Show Menu
THEMEN×

Allgemeine Sicherheitsaspekte für AEM Forms on JEE

In diesem Artikel finden Sie einleitende Informationen, die Ihnen die Vorbereitung auf das Härten Ihrer AEM Forms-Umgebung erleichtern sollen. Hier finden Sie Informationen zu AEM Forms on JEE, zum Betriebssystem, Anwendungsserver und Datenbanksicherheit, die Sie als Grundvoraussetzung benötigen. Überprüfen Sie diese Informationen, bevor Sie Ihre Umgebung weiterhin sperren.

Herstellerspezifische Sicherheitsinformationen

Dieser Abschnitt enthält sicherheitsbezogene Informationen zu Betriebssystemen, Anwendungsservern und Datenbanken, die in Ihre AEM Forms on JEE-Lösung integriert sind.
Verwenden Sie die angezeigten Links, um herstellerspezifische Sicherheitsinformationen zu Betriebssystem, Datenbank und Anwendungsserver zu suchen.

Informationen zur Betriebssystemsicherheit

Beim Schützen des Betriebssystems sollten Sie die Implementierung der vom Betriebssystemhersteller beschriebenen Maßnahmen sorgfältig in Erwägung ziehen, einschließlich der folgenden:
  • Definieren und Steuern von Benutzern, Rollen und Berechtigungen
  • Überwachen von Protokollen und Prüfspuren
  • Entfernen unnötiger Dienste und Anwendungen
  • Erstellen von Sicherungskopien der Dateien
Sicherheitsinformationen zu von AEM Forms on JEE unterstützten Betriebssystemen finden Sie in den nachfolgend aufgeführten Ressourcen:
Betriebssystem
Sicherheitsressource
IBM® AIX® 7.2
Microsoft Windows Server® 2016
Red Hat® Linux® AP oder ES
Sun Solaris 11
Oracle Linux® 7 Update 3 Sicherheitshandbuch für Version 7
CentOS 7 Schutzdokumentation

Informationen zur Sicherheit des Anwendungsservers

Beim Schützen des Anwendungsservers sollten Sie die Implementierung der vom Serverhersteller beschriebenen Maßnahmen sorgfältig in Betracht ziehen, einschließlich der folgenden:
  • Verwenden eines nicht offensichtlichen Benutzernamens für den Administrator
  • Deaktivieren unnötiger Dienste
  • Schützen des Konsolenmanagers
  • Aktivieren sicherer Cookies
  • Schließen nicht benötigter Anschlüsse
  • Einschränken von Clients nach IP-Adressen oder Domänen
  • Verwenden von Java™ Security Manager, um Berechtigungen programmgesteuert einzuschränken
Sicherheitsinformationen zu von AEM Forms on JEE unterstützten Anwendungsservern finden Sie in den nachfolgend aufgeführten Ressourcen.
Anwendungsserver
Sicherheitsressource
Oracle WebLogic®
Search for Understanding WebLogic Security at https://download.oracle.com/docs/ .
IBM WebSphere®
Red Hat® JBoss®

Informationen zur Datenbanksicherheit

Beim Schützen der Datenbank sollten Sie die Implementierung der vom Datenbankhersteller beschriebenen Maßnahmen in Erwägung ziehen, darunter die folgenden:
  • Einschränken der Vorgänge durch Zugriffssteuerungslisten
  • Verwendung nicht standardmäßiger Anschlüsse
  • Schützen der Datenbank durch eine Firewall
  • Verschlüsseln sensibler Daten vor dem Schreiben in die Datenbank (siehe Dokumentation des Datenbankherstellers)
Sicherheitsinformationen zu von AEM Forms on JEE unterstützten Datenbanken finden Sie in den nachfolgend aufgeführten Ressourcen.
Datenbank
Sicherheitsressource
IBM DB2® 11.1
Microsoft SQL Server 2016
Suchen Sie im Web nach „SQL Server 2016: Sicherheit“
MySQL 5
Oracle® 12c
Informationen finden Sie im Kapitel „Sicherheit“ in der Oracle 12g Dokumentationsbibliothek
In der folgenden Tabelle werden die Standardanschlüsse aufgeführt, die während des AEM Forms on JEE-Konfigurationsprozesses geöffnet sein müssen. Wenn Sie die Verbindung über HTTPS herstellen, passen Sie Ihre Anschlussinformationen und IP-Adressen entsprechend an. Weitere Informationen zum Konfigurieren von Anschlüssen finden Sie im Dokument Installieren und Bereitstellen von EM Forms on JEE für Ihren Anwendungsserver.
Produkt oder Dienst
Anschlussnummer
JBoss
8080
WebLogic
7001
>
WebLogic Managed Server
Legt der Administrator während der Konfiguration fest
>
WebSphere
9060; wenn die globale Sicherheit aktiviert wurde, wird als standardmäßiger SSL-Anschluss der Anschluss 9043 verwendet.
9080
>
BAM-Server
7001
>
SOAP
8880
>
MySQL
3306
>
Oracle
1521
>
DB2
50000
>
SQL Server
1433
>
LDAP
Der Anschluss, an dem der LDAP-Server ausgeführt wird. Der Standardanschluss ist in der Regel 389. Wenn Sie jedoch die SSL-Option auswählen, ist der Standardanschluss in der Regel 636. Vergewissern Sie sich bei Ihrem LDAP-Administrator, welchen Anschluss Sie angeben möchten.

