在JEE環境中強化AEM Forms

瞭解各種安全性強化設定，以增強在公司內部網路中執行的JEE上的AEM Forms安全性。

本文會說明在JEE上執行AEM Forms的伺服器安全建議與最佳實務。 這不是針對您的作業系統和應用程式伺服器的完整主機強化檔案。 本文改為說明各種安全性強化設定，您應實作這些設定以增強在公司內部網路中執行的JEE上的AEM Forms安全性。 不過，若要確保JEE應用程式伺服器上的AEM Forms保持安全，您也應該實作安全性監控、偵測和回應程式。

本文說明在安裝和組態生命週期中，應在下列階段套用的強化技術：

• 預先安裝： 在JEE上安裝AEM Forms之前，請先運用這些技術。
• 安裝： 在AEM Forms on JEE安裝程式中使用這些技術。
• 安裝後： 在安裝後使用這些技術，並在之後定期使用這些技術。

JEE上的AEM Forms可高度自訂，並可在許多不同的環境中運作。 部分建議可能不符合您組織的需求。

預先安裝

在JEE上安裝AEM Forms之前，您可以將安全性解決方案套用至網路層和作業系統。 本節說明一些問題，並提出減少這些區域安全性弱點的建議。

在UNIX和Linux上的安裝和設定

請勿在JEE上使用根shell來安裝或設定AEM Forms。 依預設，檔案會安裝在/opt目錄下，而執行安裝的使用者需要/opt下的所有檔案許可權。 或者，也可以在個別使用者的/user目錄下執行安裝，該目錄下使用者已經擁有所有檔案許可權。

在Windows上的安裝和設定

如果您使用Turnkey方法在JBoss上的JEE上安裝AEM Forms，或是安裝PDF產生器，您應該以管理員身分在Windows上執行安裝。 此外，在具有原生應用程式支援的Windows上安裝PDF產生器時，您必須以安裝Microsoft Office的同一Windows使用者身分執行安裝。 如需有關安裝許可權的詳細資訊，請參閱應用程式伺服器的在JEE上安裝和部署AEM Forms檔案。

網路層安全性

網路安全漏洞是任何面對網際網路或面對內部網路的應用程式伺服器所面臨的首要威脅之一。 本節說明針對這些弱點強化網路上主機的程式。 它處理網路細分、傳輸控制通訊協定/網際網路通訊協定(TCP/IP)棧疊強化，以及使用防火牆保護主機等問題。

下表說明減少網路安全漏洞的常見程式。

作業系統安全性

下表說明將作業系統中發現的安全性弱點降至最低的一些可能方法。

如需作業系統的其他安全性資訊，請參閱 作業系統安全性資訊.

安裝

本節說明在AEM Forms安裝程式期間可用來減少安全性弱點的技術。 在某些情況下，這些技術會使用安裝程式中的選項。 下表說明這些技術。

安裝後步驟

在JEE上成功安裝AEM Forms後，請務必從安全性角度定期維護環境。

下節詳細說明保護已部署表單伺服器的建議不同工作。

AEM Forms安全性

下列建議的設定適用於管理Web應用程式以外的JEE伺服器上的AEM Forms。 若要降低伺服器的安全風險，請在JEE上安裝AEM Forms後立即套用這些設定。

安全性修補程式

如果未及時套用廠商安全性修補程式和升級，未經授權的使用者可能會取得應用程式伺服器的存取權，此風險會增加。 請先測試安全性修補程式，然後再將其套用至生產伺服器，以確保應用程式的相容性和可用性。 此外，建立原則和程式來定期檢查及安裝修補程式。 JEE版AEM Forms更新位於企業產品下載網站上。

服務帳戶（僅適用於Windows上的JBoss快速鍵）

JEE上的AEM Forms預設會使用LocalSystem帳戶安裝服務。 內建的LocalSystem使用者帳戶具有高度協助功能；它隸屬於Administrators群組。 如果工作者處理序身分識別以LocalSystem使用者帳戶執行，則該工作者處理序對整個系統具有完整存取權。

若要使用特定的非管理帳戶，執行部署JEE上AEM Forms的應用程式伺服器，請遵循下列指示：

1. 在Microsoft管理主控台(MMC)中，建立表單伺服器服務的本機使用者，以以下列身分登入：

   • 選取 使用者無法變更密碼.
   • 於 成員隸屬於 索引標籤中，確認 使用者 群組已列出。
   注意

   您無法變更PDF產生器的這個設定。

2. 選取 開始 > 設定 > 管理工具 > 服務.

3. 在JEE上連按兩下AEM Forms適用的JBoss並停止服務。

4. 於 登入 索引標籤，選取 此帳戶，瀏覽您建立的使用者帳戶，然後輸入帳戶的密碼。

5. 在MMC中，開啟 本機安全性設定 並選取 本機原則 > 使用者許可權指派.

