HCL AppScan Enterprise 中文文檔 10.0.1 安裝后任務
安裝后核對表
在安裝 AppScan? Enterprise 之后,請復審并完成安裝后核對表上的所有必要任務。
**表 1. 安裝后核對表
安裝后核對表
**
| 任務 | 完成時打鉤 |
|---|---|
| 驗證代理進程服務和警報服務安裝 | ? |
| 保護部署。 | ? |
| 啟用 FIPS 或啟用 NIST。(聯邦政府部門) | ? |
驗證代理進程服務和警報服務安裝情況
在安裝期間,會安裝兩個服務:代理程序服務和警報服務。您需要確保這些服務都已經安裝并啟動。如果代理程序服務未啟動,則“服務器”將不會選取并運行用戶創建的任何作業。如果警報服務未啟動,則將不會發出已經為用戶配置的任何警報。確保只安裝了警報服務的一個實例;否則,可能會發出重復的通知。
關于此任務
如果將“服務器”組件安裝在不同機器上,則必須確認啟動了每一個機器上的服務。
過程
- 使用“控制面板”或“開始”菜單,選擇管理工具 > 服務。
- 在服務列表中,選擇代理程序服務。如果正確安裝并啟動了服務,將在“狀態”列中顯示已啟動狀態。如果不是這樣,您可以通過右鍵單擊服務名稱并選擇啟動來啟動服務。
- 對“警報服務”重復“步驟 2”。
為 Liberty 概要文件配置基本用戶注冊表
關于此任務
保護部署
在安裝和配置期間執行以下步驟可確保 AppScan? Enterprise 實例安全。
過程
在配置期間,在“服務器證書”對話框中選擇特定于您組織的證書。
要在 Enterprise Console 服務器上保護 IIS 的安全:
禁用 WebDAV。
禁用 EnableTraceMethod。此方法確定 IIS 是否會識別 HTTP TRACE 方法。TRACE 方法用于調用遠程的、應用層的請求消息環回。TRACE 允許客戶機看到請求鏈的另一端正在接收的數據,并使用該數據來測試和調試信息。
注: 請勿讓 EnableTraceMethod 在生產系統上保持啟用狀態,因為它會將后端服務器地址信息泄露給惡意用戶。
信任認證中心
如果您的證書不是來自可信中心的證書,那么將需要在您的客戶機上信任該證書。
過程
- 在 Internet Explorer 中,瀏覽至 AppScan? Enterprise 并在收到證書警告時選擇繼續。
- 右鍵單擊該頁面,選擇“屬性”,然后單擊證書。
- 選擇安裝證書,然后單擊下一步。
- 選擇將所有證書放置在以下存儲庫中,然后單擊瀏覽。
- 選擇顯示物理存儲庫。
- 選擇可信根認證中心 > 本地計算機。
- 單擊下一步 > 完成。
在 IIS 中禁用弱密碼套件
缺省情況下,IIS 隨附安裝了兩個已啟用的弱 SSL 2.0 密碼套件:SSL2_RC4_128_WITH_MD5 和 SSL2_DES_192_EDE3_CBC_WITH_MD5。這可能會影響 AppScan Enterprise 的安全性,因此應禁用這些密碼套件。
開始之前
錯誤地編輯注冊表可能會嚴重損害系統。對注冊表做出更改之前,應備份計算機上的任何有價值的數據。
過程
- 打開注冊表編輯器(開始 > 運行 > regedit)。
- 在 HKEY_LOCAL_MAC HINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers 目錄中:
- 創建名為 RC4 128/128 的新密鑰(密碼 > 新建 > 密鑰RC4 128/128)。
- 右鍵單擊此密碼的名稱并創建名為“Enabled”的新 DWORD(32 位)值。 (新建 > DWORD(32 位)值 > Enabled)
- 將缺省值保留為“0”。
- 在 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Hashes 目錄中:
- 創建名為 MD5 的密鑰(散列 > 新建 > 密鑰 > MD5)。
- 右鍵單擊此密碼的名稱并創建名為“Enabled”的新 DWORD(32 位)值。 (新建 > DWORD(32 位)值 > Enabled)
- 將缺省值保留為“0”。
- 關閉注冊表編輯器
更新 Java SDK 策略文件
AppScan? Enterprise 提供包含了強大但受限的管轄區域策略文件的 Java? SDK 7.0。認證中心 (CA) 提供的某些密鑰格式(例如 PKCS #12)可能使用未隨附于 Java SDK 7.0 中受限策略文件的算法進行保護。在將自簽名證書替換為 CA 頒發的證書之前,請更新 Java SDK 策略文件。
關于此任務
策略文件更新中提供的不受限 JCE 策略文件可確保您擁有 CA 頒發的證書的正確算法。
過程
使用瀏覽器訪問 http://www.ibm.com/developerworks/java/jdk/security/index.html。
單擊 Java SE 7。
在啟動的 Web 站點上,單擊目錄中的 IBM? SDK 策略文件,然后單擊在內容窗格中打開的頁面上的 ibm.com?。
在此 Web 站點上,輸入您的 HCL?.com 標識和密碼。
選擇 Java 5.0 SR16、Java 6 SR13、Java 6 SR5 (J9 VM2.6)、Java 7 SR4 和所有更高發行版的文件,然后單擊繼續。
查看許可證,選中我同意,然后單擊我確認。
單擊立即下載。
將壓縮文件中打包的不受限管轄區域策略文件解壓縮。壓縮文件包含一個
US_export_policy.jar文件和一個local_policy.jar文件。在安裝了 AppScan Enterprise 的服務器上,備份以下文件:
- US_export_policy.jar
- local_policy.jar
注: 缺省情況下, 這些文件安裝在下列目錄中:/AppScan Enterprise/Liberty/jre/lib/security/.
