Recommandations de configuration de la sécurité des serveurs
Suivez les étapes décrites dans certaines ou toutes les sections suivantes pour vous assurer que votre serveur Trados GroupShare est aussi sécurisé que possible. Chaque section couvre une zone spécifique.
Méthode d'authentification
Notre recommandation générale est d'utiliser l'une des méthodes d'authentification principales suivantes : Authentification Windows, authentification SAML v2 ou authentification JWT, même si l'authentification RWS est également une option. Cela permettra d'utiliser des options sophistiquées de verrouillage de compte disponibles dans les services d'identité et d'authentification dédiés.servicesauthentification
Sécurité du système
Nous recommandons aux administrateurs système de mettre en œuvre une solution antivirus pour effectuer une analyse avant de charger ou d'utiliser les fichiers dans les projets et ressources de traduction.
Authentification de la base de données
Lors de la connexion au serveur de base de données, nous vous recommandons fortement d'utiliser l'authentification Windows plutôt que l'authentification SQL. Avec l'authentification SQL, les identifiants du nom d'utilisateur et du mot de passe permettant d'accéder à la base de données sont visibles en texte clair dans le fichier de configuration. Avec l'authentification Windows, les identifiants ne sont pas spécifiquement incorporés dans le fichier, ce qui signifie qu'ils ne sont pas accessibles si quelqu'un accède à votre fichier de configuration.
Activer la stratégie HSTS (HTTP Strict Transport Security)
Pour vérifier que la stratégie HSTS est activée dans le gestionnaire IIS :
- Accédez au serveur Web IIS.
- Ouvrez le gestionnaire IIS.
- Développez la section Sites et cliquez sur Serveur RWS.
- Cliquez sur HSTS.
- Vérifiez que Activé est coché, et que Max-Age est défini sur une valeur autre que 0.
La stratégie HSTS est communiquée par le serveur à l'utilisateur via un champ d'en-tête de réponse HTTP nommé Strict-Transport-Security. La stratégie HSTS spécifie une période pendant laquelle l'utilisateur ne doit accéder au serveur que de manière sécurisée. Vérifiez les en-têtes de réponse pour voir si le champ strict-transport-security est présent.
Rediriger HTTP vers HTTPS
Pour rediriger HTTP vers HTTPS :
- Ajoutez une règle de redirection configurée dans le fichier web.config du site Web situé sous SDL Server\Web\web.config
<rule name="Redirect HTTP to HTTPS" stopProcessing="true"> <match url="(.*)" /> <conditions> <add input="{HTTPS}" pattern="off" /> </conditions> <action type="Redirect" url="https://{HTTP_HOST}/{R:1}" redirectType="Permanent" /> </rule> - Ouvrez les outils de développement et suivez le lien vers n'importe quelle ressource, par exemple une police, une image, etc.
- Copiez le lien et collez-le dans un nouvel onglet, en modifiant le protocole HTTPS en HTTP. Vous devriez voir une redirection se produire.HTTP
Désactiver la page Tomcat par défaut
Ce paramètre est une configuration unique et n'est généralement pas requis après une mise à niveau.
- Accédez à C:\Program Files\Apache Software Foundation\Tomcat 9.0\conf
- Ouvrez le fichier web.xml et commentez la section suivante :
<welcome-file-list> <welcome-file>index.html</welcome-file> <welcome-file>index.htm</welcome-file> <welcome-file>index.jsp</welcome-file> </welcome-file-list>
Remarque : Si vous désactivez index.jsp, vous devrez le spécifier dans l'URL lors du chargement en cours de MultiTerm Online. Nous ne recommandons pas cette action, car cela peut entraîner des problèmes inattendus. Les deux autres fiches peuvent être commentées, car elles ne sont pas utilisées.
Désactiver les versions TLS et SSL obsolètes
Ce paramètre est une configuration unique et n'est généralement pas requis après une mise à niveau.
