تأتي بوابة ArcGIS Enterprise مصحوبة بأداة البرنامج النصي Python، portalScan.py، التي تقوم بمسح ضوئي لمشاكل الأمان الشائعة. تتحقق الأداة من المشاكل استنادً إلى بعض أفضل الممارسات الخاصة بتكوين بيئة آمنة للبوابة الإلكترونية. وتقوم بتحليل العديد من معايير أو خصائص التكوين وتقوم بتقسيمها إلى ثلاثة مستويات للخطر: Critical وImportant وRecommended. تكون مواصفات هذه المعايير على النحو التالي:
| المُعرّف | الخطورة | الخاصية | الوصف |
|---|---|---|---|
PS01 | Critical | قيود الوكيل | وتحدد ما إذا كانت إمكانات وكيل البوابة الإلكترونية مُقيدة. افتراضيًا، يتم فتح خادم وكيل البوابة الإلكترونية على أي عنوان URL. للتقليل ضد قطع الخدمة (DoS) المحتمل أو هجوم تزييف طلب جانب الخادم (SSRF)، يُوصَى بتقييد إمكانات وكيل البوابة الإلكترونية لتوفير عناوين الويب. |
PS02 | Critical | طلبات الرمز المميز | تحدد ما إذا كانت طلبات إنشاء الرمز المميز مع بيانات الاعتماد في معلمات الاستعلام يتم دعمها أم لا. إذا تم الدعم، عند إنشاء رموز مميزة، يمكن توفير بيانات اعتماد المستخدم كجزء من عنوان URL وقد يتم عرضها من خلال تاريخ المستعرض أو في سجلات الشبكة. يوصى بتعطيل هذا إلا إذا طلبت ذلك تطبيقات أخرى. |
PS03 | Important | دليل خدمات البوابة الإلكترونية | تحدد ما إذا كان من الممكن الوصول إلى دليل خدمات البوابة الإلكترونية من خلال مستعرض الويب أم لا. ينبغي أن يتم تعطيل هذا لتقليل فرص استعراض عناصر البوابة والخدمات وخرائط الويب والمجموعات والموارد الأخرى والعثور عليها في بحث الويب أو الاستعلام عنها في نماذج HTML. |
PS04 | Important | اتصال آمن | تحدد ما إذا كانت البوابة الإلكترونية تقوم بالاتصال من خلال HTTPS فقط أم لا. لمنع تشفير أي اتصال في البوابة الإلكترونية، يُوصى بتكوين البوابة وخادم الويب الذي يستضيف محول الويب لفرض SSL. |
PS05 | Recommended | تسجيل حساب مضمن | تحدد ما إذا كان من الممكن للمستخدمين النقر على زر إنشاء حساب على صفحة تسجيل الدخول على البوابة الإلكترونية لإنشاء حساب داخلي للبوابة الإلكترونية أم لا. عند استخدام حسابات خاصة بالمؤسسة أو الرغبة في إنشاء جميع الحسابات يدويًا، قم بتعطيل هذا الخيار. |
PS06 | Recommended | دخول مجهول | تحدد ما إذا كان يتم السماح لأي من عمليات الدخول المجهولة أم لا. لمنع أي مستخدم من الدخول إلى المحتوى بدون تزويد البوابة بالاعتمادات، يُوصى بتكوين البوابة لتعطيل الوصول المجهول. |
PS07 | مُوصى به | مخزن هوية LDAP | إذا تم تكوين البوابة بمخزن هوية LDAP، فإن هذا يحدد ما إذا تم استخدام اتصال مشفر. يوصى باستخدام LDAPS في خصائص ldapURLForUsers وldapURLForRoles المدرجة في معلمات مخزن المستخدم وتكوين مخزن المجموعة. |
PS08 | مُوصى به | شهادة SSL للبوابة | تحدد ما إذا كان يتم استخدام شهادة موقعة ذاتيًا من قبل البوابة أم لا. للمساعدة في تقليل تحذيرات مستعرض الويب أو أي سلوك آخر غير متوقع من العملاء الذين يتصلون بالبوابة، يوصى باستيراد شهادة SSL الموقعة من CA المرتبطة بالمنفذ 7443 واستخدامها. |
