Konfigurationsempfehlungen für die Serversicherheit
Führen Sie die in einigen oder allen folgenden Abschnitten beschriebenen Schritte aus, um sicherzustellen, dass die Sicherheit Ihres Trados GroupShare Servers so hoch wie möglich ist. Jeder Abschnitt deckt einen bestimmten Bereich ab.
Authentifizierungsmethode
Unsere allgemeine Empfehlung lautet, eine der folgenden primären Authentifizierungsmethoden zu verwenden: Windows-Authentifizierung, SAML v2-Authentifizierung oder JWT-Authentifizierung, obwohl RWS-Authentifizierung ebenfalls eine Option ist. Dies ermöglicht die Verwendung komplexer Optionen für die Kontosperre, die in den dedizierten Identitäts- und Authentifizierungsdiensten verfügbar sind.
System-Sicherheit
Wir empfehlen den Systemadministratoren, eine Virenschutz-Lösung zu implementieren, um einen Scan durchzuführen, bevor die Dateien hochgeladen oder in Übersetzungsprojekten und -ressourcen weiter verwendet werden.
Datenbank-Authentifizierung
Bei der Verbindung zum Datenbankserver wird dringend empfohlen, die Windows-Authentifizierung anstelle der SQL-basierten Authentifizierung zu verwenden. Bei der SQL-Authentifizierung sind die Zugangsdaten für Benutzername und Kennwort für den Zugriff auf die Datenbank im Klartext in der Konfigurationsdatei sichtbar. Bei der Windows-Authentifizierung sind die Zugangsdaten nicht speziell in die Datei eingebettet, was bedeutet, dass auf sie nicht zugegriffen werden kann, falls jemand Zugriff auf Ihre Konfigurationsdatei erhält.
Aktivieren von HTTP Strict Transport Security (HSTS)
So prüfen Sie, ob HSTS im IIS-Manager aktiviert ist:
- Greifen Sie auf den IIS-Server zu.
- Öffnen Sie den IIS-Manager.
- Erweitern Sie den Bereich Sites und klicken Sie auf SDL Server.
- Klicken Sie auf HSTS.
- Stellen Sie sicher, dass die Einstellung Aktivieren aktiviert ist und dass Max-Age auf einen anderen Wert als 0gesetzt ist.
Die HSTS-Policy wird vom Server über eine HTTP-Antwortkopfzeile namens Strict-Transport-Security an den Benutzeragenten übermittelt. In der HSTS-Richtlinie ist ein Zeitraum angegeben, in dem der Benutzeragent nur auf sichere Weise auf den Server zugreifen soll. Prüfen Sie die Antwortkopfzeilen, um festzustellen, ob das Feld Strict-Transport-Security vorhanden ist.
Umleitung von HTTP zu HTTPS
So leiten Sie HTTP auf HTTPS um:
- Fügen Sie eine Umleitungsregel hinzu, die in der Datei web.config der Website unter SDL Server\Web\web.config
<rule name="Redirect HTTP to HTTPS" stopProcessing="true"> <match url="(.*)" /> <conditions> <add input="{HTTPS}" pattern="off" /> </conditions> <action type="Redirect" url="https://{HTTP_HOST}/{R:1}" redirectType="Permanent" /> </rule> - „Open Developer Tools“ konfiguriert wird, und nehmen Sie den Link einer beliebigen Ressource, z. B. für eine Schrift, ein Bild usw.
- Kopieren Sie den Link und fügen Sie ihn in eine neue Registerkarte ein, wobei Sie das Protokoll von HTTPS auf HTTP ändern. Sie sollten eine Umleitung erfahren.
Tomcat-Standardseite deaktivieren
Bei dieser Einstellung handelt es sich um eine einmalige Konfiguration, die im Allgemeinen nach einem Upgrade nicht erforderlich ist.
- Navigieren Sie zu C:\Programme\Apache Software Foundation\Tomcat 9.0\conf
- Öffnen Sie die Datei web.xml und kommentieren Sie den folgenden Bereich:
<welcome-file-list> <welcome-file>index.html</welcome-file> <welcome-file>index.htm</welcome-file> <welcome-file>index.jsp</welcome-file> </welcome-file-list>
Hinweis: Wenn Sie Index.jsp deaktivieren, müssen Sie dies beim Laden von MultiTerm Online in der URL angeben. Wir empfehlen dies nicht, da es zu unerwarteten Problemen führen kann. Die anderen beiden Einträge können auskommentiert werden, da sie nicht verwendet werden.