Accédez au registre des clés de votre système. Nous vous recommandons de consulter docs.microsoft.com pour savoir comment procéder en fonction de votre système.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 2.0\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL 3.0\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Client]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server]
"DisabledByDefault"=dword:00000001
"Enabled"=dword:00000000
Correction du problème de traversée de chemin pour MultiTerm Online (MTO)
La vulnérabilité de traversée de chemin dans IIS ne devrait pas se reproduire si les modules RequestFilteringModule et UrlRoutingModule sont activés. Pour GroupShare, cette option est activée par défaut.
Ce n'est pas le cas pour MTO.
Vous pouvez le voir en accédant à https://<domaine>/multiterm/..;x=x/ qui affiche la page Tomcat par défaut.
- Accédez à la section Filtrage des requêtes dans le gestionnaire IIS sous Serveur SDL.
- Ajoutez une nouvelle règle d'URL « Refuser la séquence » pour refuser la séquence de caractères « .. » dans l'URL.
Une fois la règle ajoutée, accéder à https://<domaine>/multiterm/..;x=x ou à toute autre URL contenant « .. » renverra une erreur HTTP 404.
Activer HSTS pour MTO
- Accédez à C:\Program Files\Apache Software Foundation\Tomcat 9.0\conf et ouvrez le fichier web.xml.
- Modifiez le filtre HttpHeaderSecurity comme suit :
<filter> <filter-name>httpHeaderSecurity</filter-name> <filter-class>org.apache.catalina.filters.HttpHeaderSecurityFilter</filter-class> <async-supported>true</async-supported> <init-param> <param-name>hstsEnabled</param-name> <param-value>true</param-value> </init-param> <init-param> <param-name>hstsMaxAgeSeconds</param-name> <param-value>31536000</param-value> </init-param><init-param> <param-name>antiClickJackingOption</param-name> <param-value>SAMEORIGIN</param-value> </init-param> </filter> - Définissez le paramètre antiClickJackingOption en utilisant la valeur SAMEORIGIN, sinon, les pages qui contiennent des iFrames peuvent cesser de fonctionner après l'activation de la stratégie HSTS.
- Assurez-vous que la ligne <async-supported> se trouve toujours au-dessus des lignes <init-param>, comme indiqué dans l'exemple ci-dessus. Sinon, vous pouvez rencontrer des erreurs de validation XML si cette option est activée directement sur le contexte ou par la propriété système STRICT_SERVLET_COMPLIANCE.
- Retirez le commentaire de la section suivante :
<filter-name>httpHeaderSecurity</filter-name> <url-pattern>/*</url-pattern> <dispatcher>REQUEST</dispatcher> </filter-mapping>
Configuration des contraintes de sécurité de MTO
- Accédez à C:\Program Files\Apache Software Foundation\Tomcat 9.0\webapps\multiterm\WEB-INF
- Ouvrez le fichier web.xml.
- Ajoutez la section suivante :
<security-constraint> <web-resource-collection> <web-resource-name>twx-portal</web-resource-name> <url-pattern>/*</url-pattern> </web-resource-collection> <user-data-constraint> <transport-guarantee>CONFIDENTIAL</transport-guarantee> </user-data-constraint> </security-constraint>
Activer les cookies de sécurité IIS
- Accédez à SDL Server\Web.
- Ouvrez le fichier web.config.
- Ajoutez le nœud httpCookies comme suit :
<system.web> ... <httpCookies httpOnlyCookies="true" requireSSL="true" /> ... - Ajoutez une règle de redirection pour sécuriser les cookies dans web.config.
<system.webServer> <rewrite> <outboundRules> <rule name="Use only secure cookies" preCondition="Unsecured cookie"> <match serverVariable="RESPONSE_SET_COOKIE" pattern=".*" negate="false" /> <action type="Rewrite" value="{R:0}; secure" /> </rule> <preConditions> <preCondition name="Unsecured cookie"> <add input="{RESPONSE_SET_COOKIE}" pattern="." /> <add input="{RESPONSE_SET_COOKIE}" pattern="; secure" negate="true" /> </preCondition> </preConditions> </outboundRules> </rewrite> </system.webServer>
Vous pouvez également ajuster le script sous C:\ProgramData\Package Cache\SDL\TradosGroupShare2020\SecureCookie.ps1 ($configPath = 'W:\SDL\SDL Server\Web\web.config') et l'exécuter en tant qu'administrateur.