Show Menu
TÓPICOS×

Como fortalecer seus formulários AEM no Ambiente JEE

Saiba mais sobre diversas configurações de segurança para aprimorar a segurança do AEM Forms no JEE executado em uma intranet corporativa.
O artigo descreve recomendações e práticas recomendadas para proteger servidores que executam o AEM Forms no JEE. Este não é um documento abrangente que endurece o host para seu sistema operacional e servidores de aplicativos. Em vez disso, este artigo descreve uma variedade de configurações de segurança que você deve implementar para melhorar a segurança do AEM Forms no JEE que está sendo executado em uma intranet corporativa. No entanto, para garantir que os servidores de aplicativos AEM Forms em JEE permaneçam protegidos, você também deve implementar procedimentos de monitoramento, detecção e resposta de segurança.
O artigo descreve técnicas de endurecimento que devem ser aplicadas durante os seguintes estágios durante o ciclo de vida da instalação e configuração:
  • Pré-instalação: Use essas técnicas antes de instalar o AEM Forms no JEE.
  • Instalação: Use essas técnicas durante o processo de instalação do AEM Forms em JEE.
  • Pós-instalação: Use essas técnicas após a instalação e periodicamente a partir daí.
O AEM Forms em JEE é altamente personalizável e pode funcionar em vários ambientes diferentes. Algumas das recomendações podem não atender às necessidades de sua organização.

Pré-instalação

Antes de instalar o AEM Forms no JEE, você pode aplicar soluções de segurança à camada de rede e ao sistema operacional. Esta seção descreve alguns problemas e faz recomendações para reduzir as vulnerabilidades de segurança nessas áreas.
Instalação e configuração em UNIX e Linux
Você não deve instalar ou configurar o AEM Forms no JEE usando um shell raiz. Por padrão, os arquivos são instalados no diretório /opt e o usuário que executa a instalação precisa de todas as permissões de arquivo em /opt. Como alternativa, uma instalação pode ser executada sob o diretório /usuário de um usuário individual, onde ele já tem todas as permissões de arquivo.
Instalação e configuração no Windows
Você deve executar a instalação no Windows como um administrador se estiver instalando o AEM Forms no JEE no JBoss usando o método chave na mão ou se estiver instalando o Gerador de PDF. Além disso, ao instalar o Gerador de PDF no Windows com suporte a aplicativo nativo, você deve executar a instalação como o mesmo usuário do Windows que instalou o Microsoft Office. Para obter mais informações sobre privilégios de instalação, consulte o documento* Installing and Deploying AEM Forms on JEE* para seu servidor de aplicativos.

Segurança da camada de rede

As vulnerabilidades de segurança de rede estão entre as primeiras ameaças a qualquer servidor de aplicativos voltado para a Internet ou para a intranet. Esta seção descreve o processo de endurecimento de hosts na rede contra essas vulnerabilidades. Ele aborda a segmentação de rede, o endurecimento da pilha do protocolo de controle de transmissão/protocolo TCP/IP e o uso de firewalls para proteção de host.
A tabela a seguir descreve processos comuns que reduzem as vulnerabilidades de segurança da rede.
Problema
Descrição
Zonas desmilitarizadas (DMZs)
Implante servidores de formulários em uma zona desmilitarizada (DMZ). A segmentação deve existir em pelo menos dois níveis com o servidor de aplicativos usado para executar o AEM Forms no JEE colocado atrás do firewall interno. Separe a rede externa da DMZ que contém os servidores da Web, que, por sua vez, devem ser separados da rede interna. Use firewalls para implementar as camadas de separação. Categorize e controle o tráfego que passa por cada camada de rede para garantir que somente o mínimo absoluto de dados necessários seja permitido.
Endereços IP privados
Use a Conversão de endereço de rede (NAT) com endereços IP privados RFC 1918 no servidor de aplicativos do AEM Forms. Atribua endereços IP privados (10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16) para tornar mais difícil para um invasor rotear tráfego de e para um host interno de NAT pela Internet.
Firewalls
Use os seguintes critérios para selecionar uma solução de firewall:
  • Implemente firewalls que suportam servidores proxy e/ou inspeção com monitoração de estado em vez de soluções simples de filtragem de pacotes.
  • Use um firewall que suporte uma negação de todos os serviços, exceto aqueles que são explicitamente permitidos pelos paradigmas de segurança.
  • Implemente uma solução de firewall que seja dual-homed ou multi-homed. Essa arquitetura oferece o maior nível de segurança e ajuda a impedir que usuários não autorizados ignorem a segurança do firewall.
Portas de banco de dados
Não use portas de escuta padrão para bancos de dados (MySQL - 3306, Oracle - 1521, MS SQL - 1433). Para obter informações sobre como alterar portas de banco de dados, consulte a documentação de seu banco de dados.
O uso de uma porta de banco de dados diferente afeta os formulários AEM gerais na configuração do JEE. Se você alterar as portas padrão, precisará fazer as modificações correspondentes em outras áreas de configuração, como as fontes de dados do AEM Forms no JEE.
Para obter informações sobre como configurar fontes de dados no AEM Forms em JEE, consulte Instalar e atualizar formulários AEM em JEE ou Atualizar para formulários AEM em JEE em seu servidor de aplicativos no guia do usuário do AEM Forms.

Segurança do sistema operacional

A tabela a seguir descreve algumas abordagens possíveis para minimizar vulnerabilidades de segurança encontradas no sistema operacional.
Problema
Descrição
Patches de segurança
Existe um risco aumentado de que um usuário não autorizado possa obter acesso ao servidor de aplicativos se os patches e atualizações de segurança do fornecedor não forem aplicados em tempo hábil. Teste os patches de segurança antes de aplicá-los aos servidores de produção.
Além disso, crie políticas e procedimentos para verificar e instalar patches regularmente.
Software de proteção contra vírus
Os verificadores de vírus podem identificar arquivos infectados digitalizando uma assinatura ou observando um comportamento incomum. Os scanners mantêm suas assinaturas de vírus em um arquivo, que geralmente é armazenado no disco rígido local. Como os novos vírus são descobertos com frequência, você deve atualizar esse arquivo com frequência para o verificador de vírus para identificar todos os vírus atuais.
NTP (Network Time Protocol, protocolo de tempo de rede)
Para a análise forense, mantenha o tempo exato nos servidores de formulários. Use o NTP para sincronizar o tempo em todos os sistemas conectados diretamente à Internet.
Para obter informações adicionais de segurança para seu sistema operacional, consulte "Informações de segurança do sistema operacional" .