將
US_export_policy.jar和local_policy.jar文件替換為下載的壓縮文件中的已更新文件。
保護從 AppScan Enterprise 到 SQL Server 的連接
本過程描述了如何通過使用 Microsoft? 管理控制臺 (MMC) 在運行 Microsoft SQL Server 的計算機上安裝證書,并描述了如何在服務器上啟用 SSL 加密。
開始之前
- 如果要在托管 SQL Server 的計算機上創建 SSL 證書,請確保該計算機上安裝了 IIS,否則將無法處理此過程。
- 如果您使用的是購買的 SSL 證書或從內部認證中心生成的證書,請從此過程的步驟 2 開始。
關于此任務
當您對 SQL Server 計算機上的連接進行保護時,SQL Server 將使用 SSL 加密其連接。當 AppScan Enterprise Server 嘗試連接到 SQL Server 時,SQL Server 會告知 AppScan Enterprise Server 它將在初始握手期間使用 SSL 連接,并且它們以這種方式進行通信。AppScan Enterprise Server 知道如何通過 SSL 與 SQL Server 進行對話。SQL Server 使用證書進行加密以連接到 AppScan Enterprise Server 并交換該信息。
過程
在托管 SQL Server 的計算機上,創建 SSL 證書:
- 轉至控制面板 > 管理工具 > IIS 管理器 > 服務器證書 > 創建自簽名證書。
- 為證書提供一個名稱,單擊確定,然后導出證書。
- 關閉 IIS 管理器。
在托管 SQL Server 的計算機上,啟動 MMC 控制臺 ( 開始 > 運行 > mmc)。
轉至文件 > 添加/移除管理單元 > 證書 > 添加 > 計算機帳戶。
選擇您希望管理單元進行管理的計算機,然后單擊完成 > 確定。
展開證書,右鍵單擊個人文件夾,然后轉至所有任務 > 導入。
按照向導指示信息進行操作并導入證書。
關閉 MMC 控制臺,然后重新啟動 SQL 服務。
重要: 確保服務帳戶可以訪問證書。此帳戶可能需要作為本地帳戶來運行。
打開 SQL Server 配置管理器:
- 展開 SQL Server 網絡配置,右鍵單擊 的協議,然后選擇屬性。
- 在“標志”選項卡上的強制加密框中選擇是,然后單擊確定。
- 從“證書”選項卡中選擇證書,然后單擊確定以關閉窗口。
- 重新啟動 SQL Server 服務。
如果您要通過非特權服務帳戶來運行 SQL Server,那么必須使專用密鑰可由 SQL Server 服務帳戶讀取。請按照以下文章中的步驟進行操作:Permissions required for SQL Server Service account to use SSL certificate。
注: 閱讀這些部分:“Few more tips while enabling the encrypted connection” and “Permissions to the Private Key portion of the Imported Certificate - FIX”,其所屬的文章是:Enable Encrypted Connections to the Database Engine (SQL Server Configuration Manager)。
通過加密來保護數據
存儲在物理介質上的數據可能成為未經授權的訪問攻擊的目標。物理介質可能被盜,或者數據可能被遠程訪問。盡管您可以使用物理和計算機安全性方法來保護數據免受這些類型的攻擊,但是將數據加密可防止攻擊者讀取被盜文件,從而提供更多保護。
僅當攻擊者一開始就無法劫持用于保護數據的計算機帳戶或密碼時,將數據加密才有效。可以通過使用諸如以下的各種加密方法來保護存儲在 Microsoft? SQL Server 數據庫文件中的數據:
- 硬盤驅動器加密
- 已加密文件系統
- 透明數據加密 (TDE) - 它是 MS SQL Server 2008 Enterprise Edition 的一項功能
- 單元格加密,通過加密數據庫表中的各個列來完成
單元格加密是對托管數據庫服務器的計算機依賴性最小的方法,并可供有權訪問該數據庫的任何應用程序使用,因為所寫入的數據由應用程序進行加密。但是,此方法對于應用程序性能有很大影響,而 Microsoft 告誡不要使用此方法并建議使用透明數據加密 (TDE) 來作為替代方法。
為了提高產品性能,AppScan? Enterprise 不再使用單元加密。對于某些組織,由 AppScan Enterprise 提供的單元加密是除其組織標準所要求的現有數據加密措施之外再增加的一層保護,因此數據在這些情況下將保持受保護。
對于沒有使用 AppScan Enterprise 通過單元加密所提供方法以外的任何其他數據加密方法的組織,請閱讀“相關鏈接”部分中關于如何啟用數據加密并保護數據的信息:
推薦文章: