3.2 Installation

Cette section décrit des techniques que vous pouvez utiliser pendant le processus d’installation de LiveCycle pour réduire les vulnérabilités de sécurité. Dans certains cas, ces techniques utilisent des options qui font partie du processus d’installation. Le tableau suivant décrit ces techniques :

Problème

Description

Droits

Utilisez le minimum de droits requis pour installer le logiciel. Connectez-vous à l’ordinateur via un compte qui n’appartient pas au groupe Administrateurs. Sous Windows, vous pouvez utiliser la commande Exécuter en tant que pour exécuter le programme d’installation de LiveCycle en tant qu’utilisateur non administrateur. Sous UNIX et Linux, utilisez une commande comme sudo pour installer le logiciel.

Source du logiciel

Ne téléchargez et n’exécutez pas LiveCycle depuis des sources non approuvées.

Des programmes malveillants peuvent contenir des codes conçus pour violer la sécurité de multiples façons, par exemple par vol, par modification et suppression de données, ou par déni de service. Installez LiveCycle à partir du DVD Adobe ou depuis une source approuvée uniquement.

Partitions de disques

Placez LiveCycle sur une partition de disque dédiée. La segmentation de disque est un processus qui permet de conserver des données spécifiques sur des disques physiques séparés de votre serveur, pour une sécurité accrue. Le fait d’organiser les données ainsi permet de réduire le risque d’attaques par traversée d’annuaires. Prévoyez de créer une partition distincte de la partition système, dans laquelle vous pouvez installer le répertoire de contenu LiveCycle  (sous Windows, la partition système contient le répertoire system32, ou partition racine).

Composants

Evaluez les services existants et désactivez ou désinstallez tout service inutile. N’installez pas de composants ou de services dont vous n’avez pas besoin.

L’installation par défaut d’un serveur d’applications peut inclure des services dont vous n’avez aucune utilité. Par conséquent, désactivez tous les services inutiles avant de procéder au déploiement, pour réduire ainsi au minimum les possibilités de points d’entrée d’une attaque. Par exemple, sur JBoss, vous pouvez placer en commentaire les services inutiles dans le fichier descripteur META-INF/jboss-service.xml.

Fichier de stratégie interdomaines

La présence d’un fichier crossdomain.xml sur le serveur peut immédiatement affaiblir ce serveur. Il est recommandé de rendre la liste des domaines aussi restrictive que possible. Ne placez pas en production le fichier crossdomain.xml utilisé pendant la phase de développement lors de l’utilisation des guides (obsolète). Dans le cas d’un guide qui utilise les services Web, si le service figure sur le même serveur ayant servi le guide, aucun fichier crossdomain.xml n’est nécessaire. En revanche, si le service figure sur un autre serveur ou si des grappes sont impliquées, la présence d’un fichier crossdomain.xml est nécessaire. Voir http://kb2.adobe.com/fr/cps/142/tn_14213.html pour plus d’informations sur le fichier crossdomain.xml.

Paramètres de sécurité du système d’exploitation

Si vous devez utiliser un chiffrement XML 192 bits ou 256 bits sur les plateformes Solaris, assurez-vous d’installer pkcs11_softtoken_extra.so au lieu de pkcs11_softtoken.so.