Instalação

Esta seção descreve as técnicas que você pode usar durante o processo de instalação do AEM Forms para reduzir as vulnerabilidades de segurança. Em alguns casos, essas técnicas usam opções que fazem parte do processo de instalação. A tabela a seguir descreve essas técnicas.
Problema
Descrição
Privilégios
Use o menor número de privilégios necessários para instalar o software. Faça logon no computador usando uma conta que não esteja no grupo Administradores. No Windows, você pode usar o comando Executar como para executar o instalador do AEM Forms no JEE como um usuário administrativo. Em sistemas UNIX e Linux, use um comando como sudo para instalar o software.
Fonte do software
Não baixe nem execute o AEM Forms em JEE a partir de fontes não confiáveis.
programas mal-intencionados podem conter código para violar a segurança de várias maneiras, incluindo roubo, modificação e exclusão de dados e negação de serviço. Instale os formulários AEM no JEE a partir do Adobe DVD ou somente a partir de uma fonte confiável.
Partições de disco
Coloque AEM Forms em JEE em uma partição de disco dedicada. A segmentação de disco é um processo que mantém dados específicos no servidor em discos físicos separados para aumentar a segurança. Organizar os dados dessa forma reduz o risco de ataques cruzados de diretórios. Planeje criar uma partição separada da partição do sistema na qual você pode instalar os formulários AEM no diretório de conteúdo JEE. (No Windows, a partição do sistema contém o diretório system32 ou a partição de inicialização.)
Componentes
Avalie os serviços existentes e desabilite ou desinstale quaisquer que não sejam necessários. Não instale componentes e serviços desnecessários.
A instalação padrão de um servidor de aplicativos pode incluir serviços que não são necessários para o seu uso. Você deve desativar todos os serviços desnecessários antes da implantação para minimizar os pontos de entrada de um ataque. Por exemplo, no JBoss, você pode comentar serviços desnecessários no arquivo META-INF/jboss-service.xml descritor.
Arquivo de política entre domínios
A presença de um crossdomain.xml arquivo no servidor pode enfraquecer imediatamente esse servidor. É recomendável tornar a lista de domínios o mais restritiva possível. Não coloque o crossdomain.xml arquivo que foi usado durante o desenvolvimento em produção ao usar Guias (obsoleto) . Para um guia que usa serviços da Web, se o serviço estiver no mesmo servidor que serviu o guia, um crossdomain.xml arquivo não será necessário. Mas se o serviço estiver em outro servidor, ou se houver clusters envolvidos, a presença de um crossdomain.xml arquivo será necessária. Consulte https://kb2.adobe.com/cps/142/tn_14213.html para obter mais informações sobre o arquivo crossdomain.xml.
Configurações de segurança do sistema operacional
Se você precisar usar criptografia XML de 192 bits ou 256 bits em plataformas Solaris, certifique-se de instalar pkcs11_softtoken_extra.so em vez de pkcs11_softtoken.so .

Etapas pós-instalação

Depois de instalar o AEM Forms com êxito no JEE, é importante manter o ambiente periodicamente de uma perspectiva de segurança.
A seção a seguir descreve em detalhes as diferentes tarefas recomendadas para proteger o servidor de formulários implantados.

Segurança do AEM Forms

As configurações recomendadas a seguir se aplicam ao AEM Forms no servidor JEE fora do aplicativo da Web administrativo. Para reduzir os riscos de segurança para o servidor, aplique essas configurações imediatamente após a instalação do AEM Forms no JEE.
Patches de segurança
Existe um risco aumentado de que um usuário não autorizado possa obter acesso ao servidor de aplicativos se os patches e atualizações de segurança do fornecedor não forem aplicados em tempo hábil. Teste os patches de segurança antes de aplicá-los aos servidores de produção para garantir a compatibilidade e disponibilidade dos aplicativos. Além disso, crie políticas e procedimentos para verificar e instalar patches regularmente. Os formulários AEM em atualizações JEE estão no site de download de produtos Enterprise.
Contas de serviço (chave de acesso JBoss somente no Windows)
O AEM Forms no JEE instala um serviço, por padrão, usando a conta LocalSystem. A conta de usuário LocalSystem integrada tem um alto nível de acessibilidade; faz parte do grupo Administradores. Se uma identidade de processo de trabalho for executada como a conta de usuário LocalSystem, esse processo de trabalho terá total acesso ao sistema inteiro.
Para executar o servidor de aplicativos no qual o AEM Forms no JEE é implantado, usando uma conta específica não administrativa, siga estas instruções:
  1. No Microsoft Management Console (MMC), crie um usuário local para que o serviço do servidor de formulários faça logon como:
    • Selecione Usuário não pode alterar a senha .
    • Na guia Membro de , verifique se o grupo Usuários está listado.
    Não é possível alterar essa configuração para o Gerador de PDF.
  2. Selecione Start > Configurações > Ferramentas ​administrativas > Serviços .
  3. Duplo clique no JBoss for AEM Forms no JEE e pare o serviço.
  4. Na guia Logon , selecione Esta conta , procure a conta de usuário que você criou e digite a senha da conta.
  5. No MMC, abra Configurações de segurança local e selecione Políticas ​locais > Atribuição de direitos de usuário.
  6. Atribua os seguintes direitos à conta de usuário na qual o servidor de formulários está sendo executado:
    • Negar logon por meio dos Serviços de Terminal
    • Negar logon localmente
    • Fazer logon como Serviço (já deve estar definido)
  7. Atribua à nova conta de usuário permissões de Leitura e Execução, Gravação, Modificação, Conteúdo da pasta de Lista e Leitura para concluir o diretório de instalação do AEM Forms no JEE e no diretório Global Documento Armazenamento (GDS). O local do diretório GDS é configurado manualmente durante o processo de instalação do AEM Forms. Se a configuração de local permanecer vazia durante a instalação, o local assumirá como padrão um diretório na instalação do servidor de aplicativos em #/server/ #/svcnative/DocumentStorage.
  8. Start o servidor de aplicativos.
Desativação do servlet de inicialização do Configuration Manager
O Configuration Manager utilizou um servlet implantado no servidor de aplicativos para executar o carregamento automático dos formulários AEM no banco de dados JEE. Como o Configuration Manager acessa este servlet antes da configuração ser concluída, o acesso a ele não foi protegido para usuários autorizados e ele deve ser desativado depois que você tiver usado o Configuration Manager com êxito para configurar os formulários AEM no JEE.
  1. Descompacte o arquivo adobe-livecycle- #.ear.
  2. Abra o arquivo META-INF/application.xml.
  3. Procure a seção adobe-bootstrapper.war:
    <!-- bootstrapper start --> 
    <module id="WebApp_adobe_bootstrapper"> 
        <web> 
            <web-uri>adobe-bootstrapper.war</web-uri> 
            <context-root>/adobe-bootstrapper</context-root> 
        </web> 
    </module> 
    <module id="WebApp_adobe_lcm_bootstrapper_redirector"> 
        <web> 
            <web-uri>adobe-lcm-bootstrapper-redirector.war</web-uri> 
            <context-root>/adobe-lcm-bootstrapper</context-root> 
        </web> 
    </module> 
    <!-- bootstrapper end-->
    
    
  4. Pare o servidor do AEM Forms.
  5. Comente o adobe-bootstrapper.war e o adobe-lcm-bootstrapper-rediretory. módulos de guerra como se segue:
    <!-- bootstrapper start --> 
    <!-- 
    <module id="WebApp_adobe_bootstrapper"> 
        <web> 
            <web-uri>adobe-bootstrapper.war</web-uri> 
            <context-root>/adobe-bootstrapper</context-root> 
        </web> 
    </module> 
    <module id="WebApp_adobe_lcm_bootstrapper_redirector"> 
        <web> 
            <web-uri>adobe-lcm-bootstrapper-redirector.war</web-uri> 
            <context-root>/adobe-lcm-bootstrapper</context-root> 
        </web> 
    </module> 
    --> 
    <!-- bootstrapper end-->
    