PS09 | مُوصى به | طلبات المجال العكسي | تحدد ما إذا كانت الطلبات عبر المجال (CORS) غير مقيدة أم لا. لتقليل إمكانية وصول تطبيق غير معروف إلى عنصر مدخل مشترك، يُوصى بتقييد الطلبات عبر النطاقات إلى التطبيقات المستضافة في نطاقات موثوقة فقط. |
PS10 | هام | عنوان URL للخادم الإداري المتكامل | تحدد ما إذا كان عنوان URL لمسؤول الخادم المتحد لديك قابلاً للوصول عن طريق البوابة أم لا وما إذا كانت شهادة SSL المستخدمة في عنوان URL هذا موثوقًا بها أم لا. إذا لم يكن موثوقًا أو غير قابل للوصول، فسوف تفشل العديد من وظائف البوابة وعملياتها. |
PS11 | مُوصى به | عنوان URL للخادم المتحد | تحدد ما إذا كان عنوان URL لخدمات الخادم المتحد لديك قابلاً للوصول عن طريق البوابة أم لا وما إذا كانت شهادة SSL المستخدمة في عنوان URL هذا موثوقًا بها أم لا. إذا كان غير موثوق به أو غير قابل للوصول، فستظل البوابة تعمل ولكن قد تفشل بعض عملياتها. |
PS12 | مُوصى به | المحتوى العام | إذا تم تكوين البوابة بحيث لا يمكن للأعضاء مشاركة المحتوى بشكل عام، فسوف يسرد هذا أي عناصر لا تزال موجودة مع الجميع. |
يوجد البرنامج النصي portalScan.py في دليل <Portal for ArcGIS installation location>\tools\security. شغّل البرنامج النصي من سطر الأوامر أو من الوعاء. لديك خيار تحديد معلمة واحدة أو أكثر عند تشغيل البرنامج النصي.
معلمات portalScan.py
يصف الجدول التالي معلمات portalScan.py:
| المعلمة | الوصف |
|---|---|
-n | اسم النطاق المؤهل بالكامل الخاص بالجهاز المثبت عليه البوابة الإلكترونية (بمعنى آخر، gisportal.domain.com). الاسم الافتراضي هو اسم المضيف للجهاز الذي يعمل عليه البرنامج النصي. |
-u | اسم المستخدم لحساب مسؤول. |
-p | كلمة مرور حساب مسئول. |
-o | سيتم حفظ دليل تقرير مسح الأمان. الدليل الافتراضي هو نفس المجلد الذي يعمل عليه البرنامج النصي. |
-t | يمكن إنشاء رمز مميز واستخدامه في موضع اسم المستخدم وكلمة المرور. عند إنشاء رمز مميز، يجب أن يكون portalScan هو الإدخال في حقل Webapp URL. عند توفير رمز مميز، فإنه يتجاوز أي اسم المستخدم مستخدم أو كلمة مرور المتوفرين. |
--ignoressl | تعطيل التحقق من شهادة SSL. بدءًا من 10.7.1، سيحاول البرنامج النصي التحقق من جميع شهادات طبقة المقابس الآمنة بشكل افتراضي. إذا لم تثق Python بمصدر الشهادات، فسيفشل البرنامج النصي في الإكمال. إذا لزم الأمر، يمكن تحديد هذه المعلمة لتجاهل جميع الشهادات. |
-h أو -? | إنتاج قائمة معلمات يمكن تحديدها عند تشغيل البرنامج النصي. |
مثال (تشغيل من موجه الأوامر مع استبدال الملف الناتج إلى C:\Temp):portalScan -n portal.domain.com -u admin -p my.password -o C:\Temp
إذا تم تشغيل البرنامج النصي portalScan دون تحديد معلمات، فسيُطلَب منك إدخالها يدويًا أو تحديد القيمة الافتراضية. إذا أردت استخدام رمز مميز، فيجب توفيره كمعلم عند تشغيل البرنامج النصي.
يعمل المسح الضوئي على إنشاء تقرير في تنسيق HTML الذي يُدرج أي من المشاكل المذكورة أعلاه التي تم العثور عليها في البوابة الإلكترونية المحددة.
بشكل افتراضي، يتم حفظ التقرير في نفس المجلد الذي تقوم فيه بتشغيل البرنامج النصي ويتم تسميته portalScanReport_[hostname]_[date].html.