6. 將下列許可權指派給執行表單伺服器的使用者帳戶：

   • 拒絕透過終端機服務登入
   • 拒絕本機登入
   • 以服務身分登入（應已設定）

7. 為新的使用者帳戶提供修改下列目錄的許可權：

   • 全域檔案儲存(GDS)目錄：GDS目錄的位置是在AEM Forms安裝過程中手動設定的。 如果在安裝期間位置設定保持空白，則該位置預設為應用程式伺服器安裝下的目錄： [JBoss root]/server/[type]/svcnative/DocumentStorage
   • CRX-Repository目錄：預設位置為 [AEM-Forms-installation-location]\crx-repository
   • AEM Forms臨時目錄：
     • (Windows)在環境變數中設定的TMP或TEMP路徑
     • （AIX、Linux或Solaris）登入使用者的主目錄在UNIX系統上，非根使用者可以使用以下目錄作為暫存目錄：
     • (Linux) /var/tmp或/usr/tmp
     • (AIX) /tmp或/usr/tmp
     • (Solaris) /var/tmp或/usr/tmp

8. 為新的使用者帳戶提供寫入下列目錄的許可權：

   • [JBoss-directory]\standalone\deployment
   • [JBoss-directory]\standalone\
   • [JBoss-directory]\bin\
   注意

   JBoss Application Server的預設安裝位置：

   • Windows： C:\Adobe\Adobe_Experience_Manager_Forms\jboss
   • Linux： /opt/jboss/

9. 啟動應用程式伺服器。

停用Configuration Manager啟動程式servlet

Configuration Manager使用部署在應用程式伺服器上的servlet，在JEE資料庫上執行AEM Forms的啟動程式。 由於Configuration Manager在設定完成之前存取此servlet，授權使用者對它的存取尚未受到保護，因此在您成功使用Configuration Manager在JEE上設定AEM Forms後，應該停用它。

1. 解壓縮adobe-livecycle-[appserver].ear檔案。

2. 開啟META-INF/application.xml檔案。

3. 搜尋adobe-bootstrapper.war區段：

   <!-- bootstrapper start -->
   <module id="WebApp_adobe_bootstrapper">
       <web>
           <web-uri>adobe-bootstrapper.war</web-uri>
           <context-root>/adobe-bootstrapper</context-root>
       </web>
   </module>
   <module id="WebApp_adobe_lcm_bootstrapper_redirector">
       <web>
           <web-uri>adobe-lcm-bootstrapper-redirector.war</web-uri>
           <context-root>/adobe-lcm-bootstrapper</context-root>
       </web>
   </module>
   <!-- bootstrapper end-->
   

4. 停止AEM Forms伺服器。

5. 註解adobe-bootstrapper.war和adobe-lcm-bootstrapper-redirectory。 war模組，如下所示：

   <!-- bootstrapper start -->
   <!--
   <module id="WebApp_adobe_bootstrapper">
       <web>
           <web-uri>adobe-bootstrapper.war</web-uri>
           <context-root>/adobe-bootstrapper</context-root>
       </web>
   </module>
   <module id="WebApp_adobe_lcm_bootstrapper_redirector">
       <web>
           <web-uri>adobe-lcm-bootstrapper-redirector.war</web-uri>
           <context-root>/adobe-lcm-bootstrapper</context-root>
       </web>
   </module>
   -->
   <!-- bootstrapper end-->
   

6. 儲存並關閉META-INF/application.xml檔案。

7. 壓縮EAR檔案，並將其重新部署到應用程式伺服器。

8. 啟動AEM Forms伺服器。

9. 在瀏覽器中鍵入以下URL以測試變更，並確保其不再有效。

   https://<localhost>：<port>/adobe-bootstrapper/bootstrap

鎖定對信任存放區的遠端存取

Configuration Manager可讓您將Acrobat Reader DC擴充功能認證上傳至JEE信任存放區上的AEM Forms。 這表示預設已啟用透過遠端通訊協定（SOAP和EJB）存取「信任存放區認證服務」。 使用Configuration Manager上傳許可權認證後，或決定稍後使用Administration Console管理認證後，不再需要此存取。

您可以依照一節中的步驟，停用對所有「信任存放區」服務的遠端存取 停用對服務的非必要遠端存取.

停用所有非必要的匿名存取

某些表單伺服器服務具有匿名呼叫者可能叫用的操作。 如果不需要匿名存取這些服務，請依照中的步驟加以停用 停用對服務的非必要匿名存取.

變更預設的管理員密碼

安裝JEE上的AEM Forms時，會為使用者「超級管理員/登入ID管理員」設定單一預設使用者帳戶，預設密碼為 密碼. 您應立即使用Configuration Manager變更此密碼。

1. 在網頁瀏覽器中輸入下列URL：

   https://[host name]:[port]/adminui
   

   預設連線埠號碼為下列其中一項：

   JBoss： 8080

   WebLogic伺服器： 7001

   WebSphere： 9080。

2. 在 使用者名稱 欄位，型別 administrator 而且，在 密碼 欄位，型別 password.

