NuGenesis Web 서버 보안을 위한 Waters 권장 사항은 무엇입니까? - WKB202497
Article number: 202497To English version
환경
- NuGenesis 9
- Windows 서버 2019/2016
- NuGenesis 8 SR2
- Windows 서버 2016/2012
답변
- IIS에서:
- Web 서버의 정규화된 도메인 이름에 대한 CA 발급 인증서 추가를 Windows의 Web Hosting 인증서 저장소에 추가하고 해당 인증서를 IIS의 HTTPS 사이트에 바인딩합니다.
- 자체 서명된 인증서는 SDMS Web 서버에서 작동할 수 있고 클라이언트 시스템의 신뢰할 수 있는 인증서 저장소에 추가할 수 있지만, 이러한 인증서는 본질적으로 안전하지 않으므로 가능한 한 피해야 합니다.
- 자체 서명된 인증서는 Strict-Transport-Security HTTP 헤더와 호환되지 않습니다. 일부 웹 브라우저는 사이트가 HSTS 헤더를 전송하는 경우 자체 서명된 인증서를 신뢰하지 않습니다.
- 키 길이가 2048비트 이상인 인증서를 사용합니다.
- "httptohttpsredirect" 및 "auditrule" 서버 수준의 URL Rewrite 규칙이 존재하고 사용하도록 설정되어 있는지 확인합니다.
- 기본적으로 SDMS WebVision은 레거시 WebVision URL의 요청을 수락하기 위해 HTTP/포트 80에서 여전히 수신 대기됩니다. NG8 SR2 이전에는 WebVision이 HTTP에 의해서만 제공되었으며 SDMS 외부에 저장된 URL은 URL에 "http:" 프로토콜을 유지했습니다. SDMS가 이러한 레거시 URL에 반응하기 위해서는 서버가 HTTP를 수신해야 하며, 이 URL Rewrite 규칙은 Web 브라우저를 보안 프로토콜로 리디렉션합니다. 이 규칙이 규칙 목록에 없음/사용 안 함/낮음으로 표시되지 않으면 WebVision 사이트가 HTTP를 통해 제공될 수 있으므로 권장되지 않습니다.
- 다음 링크된 문서에 지정된 대로 사이트에 다음 HTTP 헤더를 추가합니다.
- 엄격한 전송 보안: max-age = 30000000
- X-Content-Type-Options: nosniff
- X-Frame-Options: sameorigin
- 이 헤더를 "deny"로 설정하는 것은 Default Web Site(레거시 SDMS 웹 앱)에 대해 권장되지 않습니다.
- 콘텐츠-보안-정책
- Referrer-Policy: sameorigin
- 모든 사이트에서 다음 HTTP 헤더를 제거합니다.
- 허용되는 HTTP Verb 목록을 최소값으로 제한(일반적으로 POST 및 GET)
- URL과 쿼리 문자열의 길이를 각각 2048 바이트와 1024 바이트로 제한합니다.
- NuGenesis 사이트에 대해 Anonymous Access를 활성화하고 서비스 계정을 익명 사용자로 설정합니다. 이 계정은 파일 시스템에서 최소한의 권한을 가져야합니다.
- SDMS WebVision 다운로드에는 FTP가 아닌 HTTPS 사이트를 사용하십시오.
- NuGenesis 9.0/9.1/9.3용 설치 및 설정 안내서에 나열된 IIS 역할 및 기능만 설치합니다. 목록 외부에 있는 IIS 역할 또는 기능을 설치하지 마십시오.
- Web 서버의 정규화된 도메인 이름에 대한 CA 발급 인증서 추가를 Windows의 Web Hosting 인증서 저장소에 추가하고 해당 인증서를 IIS의 HTTPS 사이트에 바인딩합니다.
- 고급 보안이 설정된 Windows 방화벽의 경우:
- 서버에서 Windows 방화벽을 활성화하고 NuGenesis의 HTTPS 및 HTTP 포트에 대한 인바운드 연결을 허용합니다.
- NuGenesis Web 서버의 기능에 필요하지 않은 모든 포트를 차단합니다(서버가 NuGenesis에서 추가 기능을 수행하는 경우).
- HTTPS 포트의 인바운드 연결을 사용자 클라이언트 시스템, Citrix 서버 또는 가상 바탕 화면 서버의 IP 주소로만 제한합니다(해당하는 경우).
