如何在 Dell Security Manager 代理服务器上启用 HSTS

摘要: 在进行安全扫描时,Dell Security Manager 代理服务器可能会显示 HSTS 漏洞。

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

说明

受影响的产品:

  • Dell Security Management Server

受影响的版本:

  • 11.1 及更高版本(通过配置更改进行修改)
  • 11.0 及更低版本(需要包含 HSTS 筛选器的更新.jar文件。正在对这些较旧的服务器进行调查。)

受影响的操作系统:

  • Windows 服务器

Dell Security Manager 代理服务器中发现了一个 HSTS 漏洞。可以为服务配置 HSTS 筛选器以解决此漏洞。

在 Dell Security Manager 代理服务器中,安全扫描程序将 HTTP Strict Transport Security (HSTS) 标记为漏洞。

Dell Security Manager 代理服务器包含四项服务:

  • 戴尔核心服务器代理
  • 戴尔设备服务器
  • 戴尔策略代理
  • Dell Security Server Proxy
提醒:Dell Policy Proxy 不是 Jetty 代理服务器服务,不会对通过端口 8000 的传输进行加密。但是,有效负载是加密的,以这种方式提供安全性,因此,策略代理不需要更改 HSTS。

必须修改 conf 文件夹中的文件webdefault.xml以包含 HSTS 过滤器的配置,才能在 Dell Core Server Proxy、Dell Device Server 和 Dell Security Server Proxy 服务上启用 HSTS。

提醒:三个代理服务器服务的默认web-default.xml文件相同。更新其中一个 web-default.xml 文件,将该文件复制到其他两个服务器 conf 文件夹,然后重新启动服务是将更改传播到其他服务的快速方法。

安装位置为:

  • 戴尔核心服务器代理:C:\Program Files\Dell\Enterprise Edition\Core Server Proxy
  • Dell Device Server:C:\Program Files\Dell\Enterprise Edition\Device Server
  • Dell Security Server Proxy:C:\Program Files\Dell\Enterprise Edition\Security Server Proxy

请执行以下步骤:

  1. 停止代理服务
  2. 将目录更改为其中一个代理服务 .\conf 文件夹。
  3. 备份 conf\web-default.xml 文件,以防发生错误。
  4. 将 HSTS 筛选器更新 添加到其中一个 services conf\web-default.xml 文件。

HSTS 筛选器配置将添加到 webdefault.xml 文件底部的行上方:

</web-app>

HSTS 筛选器配置为:

<filter>
    <filter-name>HSTSFilter</filter-name>
    <filter-class>com.credant.jetty.servlet.TransportSecurityFilter</filter-class>
    <init-param>
      <param-name>maxAgeSeconds</param-name>
      <param-value>31536000</param-value>
    </init-param>
    <init-param>
      <param-name>includeSubDomains</param-name>
      <param-value>true</param-value>
    </init-param>
    <init-param>
      <param-name>addPreload</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>HSTSFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

web-default.xml的最后几行是(添加的 HSTS 过滤器在下面 以黄色 显示):

<security-constraint>
    <web-resource-collection>
      <web-resource-name>Disable TRACE and OPTIONS</web-resource-name>
      <url-pattern>/</url-pattern>
      <http-method>TRACE</http-method>
      <http-method>OPTIONS</http-method>
    </web-resource-collection>
    <auth-constraint/>
  </security-constraint>
  
 <filter>
    <filter-name>HSTSFilter</filter-name>
    <filter-class>com.credant.jetty.servlet.TransportSecurityFilter</filter-class>
    <init-param>
      <param-name>maxAgeSeconds</param-name>
      <param-value>31536000</param-value>
    </init-param>
    <init-param>
      <param-name>includeSubDomains</param-name>
      <param-value>true</param-value>
    </init-param>
    <init-param>
      <param-name>addPreload</param-name>
      <param-value>true</param-value>
    </init-param>
  </filter>
  <filter-mapping>
    <filter-name>HSTSFilter</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

</web-app>
  1. 将更新后的 web-default.xml 文件复制到其他受影响的服务。
  2. 重新启动代理服务

要联系支持部门,请参阅 Dell Data Security 国际支持电话号码
转至 TechDirect,在线生成技术支持请求。
要获得更多见解和资源,请加入戴尔安全社区论坛

受影响的产品

Dell Encryption
文章属性
文章编号: 000209524
文章类型: How To
上次修改时间: 15 4月 2024
版本:  6
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。