In diesem Abschnitt werden Verfahren beschrieben, die Sie während des LiveCycle-Installationsprozesses verwenden können, um Sicherheitslücken zu schließen. In einigen Fällen nutzen diese Verfahren Optionen, die Teil des Installationsprozesses sind. Diese Verfahren werden in der folgenden Tabelle beschrieben.
Thema
|
Beschreibung
|
Berechtigungen
|
Verwenden Sie Mindestanzahl an Berechtigungen, die für die Installation der Software erforderlich sind. Melden Sie sich über ein Benutzerkonto, das nicht zur Gruppe „Administratoren“ gehört, bei Ihrem Computer an. Unter Windows können Sie den Befehl „Ausführen als“ verwenden, um das LiveCycle-Installationsprogramm als Benutzer mit Administratorrechten auszuführen. Auf UNIX- und Linux-Systemen verwenden Sie einen Befehl wie sudo für die Installation der Software.
|
Ursprung der Software
|
Verwenden Sie zum Herunterladen oder Ausführen von LiveCycle keine nicht vertrauenswürdigen Quellen.
Bösartige Programme können Code enthalten, der die Sicherheit auf verschiedene Weise verletzt, etwa durch Diebstahl, Ändern und Löschen von Daten sowie Dienstblockade (Denial of Service = DoS). Installieren Sie LiveCycle ausschließlich von der Adobe-DVD oder einer vertrauenswürdigen Quelle.
|
Festplattenpartitionen
|
Installieren Sie LiveCycle auf einer dedizierten Festplattenpartition. Die Festplattenaufteilung ist ein Prozess, bei dem bestimmte Daten auf dem Server auf separaten physischen Festplatten verwaltet werden, um die Sicherheit zu erhöhen. Durch eine solche Datenanordnung lässt sich das Risiko von Directory Traversal-Angriffen verringern. Planen Sie die Erstellung einer von der Systempartition getrennten Partition, auf der Sie das LiveCycle-Inhaltsverzeichnis installieren können. (Unter Windows enthält die Systempartition den Ordner „system32“, das auch als Boot-Partition bezeichnet wird.)
|
Komponenten
|
Prüfen Sie die vorhandenen Dienste und deaktivieren oder deinstallieren Sie nicht erforderliche Dienste. Installieren Sie keine unnötigen Komponenten und Dienste.
Die Standardinstallation eines Anwendungsservers kann Dienste beinhalten, die Sie nicht benötigen. Sie sollten alle unnötigen Dienste vor der Bereitstellung deaktivieren, um die Einstiegspunkte für Angriffe zu minimieren. Unter JBoss können Sie beispielsweise nicht benötigte Dienste in der Deskriptordatei „META-INF/jboss-service.xml“ durch das Einfügen von Kommentarzeichen deaktivieren.
|
Domänenübergreifende Richtliniendatei
|
Das Vorhandensein einer Dateicrossdomain.xml auf dem Server kann diesen Server unmittelbar schwächen. Es wird empfohlen, die Liste der Domänen so weit wie möglich einzuschränken. Platzieren Sie die während der Entwicklungsphase verwendete crossdomain.xml-Datei nicht in der Produktionsumgebung, wenn Sie Guides verwenden (nicht mehr unterstützt). Bei einem Guide, der Webdienste verwendet, wird keine crossdomain.xml-Datei benötigt, wenn sich der Dienst auf demselben Server befindet wie der Server, der den Guide zur Verfügung gestellt hat. Wenn es sich jedoch um einen anderen Dienst handelt oder wenn Cluster betroffen sind, muss eine crossdomain.xml-Datei vorhanden sein. Weitere Informationen zur Datei „crossdomain.xml“ finden Sie unter http://kb2.adobe.com/de/cps/142/tn_14213.html.
|
Sicherheitseinstellungen des Betriebssystems
|
Wenn Sie 192-Bit- oder 256-Bit-XML-Verschlüsselung auf Solaris-Plattformen verwenden müssen, sollten Sie sicherstellen, dass Sie pkcs11_softtoken_extra.so anstelle von pkcs11_softtoken.so installieren.
|
|
|
|