- NuGenesis 서버에 의해 시작된 아웃 바운드 연결은 NuGenesis 데이터베이스, 메일 서버 및 LDAP 인증 서버의 IP 주소/포트에 대해서만 허용되어야 합니다(LMS 서버는 "NuGenesis LMS Job Manager" 서비스를 통해 이메일을 전송하고, SDMS는 Oracle 데이터베이스의 PL/SQL을 통해 이메일을 전송합니다).
- NuGenesis SampleShare의 경우:
- HTTPS용 SampleShare 사이트 설정
- 세션 쿠키에 대해 보안 속성을 활성화합니다.
- NuGenesis LMS Server(WildFly/JBOSS)의 경우:
- "Server" 및 "x-powered-by" HTTP 헤더 비활성화
- "Welcome-content" 파일을 삭제합니다
- Java 런타임에서 안전하지 않은 알고리즘 비활성화
- NuGenesis 9.0, 9.1, 9.2: Disable port 8443 in nugenesis-lms.xml( NuGenesis 9.3 및 이후 버전에서 N/A)
- Windows의 경우:
- TLS 1.2 및 1.3 프로토콜(해당하는 경우)을 활성화하고 OS에서 SSL 2.0 및 3.0과 TLS 1.0 및 1.1을 비활성화합니다.
- 사용 가능한 TLS 프로토콜에서 취약한 암호 그룹/알고리즘 비활성화합니다. 이 목록은 해시 기능의 암호화 취약점이 발견됨에 따라 변경됩니다. 피해야할 가장 일반적인 것은 NULL, RC4, MD5 및 SHA1입니다.
- NuGenesis Installation and Configuration Guide("NuGenesis 설치 및 설정 안내서"), 55-56 페이지에 지정된대로 서버 기능, 옵션 및 IIS 모듈만 설치합니다(NuGenesis 8 ICG, NuGenesis 9.0 ICG, NuGenesis 9.1 ICG). 문서에 나열되지 않은 서버에 설치된 기능/옵션/IIS 모듈을 제거합니다.
- 예외: UNIFYps가 설치되어 있거나 설치될 경우, LPR Port Monitor 옵션을 설치하십시오. UNIFYps에는 이 옵션이 필요합니다.
- Print Spooler 서비스 ("PrintNightmare"):
- Web 서버에서 인쇄가 필요하지 않은 경우 Print Spooler 서비스를 비활성화합니다.
- 인쇄가 필요한 경우 스풀러(Spooler)에 대한 원격 연결을 차단합니다. "PrintNightmare" 문서의 지침을 참조하십시오.
- NuGenesis RPC 서비스:
- 서버가 SDMS 파일 캡처 모듈(Archive Agent, Data Management, OSM)을 실행하지 않는 경우 NG RPC service to run as NetworkService를 설정합니다.
- 서버가 파일 캡처 모듈을 실행하는 경우 최소한의 권한을 가진 도메인 계정으로 실행되도록 NG RPC 서비스를 구성하십시오.
- NuGenesis VISION 서비스:
- SMB v1 프로토콜 비활성화
- ms-msdt URL 프로토콜 핸들러 삭제("Folina" 취약점)
- Apache Tomcat에서:
- 최신 버전의 Apache Tomcat으로 업그레이드합니다.
- 최신 버전의 Java 런타임으로 업그레이드.
- AJP 포트(8009, "GhostCat")를 비활성화합니다.
- NuGenesis 9.1의 경우에 적용되지 않음. 이 포트는 기본적으로 비활성화됨
- NuGenesis 9.0 및 NuGenesis 8에 적용 가능
- WebVision servlet에 대해 HTTPOnly 및 보안 쿠키를 활성화합니다.
- Apache Tomcat에서 기본 Web 앱을 제거합니다.
- Apache Tomcat 서버의 HTML 응답에서 자세한 오류 보고서 및 서버 정보를 제거합니다.
- 클라이언트 시스템에서:
- 그룹 정책을 사용하여 기억된 암호의 자동 채우기를 비활성화합니다. Web 브라우저에서. HTML autocomplete = "off" 속성은 웹 브라우저가 사용자 암호를 기억하고 재사용하는 것을 방지하지 않습니다.