Waters 对于确保 NuGenesis Web 服务器安全有什么建议? - WKB202497
文章编号: 202497点击此处访问英文版本文章
环境
- NuGenesis 9
- Windows Server 2019/2016
- NuGenesis 8 SR2
- Windows Server 2016/2012
答案
- 在 IIS 中:
- 将 CA 为 Web 服务器的完全限定域名颁发的证书添加到 Windows 中的 Web 托管证书储存区中,并将该证书绑定到 IIS 中的 HTTPS 站点。
- 尽管自签名证书可用于 SDMS Web 服务器,并且可以将它们添加到客户端计算机上的可信证书存储区中,但这些证书本质上是不安全的,应尽量避免使用。
- 使用密钥长度至少为 2048 位的证书。
- 确保“httptohttpsredirect”和“auditrule”服务器级 URL 重写规则存在并已启用。
- 缺省情况下,SDMS WebVision 仍然监听 HTTP/端口 80,以便接受来自旧 WebVision URL 的请求。在 NG8 SR2 之前,WebVision 仅由 HTTP 提供服务,并且保存在 SDMS 之外的 URL 保留了 URL 中的“http:”协议。为了让 SDMS 响应这些旧 URL,服务器必须监听 HTTP,并且此 URL 重写规则将 Web 浏览器重新定向到安全协议。如果此规则在规则列表中不存在/禁用/降低,则 WebVision 站点可以通过 HTTP 提供服务(不推荐)。
- 将以下 HTTP 标头添加到以下链接文章中指定的站点:
- Strict-Transport-Security: max-age=30000000
- X-Content-Type-Options:nosniff
- X-Frame-Options: sameorigin
- 不建议将此标头设置为“拒绝”用于 Default Web Site(旧版 SDMS Web 应用程序)
- Content-Security-Policy
- Referrer-Policy: sameorigin
- 从所有站点中移除以下 HTTP 标头:
- 将允许的 HTTP 动词列表限制为最少(通常是 POST 和 GET)
- 将 URL 和查询字符串的长度分别限制为 2048 字节和 1024 字节,
- 为 NuGenesis 站点启用匿名访问,并将服务帐户配置为匿名用户。此帐户在文件系统中应仅有最低权限
- 使用 HTTPS 站点而非 FTP 进行 SDMS WebVision 下载。
- 仅安装 NuGenesis 9.0/9.1/9.3 安装和配置指南中列出的 IIS 角色和功能。请勿安装这些列表之外的任何 IIS 角色或功能
- 将 CA 为 Web 服务器的完全限定域名颁发的证书添加到 Windows 中的 Web 托管证书储存区中,并将该证书绑定到 IIS 中的 HTTPS 站点。
- 在“高级安全 Windows 防火墙”中:
- 在服务器上启用“Windows 防火墙”,并允许 NuGenesis 的 HTTPS 和 HTTP 端口的入站连接:
- 阻止 NuGenesis Web 服务器功能不需要的所有端口(防止服务器在 NuGenesis 中执行附加功能)
- 将 HTTPS 端口上的入站连接限制为仅可用于用户客户端计算机、Citrix 服务器或虚拟桌面服务器的 IP 地址(根据实际情况)
- NuGenesis 服务器发起的出站连接应该只允许连接到 NuGenesis 数据库、邮件服务器和 LDAP 验证服务器的 IP 地址/端口(LMS 服务器通过“NuGenesis LMS Job Manager”服务发送电子邮件,而 SDMS 通过 Oracle 数据库中的 PL/SQL 程序发送电子邮件)
- 在 NuGenesis SampleShare 中:
- 配置 HTTPS 的 SampleShare 站点
- 为会话 cookie 启用 Secure(安全)属性。
- 在 NuGenesis LMS 服务器 (WildFly/JBOSS) 中:
- 禁用“Server”和“x-powered-by”HTTP 标头
- 删除“welcome-content”文件
- 在 Java Runtime 中禁用不安全的算法
- NuGenesis 9.0、9.1、9.2:在 nugenesis-lms.xml 中禁用端口 8443(不适用于 NuGenesis 9.3 及更高版本)
- 在 Windows 中:
- 在操作系统中启用 TLS 1.2 和 1.3 协议(如适用),并禁用 SSL 2.0 和 3.0 以及 TLS 1.0 和 1.1 协议。
- 在可用的 TLS 协议中禁用弱密码组合/算法。随着哈希函数中的加密弱点被发现,该列表也会随着时间而变化。需要避免的常见算法是 NULL、RC4、MD5 和 SHA1
- 仅安装 NuGenesis 安装和配置指南第 55-56 页中指定的服务器功能、选项和 IIS 模块 (NuGenesis 8 ICG, NuGenesis 9.0 ICG, NuGenesis 9.1 ICG)。移除服务器上文档中未列出的所有已安装的功能/选项/IIS 模块。
- 例外:如果已安装或将安装 UNIFYps,请安装 LPR Port Monitor(LPR 端口监视器)选项。UNIFYps 需要此选项。
- Print Spooler 服务 (“PrintNightmare”):
- 如果不需要在 Web 服务器上进行打印,则禁用 Print Spooler 服务
- 如果需要打印,则阻止与 spooler 的远程连接;请参阅“PrintNightmare”文章中的说明
- NuGenesis RPC 服务:
- 如果服务器不运行 SDMS 文件捕获模块(存档代理、数据管理、OSM),请配置 NG RPC 服务作为 NetworkService 运行。
- 如果服务器确实运行了文件捕获模块,请将 NG RPC 服务配置为使用具有最低权限的域帐户运行。
- NuGenesis VISION 服务:
- 禁用 SMB v1 协议
- 删除 ms-msdt URL 协议处理程序(“Follina”漏洞)
- 在 Apache Tomcat 中:
- 升级到更高版本的 Apache Tomcat。
- 升级到更高版本的 Java Runtime。
- 禁用 AJP 端口(8009,又名 GhostCat(幽灵猫))。
- NuGenesis 9.1 及之后的版本不适用;缺省情况下禁用此端口
- 适用于 NuGenesis 9.0 和 NuGenesis 8
- 为 WebVision servlet 启用 HTTPOnly 和安全 cookie。
- 在 Apache Tomcat 中删除缺省 Web 应用程序。
- 从 Apache Tomcat 服务器的 HTML 回复中删除详细的错误报告和服务器信息
- 在客户端计算机上:
- 使用组策略禁用 Web 浏览器自动填充记住的密码。HTML 自动填写 =“off”属性不会阻止 Web 浏览器记住和重新使用用户密码。