3. 按一下 設定 > User Management > 使用者和群組.

4. 型別 administrator 在 尋找 欄位，然後按一下 尋找.

5. 按一下 超級管理員 從使用者清單中。

6. 按一下 變更密碼 編輯使用者頁面上。

7. 指定新密碼，然後按一下 儲存.

此外，建議透過執行以下步驟來變更CRX管理員的預設密碼：

1. 登入 https://[server]:[port]/lc/libs/granite/security/content/useradmin.html 使用預設的使用者名稱/密碼。
2. 在搜尋欄位中鍵入Administrator ，然後按一下 前往.
3. 選取 管理員 ，然後按一下 編輯 圖示加以檢視。
4. 在中指定新密碼 新密碼 欄位和中的舊密碼 您的密碼 欄位。
5. 按一下使用者介面右下角的「儲存」圖示。

停用WSDL產生

Web服務定義語言(WSDL)產生僅能用於開發環境，在這些環境中，開發人員會使用WSDL產生來建置他們的使用者端應用程式。 您可以選擇在生產環境中停用WSDL產生，以避免公開服務的內部詳細資訊。

1. 在網頁瀏覽器中輸入下列URL：

   https://[host name]:[port]/adminui
   

2. 按一下 設定>核心系統設定>設定.

3. 取消選取 啟用WSDL 並按一下 確定.

應用程式伺服器安全性

下表說明安裝JEE應用程式上的AEM Forms後，保護應用程式伺服器安全的一些技術。

資料庫安全性

保護資料庫時，您應該實作資料庫供應商所述的措施。 您應該配置資料庫使用者，使其具備AEM Forms on JEE授權使用的最低必要資料庫許可權。 例如，請勿使用具有資料庫管理員許可權的帳戶。

在Oracle時，您使用的資料庫帳戶只需要CONNECT、RESOURCE和CREATE VIEW許可權。 如需其他資料庫的類似需求，請參閱 準備在JEE （單一伺服器）上安裝AEM Forms.

為Windows上的SQL Server for JBoss設定整合式安全性

1. 修改 [JBOSS_HOME]要新增的\standalone\configuration\lc_{datasource.xml} integratedSecurity=true 到連線URL，如以下範例所示：

    jdbc:sqlserver://<serverhost>:<port>;databaseName=<dbname>;integratedSecurity=true
   

2. 將sqljdbc_auth.dll檔案新增至執行應用程式伺服器的電腦上的Windows系統路徑。 sqljdbc_auth.dll檔案位於Microsoft SQL JDBC 6.2.1.0驅動程式安裝中。

3. 將本機系統登入身分的JBoss Windows服務(JEE上AEM Forms的JBoss)屬性修改為具有AEM Forms資料庫和最低許可權集的登入帳戶。 如果您是從命令列執行JBoss，而不是以Windows服務的形式執行，則不需要執行此步驟。

4. 設定SQL Server的安全性，從 混合 模式至 僅限Windows驗證.

為Windows for WebLogic的SQL Server設定整合式安全性

1. 在網頁瀏覽器的URL行中輸入下列URL，啟動WebLogic伺服器管理主控台：

   https://[host name]:7001/console
   

2. 在「變更中心」下，按一下 鎖定和編輯.

3. 在「領域結構」下，按一下 [base_domain] > 服務 > JDBC > 資料來源 然後在右窗格中，按一下 IDP_DS.

4. 在下一個畫面，在 設定 索引標籤，按一下 連線集區 標籤和 屬性 方塊，輸入 integratedSecurity=true.

5. 在「領域結構」下，按一下 [base_domain] > 服務 > JDBC > 資料來源 然後在右窗格中，按一下 RM_DS.

6. 在下一個畫面，在 設定 索引標籤，按一下 連線集區 標籤和 屬性 方塊，輸入 integratedSecurity=true.

7. 將sqljdbc_auth.dll檔案新增至執行應用程式伺服器的電腦上的Windows系統路徑。 sqljdbc_auth.dll檔案位於Microsoft SQL JDBC 6.2.1.0驅動程式安裝中。

8. 設定SQL Server的安全性，從 混合 模式至 僅限Windows驗證.

為Windows上的SQL Server for WebSphere設定整合式安全性

在WebSphere上，您只能在使用外部SQL Server JDBC驅動程式（而非內嵌於WebSphere的SQL Server JDBC驅動程式）時設定整合式安全性。

