Skip To Content

مسح البوابة الإلكترونية لأفضل ممارسات الأمان

تأتي بوابة ArcGIS Enterprise مصحوبة بأداة البرنامج النصي Python، portalScan.py، التي تقوم بمسح ضوئي لمشاكل الأمان الشائعة. تتحقق الأداة من المشاكل استنادً إلى بعض أفضل الممارسات الخاصة بتكوين بيئة آمنة للبوابة الإلكترونية. وتقوم بتحليل العديد من معايير أو خصائص التكوين وتقوم بتقسيمها إلى ثلاثة مستويات للخطر: Critical وImportant وRecommended. تكون مواصفات هذه المعايير على النحو التالي:

المُعرّفالخطورةالخاصيةالوصف

PS01

Critical

قيود الوكيل

يحدد ما إذا كانت إمكانات وكيل البوابة الإلكترونية مُقيدة. افتراضيًا، يتم فتح خادم وكيل البوابة الإلكترونية على أي عنوان URL. للتقليل ضد قطع الخدمة (DoS) المحتمل أو هجوم تزييف طلب جانب الخادم (SSRF)، يُوصَى بشدة تقييد إمكانات وكيل البوابة الإلكترونية لتوفير عناوين الويب.

PS02

Critical

طلبات الرمز المميز

يحدد ما إذا يقوم بإنشاء طلبات الرمز المميز مع بيانات الاعتماد في معلمات الاستعلام التي يتم دعمها. إذا تم الدعم، عند إنشاء رموز مميزة، يمكن توفير بيانات اعتماد المستخدم كجزء من عنوان URL وقد يتم عرضها من خلال تاريخ المستعرض أو في سجلات الشبكة. يوصى بتعطيل هذا إلا إذا طلبت ذلك تطبيقات أخرى.

PS03

Important

دليل خدمات البوابة الإلكترونية

يحدد ما إذا يمكن الوصول إلى دليل خدمات البوابة الإلكترونية من خلال مستعرض الويب. ينبغي أن يتم تعطيل هذا لتقليل فرص استعراض عناصر البوابة والخدمات وخرائط الويب والمجموعات والموارد الأخرى والعثور عليها في بحث الويب أو الاستعلام عنها في نماذج HTML.

PS04

Important

اتصال آمن

يحدد ما إذا تقوم البوابة الإلكترونية بالاتصال من خلال HTTPS فقط. لمنع تشفير أي اتصال في البوابة الإلكترونية، يُوصى بتكوين البوابة وخادم الويب الذي يستضيف محول الويب لفرض SSL.

PS05

Recommended

تسجيل حساب مضمن

يحدد ما إذا يُمكن للمستخدمين النقر على زر إنشاء حساب على صفحة تسجيل الدخول على البوابة الإلكترونية لإنشاء حساب داخلي للبوابة الإلكترونية. عند استخدام حسابات المؤسسة أو الرغبة في إنشاء جميع الحسابات يدويًا، قم بتعطيل هذا الخيار.

PS06

Recommended

دخول مجهول

يحدد ما إذا يتم السماح لأي من عمليات الدخول المجهولة. لمنع أي مستخدم من الدخول إلى المحتوى بدون تزويد البوابة بالاعتمادات، يُوصى بتكوين البوابة لتعطيل الوصول المجهول.

PS07

مُوصى به

مخزن هوية LDAP

إذا تم تكوين البوابة بمخزن هوية LDAP، فإن هذا يحدد ما إذا تم استخدام اتصال مشفر. يوصى باستخدام LDAPS في خصائص ldapURLForUsers وldapURLForRoles المدرجة في معلمات مخزن المستخدم وتكوين مخزن المجموعة.

PS08

مُوصى به

شهادة SSL للبوابة

يحدد ما إذا كان يتم استخدام شهادة موقعة ذاتيًا من قبل البوابة. للمساعدة في تقليل تحذيرات مستعرض الويب أو أي سلوك آخر غير متوقع من العملاء الذين يتصلون بالبوابة، يوصى باستيراد شهادة SSL الموقعة من CA المرتبطة بالمنفذ 7443 واستخدامها.

