, ce référent est généralement la page précédente dans l’historique de navigation. Les référents pour les images sont généralement les pages sur lesquelles les images sont affichées. Vous pouvez identifier les référents autorisés à accéder à votre serveur en les ajoutant à la liste de référents autorisés.
• Exceptions aux référents autorisés : si vous souhaitez restreindre l’accès pour un référent particulier dans votre liste de référents autorisés. Pour mettre en place cette restriction, vous pouvez ajouter des chemins d’accès individuels de ce référent vers la liste des exceptions aux référents autorisés. Les requêtes provenant des chemins d’accès de la liste des exceptions aux référents autorisés ne peuvent appeler aucune ressource du serveur de formulaires. Vous pouvez définir des exceptions aux référents autorisés pour une application spécifique et également utiliser une liste globale des exceptions s’appliquant à toutes les applications.
• URI autorisés : il s’agit d’une liste des ressources générées sans vérification de l’en-tête référent. Par exemple, les ressources telles que les pages d’aide, qui n’entraînent pas de changements d’état sur le serveur, peuvent être ajoutées à cette liste. Les ressources figurant dans la liste des URI autorisés ne sont jamais bloquées par le filtrage des référents, quel que soit le référent.
• Référent de valeur NULL (null referer) : une requête serveur qui n’est pas associée ou ne provient pas d’une page web parente est considérée comme une requête de référent de valeur NULL. Par exemple, lorsque vous ouvrez une nouvelle fenêtre de navigateur, saisissez une adresse puis appuyez sur la touche Entrée, le référent envoyé au serveur est nul. Une application de bureau (.NET ou SWING) envoyant une requête HTTP à un serveur web envoie également un référent de valeur NULL au serveur.

Filtrage des référents

Le processus de filtrage des référents peut être décrit comme suit :

1. Le serveur Forms vérifie la méthode HTTP utilisée pour l’appel :

   1. S’il s’agit d’une méthode POST, le serveur Forms vérifie l’en-tête référent.
   2. S’il s’agit d’une méthode GET, le serveur de formulaires ignore la vérification du référent, à moins que la variable CSRF_CHECK_GETS ne soit définie sur true. Dans ce cas, il vérifie l’en-tête du référent. La variable CSRF_CHECK_GETS est spécifiée dans le fichier web.xml pour votre application.

2. Le serveur Forms vérifie si l’URI requis existe en liste autorisée :

   1. Si l’URI est autorisé, le serveur transmet la requête.
   2. Si l’URI requis n’est pas autorisé, le serveur récupère le référent de la requête.

3. S’il existe un référent pour la requête, le serveur vérifie s’il s’agit d’un référent autorisé. Si le référent est autorisé, le serveur vérifie qu’il ne fait pas partie des exceptions aux référents autorisés :

   1. S’il s’agit d’une exception, la requête est bloquée.
   2. S’il ne s’agit pas d’une exception, la requête est transmise.

4. S’il n’existe aucun référent pour la requête, le serveur vérifie que les référents de valeur NULL sont autorisés :

   1. Si les référents de valeur NULL sont autorisés, la requête est transmise.
   2. Si ce n’est pas le cas, le serveur vérifie que l’URI requis fait partie des exceptions aux référents de valeur NULL et traite la requête en fonction.

Gérer le filtrage des référents

AEM Forms on JEE effectue un filtrage des référents afin de spécifier les référents qui sont autorisés à accéder aux ressources du serveur. Par défaut, le filtrage des référents ne filtre pas les requêtes qui utilisent une méthode HTTP sécurisée, par exemple GET, sauf si CSRF_CHECK_GETS est défini sur true. Si le numéro de port pour un référent autorisé est défini sur 0, AEM Forms on JEE autorisera toutes les requêtes des référents provenant de cet hôte quel que soit le numéro de port. Si aucun numéro de port n’est spécifié, seules les requêtes provenant du port par défaut 80 (HTTP) ou du port 443 (HTTPS) sont autorisées. Le filtrage des référents est désactivé si toutes les entrées de la liste de référents autorisés sont supprimées.