1. 登入WebSphere管理主控台。
2. 在導覽樹狀結構中，按一下 資源 > JDBC > 資料來源 然後在右窗格中，按一下 IDP_DS.
3. 在右窗格的「其他屬性」下方，按一下 自訂屬性，然後按一下 新增.
4. 在 名稱 方塊，輸入 integratedSecurity 而且，在 值 方塊，輸入 true.
5. 在導覽樹狀結構中，按一下 資源 > JDBC > 資料來源 然後在右窗格中，按一下 RM_DS.
6. 在右窗格的「其他屬性」下方，按一下 自訂屬性，然後按一下 新增.
7. 在 名稱 方塊，輸入 integratedSecurity 而且，在 值 方塊，輸入 true.
8. 在安裝WebSphere的電腦上，將sqljdbc_auth.dll檔案新增至Windows系統路徑(C:\Windows)。 sqljdbc_auth.dll檔案與Microsoft SQL JDBC 1.2驅動程式安裝位於相同的位置(預設為 [Installdir]/sqljdbc_1.2/enu/auth/x86)。
9. 選取 開始 > 控制面板 > 服務，以滑鼠右鍵按一下適用於WebSphere (IBM WebSphere Application Server)的Windows服務 <version> - <node>)並選取 屬性.
10. 在「屬性」對話方塊中，按一下 登入 標籤。
11. 選取 此帳戶 並提供設定您要使用的登入帳戶所需的資訊。
12. 設定SQL Server上的安全性，從 混合 模式至 僅限Windows驗證.

保護對資料庫中敏感內容的存取

AEM Forms資料庫結構描述包含有關系統設定和業務流程的敏感資訊，應隱藏在防火牆之後。 資料庫應視為與表單伺服器位於相同的信任界限內。 為了防止資訊洩漏與商業資料遭竊，資料庫必須由資料庫管理員(DBA)設定為僅允許授權管理員存取。

作為新增的預防措施，您應該考慮使用資料庫廠商專用的工具，對包含以下資料的表格中的欄進行加密：

• Rights Management檔案索引鍵
• 信任存放區HSM PIN加密金鑰
• 本機使用者密碼雜湊

如需廠商特定工具的相關資訊，請參閱 資料庫安全性資訊.

LDAP安全性

AEM Forms on JEE通常會使用輕量型目錄存取協定(LDAP)目錄作為企業使用者和群組資訊的來源，以及執行密碼驗證的方法。 您應確保您的LDAP目錄已設定為使用安全通訊端層(SSL)，且JEE上的AEM Forms已設定為使用其SSL連線埠存取您的LDAP目錄。

LDAP拒絕服務

使用LDAP的常見攻擊包括攻擊者故意多次無法驗證身分。 這會強制LDAP目錄伺服器鎖定所有LDAP相關服務的使用者。

您可以設定當使用者多次無法向AEM Forms驗證時，AEM Forms實施的失敗嘗試次數和後續鎖定時間。 在Administration Console中選擇低值。 選取失敗嘗試次數時，請務必瞭解，在嘗試了所有失敗嘗試後，AEM Forms會在LDAP目錄伺服器嘗試之前鎖定使用者。

設定自動帳戶鎖定

1. 登入管理主控台。
2. 按一下 設定 > User Management > 網域管理.
3. 在自動帳戶鎖定設定下，設定 連續驗證失敗數上限 變更為低數值，例如3。
4. 按一下「儲存」。

稽核與記錄

正確且安全地使用應用程式稽核和記錄，有助於確保儘快追蹤和偵測安全性和其他異常事件。 在應用程式中有效使用稽核和記錄功能包括追蹤成功和失敗登入等專案，以及建立或刪除重要記錄等重要應用程式事件。

您可以使用稽核來偵測許多型別的攻擊，包括：

• 暴力密碼攻擊
• 拒絕服務攻擊
• 插入惡意輸入和相關的指令碼攻擊類別

此表格說明可用來減少伺服器弱點的稽核和記錄技術。

啟用非管理員使用者以執行PDF產生器

您可以讓非管理員使用者使用PDF產生器。 通常只有具有管理許可權的使用者才能使用PDF產生器。 執行以下步驟，讓非管理員使用者能夠執行PDF產生器：

1. 建立環境變數名稱PDFG_NON_ADMIN_ENABLED。

2. 將變數的值設為TRUE。

3. 重新啟動AEM Forms執行個體。

在JEE上設定AEM Forms以取得企業以外的存取權

在JEE上成功安裝AEM Forms後，請務必定期維護環境安全性。 本節說明維護JEE生產伺服器上AEM Forms安全性的建議工作。

設定網頁存取的反向Proxy

A 反向Proxy 可用來確保外部和內部使用者均可使用JEE網頁應用程式上AEM Forms的一組網址。 此設定比允許使用者直接連線到AEM Forms on JEE執行所在的應用程式伺服器更安全。 反向Proxy會針對在JEE上執行AEM Forms的應用程式伺服器執行所有HTTP要求。 使用者只有反向Proxy的網路存取權，而且只能嘗試反向Proxy支援的URL連線。

JEE根URL上的AEM Forms ，用於反向Proxy伺服器

以下是JEE網頁應用程式上每個AEM Forms的應用程式根URL。 您應該只設定反向Proxy，以公開URL給您要提供給使用者的網頁應用程式功能。

某些URL會醒目提示為面向一般使用者的網頁應用程式。 您應該避免公開Configuration Manager的其他URL，以便透過反向Proxy存取外部使用者。