    
  6. Salve e feche o arquivo META-INF/application.xml.
  7. compacte o arquivo EAR e implante-o novamente no servidor de aplicativos.
  8. Start do servidor do AEM Forms.
  9. Digite o URL abaixo em um navegador para testar a alteração e garantir que ela não funcione mais.
    https://<localhost>:<porta>/adobe-bootstrapper/bootstrap
Bloquear o acesso remoto ao Repositório de Confiança
O Configuration Manager permite que você carregue uma credencial de extensões do Acrobat Reader DC para o AEM Forms no armazenamento confiável JEE. Isso significa que o acesso ao Serviço de Credencial do Repositório de Confiança por protocolos remotos (SOAP e EJB) foi ativado por padrão. Esse acesso não é mais necessário depois de fazer upload das credenciais de Direitos usando o Configuration Manager ou se você decidir usar o Console de administração mais tarde para gerenciar as credenciais.
Você pode desativar o acesso remoto a todos os serviços da Trust Store seguindo as etapas na seção Desabilitando o acesso remoto não essencial aos serviços .
Desativar todo o acesso anônimo não essencial
Alguns serviços de servidor de formulários têm operações que podem ser chamadas por um chamador anônimo. Se o acesso anônimo a esses serviços não for necessário, desative-o seguindo as etapas em Desabilitando o acesso anônimo não essencial aos serviços .

Alterar a senha padrão do administrador

Quando o AEM Forms no JEE é instalado, uma única conta de usuário padrão é configurada para o usuário Super Administrator/ login-id Administrator com uma senha padrão de senha . Você deve alterar essa senha imediatamente usando o Configuration Manager.
  1. Digite o seguinte URL em um navegador da Web:
    https://[host name]:[port]/adminui
    
    
    O número padrão da porta é um destes:
    JBoss: 8080
    Servidor WebLogic: 7001
    WebSphere: 9080.
  2. No campo Nome de usuário, digite administrator e, no campo Senha , digite password .
  3. Clique em Configurações > Gerenciamento ​do usuário > Usuários e grupos .
  4. Digite administrator o campo Localizar e clique em Localizar .
  5. Clique em Super Administrador na lista de usuários.
  6. Clique em Alterar senha na página Editar usuário.
  7. Especifique a nova senha e clique em Salvar .
Além disso, é recomendável alterar a senha padrão para o Administrador do CRX executando as seguintes etapas:
  1. Faça logon https://[server]:[port]/lc/libs/granite/security/content/useradmin.html usando o nome de usuário/senha padrão.
  2. Digite Administrador no campo de pesquisa e clique em Ir .
  3. Selecione Administrador no resultado da pesquisa e clique no ícone Editar na parte inferior direita da interface do usuário.
  4. Especifique a nova senha no campo Nova senha e a senha antiga no campo Sua senha .
  5. Clique no ícone Salvar na parte inferior direita da interface do usuário.

Desativar geração WSDL

A geração WSDL (Web Service Definition Language) deve ser ativada somente para ambientes de desenvolvimento, onde a geração WSDL é usada pelos desenvolvedores para criar seus aplicativos clientes. Você pode optar por desativar a geração WSDL em um ambiente de produção para evitar a exposição dos detalhes internos de um serviço.
  1. Digite o seguinte URL em um navegador da Web:
    https://[host name]:[port]/adminui
    
    
  2. Clique em Configurações > Configurações principais do sistema > Configurações .
  3. Desmarque Ativar WSDL e clique em OK .

Segurança do servidor de aplicativos

A tabela a seguir descreve algumas técnicas para proteger seu servidor de aplicativos depois que o aplicativo AEM Forms em JEE é instalado.
Problema
Descrição
Console administrativo do servidor de aplicativos
Depois de instalar, configurar e implantar o AEM Forms no JEE em seu servidor de aplicativos, você deve desativar o acesso aos consoles administrativos do servidor de aplicativos. Consulte a documentação do servidor de aplicativos para obter detalhes.
Configurações de cookie do servidor de aplicativos
Os cookies do aplicativo são controlados pelo servidor de aplicativos. Ao implantar o aplicativo, o administrador do servidor de aplicativos pode especificar as preferências de cookie em todo o servidor ou em base específica do aplicativo. Por padrão, as configurações do servidor têm preferência.
Todos os cookies de sessão gerados pelo servidor de aplicativos devem incluir o HttpOnly atributo. Por exemplo, ao usar o JBoss Application Server, você pode modificar o elemento SessionCookie para httpOnly="true" no WEB-INF/web.xml arquivo.
Você pode restringir cookies a serem enviados usando apenas HTTPS. Como resultado, eles não são enviados sem criptografia por HTTP. Os administradores do servidor de aplicativos devem habilitar cookies seguros para o servidor em uma base global. Por exemplo, ao usar o JBoss Application Server, você pode modificar o elemento do conector para secure=true no server.xml arquivo.
Consulte a documentação do servidor de aplicativos para obter mais detalhes sobre as configurações de cookies.
Navegação no diretório
Quando alguém solicita uma página que não existe ou solicita o nome de um diretor (a string de solicitação termina com uma barra (/)), o servidor de aplicativos não deve retornar o conteúdo desse diretório. Para evitar isso, você pode desativar a navegação no diretório no servidor de aplicativos. Isso deve ser feito para o aplicativo do console de administração e para outros aplicativos em execução no servidor.
Para JBoss, defina o valor do parâmetro de inicialização de listagens da DefaultServlet propriedade como false no arquivo web.xml, como mostrado neste exemplo:
<servlet>
<servlet-name>default</servlet-name>
<classe servlet>
org.apache.catalina.servlets.DefaultServlet
</servlet-class>
<init-param>
<param-name>listagens</param-name>
<param-value>false</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
Para WebSphere, defina a directoryBrowsingEnabled propriedade no arquivo ibm-web-ext.xmi como false .
Para WebLogic, defina as propriedades de diretórios de índice no arquivo weblogic.xml como false , conforme mostrado neste exemplo:
<container-descriptor>
<index-diretory-enabled>false
</index-diretory-enabled>
</container-descriptor>

Segurança do banco de dados

Ao proteger seu banco de dados, você deve implementar as medidas descritas pelo fornecedor do banco de dados. Você deve alocar um usuário do banco de dados com as permissões mínimas do banco de dados necessárias concedidas para uso pelo AEM Forms no JEE. Por exemplo, não use uma conta com privilégios de administrador de banco de dados.
No Oracle, a conta de banco de dados usada precisa apenas dos privilégios CONNECT, RESOURCE e CREATE VISUALIZAÇÃO. Para obter requisitos semelhantes em outros bancos de dados, consulte Preparação para instalar o AEM Forms no JEE (Single Server) .

Configurando a segurança integrada para SQL Server no Windows para JBoss

  1. Modifique #\\standalone\configuration\lc_ para adicionar integratedSecurity=true ao URL de conexão, como mostrado neste exemplo:
     jdbc:sqlserver://<serverhost>:<port>;databaseName=<dbname>;integratedSecurity=true
    
    
  2. Adicione o arquivo sqljdbc_auth.dll ao caminho dos sistemas do Windows no computador que está executando o servidor de aplicativos. O arquivo sqljdbc_auth.dll está localizado na instalação do driver Microsoft SQL JDBC 6.2.1.0.
  3. Modifique a propriedade JBoss Windows service (JBoss para AEM Forms em JEE) para fazer logon como de sistema local para uma conta de logon que tenha um banco de dados AEM Forms e um conjunto mínimo de privilégios. Se você estiver executando JBoss na linha de comando em vez de como um serviço do Windows, não será necessário executar essa etapa.
  4. Defina Segurança para SQL Server do modo Misto para Autenticação do Windows somente .

