Waters 对于确保 NuGenesis Web 服务器安全有什么建议？ - WKB202497

环境

• NuGenesis 9
  • Windows Server 2019/2016
• NuGenesis 8 SR2
  • Windows Server 2016/2012

答案

• 在 IIS 中：
  1. 将 CA 为 Web 服务器的完全限定域名颁发的证书添加到 Windows 中的 Web 托管证书储存区中，并将该证书绑定到 IIS 中的 HTTPS 站点。
     • 尽管自签名证书可用于 SDMS Web 服务器，并且可以将它们添加到客户端计算机上的可信证书存储区中，但这些证书本质上是不安全的，应尽量避免使用。
  2. 使用密钥长度至少为 2048 位的证书。
  3. 确保“httptohttpsredirect”和“auditrule”服务器级 URL 重写规则存在并已启用。
     • 缺省情况下，SDMS WebVision 仍然监听 HTTP/端口 80，以便接受来自旧 WebVision URL 的请求。在 NG8 SR2 之前，WebVision 仅由 HTTP 提供服务，并且保存在 SDMS 之外的 URL 保留了 URL 中的“http:”协议。为了让 SDMS 响应这些旧 URL，服务器必须监听 HTTP，并且此 URL 重写规则将 Web 浏览器重新定向到安全协议。如果此规则在规则列表中不存在/禁用/降低，则 WebVision 站点可以通过 HTTP 提供服务（不推荐）。
  4. 将以下 HTTP 标头添加到以下链接文章中指定的站点：
     • Strict-Transport-Security: max-age=30000000
     • X-Content-Type-Options：nosniff
     • X-Frame-Options: sameorigin
       • 不建议将此标头设置为“拒绝”用于 Default Web Site（旧版 SDMS Web 应用程序）
     • Content-Security-Policy
     • Referrer-Policy: sameorigin
  5. 从所有站点中移除以下 HTTP 标头：
     • X-Powered-By
     • X-AspNetVersion
     • 服务器
  6. 将允许的 HTTP 动词列表限制为最少（通常是 POST 和 GET）
  7. 将 URL 和查询字符串的长度分别限制为 2048 字节和 1024 字节，
  8. 为 NuGenesis 站点启用匿名访问，并将服务帐户配置为匿名用户。此帐户在文件系统中应仅有最低权限
  9. 使用 HTTPS 站点而非 FTP 进行 SDMS WebVision 下载。
  10. 仅安装 NuGenesis 9.0/9.1/9.3 安装和配置指南中列出的 IIS 角色和功能。请勿安装这些列表之外的任何 IIS 角色或功能
• 在“高级安全 Windows 防火墙”中：
  1. 在服务器上启用“Windows 防火墙”，并允许 NuGenesis 的 HTTPS 和 HTTP 端口的入站连接：
     • NuGenesis 9 的端口列表
     • NuGenesis 8 的端口列表
  2. 阻止 NuGenesis Web 服务器功能不需要的所有端口（防止服务器在 NuGenesis 中执行附加功能）
  3. 将 HTTPS 端口上的入站连接限制为仅可用于用户客户端计算机、Citrix 服务器或虚拟桌面服务器的 IP 地址（根据实际情况）
  4. NuGenesis 服务器发起的出站连接应该只允许连接到 NuGenesis 数据库、邮件服务器和 LDAP 验证服务器的 IP 地址/端口（LMS 服务器通过“NuGenesis LMS Job Manager”服务发送电子邮件，而 SDMS 通过 Oracle 数据库中的 PL/SQL 程序发送电子邮件）
• 在 NuGenesis SampleShare 中：
  • 配置 HTTPS 的 SampleShare 站点
  • 为会话 cookie 启用 Secure（安全）属性。
• 在 NuGenesis LMS 服务器 (WildFly/JBOSS) 中：
  • 禁用“Server”和“x-powered-by”HTTP 标头
  • 删除“welcome-content”文件
  • 在 Java Runtime 中禁用不安全的算法
  • NuGenesis 9.0、9.1、9.2：在 nugenesis-lms.xml 中禁用端口 8443（不适用于 NuGenesis 9.3 及更高版本）
• 在 Windows 中：
  1. 在操作系统中启用 TLS 1.2 和 1.3 协议（如适用），并禁用 SSL 2.0 和 3.0 以及 TLS 1.0 和 1.1 协议。
  2. 在可用的 TLS 协议中禁用弱密码组合/算法。随着哈希函数中的加密弱点被发现，该列表也会随着时间而变化。需要避免的常见算法是 NULL、RC4、MD5 和 SHA1
  3. 仅安装 NuGenesis 安装和配置指南第 55-56 页中指定的服务器功能、选项和 IIS 模块 (NuGenesis 8 ICG, NuGenesis 9.0 ICG, NuGenesis 9.1 ICG)。移除服务器上文档中未列出的所有已安装的功能/选项/IIS 模块。
     • 例外：如果已安装或将安装 UNIFYps，请安装 LPR Port Monitor（LPR 端口监视器）选项。UNIFYps 需要此选项。
  4. Print Spooler 服务 (“PrintNightmare”)：
     • 如果不需要在 Web 服务器上进行打印，则禁用 Print Spooler 服务
     • 如果需要打印，则阻止与 spooler 的远程连接；请参阅“PrintNightmare”文章中的说明
  5. NuGenesis RPC 服务：
     • 如果服务器不运行 SDMS 文件捕获模块（存档代理、数据管理、OSM），请配置 NG RPC 服务作为 NetworkService 运行。
     • 如果服务器确实运行了文件捕获模块，请将 NG RPC 服务配置为使用具有最低权限的域帐户运行。
  6. NuGenesis VISION 服务：
     • 用双引号将 NuGenesis VISION 服务的图像路径括起来。
  7. 禁用 SMB v1 协议
  8. 删除 ms-msdt URL 协议处理程序（“Follina”漏洞）
• 在 Apache Tomcat 中：
  1. 升级到更高版本的 Apache Tomcat。
  2. 升级到更高版本的 Java Runtime。
  3. 禁用 AJP 端口（8009，又名 GhostCat（幽灵猫））。
     • NuGenesis 9.1 及之后的版本不适用；缺省情况下禁用此端口
     • 适用于 NuGenesis 9.0 和 NuGenesis 8
  4. 为 WebVision servlet 启用 HTTPOnly 和安全 cookie。
  5. 在 Apache Tomcat 中删除缺省 Web 应用程序。
  6. 从 Apache Tomcat 服务器的 HTML 回复中删除详细的错误报告和服务器信息
• 在客户端计算机上：
  • 使用组策略禁用 Web 浏览器自动填充记住的密码。HTML 自动填写 =“off”属性不会阻止 Web 浏览器记住和重新使用用户密码。

附加信息

另请参阅：Waters 软件系统的安全建议是什么？