避免跨網站請求偽造攻擊

跨網站請求偽造(CSRF)攻擊利用網站對使用者的信任，傳輸未經授權且使用者無意的命令。 將連結或指令碼包含在網頁中，或將URL包含在電子郵件訊息中，以存取使用者已驗證的其他網站，藉此設定攻擊。

例如，您可能在同時瀏覽其他網站時登入Administration Console。 其中一個網頁可能包含帶有的HTML影像標籤 src 目標為受害網站上的伺服器端指令碼的屬性。 利用網頁瀏覽器提供的Cookie型工作階段驗證機制，攻擊網站可以傳送惡意請求給這個受到傷害的伺服器端指令碼，偽裝成合法使用者。 如需更多範例，請參閱 https://owasp.org/www-community/attacks/csrf#Examples.

下列是CSRF的共同特性：

• 涉及依賴使用者身分的網站。
• 利用網站信任該身分識別。
• 誘使使用者的瀏覽器傳送HTTP請求到目標網站。
• 涉及有副作用的HTTP要求。

JEE上的AEM Forms使用反向連結篩選功能來封鎖CSRF攻擊。 本節會使用下列辭彙來說明反向連結篩選機制：

• 允許的反向連結： Referrer是將請求傳送至伺服器的來源頁面位址。 對於JSP頁面或表單，反向連結通常是瀏覽歷史記錄中的上一頁。 影像的反向連結通常是顯示影像的頁面。 您可以識別允許存取您伺服器資源的「反向連結」，方法是將其新增至「允許的反向連結」清單。
• 允許的反向連結例外： 您可能想要限制您允許的反向連結清單中特定反向連結的存取範圍。 若要強制執行此限制，您可以將該反向連結的個別路徑新增至「允許的反向連結例外」清單。 來自允許的反向連結例外清單中路徑的請求無法叫用表單伺服器上的任何資源。 您可以為特定應用程式定義「允許的反向連結例外」，也可以使用適用於所有應用程式的例外全域清單。
• 允許的URI： 這是在不檢查反向連結標題的情況下提供的資源清單。 可以將資源（例如說明頁面）新增至此清單，這些資源不會導致伺服器上的狀態變更。 無論反向連結為何，反向連結篩選都不會封鎖允許URI清單中的資源。
• Null查閱者： 未與上層網頁相關聯或並非源自上層網頁的伺服器請求，會被視為來自Null反向連結的請求。 例如，當您開啟新的瀏覽器視窗、輸入位址，然後按下Enter鍵，傳送至伺服器的反向連結為空值。 案頭應用程式（.NET或SWING）向網頁伺服器發出HTTP請求時，也會將Null反向連結傳送至伺服器。

反向連結篩選

「反向連結篩選」程式的說明如下：

1. 表單伺服器會檢查用於叫用的HTTP方法：

   1. 如果是POST，表單伺服器會執行反向連結標題檢查。
   2. 如果是GET，則表單伺服器會略過反向連結檢查，除非 CSRF_CHECK_GETS 設為true，則會執行Referrer標題檢查。 CSRF_CHECK_GETS 指定於 web.xml 應用程式的檔案。

2. 表單伺服器會檢查要求的URI是否存在於允許清單中：

   1. 如果URI已加入允許清單，則伺服器會接受要求。
   2. 如果請求的URI未列入允許清單，則伺服器會擷取請求的反向連結。

3. 如果請求中有Referrer，則伺服器會檢查其是否為Allowed Referrer。 如果允許，伺服器會檢查反向連結例外狀況：

   1. 若為例外狀況，則要求會被封鎖。
   2. 如果不是例外，則會傳遞要求。

4. 如果請求中沒有Referrer，則伺服器會檢查是否允許Null Referrer：

   1. 如果允許Null反向連結，則會傳遞要求。
   2. 如果不允許Null反向連結，則伺服器會檢查請求的URI是否為Null反向連結的例外，並據此處理請求。

管理反向連結篩選

JEE上的AEM Forms提供反向連結篩選條件，用以指定允許存取伺服器資源的反向連結。 依預設，反向連結篩選器不會篩選使用安全HTTP方法(例如GET)的請求，除非 CSRF_CHECK_GETS 設為true。 如果「允許的反向連結」專案的連線埠號碼設為0，則無論連線埠號碼為何，JEE上的AEM Forms都將允許從該主機提出帶有「反向連結」的所有請求。 如果未指定連線埠號碼，則僅允許來自預設連線埠80 (HTTP)或連線埠443 (HTTPS)的請求。 如果刪除允許的反向連結清單中的所有專案，則會停用反向連結篩選。

