Chat now with support

Live-Hilfe anfordern
Registrierung abschließen

Anmelden

Preisinformationen anfragen

Vertrieb kontaktieren

Identity Manager 9.1 - Konfigurationshandbuch für Web Designer Webanwendungen

Inhaltsnavigation

Über dieses Handbuch Web Portal konfigurieren

Bestellfunktionen konfigurieren

Bestellung nach Referenzbenutzer konfigurieren Einkaufswagen absenden

Priorität einstellen Bestellung bestätigen Erneute Authentifizierung erzwingen Umgang mit Pflichtprodukten

Optionen für den Entscheider

Gültigkeit setzen Anfrage senden Begründung einfordern

Entscheidungen über URL-Links

Anzeigen benutzerbezogener Prozesse im Web Portal Selbstregistrierung neuer Benutzer konfigurieren Vier-Augen-Prinzip für die Vergabe des Zugangscodes konfigurieren Kennwortfragen konfigurieren Suche konfigurieren

Webauthn-Sicherheitsschlüssel

Webauthn-Konfiguration

Schritt 1: OAuth-Zertifikat konfigurieren Schritt 2: RSTS konfigurieren Schritt 3: Anwendungsserver konfigurieren Schritt 4: Webanwendung konfigurieren

Application Governance Modul konfigurieren

Berechtigungen konfigurieren Hyperviews von Anwendungen befüllen

Kennwortrücksetzungsportal konfigurieren

Einrichten eines Kennwortrücksetzungsportal

Installation des Kennwortrücksetzungsportal Authentifizierung am Kennwortrücksetzungsportal

Anmeldung am Kennwortrücksetzungsportal mit Kennwortfragen konfigurieren

Setzbare Kennwörter Kennwörter von Rücksetzung ausschließen

Zentrales Kennwort

Kennwortabhängigkeiten definieren Setzen eines zentralen Kennwortes Prüfung aller Kennwortrichtlinien aktivieren

Neues Anwendungstoken einrichten Anmeldung am Kennwortrücksetzungsportal über Zielsystembenutzerkonten konfigurieren

Empfehlungen für einen sicheren Betrieb von Webanwendungen

HTTPS verwenden Automatische Kennwortspeicherung abschalten HTTP-Anfragemethode TRACE abschalten HTTP Strict Transport Security (HSTS) verwenden Unsichere Verschlüsselungsmechanismen abschalten "HttpOnly"-Attribut für ASP.NET-Session-Cookies setzen "Same-site"-Attribut für ASP.NET-Session-Cookies setzen "Secure"-Attribut für ASP.NET-Session-Cookies setzen Windows-IIS-8.3-Kurznamen deaktivieren HTTP-Response-Header in Windows IIS entfernen X-Frame-Options-HTTP-Response-Header erstellen Webanwendungen im Release-Modus laufen lassen

"Same-site"-Attribut für ASP.NET-Session-Cookies setzen

Um eine Cross-Site-Request-Forgery (CSRF) zu vermeiden, können Sie für Ihre ASP.NET-Session-Cookies das Same-site-Attribut setzen.

Um das Same-site-Attribut für alle .NET-Versionen ab 4.8 zu setzen

Öffnen Sie die Konfigurationsdatei web.config der gewünschten Webanwendung.
Fügen Sie folgenden Code-Schnipsel innerhalb des Abschnitts <configuration> ein:
```
<system.web>
    <httpCookies sameSite="Strict" />
</system.web>
```
Speichern Sie die Datei.

Verwandte Themen

"Secure"-Attribut für ASP.NET-Session-Cookies setzen

Um zu verhindern, dass Cookies von Unbefugten ausgelesen werden können, können Sie das sogenannte "Secure"-Attribut für Ihre ASP.NET-Session-Cookies setzen. Dadurch werden Cookies nur noch über gesicherte SSL-Verbindungen übertragen.

Um das "Secure"-Attribut für die ASP.NET-Session-Cookies zu setzen

Öffnen Sie die Konfigurationsdatei web.config der gewünschten Webanwendung.
Fügen Sie folgenden Code-Schnipsel innerhalb des Abschnitts <configuration> ein:
```
<system.web>
    <httpCookies requireSSL="true"/>
</system.web>
```
Speichern Sie die Datei.

Verwandte Themen

Windows-IIS-8.3-Kurznamen deaktivieren

Der URL-Parser in den Microsoft Internet Information Services (IIS) ermöglicht einem Remote-Angreifer, Datei- und Ordnernamen der Webanwendungen (die nicht zugänglich sein sollen) durch Verwenden der IIS-8.3-Kurznamen offen zu legen.

Die Ausnutzung dieser Schwachstelle kann dazu führen, dass Dateien mit sensiblen Informationen wie Anmeldeinformationen, Konfigurationsdateien, Wartungsskripte und anderen Daten weitergegeben werden.

Um dies zu verhindern, können Sie die Erstellung von Kurznamen in Windows IIS 8.3 deaktivieren.

Um die Erstellung von Windows-IIS-8.3-Kurznamen zu deaktivieren

Auf dem System, auf dem die Webanwendung installiert ist, erstellen Sie den folgenden Registry-Eintrag:
- Pfad: HKLM\SYSTEM\CurrentControlSet\Control\FileSystem
- Name: NtfsDisable8dot3NameCreation
- Wert: 1
Führen Sie eine Neuinstallation der Webanwendung durch.

Detaillierte Informationen zum Thema

https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-2000-server/cc959352(v=technet.10)

HTTP-Response-Header in Windows IIS entfernen

Angreifer können viele Informationen über Ihren Server und Ihr Netzwerk erhalten, indem sie sich die Response-Header ansehen, die Ihr Webserver zurückgibt.

Um Angreifern so wenig Informationen wie möglich zu geben, können Sie die HTTP-Response-Header in Windows IIS entfernen.

Um die HTTP-Response-Header in WindowsIIS zu entfernen

Lesen Sie die Anweisungen unter folgenden Links:
- https://github.com/dionach/stripheaders
- https://www.saotn.org/remove-iis-server-version-http-response-header/

Verwandte Dokumente

The document was helpful.

Bewertung auswählen

I easily found the information I needed.

Bewertung auswählen

© ALL RIGHTS RESERVED. Feedback Nutzungsbedingungen Datenschutz Cookie Preference Center