Veraltete TLS- und SSL-Versionen deaktivieren
Bei dieser Einstellung handelt es sich um eine einmalige Konfiguration, die im Allgemeinen nach einem Upgrade nicht erforderlich ist.
Navigieren Sie zur Key Registry Ihres Systems. Wir empfehlen, bei docs.microsoft.com nachzusehen, wie Sie dabei für Ihr System vorgehen.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
Beheben der Pfadüberquerung für MultiTerm Online (MTO)
Die Sicherheitsanfälligkeit bezüglich Pfadüberquerung in IIS sollte sich nicht reproduzieren, wenn die Module RequestFilteringModule und UrlRoutingModule aktiviert sind. Für GroupShare ist dies standardmäßig aktiviert.
Dies gilt nicht für MTO.
Sie können dies sehen, indem Sie auf https://<domäne>/multiterm/..;x=x/ zugreifen, wo die Standardseite von Tomcat angezeigt wird.
- Gehen Sie zu Request Filtering im IIS-Manager unter SDL Server.
- Fügen Sie eine neue URL-Regel „Deny Sequence“ hinzu, um die Zeichensequenz „..“ in der URL zu verweigern.
Nachdem die Regel hinzugefügt wurde, führt der Zugriff auf https://<domäne>/multiterm/..;x=x oder auf jede andere URL, die ".." enthält, zu einem HTTP 404-Fehler.
HSTS für MTO aktivieren
- Navigieren Sie zu C:\Programme\Apache Software Foundation\Tomcat 9.0\conf und öffnen Sie die XML-Datei web.xml.
- Bearbeiten Sie den HttpHeaderSecurity-Filter wie folgt:
<filter> <filter-name>httpHeaderSecurity</filter-name> <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class> <async-supported>true</async-supported> <init-param> <param-name>hstsEnabled</param-name> <param-value>true</param-value> </init-param> <init-param> <param-name>hstsMaxAgeSeconds</param-name> <param-value>31536000</param-value> </init-param><init-param> <param-name>antiClickJackingOption</param-name> <param-value>SAMEORIGIN</param-value> </init-param> </filter> - Legen Sie den Parameter antiClickJackingOption mit dem Wert SAMEORIGIN fest, andernfalls funktionieren Seiten, die iFrame enthalten, nach der Aktivierung von HSTS möglicherweise nicht mehr.
- Stellen Sie sicher, dass sich die Zeile <async-supported> immer über den <init-param>-Zeilen befindet, wie im oben gezeigten Beispiel. Andernfalls können XML-Validierungsfehler auftreten, wenn dies direkt im Kontext oder durch die System-Eigenschaft STRICT_SERVLET_COMPLIANCE aktiviert wird.
- Entfernen Sie die Kommentare im folgenden Bereich:
<filter-name>httpHeaderSecurity</filter-name> <url-pattern>/*</url-pattern> <dispatcher>REQUEST</dispatcher> </filter-mapping>
Konfiguration der MTO-Sicherheitseinschränkung
- Navigieren Sie zu C:\Programme\Apache Software Foundation\Tomcat 9.0\webapps\multiterm\WEB-INF
- Öffnen Sie die XML-Datei web.xml.
- Fügen Sie den folgenden Bereich hinzu:
<security-constraint> <web-resource-collection> <web-resource-name>twx-portal</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint>
IIS-Sicherheits-Cookies aktivieren
- Navigieren Sie zu SDL Server\Web
- Öffnen Sie die Web.config Datei
- Fügen Sie den Knoten httpCookies wie folgt hinzu:
<system.web> ... <httpCookies httpOnlyCookies="true" requireSSL="true" /> ... - Fügen Sie eine Regel für sichere Cookies in web.config hinzu
<system.webServer> <rewrite> <outboundRules> <rule name="Use only secure cookies" preCondition="Unsecured cookie"> <match serverVariable="RESPONSE_SET_COOKIE" pattern=".*" negate="false" /> <action type="Rewrite" value="{R:0}; secure" /> </rule> <preConditions> <preCondition name="Unsecured cookie"> <add input="{RESPONSE_SET_COOKIE}" pattern="." /> <add input="{RESPONSE_SET_COOKIE}" pattern="; secure" negate="true" /> </preCondition> </preConditions> </outboundRules> </rewrite> </system.webServer>
Alternativ können Sie das Skript unter C:\Programme\Package Cache\SDL\TradosGroupShare2020\SecureCookie.ps1 ($configPath = 'W:\SDL\SDL Server\Web\web.config') anpassen und als Administrator ausführen.