第一次安裝Document Services時，「允許的反向連結」清單會以安裝Document Services的伺服器位址更新。 伺服器的專案包括伺服器名稱、IPv4位址、IPv6位址（若已啟用IPv6）、回送位址以及localhost專案。 主機作業系統會傳回新增至「允許的反向連結」清單的名稱。 例如，IP位址為10.40.54.187的伺服器將包含下列專案： https://server-name:0, https://10.40.54.187:0, https://127.0.0.1:0, http://localhost:0. 對於主機作業系統傳回的任何未限定名稱（沒有IPv4位址、IPv6位址或限定網域名稱的名稱），允許清單不會更新。 修改允許的反向連結清單以符合您的業務環境。 請勿使用預設允許的反向連結清單在生產環境中部署表單伺服器。 修改任何「允許的反向連結」、「反向連結例外」或URI後，請確定您重新啟動伺服器，變更才會生效。

管理允許的反向連結清單

您可以從「管理控制檯」的「使用者管理介面」管理「允許的反向連結」清單。 「使用者管理介面」提供您建立、編輯或刪除清單的功能。 請參閱* 防止CSRF攻擊*的區段 管理說明 以取得有關使用「允許的反向連結」清單的詳細資訊。

管理允許的反向連結例外和允許的URI清單

JEE上的AEM Forms提供API來管理允許的反向連結例外清單和允許的URI清單。 您可以使用這些API來擷取、建立、編輯或刪除清單。 以下是可用API的清單：

• createAllowedURIsList
• getAllowedURIsList
• updateAllowedURIsList
• deleteAllowedURIsList
• addAllowedRefererExceptions
• getAllowedRefererExceptions
• updateAllowedRefererExceptions
• deleteAllowedRefererExceptions

如需API的詳細資訊，請參閱* AEM Forms on JEE API參考資料*。

使用 LC_GLOBAL_ALLOWED_REFERER_EXCEPTION 全域層次的「允許的反向連結例外」清單，即定義適用於所有應用程式的例外。 此清單僅包含具有絕對路徑的URI (例如 /index.html)或相對路徑(例如： /sample/)。 您也可以將規則運算式附加至相對URI的結尾，例如： /sample/(.)*.

此 LC_GLOBAL_ALLOWED_REFERER_EXCEPTION 清單ID在中定義為常數 UMConstants 類別 com.adobe.idp.um.api 名稱空間，可在 adobe-usermanager-client.jar. 您可以使用AEM Forms API來建立、修改或編輯此清單。 例如，若要建立「全域允許的反向連結例外」清單，請使用：

addAllowedRefererExceptions(UMConstants.LC_GLOBAL_ALLOWED_REFERER_EXCEPTION, Arrays.asList("/index.html", "/sample/(.)*"))

使用 CSRF_ALLOWED_REFERER_EXCEPTIONS 應用程式特定例外清單。

停用反向連結篩選

如果反向連結篩選完全封鎖對表單伺服器的存取，而您無法編輯允許的反向連結清單，您可以更新伺服器啟動指令碼並停用反向連結篩選。

包含 -Dlc.um.csrffilter.disabled=true 啟動指令碼中的JAVA引數並重新啟動伺服器。 請務必在適當重新設定「允許的反向連結」清單後，刪除JAVA引數。

自訂WAR檔案的反向連結篩選

您可能已建立自訂WAR檔案，以搭配AEM Forms on JEE使用來滿足您的業務需求。 若要啟用自訂WAR檔案的反向連結篩選，請包括 adobe-usermanager-client.jar 在WAR的類別路徑中，並在* web.xml*檔案中包含一個篩選器專案，其中包含下列引數：

CSRF_CHECK_GETS 控制GET請求的反向連結檢查。 如果未定義此引數，預設值會設為false。 僅當您要篩選GET請求時才包含此引數。

CSRF_ALLOWED_REFERER_EXCEPTIONS 是「允許的反向連結例外」清單的ID。 反向連結篩選可防止來自清單ID所識別清單中反向連結的請求，在表單伺服器上叫用任何資源。

CSRF_ALLOWED_URIS_LIST_NAME 是「允許的URI」清單的ID。 無論請求中的Referrer標頭值為何， Referrer Filter都不會封鎖清單ID所識別清單中任何資源的請求。

CSRF_ALLOW_NULL_REFERER 控制反向連結為Null或不存在時的反向連結篩選行為。 如果未定義此引數，預設值會設為false。 只有在您想要允許Null反向連結時才包含此引數。 允許空反向連結可能會允許某些型別的跨網站請求偽造攻擊。

CSRF_NULL_REFERER_EXCEPTIONS 是URI的清單，當反向連結為Null時，不會對其執行反向連結檢查。 此引數僅在 CSRF_ALLOW_NULL_REFERER 設為false。 以逗號分隔清單中的多個URI。