Lorsque vous installez Document Services pour la première fois, la liste de référents autorisés est mise à jour avec l’adresse du serveur sur lequel Document Services est installé. Les entrées pour le serveur comprennent le nom du serveur, l’adresse IPv4, l’adresse IPv6 si le protocole IPv6 est activé, l’adresse de bouclage et une entrée localhost. Les noms ajoutés à la liste de référents autorisés sont renvoyés par le système d’exploitation hôte. Par exemple, un serveur dont l’adresse IP est 10.40.54.187 contiendra les entrées suivantes : https://server-name:0, https://10.40.54.187:0, https://127.0.0.1:0, http://localhost:0. Pour chaque nom non qualifié renvoyé par le système d’exploitation hôte (les noms sans adresse IPv4, IPv6 ou sans nom de domaine qualifié) la liste autorisée n’est pas mise à jour. Modifiez la liste de référents autorisés en fonction de votre environnement de travail. Ne déployez pas le serveur de formulaires dans l’environnement de production avec la liste de référents autorisés par défaut. Après avoir modifié l’un des référents autorisés, l’une des exceptions aux référents ou l’un des URI, assurez-vous de redémarrer le serveur pour que les modifications prennent effet.

Gérer la liste de référents autorisés

Vous pouvez gérer la liste de référents autorisés à partir de l’interface User Management de la console d’administration. L’interface User Management offre des fonctionnalités pour créer, éditer ou supprimer la liste. Pour plus d’informations sur l’utilisation de la liste de référents autorisés, reportez-vous à la section Prévenir les attaques CSRF du guide Aide à l’administration.

Gérer les exceptions aux référents autorisés et des listes des URI autorisés

AEM Forms on JEE fournit des API pour gérer la liste des exceptions aux référents autorisés et la liste des URI autorisés. Vous pouvez utiliser ces API pour récupérer, créer, modifier ou supprimer la liste. Voici une liste des API disponibles :

• createAllowedURIsList
• getAllowedURIsList
• updateAllowedURIsList
• deleteAllowedURIsList
• addAllowedRefererExceptions
• getAllowedRefererExceptions
• updateAllowedRefererExceptions
• deleteAllowedRefererExceptions

Pour plus d’informations sur les API, reportez-vous à la référence API d’AEM Forms on JEE.

Utilisez la liste LC_GLOBAL_ALLOWED_REFERER_EXCEPTION pour les exceptions aux référents autorisés au niveau global, c’est-à-dire pour définir les exceptions qui s’appliquent à toutes les applications. Cette liste contient uniquement des URI ayant soit un chemin absolu (par exemple /index.html), soit un chemin relatif (par exemple /sample/). Vous pouvez également ajouter une expression régulière à la fin d’un URI relatif, par ex. /sample/(.)*.

L’ID de liste LC_GLOBAL_ALLOWED_REFERER_EXCEPTION est définie comme une constante dans la classe UMConstants de l’espace de noms com.adobe.idp.um.api, figurant dans adobe-usermanager-client.jar. Vous pouvez utiliser les API AEM Forms pour créer, modifier ou éditer cette liste. Par exemple, pour créer la liste globale des exceptions aux référents autorisés, utilisez :

addAllowedRefererExceptions(UMConstants.LC_GLOBAL_ALLOWED_REFERER_EXCEPTION, Arrays.asList("/index.html", "/sample/(.)*"))

Utilisez la liste CSRF_ALLOWED_REFERER_EXCEPTIONS pour les exceptions spécifiques à une application.

Désactiver le filtrage des référents

Dans le cas où le filtrage des référents bloque complètement l’accès au serveur de formulaires et que vous ne pouvez pas modifier la liste des référents autorisés, vous pouvez mettre à jour le script de démarrage du serveur et désactiver le filtrage des référents.

Incluez l’argument JAVA -Dlc.um.csrffilter.disabled=true dans le script de démarrage et redémarrez le serveur. Assurez-vous de supprimer l’argument JAVA après avoir correctement reconfiguré la liste de référents autorisés.

Filtrer les référents pour les fichiers WAR personnalisés

Vous avez peut-être créé des fichiers WAR personnalisés afin de travailler avec AEM Forms sur JEE pour répondre aux besoins de l’activité. Pour activer le filtrage des référents pour vos fichiers WAR personnalisés, vous devez inclure adobe-usermanager-client.jar dans le chemin de classe pour les fichiers WAR et inclure une entrée de filtre dans le fichier « web.xml » avec les paramètres suivants :

CSRF_CHECK_GETS contrôle la vérification du référent pour les requêtes GET. Si ce paramètre n’est pas défini, la valeur par défaut est définie sur false. Incluez ce paramètre uniquement si vous souhaitez filtrer vos requêtes de GET.

CSRF_ALLOWED_REFERER_EXCEPTIONS est l’identifiant de la liste des exceptions aux référents autorisés. Le filtrage des référents empêche les requêtes de référents de la liste identifiés par l’identifiant de la liste d’appeler toute ressource du serveur de formulaires.

CSRF_ALLOWED_URIS_LIST_NAME est l’ID de la liste des URI autorisés. Le filtrage des référents ne bloque pas les requêtes concernant les ressources de la liste identifiées par l’ID de liste, quelle que soit la valeur de l’en-tête référent dans la requête.

CSRF_ALLOW_NULL_REFERER contrôle le comportement du filtrage des référents lorsque le référent est null ou non présent. Si ce paramètre n’est pas défini, la valeur par défaut est définie sur false. Incluez ce paramètre uniquement si vous souhaitez autoriser les référents ayant pour valeur NULL. L’autorisation des référents ayant pour valeur NULL peut permettre certains types d’attaques CSRF (Cross Site Request Forgery).

CSRF_NULL_REFERER_EXCEPTIONS est une liste des URI pour lesquels une vérification référent n’est pas exécutée lorsque la valeur du référent est null. Ce paramètre est activé uniquement lorsque CSRF_ALLOW_NULL_REFERER est définie sur false. Séparez plusieurs URI dans la liste par une virgule.

Voici un exemple de l’entrée de filtre dans la variable web.xml pour un EXEMPLE Fichier WAR :

<filter>
       <filter-name> filter-name </filter-name>
       <filter-class> com.adobe.idp.um.auth.filter.RemoteCSRFFilter </filter-class>
     <!-- default is false -->
     <init-param>
      <param-name> CSRF_ALLOW_NULL_REFERER </param-name>
      <param-value> false </param-value>
     </init-param>
     <!-- default is false -->
     <init-param>
      <param-name> CSRF_CHECK_GETS </param-name>
      <param-value> true </param-value>
     </init-param>
     <!-- Optional -->
     <init-param>
       <param-name> CSRF_NULL_REFERER_EXCEPTIONS </param-name>
       <param-value> /SAMPLE/login, /SAMPLE/logout  </param-value>
     </init-param>
     <!-- Optional -->
     <init-param>
      <param-name> CSRF_ALLOWED_REFERER_EXCEPTIONS </param-name>
      <param-value> SAMPLE_ALLOWED_REF_EXP_ID </param-value>
     </init-param>
     <!-- Optional -->
     <init-param>
      <param-name> CSRF_ALLOWED_URIS_LIST_NAME </param-name>
      <param-value> SAMPLE_ALLOWED_URI_LIST_ID     </param-value>
     </init-param>
</filter>
    ........
    <filter-mapping>
      <filter-name> filter-name </filter-name>
      <url-pattern>/*</url-pattern>
    </filter-mapping>

Résolution des incidents

Si des requêtes serveur légitimes sont bloquées par le filtre CSRF, essayez l’une des méthodes suivantes :

• Si la requête rejetée a un en-tête référent, il peut être intéressant de l’ajouter à liste des référents autorisés. Ajoutez uniquement les référents auxquels vous faites confiance.
• Si la requête rejetée ne dispose pas d’un en-tête référent, modifiez votre application client pour inclure un en-tête référent.
• Si le client peut travailler dans un navigateur, essayez ce modèle de déploiement.
• En dernier recours, vous pouvez ajouter la ressource à la liste des URI autorisés. Ce paramètre n’est pas recommandé.

Configuration réseau sécurisée

Cette section décrit les protocoles et les ports requis par AEM Forms on JEE et fournit des recommandations pour le déploiement d’AEM Forms on JEE dans une configuration réseau sécurisée.

Protocoles réseau utilisés par AEM Forms on JEE

Lorsque vous configurez une architecture réseau sécurisée comme décrit dans la section précédente, les protocoles réseau suivants sont requis pour l’interaction entre AEM Forms on JEE et d’autres systèmes du réseau de votre entreprise.

Ports pour les serveurs d’applications

Cette section décrit les ports par défaut (et les plages de configuration alternatives) pour chaque type de serveur d’applications pris en charge. Ces ports doivent être activés ou désactivés sur le pare-feu interne, selon la fonctionnalité réseau que vous souhaitez autoriser aux clients qui se connectent au serveur d’applications exécutant AEM Forms on JEE.

Ports JBoss

Ports WebLogic

**Ports WebSphere **

Pour plus d’informations sur les ports WebSphere requis par AEM Forms sur JEE, consultez Configuration des numéros de ports dans l’interface utilisateur de WebSphere Application Server.

Configuration de SSL

En vous référant à l’architecture physique décrite dans la section Architecture physique d’AEM Forms sur JEE, configurez SSL pour toutes les connexions que vous prévoyez d’utiliser. Spécifiquement, toutes les connexions SOAP doivent être établies via SSL pour empêcher que les informations d’identification des utilisateurs soient exposées sur un réseau.

Pour obtenir des instructions sur la manière de configurer SSL sur JBoss, WebLogic et WebSphere, consultez « Configuration de SSL » dans l’aide d’administration.

Pour plus d’informations sur l’importation de certificats dans JVM (Java Virtual Machine) configuré pour un serveur AEM Forms, consultez la section Authentification mutuelle dans l’Aide d’AEM Forms Workbench.

Configuration de la redirection SSL

Une fois que vous avez configuré votre serveur d’applications pour prendre en charge le protocole SSL, vous devez vous assurer que tout le trafic HTTP vers les applications et services est appliqué pour utiliser le port SSL.

Pour configurer la redirection SSL pour WebSphere ou WebLogic, consultez la documentation de votre serveur d’applications.

1. Ouvrez une invite de commande, accédez au répertoire /JBOSS_HOME/standalone/configuration, puis exécutez la commande suivante :

   keytool -genkey -alias jboss7 -keyalg RSA -keystore server.keystore -validity 10950

2. Ouvrez le fichier JBOSS_HOME/standalone/configuration/standalone.xml pour le modifier.

   Après l’élément <subsystem xmlns="urn:jboss:domaine:web:1.1" native="false" default-virtual-server="default-host">, ajoutez les détails suivants :

   <connector name="https" protocol="HTTP/1.1" scheme="https" socket-binding="https" enabled="true" secure="true"/>

3. Ajoutez le code suivant dans l’élément HTTPS connector :

   <connector name="https" protocol="HTTP/1.1" scheme="https" socket-binding="https" secure="true" enabled="true">
    <ssl name="jboss7_ssl" key-alias="jboss71" password="Tibco321" certificate-key-file="../standalone/configuration/server.keystore" protocol="TLSv1"/>
    </connector>
   

   Enregistrez le fichier autonome .xml, puis fermez-le.

Recommandations de sécurité spécifiques à Windows

Cette section contient des recommandations de sécurité spécifiques à Windows dans le cadre de l’exécution d’AEM Forms sur JEE.

Comptes JBoss Service

L’installation clé en main d’AEM Forms sur JEE installe un compte de service par défaut en utilisant le compte système local. Le compte utilisateur système local intégré présente un haut niveau d’accessibilité ; il fait partie du groupe Administrateurs . Si une identité de processus de travail s’exécute en tant que compte utilisateur système local, ce processus de travail dispose d’un accès complet à l’ensemble du système.

Exécution du serveur d’applications à l’aide d’un compte non administratif

1. Dans la console de gestion Microsoft (MMC), créez un utilisateur local pour que le service de serveur de formulaires se connecte en tant que :

   • Sélectionner L’utilisateur ne peut pas changer de mot de passe.
   • Vérifiez que le groupe Utilisateurs figure dans l’onglet Membre de.

2. Sélectionner Paramètres > Outils d’administration > Services.

3. Double-cliquez sur le service du serveur d’applications et arrêtez le service.

4. Sur le Connexion onglet, sélectionnez Ce compte, recherchez le compte utilisateur que vous avez créé et saisissez le mot de passe du compte.

5. Dans la fenêtre Paramètres de sécurité locaux, sous Attribution des droits utilisateur, attribuez les droits suivants au compte utilisateur sous lequel est exécuté le serveur de formulaires :

   • Refuser de se connecter via les services Terminal
   • Interdire l’ouverture d’une session locale
   • Ouvrir une session en tant que service (ce droit doit être déjà défini)

6. Donnez au nouveau compte utilisateur les autorisations de modification sur les répertoires suivants :

   • Répertoire de stockage global de documents : l’emplacement du répertoire de stockage global de documents est configuré manuellement pendant le processus d’installation d’AEM Forms. Si le paramètre d’emplacement du stockage global de documents n’est pas défini pendant l’installation, l’emplacement par défaut utilisé est un sous-répertoire de l’emplacement d’installation du serveur d’applications : [JBoss root]/server/[type]/svcnative/DocumentStorage
   • Répertoire CRX-Repository : l’emplacement par défaut est [AEM-Forms-installation-location]\crx-repository
   • Répertoires temporaires AEM Forms :
     • (Windows) Chemin TMP ou TEMP tel que défini dans les variables d’environnement
     • (AIX, Linux ou Solaris) Répertoire racine de l’utilisateur connecté Sur les systèmes UNIX, un utilisateur non root peut utiliser le répertoire suivant comme répertoire temporaire :
     • (Linux) /var/tmp ou /usr/tmp
     • (AIX) /tmp ou /usr/tmp
     • (Solaris) /var/tmp ou /usr/tmp

7. Donnez au nouveau compte utilisateur les autorisations d’écriture pour les répertoires suivants :

   • [JBoss-directory]\standalone\deployment
   • [JBoss-directory]\standalone\
   • [JBoss-directory]\bin\
   REMARQUE

   L’emplacement de l’installation par défaut de JBoss Application Server :

   • Windows : C:\Adobe\Adobe_Experience_Manager_Forms\jboss
   • Linux : /opt/jboss/.

8. Démarrez le service du serveur d’applications.

Sécurité du système de fichiers

AEM Forms on JEE utilise le système de fichiers comme suit :

• Stocke les fichiers temporaires utilisés lors du traitement des entrées et sorties de document
• Stocke les fichiers dans la banque d’archives globale utilisés pour prendre en charge les composants de solution installés.
• Les dossiers de contrôle stockent les fichiers déposés qui sont utilisés comme entrée d’un service à partir d’un emplacement de dossier du système de fichiers.

Lorsque vous utilisez des dossiers de contrôle comme moyen d’envoyer et de recevoir des documents avec un service de serveur de formulaires, prenez des précautions supplémentaires en matière de sécurité du système de fichiers. Lorsqu’un utilisateur dépose du contenu dans le dossier de contrôle, ce contenu est exposé via le dossier de contrôle. Dans ce cas, le service n’authentifie pas l’utilisateur final réel. Au lieu de cela, il s’appuie sur la sécurité de niveau ACL et Partage pour être défini au niveau du dossier afin de déterminer qui peut effectivement appeler le service.

Recommandations de sécurité spécifiques à JBoss

La présente section propose des recommandations relatives à la configuration du serveur d’applications qui sont spécifiques à JBoss 7.0.6. lorsque celui-ci est utilisé pour exécuter AEM Forms sur JEE.

Désactivation de la console de gestion JBoss et de la console JMX

L’accès à la console de gestion JBoss et à la console JMX est déjà configuré (la surveillance JMX est désactivée) lorsque vous installez AEM Forms on JEE sur JBoss à l’aide de la méthode d’installation clé en main. Si vous utilisez votre propre serveur d’applications JBoss, assurez-vous que l’accès à la console de gestion JBoss et à la console de surveillance JMX est sécurisé. L’accès à la console de surveillance JMX est défini dans le fichier de configuration JBoss appelé jmx-invoker-service.xml.

Désactivation de la navigation dans les répertoires

Une fois connecté à Administration Console, il est possible de parcourir la liste des répertoires de la console en modifiant l’URL. Par exemple, si vous modifiez l’URL pour l’une de ces adresses, une liste de répertoires s’affiche :

https://<servername>:8080/adminui/secured/
https://<servername>:8080/um/

Recommandations de sécurité spécifiques à WebLogic

Cette section présente des recommandations relatives à la configuration du serveur d’applications et spécifiques à WebLogic 9.1 lors de l’exécution d’AEM Forms on JEE.

Désactivation de la navigation dans les répertoires

Définissez les propriétés index-directories du fichier weblogic.xml sur false, comme illustré dans l’exemple suivant :

<container-descriptor>
    <index-directory-enabled>false
    </index-directory-enabled>
</container-descriptor>

Activation du port SSL de WebLogic

Par défaut, WebLogic n’active pas le port d’écoute SSL par défaut, 7002. Activez ce port dans WebLogic Server Administration Console avant de configurer SSL.

Recommandations de sécurité spécifiques à WebSphere

Cette section contient des recommandations relatives à la configuration du serveur d’applications et destinées à sécuriser WebSphere lors de l’exécution d’AEM Forms on JEE.

Désactivation de la navigation dans les répertoires

Définissez la propriété directoryBrowsingEnabled du fichier ibm-web-ext.xml sur false.

Activation de la sécurité administrative de WebSphere

1. Connectez-vous à la console d’administration WebSphere.
2. Dans l’arborescence de navigation, accédez à Sécurité > Sécurité globale
3. Sélectionner Activation de la sécurité administrative.
4. Désélectionner les deux Activation de la sécurité des applications et Utiliser la sécurité Java 2.
5. Cliquez sur OK ou Appliquer.
6. Dans le Messages , cliquez sur Enregistrer directement dans la configuration principale.

Ressources Business.Adobe.com

Style System Personalized Experiences Content Intelligence Theme Editor Dynamic Forms Digital Signage