Configurando a segurança integrada para o SQL Server no Windows for WebLogic

  1. Start o Console de administração do WebLogic Server digitando o seguinte URL na linha de URL de um navegador da Web:
    https://[host name]:7001/console
    
    
  2. Em Centro de alterações, clique em Bloquear e editar .
  3. Em Estrutura do domínio, clique em # > Serviços > JDBC > Fontes de dados e, no painel direito, clique em IDP_DS .
  4. Na tela seguinte, na guia Configuração , clique na guia Pool de conexão e, na caixa Propriedades , digite integratedSecurity=true .
  5. Em Estrutura do domínio, clique em # > Serviços > JDBC > Fontes de dados e, no painel direito, clique em RM_DS .
  6. Na tela seguinte, na guia Configuração , clique na guia Pool de conexão e, na caixa Propriedades , digite integratedSecurity=true .
  7. Adicione o arquivo sqljdbc_auth.dll ao caminho dos sistemas do Windows no computador que está executando o servidor de aplicativos. O arquivo sqljdbc_auth.dll está localizado na instalação do driver Microsoft SQL JDBC 6.2.1.0.
  8. Defina Segurança para SQL Server do modo Misto para Autenticação do Windows somente .

Configurando a segurança integrada para SQL Server no Windows for WebSphere

No WebSphere, você pode configurar a segurança integrada somente quando usa um driver SQL Server JDBC externo, não o driver SQL Server JDBC incorporado ao WebSphere.
  1. Faça logon no Console administrativo do WebSphere.
  2. Na árvore de navegação, clique em Recursos > JDBC > Fontes ​de dados e, no painel direito, clique em IDP_DS .
  3. No painel direito, em Propriedades adicionais, clique em Propriedades ​personalizadas e, em seguida, clique em Novo .
  4. Na caixa Nome , digite integratedSecurity e, na caixa Valor , digite true .
  5. Na árvore de navegação, clique em Recursos > JDBC > Fontes ​de dados e, no painel direito, clique em RM_DS .
  6. No painel direito, em Propriedades adicionais, clique em Propriedades ​personalizadas e, em seguida, clique em Novo .
  7. Na caixa Nome , digite integratedSecurity e, na caixa Valor , digite true .
  8. No computador em que o WebSphere está instalado, adicione o arquivo sqljdbc_auth.dll ao caminho dos sistemas Windows (C:\Windows). O arquivo sqljdbc_auth.dll está no mesmo local que a instalação do driver JDBC 1.2 do Microsoft SQL (o padrão é #/sqljdbc_1.2/enu/auth/x86).
  9. Selecione Start > Painel de controle > Serviços , clique com o botão direito do mouse no serviço Windows para WebSphere (IBM WebSphere Application Server <version> - <node>) e selecione Propriedades .
  10. Na caixa de diálogo Propriedades, clique na guia Logon .
  11. Selecione Esta conta e forneça as informações necessárias para definir a conta de logon que deseja usar.
  12. Defina Segurança no SQL Server do modo Misto para Autenticação do Windows somente .

Protegendo o acesso a conteúdo sigiloso no banco de dados

O schema de banco de dados do AEM Forms contém informações confidenciais sobre configuração do sistema e processos de negócios e deve estar oculto atrás do firewall. O banco de dados deve ser considerado dentro do mesmo limite de confiança que o servidor de formulários. Para evitar a divulgação de informações e o roubo de dados comerciais, o banco de dados deve ser configurado pelo administrador do banco de dados (DBA) para permitir o acesso somente por administradores autorizados.
Como precaução adicional, você deve considerar o uso de ferramentas específicas do fornecedor do banco de dados para criptografar colunas em tabelas que contêm os seguintes dados:
  • Chaves do Documento do Rights Management
  • Chave de criptografia do PIN HSM do Repositório de Confiança
  • Hash de senha de usuário local
Para obter informações sobre ferramentas específicas do fornecedor, consulte "Informações de segurança do banco de dados" .

Segurança LDAP

Um diretório LDAP (Lightweight Diretory Access Protocol) geralmente é usado pelo AEM Forms no JEE como fonte de informações de usuários e grupos empresariais e um meio de executar a autenticação de senha. Você deve garantir que seu diretório LDAP esteja configurado para usar SSL (Secure Socket Layer) e que os formulários AEM no JEE estejam configurados para acessar seu diretório LDAP usando sua porta SSL.

Negação de serviço LDAP

Um ataque comum que usa LDAP envolve um invasor que deliberadamente falha na autenticação várias vezes. Isso faz com que o Servidor de Diretório LDAP bloqueie um usuário de todos os serviços confiáveis ao LDAP.
Você pode definir o número de tentativas de falha e o tempo de bloqueio subsequente que o AEM Forms implementa quando um usuário falha repetidamente na autenticação no AEM Forms. No Console de administração, escolha valores baixos. Ao selecionar o número de tentativas de falha, é importante entender que depois de todas as tentativas, o AEM Forms bloqueia o usuário antes que o Servidor de Diretório LDAP o faça.

Definir bloqueio automático de conta

  1. Faça logon no Console de administração.
  2. Clique em Configurações > Gerenciamento ​do usuário > Gerenciamento ​de domínio.
  3. Em Configurações automáticas de bloqueio de conta, defina Máximo de falhas de autenticação consecutivas para um número baixo, como 3.
  4. Clique em Salvar .

Auditoria e registro

O uso correto e seguro de auditoria e registro de aplicativos pode ajudar a garantir que a segurança e outros eventos anômalos sejam rastreados e detectados o mais rápido possível. O uso eficaz de auditoria e registro em um aplicativo inclui itens como rastreamento de logons bem-sucedidos e com falha, bem como eventos-chave do aplicativo, como a criação ou exclusão de registros-chave.
Você pode usar a auditoria para detectar vários tipos de ataques, incluindo estes:
  • Ataques de senha de força bruta
  • Ataques de negação de serviço
  • Injeção de entrada hostil e classes relacionadas de ataques de script
Esta tabela descreve as técnicas de auditoria e registro que podem ser usadas para reduzir as vulnerabilidades do servidor.
Problema
Descrição
ACLs de arquivo de log
Defina os formulários AEM apropriados nas ACLs (listas de controle de acesso de arquivo de log) do JEE.
Definir as credenciais apropriadas ajuda a impedir que os invasores excluam os arquivos.
As permissões de segurança no diretório do arquivo de log devem ser Controle total para administradores e grupos SYSTEM. A conta de usuário do AEM Forms deve ter somente permissões de leitura e gravação.
Redundância do arquivo de log
Se os recursos permitirem, envie registros para outro servidor em tempo real que não esteja acessível ao invasor (somente gravação) usando o Syslog, Tivoli, Microsoft Operations Manager (MOM) Server ou outro mecanismo.
Proteger os registros dessa forma ajuda a impedir a adulteração. Além disso, o armazenamento de registros em um repositório central auxilia na correlação e no monitoramento (por exemplo, se vários servidores de formulários estiverem em uso e um ataque de adivinhação de senha estiver ocorrendo em vários computadores em que cada computador for consultado para obter uma senha).

Configurar o AEM Forms no JEE para acesso além da empresa

Depois de instalar o AEM Forms com êxito no JEE, é importante manter periodicamente a segurança do seu ambiente. Esta seção descreve as tarefas recomendadas para manter a segurança dos formulários AEM no servidor de produção JEE.

Configurar um proxy reverso para acesso à Web

Um proxy ** reverso pode ser usado para garantir que um conjunto de URLs para o AEM Forms em aplicativos da Web JEE esteja disponível para usuários externos e internos. Essa configuração é mais segura do que permitir que os usuários se conectem diretamente ao servidor de aplicativos no qual o AEM Forms no JEE está sendo executado. O proxy reverso executa todas as solicitações HTTP para o servidor de aplicativos que está executando o AEM Forms no JEE. Os usuários têm apenas acesso de rede ao proxy reverso e só podem tentar conexões de URL compatíveis com o proxy reverso.
Formulários AEM em URLs raiz JEE para uso com o servidor proxy reverso
Os seguintes URLs raiz do aplicativo para cada AEM Forms em um aplicativo da Web JEE. Você deve configurar seu proxy reverso somente para expor URLs para a funcionalidade do aplicativo da Web que deseja fornecer aos usuários finais.
Determinados URLs são destacados como aplicativos da Web voltados para o usuário final. Evite expor outros URLs para o Configuration Manager para acesso a usuários externos por meio do proxy reverso.
URL raiz
Finalidade e/ou aplicação Web associada
Interface baseada na Web
Acesso do usuário final
/ReaderExtensions/*
O Acrobat Reader DC extende o aplicativo da Web de usuário final para aplicar direitos de uso a documentos PDF
Sim
Sim
/edc/*
Aplicativo Web de usuário final do Rights Management
Sim
Sim
/edcws/*
URL do serviço Web para o Rights Management
Não
Sim
/pdfgui/*
Aplicativo da Web de administração do Gerador de PDF
Sim
Sim
/espaço de trabalho/*
Aplicativo Web do usuário final do espaço de trabalho
Sim
Sim
/workspace-server/*
Servlets e serviços de dados da Workspace exigidos pelo aplicativo cliente Workspace
Sim
Sim
/adobe-bootstrapper/*
Servlet para inicializar o carregamento do AEM Forms no repositório JEE
Não
Não
/soap/*
Página de informações para serviços da Web do servidor de formulários
Não
Não
/soap/services/*
URL do serviço Web para todos os serviços do servidor de formulários
Não
Não
/edc/admin/*
Aplicativo da Web de administração do Rights Management
Sim
Não
/adminui/*
home page do Console de administração
Sim
Não
/TruststoreComponent/
protegido/*
Páginas de administração do Gerenciamento de Armazenamento de Confiança
Sim
Não
/FormsIVS/*
Aplicativo Forms IVS para teste e depuração de renderização de formulário
Sim
Não
/OutputIVS/*
Aplicativo IVS de saída para teste e depuração do serviço de saída
Sim
Não
/rmws/*
URL REST para o Rights Management
Não
Sim
/OutputAdmin/*
Páginas de administração de saída
Sim
Não
/FormServer/*
Arquivos de aplicativos da Web para formulários
Sim
Não
/FormServer/GetImage
Servlet
Usado para buscar o JavaScript durante a transformação de HTML
Não
Não
/FormServerAdmin/*
Páginas de administração de formulários
Sim
Não
/repository/*
URL para acesso WebDAV (depuração)
Sim
Não
/AACComponent/*
Interface de usuário dos Aplicativos e Serviços
Sim
Não
/WorkspaceAdmin/*
Páginas de administração do espaço de trabalho
Sim
Não
/rest/*
Restaurar páginas de suporte
Sim
Não
/CoreSystemConfig/*
Página de configurações de AEM Forms na JEE Core Configuration
Sim
Não
/um/
Autenticação do Gerenciamento de usuários
Não
Sim
/um/*
Interface de administração do Gerenciamento de usuários
Sim
Não
/DocumentManager/*
Upload e download de documentos que devem ser processados ao acessar pontos de extremidade remotos, pontos de extremidade WSDL SOAP e o SDK Java sobre transporte SOAP ou transporte EJB com documentos HTTP habilitados.
Sim
Sim

Proteção contra ataques de falsificação de solicitação entre sites

Um ataque CSRF (Cross-Site Request Forgery) explora a confiança que um site tem para o usuário, para transmitir comandos que não são autorizados e não são intencionais pelo usuário. O ataque é configurado incluindo um link ou script em uma página da Web, ou um URL em uma mensagem de email para acessar outro site para o qual o usuário já foi autenticado.
Por exemplo, você pode estar conectado ao Console de administração enquanto navega simultaneamente em outro site. Uma das páginas da Web pode incluir uma tag de imagem HTML com um src atributo que público alvo um script do lado do servidor no site da vítima. Ao aproveitar o mecanismo de autenticação de sessão com base em cookies fornecido pelos navegadores da Web, o site de ataque pode enviar solicitações mal-intencionadas para esse script do lado do servidor vítima, mascarando-se como o usuário legítimo. Para obter mais exemplos, consulte https://www.owasp.org/index.php/Cross-Site_Request_Forgery_(CSRF)#Examples .
As seguintes características são comuns ao QREF:
  • Envolver sites que dependem da identidade de um usuário.
  • Explore a confiança do site nessa identidade.
  • Faça com que o navegador do usuário envie solicitações HTTP para um site do público alvo.
  • Envolva solicitações HTTP que tenham efeitos colaterais.
O AEM Forms no JEE usa o recurso Filtro de Quem indicou para bloquear ataques CSRF. Os termos a seguir são usados nesta seção para descrever o mecanismo de Filtragem de Quem indicou:
  • Quem indicou permitida: Uma Quem indicou é o endereço da página de origem que envia uma solicitação para o servidor. Para páginas ou formulários JSP, as Quens indicou são normalmente a página anterior no histórico de navegação. A Quem indicou de imagens geralmente são as páginas nas quais as imagens são exibidas. Você pode identificar a Quem indicou que tem acesso permitido aos recursos do servidor adicionando-os à lista de Quem indicou permitida.
  • Exceções de Quem indicou Permitidas: Talvez você queira restringir o escopo de acesso de uma Quem indicou específica na lista de Quem indicou permitida. Para aplicar essa restrição, você pode adicionar caminhos individuais dessa Quem indicou à lista Exceções de Quem indicou Permitidas. As solicitações provenientes de caminhos na lista Exceções de Quem indicou Permitidas não podem chamar nenhum recurso no servidor de formulários. Você pode definir Exceções de Quem indicou Permitidas para um aplicativo específico e também usar uma lista global de exceções que se aplicam a todos os aplicativos.
  • URIs permitidos: Esta é uma lista de recursos que devem ser fornecidos sem verificar o Cabeçalho da Quem indicou. Recursos, por exemplo, páginas de ajuda, que não resultam em alterações de estado no servidor, podem ser adicionados a essa lista. Os recursos na lista de URIs permitidos nunca são bloqueados pelo Filtro de Quem indicou, independentemente de quem seja a Quem indicou.
  • Quem indicou nula: Uma solicitação de servidor que não está associada ou não se origina de uma página da Web pai é considerada uma solicitação de uma Quem indicou Nula. Por exemplo, quando você abre uma nova janela do navegador, digita um endereço e pressione Enter, a Quem indicou enviada para o servidor é nula. Um aplicativo de desktop (.NET ou SWING) que faz uma solicitação HTTP para um servidor da Web, também envia uma Quem indicou Nula para o servidor.