以下範例為 web.xml 的檔案 範例 WAR檔案：

<filter>
       <filter-name> filter-name </filter-name>
       <filter-class> com.adobe.idp.um.auth.filter.RemoteCSRFFilter </filter-class>
     <!-- default is false -->
     <init-param>
      <param-name> CSRF_ALLOW_NULL_REFERER </param-name>
      <param-value> false </param-value>
     </init-param>
     <!-- default is false -->
     <init-param>
      <param-name> CSRF_CHECK_GETS </param-name>
      <param-value> true </param-value>
     </init-param>
     <!-- Optional -->
     <init-param>
       <param-name> CSRF_NULL_REFERER_EXCEPTIONS </param-name>
       <param-value> /SAMPLE/login, /SAMPLE/logout  </param-value>
     </init-param>
     <!-- Optional -->
     <init-param>
      <param-name> CSRF_ALLOWED_REFERER_EXCEPTIONS </param-name>
      <param-value> SAMPLE_ALLOWED_REF_EXP_ID </param-value>
     </init-param>
     <!-- Optional -->
     <init-param>
      <param-name> CSRF_ALLOWED_URIS_LIST_NAME </param-name>
      <param-value> SAMPLE_ALLOWED_URI_LIST_ID     </param-value>
     </init-param>
</filter>
    ........
    <filter-mapping>
      <filter-name> filter-name </filter-name>
      <url-pattern>/*</url-pattern>
    </filter-mapping>

疑難排解

如果CSRF篩選條件封鎖了合法的伺服器要求，請嘗試下列方法之一：

• 如果被拒絕的請求有反向連結標頭，請仔細考慮將其新增到允許的反向連結清單中。 僅新增您信任的反向連結。
• 如果被拒絕的請求沒有Referrer標頭，請修改您的使用者端應用程式以包含Referrer標頭。
• 如果使用者端可在瀏覽器中運作，請嘗試該部署模式。
• 作為最後手段，您可以將資源新增到允許的URI清單。 不建議使用此設定。

安全網路設定

本節說明AEM Forms on JEE所需的通訊協定和連線埠，並提供在安全網路設定中部署AEM Forms on JEE的建議。

AEM Forms on JEE使用的網路通訊協定

如上節所述，當您設定安全的網路架構時，下列網路通訊協定是JEE上的AEM Forms與企業網路中其他系統互動所必需的。

應用程式伺服器的連線埠

本節說明支援的每種應用程式伺服器型別的預設連線埠（和替代組態範圍）。 這些連線埠必須在內部防火牆上啟用或停用，具體取決於您要允許連線到在JEE上執行AEM Forms之應用程式伺服器的使用者端的網路功能。

JBoss連線埠

WebLogic連線埠

WebSphere連線埠

如需AEM Forms on JEE所需的WebSphere連線埠相關資訊，請前往WebSphere Application Server UI中的「連線埠號碼」設定。

設定SSL

請參考一節中所述的實體架構 JEE實體架構上的AEM Forms，您應該為計畫使用的所有連線設定SSL。 具體而言，所有SOAP連線都必須透過SSL執行，以防止在網路上洩露使用者認證。

如需如何在JBoss、WebLogic和WebSphere上設定SSL的說明，請參閱 管理說明.

如需如何將憑證匯入至為AEM Forms伺服器設定的JVM （Java虛擬機器器）的指示，請參閱以下連結中的相互驗證一節： AEM Forms Workbench說明.

設定SSL重新導向

將應用程式伺服器設定為支援SSL後，您必須確保所有至應用程式和服務的HTTP流量都強制使用SSL連線埠。

若要設定WebSphere或WebLogic的SSL重新導向，請參閱您的應用程式伺服器檔案。

1. 開啟命令提示字元，瀏覽至/JBOSS_HOME/standalone/configuration目錄，然後執行下列命令：

   keytool -genkey -alias jboss7 -keyalg RSA -keystore server.keystore -validity 10950

2. 開啟JBOSS_HOME/standalone/configuration/standalone.xml檔案以進行編輯。

   晚於 <subsystem xmlns="urn<span id=" translate="no" />網域:web:1.1" native="false" default-virtual-server="default-host">元素，新增下列詳細資料：:jboss:

   <connector name="https" protocol="HTTP/1.1" scheme="https" socket-binding="https" enabled="true" secure="true"/>

3. 在https聯結器元素中新增下列程式碼：

   <connector name="https" protocol="HTTP/1.1" scheme="https" socket-binding="https" secure="true" enabled="true">
    <ssl name="jboss7_ssl" key-alias="jboss71" password="Tibco321" certificate-key-file="../standalone/configuration/server.keystore" protocol="TLSv1"/>
    </connector>
   

   儲存並關閉standalone.xml檔案。

Windows專屬安全性建議

本節包含在JEE上執行AEM Forms時特定於Windows的安全性建議。

JBoss服務帳戶

AEM Forms on JEE整套金鑰安裝預設會使用「本機系統」帳戶設定服務帳戶。 內建的本機系統使用者帳戶具有高度協助功能；它屬於管理員群組。 如果背景工作處理序身分識別以「本機系統」使用者帳戶執行，則該背景工作處理序對整個系統具有完全存取權。

使用非管理帳戶執行應用程式伺服器

1. 在Microsoft管理主控台(MMC)中，建立表單伺服器服務的本機使用者，以以下列身分登入：

   • 選取 使用者無法變更密碼.
   • 於 成員隸屬於 索引標籤中，確定已列出「使用者」群組。

2. 選取 設定 > 管理工具 > 服務.