PS09

مُوصى به

طلبات المجال العكسي

يحدد ما إذا كانت الطلبات عبر المجال (CORS) غير مقيدة. لتقليل إمكانية وصول تطبيق غير معروف إلى عنصر مدخل مشترك، يُوصى بتقييد الطلبات عبر النطاقات إلى التطبيقات المستضافة في نطاقات موثوقة فقط.

PS10

هام

عنوان URL للخادم الإداري المتكامل

يحدد ما إذا كان عنوان URL لمسؤول الخادم المتحد لديك قابلاً للوصول عن طريق البوابة وإذا كانت شهادة SSL المستخدمة في عنوان URL هذا موثوقًا بها. إذا لم يكن موثوقًا أو غير قابل للوصول، فسوف تفشل العديد من وظائف البوابة وعملياتها.

PS11

مُوصى به

عنوان URL للخادم المتحد

يحدد ما إذا كان عنوان URL لمسؤول الخادم لديك قابلاً للوصول عن طريق البوابة وإذا كانت شهادة SSL المستخدمة في عنوان URL هذا موثوقًا بها. إذا كان غير موثوق به أو غير قابل للوصول، فستظل البوابة تعمل ولكن قد تفشل بعض عملياتها.

PS12

مُوصى به

المحتوى العام

إذا تم تكوين البوابة بحيث لا يمكن للأعضاء مشاركة المحتوى بشكل عام، فسوف يسرد هذا أي عناصر لا تزال موجودة مع الجميع.

يوجد البرنامج النصي portalScan.py في دليل <Portal for ArcGIS installation location>\tools\security. شغّل البرنامج النصي من سطر الأوامر أو من الوعاء. لديك خيار تحديد معلمة واحدة أو أكثر عند تشغيل البرنامج النصي.

معلمات portalScan.py

يصف الجدول التالي معلمات portalScan.py:

المعلمةالوصف

-n

اسم النطاق المؤهل بالكامل الخاص بالجهاز المثبت عليه البوابة الإلكترونية (بمعنى آخر، gisportal.domain.com). الاسم الافتراضي هو اسم المضيف للجهاز الذي يعمل عليه البرنامج النصي.

-u

اسم المستخدم لحساب مسؤول.

-p

كلمة مرور حساب مسئول.

-o

سيتم حفظ دليل تقرير مسح الأمان. الدليل الافتراضي هو نفس المجلد الذي يعمل عليه البرنامج النصي.

-t

يمكن إنشاء رمز مميز واستخدامه في موضع اسم المستخدم وكلمة المرور. عند إنشاء رمز مميز، يجب أن يكون portalScan هو الإدخال في حقل Webapp URL. عند توفير رمز مميز، فإنه يتجاوز أي اسم المستخدم مستخدم أو كلمة مرور المتوفرين.

--ignoressl

تعطيل التحقق من شهادة SSL. بدءًا من 10.7.1، سيحاول البرنامج النصي التحقق من جميع شهادات طبقة المقابس الآمنة بشكل افتراضي. إذا لم تثق Python بمصدر الشهادات، فسيفشل البرنامج النصي في الإكمال. إذا لزم الأمر، يمكن تحديد هذه المعلمة لتجاهل جميع الشهادات.

-h أو -?

إنتاج قائمة معلمات يمكن تحديدها عند تشغيل البرنامج النصي.

مثال: python portalScan.py -n portal.domain.com -u admin -p my.password -o C:\Temp

إذا تم تشغيل البرنامج النصي portalScan.py دون تحديد معلمات، فسيُطلَب منك إدخالها يدويًا أو تحديد القيمة الافتراضية. إذا أردت استخدام رمز مميز، فيجب توفيره كمعلم عند تشغيل البرنامج النصي.

يعمل المسح الضوئي على إنشاء تقرير في تنسيق HTML الذي يُدرج أي من المشاكل المذكورة أعلاه التي تم العثور عليها في البوابة الإلكترونية المحددة.

بشكل افتراضي، يتم حفظ التقرير في نفس المجلد الذي تقوم فيه بتشغيل البرنامج النصي ويتم تسميته portalScanReport_[hostname]_[date].html.


في هذا الموضوع
  1. معلمات portalScan.py