DocumentatieAEMDispatcher-handleiding

Dispatcher Security Checklist the-dispatcher-security-checklist

Last update: Thu Jul 24 2025 00:00:00 GMT+0000 (Coordinated Universal Time)

Gemaakt voor:

  • Beheerder

Adobe raadt je aan de volgende checklist in te vullen voordat je gaat produceren.

CAUTION
Voltooi de lijst Beveiligingscontrole van je versie van AEM voordat je live gaat. Zie de overeenkomstige documentatie van Adobe Experience Manager.

De nieuwste versie van Dispatcher gebruiken use-the-latest-version-of-dispatcher

Installeer de nieuwste beschikbare versie die beschikbaar is voor uw platform. Voer een upgrade uit op uw Dispatcher-exemplaar om de nieuwste versie te gebruiken en zo te profiteren van product- en beveiligingsverbeteringen. Zie Installerend Dispatcher.

NOTE
U kunt de huidige versie van uw Dispatcher-installatie controleren door het Dispatcher-logbestand te bekijken.
[Thu Apr 30 17:30:49 2015] [I] [23171(140735307338496)] Dispatcher initialized (build 4.1.9)
Als u het logbestand wilt zoeken, controleert u de Dispatcher-configuratie in uw httpd.conf .

Beperk clients die uw cache kunnen leegmaken restrict-clients-that-can-flush-your-cache

Adobe adviseert dat u de cliƫnten beperkt die uw geheime voorgeheugen kunnen leegmaken.

HTTPS inschakelen voor beveiliging van transportlagen enable-https-for-transport-layer-security

Adobe raadt aan de HTTPS-transportlaag in te schakelen voor zowel auteur- als publicatieinstanties.

Toegang beperken restrict-access

Wanneer het vormen van de Dispatcher, beperking externe toegang zoveel mogelijk. Zie Sectie van het Voorbeeld /filterin de documentatie van Dispatcher.

Zorg ervoor dat toegang tot administratieve URL's wordt geweigerd make-sure-access-to-administrative-urls-is-denied

Zorg ervoor dat u filters gebruikt om externe toegang tot eventuele beheerURL's, zoals de webconsole, te blokkeren.

Zie het Testen de Veiligheid van Dispatchervoor een lijst van URLs die moet worden geblokkeerd.

Lijsten van gewenste personen gebruiken in plaats van Lijsten van gewezen personen use-allowlists-instead-of-blocklists

Lijsten van gewenste personen zijn een betere manier om toegangscontrole te verlenen aangezien zij inherent, veronderstellen zij dat alle toegangsverzoeken zouden moeten worden ontkend tenzij zij uitdrukkelijk deel van de lijst van gewenste personen uitmaken. Dit model verstrekt meer restrictieve controle over nieuwe verzoeken die nog niet zouden kunnen zijn herzien of tijdens een bepaalde configuratiestadium overwogen.

Dispatcher uitvoeren met een toegewezen systeemgebruiker run-dispatcher-with-a-dedicated-system-user

Configureer de Dispatcher zodanig dat een toegewijde, minst geprivilegieerde gebruikersaccount de webserver uitvoert. Adobe raadt u aan alleen schrijftoegang te verlenen tot de cachemap van Dispatcher.

IIS-gebruikers moeten hun website ook als volgt configureren:

  1. In het fysieke weg plaatsen voor uw website, uitgezochte verbind als specifieke gebruiker.
  2. Stel de gebruiker in.

Ontkenning van service-aanvallen (DoS) voorkomen prevent-denial-of-service-dos-attacks

Een ontkenning van de dienst (Dos) aanval is een poging om een computermiddel niet beschikbaar te maken aan zijn voorgenomen gebruikers.

Op het niveau van Dispatcher, zijn er twee methodes om aanvallen van Dos te verhinderen: Filters

  • Gebruik mod_rewrite module (bijvoorbeeld, Apache 2.4) om URL validaties uit te voeren (als de URL patroonregels niet te complex zijn).

  • Verhinder Dispatcher URLs met valse uitbreidingen in het voorgeheugen onderbrengen door filterste gebruiken.
    Wijzig bijvoorbeeld de caching-regels om caching te beperken tot de verwachte mime-typen, zoals:

    • .html
    • .jpg
    • .gif
    • .swf
    • .js
    • .doc
    • .pdf
    • .ppt

    Een dossier van de voorbeeldconfiguratie kan voor worden gezien die externe toegangbeperken. Het bevat beperkingen voor mime-typen.

Als u volledige functionaliteit wilt inschakelen voor de publicatie-instanties, configureert u filters om toegang tot de volgende knooppunten te voorkomen:

  • /etc/
  • /libs/

Configureer vervolgens filters om toegang tot de volgende knooppuntpaden toe te staan:

  • /etc/designs/*

  • /etc/clientlibs/*

  • /etc/segmentation.segment.js

  • /libs/cq/personalization/components/clickstreamcloud/content/config.json

  • /libs/wcm/stats/tracker.js

  • /libs/cq/personalization/* (JS, CSS en JSON)

  • /libs/cq/security/userinfo.json (CQ-gebruikersgegevens)

  • /libs/granite/security/currentuser.json (gegevens moeten niet in het voorgeheugen ondergebracht worden)

  • /libs/cq/i18n/* (Internationalisatie)

Dispatcher configureren om CSRF-aanvallen te voorkomen configure-dispatcher-to-prevent-csrf-attacks

AEM verstrekt a kadergericht op het verhinderen van de aanvallen van het Verzoek van de Versmederij van de Depositovergangen van de Depositovergangen. Om dit kader goed te gebruiken, lijst van gewenste personen symbolische steun CSRF in Dispatcher door het volgende te doen:

  1. Een filter maken om het /libs/granite/csrf/token.json -pad toe te staan;
  2. Voeg de header CSRF-Token toe aan de sectie clientheaders van de Dispatcher-configuratie.

Klikaanvallen voorkomen prevent-clickjacking

Om te voorkomen dat wordt geklikt, raadt Adobe u aan uw webserver te configureren om de X-FRAME-OPTIONS HTTP-header die is ingesteld op SAMEORIGIN , op te geven.

Voor meer informatie bij klikjacking, zie de plaats van OWASP.

Een penetratietest uitvoeren perform-a-penetration-test

Adobe raadt u aan een penetratietest van uw AEM-infrastructuur uit te voeren voordat u verdergaat met de productie.

recommendation-more-help
ce382601-480f-4a99-8be7-73178d4b6ef5