JBoss zur Verwendung eines nicht standardmäßigen HTTP-Anschlusses konfigurieren

Der JBoss-Anwendungsserver verwendet 8080 als HTTP-Standardanschluss. JBoss verfügt außerdem über die vorkonfigurierten Anschlüsse 8180, 8280 und 8380, die in der Datei „jboss-service.xml“ auskommentiert sind. Wenn Sie auf Ihrem Computer über eine Anwendung verfügen, die bereits diesen Anschluss verwendet, ändern Sie den von AEM Forms on JEE verwendeten Anschluss, indem Sie die folgenden Schritte ausführen:
  1. Öffnen Sie die folgende Datei zur Bearbeitung:
    Einzelserver-Installation: # /standalone/configuration/standalone.xml
    Cluster-Installationen: # /domain/configuration/domain.xml
  2. Ändern Sie den Wert des Portattributs im <socket-binding> -Tag in eine benutzerdefinierte Anschlussnummer. Im Folgenden wird beispielsweise Port 8090 verwendet:
    <socket-binding name="http" port="8090"/>
  3. Speichern und schließen Sie die Datei.
  4. Starten Sie JBoss Application Server neu.

Überlegungen zur Sicherheit von AEM Forms on JEE

In diesem Abschnitt werden bestimmte Sicherheitsprobleme für AEM Forms on JEE beschrieben, über die Sie sich bewusst sein sollen.

Keine Verschlüsselung von E-Mail-Berechtigungen in der Datenbank

Die von -Anwendungen gespeicherten E-Mail-Berechtigungen werden nicht verschlüsselt, bevor sie in der AEM Forms on JEE-Datenbank gespeichert werden. Wenn Sie einen Dienstendpunkt für die Verwendung von E-Mail konfigurieren, werden Kennwortinformationen, die bei der Endpunktkonfiguration verwendet werden, beim Speichern in der Datenbank nicht verschlüsselt.

Sensibler Inhalt für Rights Management in der Datenbank

AEM Forms on JEE verwendet die AEM Forms on JEE-Datenbank, um vertrauliche Informationen zum Dokumentschlüssel und anderes kryptographisches Material zu speichern, das für Richtliniendokumente verwendet wird. Wenn Sie die Datenbank gegen unberechtigten Zugriff schützen, erhöht dies den Schutz dieser sensiblen Informationen.

Kennwort in unverschlüsseltem Textformular

Der zum Ausführen von AEM Forms on JEE verwendete Anwendungsserver benötigt seine eigene Konfiguration, um über eine auf dem Anwendungsserver konfigurierte Datenquelle auf Ihre Datenbank zuzugreifen. Stellen Sie sicher, dass Ihr Anwendungsserver Ihr Datenbankkennwort in seiner Datenquellenkonfigurationsdatei nicht in unverschlüsseltem Text offen legt.
Die Datei "lc_ # .xml"sollte kein Kennwort im unverschlüsselten Textformat enthalten. Fragen Sie beim Hersteller des Anwendungsservers nach, wie Sie diese Kennwörter für Ihren Anwendungsserver verschlüsseln sollen.
AEM Forms on JEE JBoss Turnkey-Programm verschlüsselt das Datenbankkennwort.
Bei IBM® WebSphere Application Server und Oracle WebLogic Server werden Datenquellenkennwörter eventuell standardmäßig verschlüsselt. Vergewissern Sie sich jedoch bei der Dokumentation Ihres Anwendungsservers, dass dies geschieht.

Schützen des in Trust Store gespeicherten privaten Schlüssels

Die privaten Schlüssel oder Berechtigungen, die in Trust Store importiert wurden, werden in der AEM Forms on JEE-Datenbank gespeichert. Treffen Sie geeignete Vorkehrungen, um die Datenbank zu sichern und den Zugriff auf bestimmte Administratoren zu beschränken.