Filtragem de Quem indicou

O processo de Filtragem de Quem indicou pode ser descrito da seguinte maneira:
  1. O servidor de formulários verifica o método HTTP usado para a invocação:
    1. Se for POST, o servidor de formulários executará a verificação do cabeçalho da Quem indicou.
    2. Se for GET, o servidor de formulários ignorará a verificação de Quem indicou, a menos que CSRF_CHECK_GETS esteja definido como true, caso em que executa a verificação do cabeçalho da Quem indicou. CSRF_CHECK_GETS está especificado no arquivo web.xml do seu aplicativo.
  2. O servidor de formulários verifica se o URI solicitado está na lista de permissões:
    1. Se o URI estiver na lista de permissões, o servidor aceitará a solicitação.
    2. Se o URI solicitado não estiver na lista de permissões, o servidor recuperará a Quem indicou da solicitação.
  3. Se houver uma Quem indicou na solicitação, o servidor verificará se é uma Quem indicou permitida. Se for permitido, o servidor verifica se há uma Exceção de Quem indicou:
    1. Se for uma exceção, a solicitação será bloqueada.
    2. Se não for uma exceção, a solicitação será transmitida.
  4. Se não houver Quem indicou na solicitação, o servidor verificará se uma Quem indicou Nula é permitida:
    1. Se uma Quem indicou Nula for permitida, a solicitação será transmitida.
    2. Se uma Quem indicou Nula não for permitida, o servidor verificará se o URI solicitado é uma exceção para a Quem indicou Nulo e lidará com a solicitação de acordo.

Gerenciamento da filtragem de Quens indicou

O AEM Forms no JEE fornece um Filtro de Quem indicou para especificar Quens indicou que têm acesso aos recursos do servidor. Por padrão, o filtro de Quem indicou não filtra solicitações que usam um método HTTP seguro, por exemplo, GET, a menos que CSRF_CHECK_GETS esteja definido como true. Se o número da porta para uma entrada de Quem indicou permitida estiver definido como 0, o AEM Forms no JEE permitirá todas as solicitações com Quem indicou desse host, independentemente do número da porta. Se nenhum número de porta for especificado, somente as solicitações da porta padrão 80 (HTTP) ou da porta 443 (HTTPS) serão permitidas. A Filtragem de Quem indicou é desativada se todas as entradas na lista de Quem indicou Permitida forem excluídas.
Quando você instala os Serviços de Documento pela primeira vez, a lista de Quem indicou permitida é atualizada com o endereço do servidor no qual os Serviços de Documento estão instalados. As entradas para o servidor incluem o nome do servidor, o endereço IPv4, o endereço IPv6 se IPv6 estiver ativado, o endereço de loopback e uma entrada de host local. Os nomes adicionados à lista de Quem indicou Permitida são retornados pelo sistema operacional Host. Por exemplo, um servidor com um endereço IP de 10.40.54.187 incluirá as seguintes entradas: https://server-name:0, https://10.40.54.187:0, https://127.0.0.1:0, http://localhost:0 . Para qualquer nome não qualificado retornado pelo sistema operacional Host (nomes que não têm endereço IPv4, endereço IPv6 ou nome de domínio qualificado), a lista branca não é atualizada. Modifique a lista de Quem indicou permitida para adequá-la ao seu ambiente comercial. Não implante o servidor de formulários no ambiente de produção com a lista de Quem indicou permitida padrão. Depois de modificar qualquer Quem indicou, Exceções de Quem indicou ou URIs Permitidas, certifique-se de reiniciar o servidor para que as alterações entrem em vigor.
Gerenciando lista de Quem indicou permitida
Você pode gerenciar a lista de Quem indicou Permitida na Interface de Gerenciamento de Usuário do Console de Administração. A interface de gerenciamento de usuários oferece a funcionalidade de criar, editar ou excluir a lista. Consulte a seção * Impedindo ataques CSRF* da ajuda da administração para obter mais informações sobre como trabalhar com a lista de Quem indicou permitida.
Gerenciando exceções de Quem indicou permitidas e listas de URI permitidas
O AEM Forms em JEE fornece APIs para gerenciar a lista de Exceção de Quem indicou Permitida e a lista de URI Permitida. Você pode usar essas APIs para recuperar, criar, editar ou excluir a lista. Veja a seguir uma lista de APIs disponíveis:
  • createAllowedURIsList
  • getAllowedURIsList
  • updateAllowedURIsList
  • deleteAllowedURIsList
  • addAllowedRefererExceptions
  • getAllowedRefererExceptions
  • updateAllowedRefererExceptions
  • deleteAllowedRefererExceptions
Consulte o* AEM Forms on JEE API Reference* para obter mais informações sobre as APIs.
Use a lista LC_GLOBAL_ALLOWED_REFERER_EXCEPTION para Exceções de Quem indicou Permitidas no nível global, isto é, para definir exceções aplicáveis a todos os aplicativos. Esta lista contém apenas URIs com um caminho absoluto (por exemplo, /index.html ) ou um caminho relativo (por exemplo, /sample/ ). Também é possível anexar uma expressão regular ao final de um URI relativo, por exemplo, /sample/(.)* .
A ID de lista LC_GLOBAL_ALLOWED_REFERER_EXCEPTION é definida como uma constante na UMConstants classe da com.adobe.idp.um.api namespace, encontrada em adobe-usermanager-client.jar . Você pode usar as APIs do AEM Forms para criar, modificar ou editar essa lista. Por exemplo, para criar a lista Exceções de Quem indicou Permitidas Globais, use:
addAllowedRefererExceptions(UMConstants.LC_GLOBAL_ALLOWED_REFERER_EXCEPTION, Arrays.asList("/index.html", "/sample/(.)*"))

Use a lista CSRF_ALLOWED_REFERER_EXCEPTIONS para obter exceções específicas do aplicativo.
Desativação do filtro de Quem indicou
No evento em que o Filtro de Quem indicou bloqueia completamente o acesso ao servidor de formulários e não é possível editar a lista de Quem indicou Permitida, você pode atualizar o script de inicialização do servidor e desativar a Filtragem de Quem indicou.
Inclua o argumento -Dlc.um.csrffilter.disabled=true JAVA no script de inicialização e reinicie o servidor. Certifique-se de excluir o argumento JAVA depois de reconfigurar apropriadamente a lista de Quem indicou Permitida.
Filtragem de Quem indicou para arquivos WAR personalizados
Você pode ter criado arquivos WAR personalizados para trabalhar com o AEM Forms no JEE a fim de atender às suas necessidades comerciais. Para ativar a Filtragem de Quem indicou para seus arquivos WAR personalizados, inclua adobe-usermanager-client.jar no caminho de classe para a WAR e inclua uma entrada de filtro no arquivo* web.xml* com os seguintes parâmetros:
CSRF_CHECK_GETS controla a verificação de Quem indicou em solicitações GET. Se esse parâmetro não estiver definido, o valor padrão será definido como false. Inclua este parâmetro somente se desejar filtrar suas solicitações GET.
CSRF_ALLOWED_REFERER_EXCEPTIONS é a ID da lista de Exceções de Quem indicou Permitidas. O Filtro de Quem indicou impede que solicitações originárias de Quens indicou na lista identificada pela ID da lista cheguem a qualquer recurso no servidor de formulários.
CSRF_ALLOWED_URIS_LISTA_NAME é a ID da lista de URIs permitidos. O Filtro de Quem indicou não bloqueia solicitações de nenhum dos recursos na lista identificada pela ID da lista, independentemente do valor do cabeçalho da Quem indicou na solicitação.
CSRF_ALLOW_NULL_REFERER controla o comportamento do Filtro de Quem indicou quando a Quem indicou é nula ou não está presente. Se esse parâmetro não estiver definido, o valor padrão será definido como false. Inclua esse parâmetro somente se desejar permitir Quens indicou Nulas. A permissão de quens indicou nulas pode permitir alguns tipos de ataques de Permissão de Solicitação entre Sites.
CSRF_NULL_REFERER_EXCEPTIONS é uma lista dos URIs para os quais uma verificação de Quem indicou não é realizada quando a Quem indicou é nula. Esse parâmetro é ativado somente quando CSRF_ALLOW_NULL_REFERER está definido como falso. Separe vários URIs na lista com uma vírgula.
Veja a seguir um exemplo da entrada de filtro no arquivo web.xml para um arquivo SAMPLE WAR:
<filter> 
       <filter-name> filter-name </filter-name> 
       <filter-class> com.adobe.idp.um.auth.filter.RemoteCSRFFilter </filter-class> 
     <!-- default is false --> 
     <init-param> 
      <param-name> CSRF_ALLOW_NULL_REFERER </param-name> 
      <param-value> false </param-value> 
     </init-param> 
     <!-- default is false --> 
     <init-param> 
      <param-name> CSRF_CHECK_GETS </param-name> 
      <param-value> true </param-value> 
     </init-param> 
     <!-- Optional --> 
     <init-param> 
       <param-name> CSRF_NULL_REFERER_EXCEPTIONS </param-name> 
       <param-value> /SAMPLE/login, /SAMPLE/logout  </param-value> 
     </init-param> 
     <!-- Optional --> 
     <init-param> 
      <param-name> CSRF_ALLOWED_REFERER_EXCEPTIONS </param-name> 
      <param-value> SAMPLE_ALLOWED_REF_EXP_ID </param-value> 
     </init-param> 
     <!-- Optional --> 
     <init-param> 
      <param-name> CSRF_ALLOWED_URIS_LIST_NAME </param-name> 
      <param-value> SAMPLE_ALLOWED_URI_LIST_ID     </param-value> 
     </init-param> 
</filter> 
    ........ 
    <filter-mapping> 
      <filter-name> filter-name </filter-name> 
      <url-pattern>/*</url-pattern> 
    </filter-mapping>

Resolução de Problemas
Se as solicitações legítimas do servidor estiverem sendo bloqueadas pelo filtro CSRF, tente uma das seguintes opções:
  • Se a solicitação rejeitada tiver um cabeçalho de Quem indicou, considere cuidadosamente adicioná-la à lista de Quem indicou permitida. Adicione somente Quem indicou em que você confia.
  • Se a solicitação rejeitada não tiver um cabeçalho de Quem indicou, modifique o aplicativo cliente para incluir um cabeçalho de Quem indicou.
  • Se o cliente puder trabalhar em um navegador, experimente esse modelo de implantação.
  • Como último recurso, você pode adicionar o recurso à lista URIs permitidos. Esta não é uma configuração recomendada.

Configuração de rede segura

Esta seção descreve os protocolos e portas exigidos pelo AEM Forms no JEE e fornece recomendações para a implantação do AEM Forms no JEE em uma configuração de rede segura.

Protocolos de rede usados pelo AEM Forms no JEE

Quando você configura uma arquitetura de rede segura conforme descrito na seção anterior, os seguintes protocolos de rede são necessários para a interação entre o AEM Forms no JEE e outros sistemas em sua rede corporativa.
Protocolo
Uso
HTTP
  • O navegador exibe o Configuration Manager e os aplicativos da Web do usuário final
  • Todas as conexões SOAP
SOAP
  • Aplicativos cliente de serviço da Web, como aplicativos .NET
  • O Adobe Reader® usa SOAP para AEM Forms em serviços Web de servidor JEE
  • Aplicativos Adobe Flash® usam SOAP para serviços da Web de servidores de formulários
  • Formulários AEM em chamadas JEE SDK quando usados no modo SOAP
  • ambiente de design do Workbench
RMI
AEM Forms em chamadas JEE SDK quando usadas no modo Enterprise JavaBeans (EJB)
IMAP / POP3
  • Entrada por email para um serviço (terminal de email)
  • Notificações de tarefa do usuário por email
E/S de arquivo UNC
Formulários AEM no monitoramento JEE de pastas monitoradas para entrada em um serviço (endpoint de pasta monitorada)
LDAP
  • Sincronizações de informações de grupo e usuário organizacional em um diretório
  • Autenticação LDAP para usuários interativos
JDBC
  • Chamadas de Query e procedimento feitas para um banco de dados externo durante a execução de um processo usando o serviço JDBC
  • Acesso interno a AEM Forms no repositório JEE
WebDAV
Permite a navegação remota do AEM Forms no repositório em tempo de design JEE (formulários, fragmentos etc.) por qualquer cliente WebDAV
AMF
Aplicativos Adobe Flash, nos quais o AEM Forms em serviços de servidor JEE é configurado com um terminal Remoting
JMX
O AEM Forms no JEE expõe MBeans para monitoramento usando JMX

Portas para servidores de aplicativos

Esta seção descreve as portas padrão (e intervalos de configuração alternativos) para cada tipo de servidor de aplicativos suportado. Essas portas devem ser ativadas ou desativadas no firewall interno, dependendo da funcionalidade de rede que você deseja permitir para clientes que se conectam ao servidor de aplicativos que executa o AEM Forms no JEE.
Por padrão, o servidor expõe vários MBeans JMX na namespace adobe.com. Somente as informações úteis para o monitoramento de integridade do servidor são expostas. No entanto, para impedir a divulgação de informações, você deve impedir que os chamadores em uma rede não confiável pesquisem MBeans JMX e acessem métricas de integridade.
Portas JBoss
Propósito
Porta
Acesso a aplicativos da Web
[JBOSS_Root]/standalone/configuration/lc_[database].xml
Porta do conector HTTP/1.1 8080
Porta do conector AJP 1.3 8009
Porta do conector SSL/TLS 8443
Suporte CORBA
[Raiz JBoss]/server/all/conf/jacorb.properties
OAPort 3528
OASSLPort 3529
Portas WebLogic
Propósito
Porta
Acesso a aplicativos da Web
  • Porta de escuta do servidor de administração: o padrão é 7001
  • Porta de escuta SSL do servidor de administração: o padrão é 7002
  • Porta configurada para Servidor gerenciado, por exemplo 8001
As portas de administração do WebLogic não são necessárias para acessar o AEM Forms no JEE
  • Porta de escuta do Servidor Gerenciado: Configurável de 1 a 65534
  • Porta de escuta SSL do Servidor Gerenciado: Configurável de 1 a 65534
  • Porta de escuta do Gerenciador de nós: o padrão é 5556
Portas WebSphere
Para obter informações sobre portas WebSphere exigidas pelo AEM Forms em JEE, vá para a configuração de número de porta na interface do usuário do WebSphere Application Server.

Configuração do SSL

Referindo-se à arquitetura física descrita na seção Formulários AEM na arquitetura física JEE, configure o SSL para todas as conexões que você planeja usar. Especificamente, todas as conexões SOAP devem ser conduzidas por SSL para evitar a exposição das credenciais do usuário em uma rede.
Para obter instruções sobre como configurar o SSL em JBoss, WebLogic e WebSphere, consulte "Configuração do SSL" na ajuda learn_aemforms_admin_64administrativa.

Configuração do redirecionamento SSL

Depois de configurar seu servidor de aplicativos para suportar SSL, você deve garantir que todo o tráfego HTTP para aplicativos e serviços seja forçado a usar a porta SSL.
Para configurar o redirecionamento SSL para WebSphere ou WebLogic, consulte a documentação do servidor de aplicativos.
  1. Abra o prompt de comando, navegue até o diretório /JBOSS_HOME/standalone/configuration e execute o seguinte comando:
    keytool -genkey -alias jboss7 -keyalg RSA -keystore server.keystore -validity 10950
  2. Abra o arquivo JBOSS_HOME/standalone/configuration/standalone.xml para edição.
    Depois do elemento <subsistema xmlns="urn:jensor:domain:web:1.1" native="false" default-virtual-server="default-host">, adicione os seguintes detalhes:
    <nome do conector="https" protocol="HTTP/1.1" schema="https" socket-binding="https" enabled="true" secure="true"/>
  3. Adicione o seguinte código no elemento do conector https:
    <connector name="https" protocol="HTTP/1.1" scheme="https" socket-binding="https" secure="true" enabled="true"> 
     <ssl name="jboss7_ssl" key-alias="jboss71" password="Tibco321" certificate-key-file="../standalone/configuration/server.keystore" protocol="TLSv1"/> 
     </connector>
    
    
    Salve e feche o arquivo standalone.xml.

Recomendações de segurança específicas do Windows

Esta seção contém recomendações de segurança específicas ao Windows quando usadas para executar formulários AEM no JEE.

Contas do Serviço JBoss

Por padrão, o AEM Forms on JEE turnkey installation configura uma conta de serviço usando a conta Local System. A conta de utilizador integrada da rede local tem um elevado nível de acessibilidade; faz parte do grupo Administradores. Se uma identidade de processo de trabalho for executada como a conta de usuário do Sistema local, esse processo de trabalho terá acesso total ao sistema inteiro.

Execute o servidor de aplicativos usando uma conta não administrativa

  1. No Microsoft Management Console (MMC), crie um usuário local para que o serviço do servidor de formulários faça logon como:
    • Selecione Usuário não pode alterar a senha .
    • Na guia Membro de , verifique se o grupo Usuários está listado.
  2. Selecione Configurações > Ferramentas ​administrativas > Serviços .
  3. Duplo clique no serviço do servidor de aplicativos e pare o serviço.
  4. Na guia Logon , selecione Esta conta , procure a conta de usuário que você criou e digite a senha da conta.
  5. Na janela Configurações de segurança local, em Atribuição de direitos de usuário, atribua os seguintes direitos à conta de usuário na qual o servidor de formulários está sendo executado:
    • Negar logon por meio dos Serviços de Terminal
    • Negar logon no local
    • Fazer logon como Serviço (já deve estar definido)
  6. Atribua à nova conta de usuário permissões de Leitura e Execução, Gravação, Modificação, Conteúdo da pasta de Lista e Leitura para concluir o diretório de instalação do AEM Forms no JEE e no diretório Global Documento Armazenamento (GDS). O local do diretório GDS é configurado manualmente durante o processo de instalação do AEM Forms. Se a configuração de local permanecer vazia durante a instalação, o local assumirá como padrão um diretório na instalação do servidor de aplicativos em #/server/ #/svcnative/DocumentStorage.
  7. Start do serviço do servidor de aplicativos.

Segurança do sistema de arquivos

O AEM Forms no JEE usa o sistema de arquivos das seguintes maneiras:
  • Armazena arquivos temporários que são usados durante o processamento da entrada e saída do documento
  • Armazena arquivos no repositório de arquivamento global que são usados para suportar os componentes da solução instalados
  • Pastas monitoradas armazenam arquivos descartados usados como entrada em um serviço a partir de um local de pasta do sistema de arquivos
Ao usar pastas monitoradas como uma forma de enviar e receber documentos com um serviço de servidor de formulários, tome precauções extras com a segurança do sistema de arquivos. Quando um usuário solta o conteúdo na pasta assistida, ele é exposto pela pasta assistida. Nesse caso, o serviço não autentica o usuário final real. Em vez disso, ele depende da segurança de nível de ACL e Compartilhamento para ser definida no nível da pasta para determinar quem pode chamar efetivamente o serviço.

Recomendações de segurança específicas para JBoss

Esta seção contém recomendações de configuração do servidor de aplicativos que são específicas ao JBoss 7.0.6 quando usadas para executar o AEM Forms no JEE.

Desativar o Console de Gerenciamento JBoss e o Console JMX

O acesso ao console de gerenciamento JBoss e ao console JMX já está configurado (o monitoramento JMX está desativado) quando você instala formulários AEM no JEE no JBoss usando o método de instalação chave na mão. Se você estiver usando seu próprio JBoss Application Server, verifique se o acesso ao console de gerenciamento JBoss e ao console de monitoramento JMX estão protegidos. O acesso ao console de monitoramento JMX é definido no arquivo de configuração JBoss chamado jmx-invoker-service.xml.

Desativar a navegação no diretório

Depois de fazer logon no Console de administração, é possível navegar na lista de diretórios do console modificando o URL. Por exemplo, se você alterar o URL para um dos seguintes URLs, uma listagem de diretório poderá ser exibida:
https://<servername>:8080/adminui/secured/ 
https://<servername>:8080/um/

Recomendações de segurança específicas do WebLogic

Esta seção contém recomendações de configuração do servidor de aplicativos para proteger o WebLogic 9.1 ao executar o AEM Forms no JEE.

Desativar a navegação no diretório

Defina as propriedades de diretórios de índice no arquivo weblogic.xml como false , como mostra este exemplo:
<container-descriptor> 
    <index-directory-enabled>false 
    </index-directory-enabled> 
</container-descriptor>

Habilitar Porta SSL do WebLogic

Por padrão, o WebLogic não ativa a Porta de escuta SSL padrão, 7002. Ative esta porta no Console de Administração do WebLogic Server antes de configurar o SSL.

Recomendações de segurança específicas do WebSphere

Esta seção contém recomendações de configuração do servidor de aplicativos para proteger o WebSphere executando o AEM Forms no JEE.

Desativar a navegação no diretório

Defina a directoryBrowsingEnabled propriedade no arquivo ibm-web-ext.xml como false .

Habilitar a segurança administrativa do WebSphere

  1. Faça logon no Console administrativo do WebSphere.
  2. Na árvore de navegação, vá até Segurança > Segurança global
  3. Selecione Ativar segurança administrativa.
  4. Desmarque Ativar segurança do aplicativo e Usar segurança Java 2.
  5. Clique em OK ou em Aplicar .
  6. Na caixa Mensagens , clique em Salvar diretamente na configuração mestre.