지금 지원 담당자와 채팅
지원 담당자와 채팅

Identity Manager 8.2.1 - Konfigurationshandbuch für Web Designer Webanwendungen

Über dieses Handbuch Web Portal konfigurieren Webauthn-Sicherheitsschlüssel Multi-Faktor-Authentifizierung Application Governance Modul konfigurieren Kennwortrücksetzungsportal konfigurieren Empfehlungen für einen sicheren Betrieb von Webanwendungen

Automatische Kennwortspeicherung abschalten

Mit dieser Einstellung können Sie das automatische Vervollständigen Ihrer Benutzerdaten auf der Anmeldeseite unterbinden. Diese Einstellung wird im Web Designer vorgenommen und kann zur Sicherheit des Betriebs der Webanwendung beitragen.

Tabelle 16: Konfigurationsparameter zum Abschalten der automatischen Kennwortspeicherung

Konfigurationsparameter

Beschreibung

VI_Common_Login_PrefillLoginData

Unterbindet die Vervollständigung der Benutzerdaten auf der Anmeldeseite.

Um die automatische Kennwortspeicherung zu deaktivieren

  1. Öffnen Sie den Web Designer.
  2. Öffnen Sie in der Menüleiste den Menüeintrag Bearbeiten > Projekt konfigurieren > Webprojekt.
  3. Suchen Sie im Tabreiter Projekt konfigurieren den Konfigurationsparameter "VI_Common_Login_PrefillLoginData".
  4. Klicken Sie am Schlüssel Vorausfüllen der Anmeldedaten erlauben in der Spalte Wert (kundenspezifisch) .

Der Standardwert wird auf "False" gesetzt. Die automatische Kennwortspeicherung ist deaktiviert.

HTTP-Anfragemethode TRACE abschalten

Über die Anfrage TRACE kann der Weg zum Webserver verfolgt und die korrekte Datenübermittlung dorthin überprüft werden. Somit wird ein Traceroute auf Anwendungsebene, also der Weg zum Webserver über die verschiedenen Proxys hinweg, ermittelt. Diese Methode ist besonders für das Debugging von Verbindungen sinnvoll.

WICHTIG: TRACE sollte nicht auf einer produktiven Umgebung aktiviert sein, da es zu Leistungseinbußen führen kann.

Um die HTTP-Anfragemethode TRACE über Internet Information Services zu deaktivieren

  • Lesen Sie die Anweisungen, die Sie über folgenden Link aufrufen können.

https://docs.microsoft.com/en-us/iis/configuration/system.webserver/tracing/

HTTP Strict Transport Security (HSTS) verwenden

HTTP Strict Transport Security (HSTS) ist ein Sicherheitsmechanismus für HTTPS-Verbindungen. Dieser Mechanismus schützt vor Aushebelung der Verbindungsverschlüsselung durch Downgrade-Attacke und Session Hijacking. Hierbei kann ein Server mithilfe des HTTP Response Header "Strict-Transport-Security" dem Browser des Benutzer mitteilen, zukünftig eine definierte Zeit (max-age) ausschließlich verschlüsselte Verbindungen für diese Domain zu verwenden. Wahlweise lässt sich diese Einstellung über den Parameter includeSubDomains auf alle Subdomains ausweiten. Das heißt, es wird nicht nur https://example.org berücksichtigt, sondern auch https://subdomains.example.org.

Um HSTS zu aktivieren

  1. Öffnen Sie die Konfigurationsdatei web.config der gewünschten Webanwendung.
  2. Setzen Sie den HTTP Response Header Strict-Transport-Security und den Wert maxage = expireTime.

    Ausführliche Informationen wie Sie den HTTP Response Header setzen, finden Sie unter folgendem Link https://docs.microsoft.com/en-us/iis/configuration/system.applicationhost/sites/site/hsts.

Unsichere Verschlüsselungsmechanismen abschalten

Aus Sicherheitsgründen wird empfohlen alte, nicht benötigte Verschlüsselungsmethoden und Protokolle zu deaktivieren. Durch das Deaktivieren von alten Protokollen und Methoden können ältere Plattformen und Systeme unter Umständen keine Verbindung mehr mit der Webanwendung aufbauen. Es ist daher notwendig, anhand der benötigten Plattformen zu entscheiden, welche Protokolle und Methoden notwendig sind.

HINWEIS: Zur Deaktivierung der Verschlüsselungsmethoden und Protokolle wird die Software "IIS Crypto" von Nartac Software empfohlen.

Ausführliche Informationen zur Deaktivierung finden Sie unter https://www.nartac.com/Products/IISCrypto.

Detaillierte Informationen zum Thema
관련 문서

The document was helpful.

평가 결과 선택

I easily found the information I needed.

평가 결과 선택