如何在 Dell Security Manager 代理伺服器上啟用 HSTS
Summary: 掃描安全性時,Dell Security Manager Proxy 伺服器可能會顯示 HSTS 漏洞。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
受影響的產品:
- Dell Security Management Server
受影響的版本:
- 11.1 及更新版本 (因組態變更而修改)
- 11.0 及更早版本 (需要包含 HSTS 篩選器的更新.jar檔。正在對這些較舊的伺服器進行調查。)
受影響的作業系統:
- Windows Server
已在 Dell Security Manager Proxy 伺服器中識別到 HSTS 漏洞。可以為服務配置 HSTS 過濾器以解決此漏洞。
HTTP 嚴格傳輸安全性 (HSTS) 會被 Dell Security Manager Proxy 伺服器中的安全性掃描器標記為漏洞。
Dell Security Manager 代理伺服器包含四項服務:
- Dell 核心伺服器代理
- Dell Device Server
- Dell Policy Proxy
- Dell Security Server Proxy
注意:Dell 原則代理不是 Jetty 代理伺服器服務,也不會加密透過連接埠 8000 的傳輸。不過,有效負載是加密的,以這種方式提供安全性,因此,策略代理不需要更改HSTS。
必須修改 conf 資料夾中的檔案webdefault.xml,以納入 HSTS 篩選器的組態,才能在 Dell Core Server Proxy、Dell Device Server 和 Dell Security Server Proxy 服務上啟用 HSTS。
注意:三個代理伺服器服務的預設web-default.xml檔相同。更新其中一個web-default.xml檔、將該檔複製到其他兩個伺服器 conf 資料夾並重新啟動服務是將更改傳播到其他服務的快速方法。
安裝位置如下:
- Dell 核心伺服器代理:C:\Program Files\Dell\Enterprise Edition\Core Server Proxy
- Dell 裝置伺服器:C:\Program Files\Dell\Enterprise Edition\Device Server
- Dell Security Server Proxy:C:\Program Files\Dell\Enterprise Edition\Security Server Proxy
請執行下列步驟:
- 停止代理服務。
- 將目錄變更為其中一個代理服務 .\conf 資料夾。
- 備份 conf\web-default.xml 檔案,以防發生錯誤。
- 將 HSTS 篩選器更新新增 至其中一個服務 組web-default.xml 檔。
HSTS 過濾器配置將添加到webdefault.xml檔底部的行上方:
</web-app>
HSTS 過濾器配置為:
<filter>
<filter-name>HSTSFilter</filter-name>
<filter-class>com.credant.jetty.servlet.TransportSecurityFilter</filter-class>
<init-param>
<param-name>maxAgeSeconds</param-name>
<param-value>31536000</param-value>
</init-param>
<init-param>
<param-name>includeSubDomains</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>addPreload</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>HSTSFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
web-default.xml的最後幾行將是(下面添加的 黃色 HSTS過濾器):
<security-constraint>
<web-resource-collection>
<web-resource-name>Disable TRACE and OPTIONS</web-resource-name>
<url-pattern>/</url-pattern>
<http-method>TRACE</http-method>
<http-method>OPTIONS</http-method>
</web-resource-collection>
<auth-constraint/>
</security-constraint>
<filter>
<filter-name>HSTSFilter</filter-name>
<filter-class>com.credant.jetty.servlet.TransportSecurityFilter</filter-class>
<init-param>
<param-name>maxAgeSeconds</param-name>
<param-value>31536000</param-value>
</init-param>
<init-param>
<param-name>includeSubDomains</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>addPreload</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>HSTSFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
</web-app>
- 將更新的 web-default.xml 檔案複製到其他受影響的服務。
- 重新啟動代理服務。
如要聯絡支援部門,請參閱 Dell Data Security 國際支援電話號碼。
請前往 TechDirect,以線上產生技術支援要求。
如需更多深入見解與資源,請加入 Dell 安全性社群論壇。
Affected Products
Dell EncryptionArticle Properties
Article Number: 000209524
Article Type: How To
Last Modified: 15 Apr 2024
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.