Linha RM

Atalhos

Páginas filhas
  • Recomendações de segurança PEP RM

Versões comparadas

Versão antiga 6

changes.mady.by.user Rafael Brito Dantas

Gravado em

comparado com

Nova versão 7

changes.mady.by.user Rafael Brito Dantas

Gravado em

Chave

  • Esta linha foi adicionada.
  • Esta linha foi removida.
  • A formatação mudou.
  • VISÃO GERAL
  • CONFIGURAÇÕES INICIAIS

01. VISÃO GERAL

Este artigo tem como objetivo descrever recomendações de segurança para aumentar o nível de segurança, integridade e confidencialidade dos dados do PEP RM, garantindo um ambiente operacional seguro. 

02. CONFIGURAÇÕES INICIAIS


  • Utilizar um certificado SSL válido (Recomendado)

Para garantir que a comunicação com o portal seja segura, habilite o SSL para a sua aplicação no IIS. Isso é recomendado principalmente quando o portal é exposto em uma DMZ ou servidor com acesso via rede pública:           

...

https://www.digicert.com/ssl-certificate-installation-microsoft-iis-8.htm

  • Configurar bloqueio de usuário ao inserir senha incorreta no login (Recomendado)

CONFIGURAÇÃO DE BLOQUEIO POR ERRO AO LOGAR NO SISTEMA - Linha RM - TDN

  • Habilitar SSL/TLS no Host (Opcional)

A comunicação com o HOST já é feita com segurança e os dados não são trafegados em “plain text” por padrão. Porém para aumentar a segurança e fazer com que as informações trafeguem criptografadas e com ainda mais segurança, sugerimos que habilitem o SSL no HOST.  Ver: Habilitar SSL/TLS no Host - Linha RM - TDN

03. CONFIGURAÇÕES NO Web.Config

Desabilitar o VERB TRACE

Para realizar as configurações abaixo será necessário acessar o arquivo arquivo web.config da pasta  da pasta FrameHTML.

O trecho de código abaixo deve ser incluído no  nó <system.webServer>

Bloco de código
titleDesabilitar o VERB TRACE
<security>
    <requestFiltering removeServerHeader="true">
       <verbs allowUnlisted="true"> 
          <add verb="TRACE" allowed="false" />
       </verbs> 
    </requestFiltering>
</security>

...

Ou a configuração pode ser feita pelo IIS:

Desabilitar o Debug: "ASP.NET DEBUG  DEBUG Method Enabled"

No web.config, no nó <system.web>

Bloco de código
titleAdicionar a tag debug false no compilation nó <system.web>
<compilation debug="false" />

Referência: Disable debugging for ASP.NET application - ASP.NET | Microsoft Learn


Remover do cabeçalho de resposta HTTP dos seguintes itens

  • Server
    Esse cabeçalho de resposta pode ser removido com uma configuração no arquivo web.config, no nó <system.webServer> adicione:
Bloco de código
<security>
 <requestFiltering removeServerHeader ="true" />
</security>


  • X-Powered-By
    Esse cabeçalho de resposta pode ser removido com uma configuração no arquivo web.config, no nó <system.webServer> adicione:
Bloco de código
<httpProtocol>
 <customHeaders>
   <remove name="X-Powered-By" />
 </customHeaders>
</httpProtocol>



X-AspNet-Version
Esse cabeçalho de resposta pode ser removido com uma configuração no arquivo web.config, no nó <system.web> adicione:

Artigos relacionados

Propriedades de página
hiddentrue
Itens relacionados