NuGenesis Web サーバーを保護するための Waters の推奨事項は何ですか? - WKB202497
Article number: 202497To English version
環境
- NuGenesis 9
- Windows Server 2019/2016
- NuGenesis 8 SR2
- Windows Server 2016/2012
回答
- IIS では:
- Web サーバーの完全修飾ドメイン名の CA 発行証明書を、Web ホスティング証明書ストアに追加して、その証明書を IIS の HTTPS サイトにバインドします。
- 自己署名証明書は SDMS Web サーバーで機能し、クライアントマシンの信頼できる証明書ストアに追加できますが、これらの証明書は本質的に安全ではないため、可能な限り使用しないようにする必要があります。
- キーの長さが 2048 ビット以上の証明書を使用します。
- 「httptohttpsredirect」および「auditrule」サーバーレベルの URL 書き換え規則が存在し、有効になっていることを確認します。
- SDMS WebVision は、従来の WebVision URL からの要求を受け入れるために、既定で HTTP/ポート 80 をリッスンするままです。NG8 SR2 以前は、WebVision は HTTP によってのみサポートされ、SDMS の外部に保存された URL は、URL で「http:」プロトコルを保持していました。SDMS がこれらの古い URL に応答するために、サーバーが HTTP をリッスンする必要があり、この「URL 書き換え」規則により、Web ブラウザーが安全なプロトコルにリダイレクトされます。この規則が規則リストに存在しない/使用不可になっている/低い場合、WebVision サイトは HTTP 経由でサポートされる可能性があり、これは推奨されません。
- 以下の HTTP ヘッダーを、以下のリンク先の記事に指定されているサイトに追加します:
- Strict-Transport-Security:max-age=30000000
- X-Content-Type-Options:nosniff
- X-Frame-Options:sameorigin
- [Default Web Site]では、このヘッダーを「拒否」に設定することは推奨されません(古い SDMS Web アプリ)
- Content-Security-Policy
- Referrer-Policy:sameorigin
- すべてのサイトから以下の HTTP ヘッダーを削除します。
- 許可される HTTP 動詞のリストを最小限に制限します(通常は POST および GET)
- URL およびクエリ文字列の長さをそれぞれ 2048 バイトおよび 1024 バイトに制限します。
- NuGenesis サイトの匿名アクセスを有効にし、サービスユーザーを匿名ユーザーとして設定します。このアカウントには、ファイルシステムでの最小限の権限が必要です
- SDMS WebVision のダウンロードには、FTP ではなく HTTPS サイトを使用します。
- NuGenesis 9.0/9.1/9.3 のインストール/構成ガイドにリストされている IIS のロールと機能のみをインストールします。これらのリストに記載されていない IIS のロールと機能はインストールしないでください
- Web サーバーの完全修飾ドメイン名の CA 発行証明書を、Web ホスティング証明書ストアに追加して、その証明書を IIS の HTTPS サイトにバインドします。
- [セキュリティが強化された Windows ファイアウォール]では:
- サーバーで[Windowsファイアウォール]を有効にし、NuGenesis の HTTPS および HTTP ポートへの受信接続を許可します。
- NuGenesis Web サーバーの機能に必要がないすべてのポートをブロックします(サーバーが NuGenesis で追加機能を実行する場合)。
- 必要に応じて、HTTPS ポートでの受信接続を、ユーザークライアントマシン、Citrix サーバー、または仮想デスクトップサーバーの IP アドレスのみに制限します。
- NuGenesis サーバーによって開始される送信接続は、NuGenesis データベース、メールサーバーおよび LDAP 認証サーバーの IP アドレス/ポートに対してのみ許可する必要があります(LMS サーバーは「NuGenesis LMS Job Manager」サービスを介して電子メールを送信し、SDMS は Oracle データベースの PL/SQL 手順を介して電子メールを送信します)
- NuGenesis サンプルシェアでは:
- HTTPS のサンプルシェアサイトを設定します
- セッション Cookie の[安全]属性を有効にします。
- NuGenesis LMS サーバー (WildFly/JBOSS) では:
- 「サーバー」および「x-powered-by」HTTP ヘッダーを無効にします
- 「welcome-content」ファイルを削除します
- Java ランタイムで安全でないアルゴリズムを無効にします
- NuGenesis 9.0、9.1、9.2:nugenesis-lms.xml でポート 8443 を無効にします(NuGenesis 9.3 以降のバージョンには適用されません)
- Windows では:
- OS で TLS 1.2 および 1.3 プロトコル(該当する場合)を有効にし、SSL 2.0、3.0 および TLS 1.0 および 1.1 を無効にします。
- 使用可能な TLS プロトコルで、弱い暗号スイート/アルゴリズムを無効にします。このリストは、ハッシュ関数の暗号の弱点が発見されると、時間とともに変化します。回避すべき最も一般的な弱点は、NULL、RC4、MD5、SHA1 です。
- NuGenesis Installation and Configuration Guide(『NuGenesis インストール/構成ガイド』)の 55 ~ 56 ページで指定されているとおり、サーバーの機能、オプション、IIS モジュールのみをインストールします(NuGenesis 8 ICG、NuGenesis 9.0 ICG、NuGenesis 9.1 ICG)。ドキュメントにリストされていない、サーバーにインストールされている機能/オプション/IIS モジュールをすべて削除します。
- 例外:UNIFYps がインストールされている場合、またはこれからインストールされる場合は、[LPR ポートモニター]オプションをインストールします。UNIFYps にはこのオプションが必要です。
- [印刷スプーラー]サービス(「PrintNightmare」):
- Web サーバーで印刷が不要な場合は、[印刷スプーラー]サービスを無効にします。
- 印刷が必要な場合は、スプーラーへのリモート接続をブロックします。「PrintNightmare」記事の手順を参照してください
- NuGenesis RPC サービス:
- サーバーが SDMS ファイルキャプチャーモジュール(アーカイブエージェント、データ管理、OSM)を実行しない場合は、NetworkService として実行する NG RPC サービスを設定します。
- サーバーがファイルキャプチャーモジュールを実行する場合は、NG RPC サービスを設定して、最小限の権限を持つドメインアカウントで実行します。
- NuGenesis VISION サービス:
- SMB v1 プロトコルを無効にします
- ms-msdt URL protocol handler(「Follina」脆弱性)を削除します
- Apache Tomcat では:
- Apache Tomcat の新しいバージョンにアップグレードします。
- 新しいバージョンの Java ランタイムにアップグレードします。
- AJP ポート(8009、別名「GhostCat」)を無効にします。
- NuGenesis 9.1 以降のリリースの場合は該当なし。このポートはデフォルトで使用不可になっています
- NuGenesis 9.0 および NuGenesis 8 に適用可能
- WebVision サーブレットの HTTP 専用の安全な Cookie を有効にします。
- Apache Tomcat から既定の Web アプリを削除します。
- Apache Tomcat サーバーからの HTML 応答から、詳細なエラーレポートとサーバー情報を削除します
- クライアントマシンでは:
- グループポリシーを使用して、Web ブラウザーによって記憶されているパスワードの自動入力を無効にします。「HTML autocomplete="off"」属性は、Web ブラウザーがユーザーパスワードを記憶して再使用することを妨げません。