3. 連按兩下應用程式伺服器服務並停止該服務。

4. 於 登入 索引標籤，選取 此帳戶，瀏覽您建立的使用者帳戶，然後輸入帳戶的密碼。

5. 在「本機安全性設定」視窗中的「使用者許可權指派」下，將下列許可權授予表單伺服器執行所在的使用者帳戶：

   • 拒絕透過終端機服務登入
   • 拒絕在locallyxx上登入
   • 以服務身分登入（應已設定）

6. 為新的使用者帳戶提供修改下列目錄的許可權：

   • 全域檔案儲存(GDS)目錄：GDS目錄的位置是在AEM Forms安裝過程中手動設定的。 如果在安裝期間位置設定保持空白，則該位置預設為應用程式伺服器安裝下的目錄： [JBoss root]/server/[type]/svcnative/DocumentStorage
   • CRX-Repository目錄：預設位置為 [AEM-Forms-installation-location]\crx-repository
   • AEM Forms臨時目錄：
     • (Windows)在環境變數中設定的TMP或TEMP路徑
     • （AIX、Linux或Solaris）登入使用者的主目錄在UNIX系統上，非根使用者可以使用以下目錄作為暫存目錄：
     • (Linux) /var/tmp或/usr/tmp
     • (AIX) /tmp或/usr/tmp
     • (Solaris) /var/tmp或/usr/tmp

7. 為新的使用者帳戶提供寫入下列目錄的許可權：

   • [JBoss-directory]\standalone\deployment
   • [JBoss-directory]\standalone\
   • [JBoss-directory]\bin\
   注意

   JBoss Application Server的預設安裝位置：

   • Windows： C:\Adobe\Adobe_Experience_Manager_Forms\jboss
   • Linux： /opt/jboss/。

8. 啟動應用程式伺服器服務。

檔案系統安全性

JEE上的AEM Forms透過下列方式使用檔案系統：

• 儲存處理檔案輸入和輸出時使用的暫存檔
• 將用來支援所安裝解決方案元件的檔案儲存在全域封存存放區
• Watched資料夾存放區會從檔案系統資料夾位置中丟棄作為服務輸入的檔案

使用watched資料夾作為透過表單伺服器服務傳送和接收檔案的方法時，請針對檔案系統安全性採取額外的預防措施。 當使用者將內容放入watched資料夾中時，該內容會透過watched資料夾公開。 在此情況下，服務不會驗證實際的一般使用者。 而是仰賴ACL和共用層級安全性在資料夾層級設定，以判斷誰能夠有效地叫用服務。

JBoss專屬安全性建議

本節包含在JEE上執行AEM Forms時，JBoss 7.0.6專屬的應用程式伺服器設定建議。

停用JBoss管理控制檯和JMX控制檯

使用全包安裝方法在JBoss上的JEE上安裝AEM Forms時，已設定存取JBoss管理主控台和JMX主控台（已停用JMX監視）。 如果您使用自己的JBoss Application Server，請確定對JBoss管理主控台和JMX監控主控台的存取是安全的。 JMX監視主控台的存取權是在名為jmx-invoker-service.xml的JBoss組態檔中設定。

停用目錄瀏覽

登入Administration Console後，可以修改URL來瀏覽主控台的目錄清單。 例如，如果您將URL變更為下列URL之一，可能會出現目錄清單：

https://<servername>:8080/adminui/secured/
https://<servername>:8080/um/

WebLogic專屬安全性建議

本節包含在JEE上執行AEM Forms時，保護WebLogic 9.1安全的應用程式伺服器設定建議。

停用目錄瀏覽

將weblogic.xml檔案中的index-directories屬性設定為 false，如下列範例所示：

<container-descriptor>
    <index-directory-enabled>false
    </index-directory-enabled>
</container-descriptor>

啟用WebLogic SSL連線埠

依預設，WebLogic不會啟用預設的SSL接聽連線埠7002。 設定SSL之前，請在WebLogic伺服器管理主控台中啟用此連線埠。

WebSphere專屬安全性建議

本節包含在JEE上執行AEM Forms以保護WebSphere的應用程式伺服器設定建議。

停用目錄瀏覽

設定 directoryBrowsingEnabled ibm-web-ext.xml檔案中的屬性 false.

啟用WebSphere管理安全性

1. 登入WebSphere管理主控台。
2. 在導覽樹狀結構中，前往 安全性 > 全域安全性
3. 選取 啟用管理安全性.
4. 取消選取兩者 啟用應用程式安全性 和 使用Java 2安全性.
5. 按一下 確定 或 套用.
6. 在 訊息 方塊，按一下 直接儲存至主組態.

Business.Adobe.com 資源

Style System Personalized Experiences Content Intelligence Theme Editor Dynamic Forms Digital Signage