如何在 Dell Security Manager 代理服务器上启用 HSTS
Summary: 在进行安全扫描时,Dell Security Manager 代理服务器可能会显示 HSTS 漏洞。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
受影响的产品:
- Dell Security Management Server
受影响的版本:
- 11.1 及更高版本(通过配置更改进行修改)
- 11.0 及更低版本(需要包含 HSTS 筛选器的更新.jar文件。正在对这些较旧的服务器进行调查。)
受影响的操作系统:
- Windows 服务器
Dell Security Manager 代理服务器中发现了一个 HSTS 漏洞。可以为服务配置 HSTS 筛选器以解决此漏洞。
在 Dell Security Manager 代理服务器中,安全扫描程序将 HTTP Strict Transport Security (HSTS) 标记为漏洞。
Dell Security Manager 代理服务器包含四项服务:
- 戴尔核心服务器代理
- 戴尔设备服务器
- 戴尔策略代理
- Dell Security Server Proxy
提醒:Dell Policy Proxy 不是 Jetty 代理服务器服务,不会对通过端口 8000 的传输进行加密。但是,有效负载是加密的,以这种方式提供安全性,因此,策略代理不需要更改 HSTS。
必须修改 conf 文件夹中的文件webdefault.xml以包含 HSTS 过滤器的配置,才能在 Dell Core Server Proxy、Dell Device Server 和 Dell Security Server Proxy 服务上启用 HSTS。
提醒:三个代理服务器服务的默认web-default.xml文件相同。更新其中一个 web-default.xml 文件,将该文件复制到其他两个服务器 conf 文件夹,然后重新启动服务是将更改传播到其他服务的快速方法。
安装位置为:
- 戴尔核心服务器代理:C:\Program Files\Dell\Enterprise Edition\Core Server Proxy
- Dell Device Server:C:\Program Files\Dell\Enterprise Edition\Device Server
- Dell Security Server Proxy:C:\Program Files\Dell\Enterprise Edition\Security Server Proxy
请执行以下步骤:
- 停止代理服务。
- 将目录更改为其中一个代理服务 .\conf 文件夹。
- 备份 conf\web-default.xml 文件,以防发生错误。
- 将 HSTS 筛选器更新 添加到其中一个 services conf\web-default.xml 文件。
HSTS 筛选器配置将添加到 webdefault.xml 文件底部的行上方:
</web-app>
HSTS 筛选器配置为:
<filter>
<filter-name>HSTSFilter</filter-name>
<filter-class>com.credant.jetty.servlet.TransportSecurityFilter</filter-class>
<init-param>
<param-name>maxAgeSeconds</param-name>
<param-value>31536000</param-value>
</init-param>
<init-param>
<param-name>includeSubDomains</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>addPreload</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>HSTSFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
web-default.xml的最后几行是(添加的 HSTS 过滤器在下面 以黄色 显示):
<security-constraint>
<web-resource-collection>
<web-resource-name>Disable TRACE and OPTIONS</web-resource-name>
<url-pattern>/</url-pattern>
<http-method>TRACE</http-method>
<http-method>OPTIONS</http-method>
</web-resource-collection>
<auth-constraint/>
</security-constraint>
<filter>
<filter-name>HSTSFilter</filter-name>
<filter-class>com.credant.jetty.servlet.TransportSecurityFilter</filter-class>
<init-param>
<param-name>maxAgeSeconds</param-name>
<param-value>31536000</param-value>
</init-param>
<init-param>
<param-name>includeSubDomains</param-name>
<param-value>true</param-value>
</init-param>
<init-param>
<param-name>addPreload</param-name>
<param-value>true</param-value>
</init-param>
</filter>
<filter-mapping>
<filter-name>HSTSFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
</web-app>
- 将更新后的 web-default.xml 文件复制到其他受影响的服务。
- 重新启动代理服务。
要联系支持部门,请参阅 Dell Data Security 国际支持电话号码。
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛。
Affected Products
Dell EncryptionArticle Properties
Article Number: 000209524
Article Type: How To
Last Modified: 15 Apr 2024
Version: 6
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.