Skip To Content

مسح البوابة الإلكترونية بحثًا عن أفضل ممارسات الأمان

Portal for ArcGIS يتضمن Python أداة برنامج نصيportalScan.py تقوم بالبحث عن مشكلات الأمان الشائعة. تتحقق الأداة من المشاكل استنادً إلى بعض أفضل الممارسات الخاصة بتكوين بيئة آمنة للبوابة الإلكترونية. تحلل الأداة العديد من المعايير أو خصائص التكوين وتقسمها إلى ثلاثة مستويات من حيث الأهمية: حرجة ومهمة وموصى بها. تكون مواصفات هذه المعايير على النحو التالي:

المُعرّفالخطورةالخاصيةالوصف

PS01

هام

قيود الوكيل

وتحدد ما إذا كانت إمكانات وكيل البوابة الإلكترونية مُقيدة. افتراضيًا، يتم فتح خادم وكيل البوابة الإلكترونية على أي عنوان URL. للتقليل ضد قطع الخدمة (DoS) المحتمل أو هجوم تزييف طلب جانب الخادم (SSRF)، يُوصَى بتقييد إمكانات وكيل البوابة الإلكترونية لتوفير عناوين الويب.

PS02

هام

طلبات الرمز المميز

تحدد ما إذا كانت طلبات إنشاء الرمز المميز مع بيانات الاعتماد في معلمات الاستعلام يتم دعمها أم لا. إذا تم الدعم، عند إنشاء رموز مميزة، يمكن توفير بيانات اعتماد المستخدم كجزء من عنوان URL وقد يتم عرضها من خلال تاريخ المستعرض أو في سجلات الشبكة. يوصى بتعطيل هذا إلا إذا طلبت ذلك تطبيقات أخرى.

PS03

هام

دليل خدمات البوابة الإلكترونية

تحدد ما إذا كان من الممكن الوصول إلى دليل خدمات البوابة الإلكترونية من خلال مستعرض الويب أم لا. ينبغي أن يتم تعطيل هذا لتقليل فرص استعراض عناصر البوابة والخدمات وخرائط الويب والمجموعات والموارد الأخرى والعثور عليها في بحث الويب أو الاستعلام عنها في نماذج HTML.

PS04

هام

اتصال آمن

تحدد ما إذا كانت البوابة الإلكترونية تقوم بالاتصال من خلال HTTPS فقط أم لا. لمنع تشفير أي اتصال في البوابة الإلكترونية، يُوصى بتكوين البوابة وخادم الويب الذي يستضيف محول الويب لفرض SSL.

PS05

مُوصى به

تسجيل حساب مضمن

تحدد ما إذا كان من الممكن للمستخدمين النقر على زر إنشاء حساب على صفحة تسجيل الدخول على البوابة الإلكترونية لإنشاء حساب داخلي للبوابة الإلكترونية أم لا. عند استخدام حسابات خاصة بالمؤسسة أو الرغبة في إنشاء جميع الحسابات يدويًا، قم بتعطيل هذا الخيار.

PS06

مُوصى به

دخول مجهول

تحدد ما إذا كان يتم السماح لأي من عمليات الدخول المجهولة أم لا. لمنع أي مستخدم من الدخول إلى المحتوى بدون تزويد البوابة بالاعتمادات، يُوصى بتكوين البوابة لتعطيل الوصول المجهول.

PS07

مُوصى به

مخزن هوية LDAP

إذا تم تكوين البوابة بمخزن هوية LDAP، فإن هذا يحدد ما إذا كان يتم استخدام اتصال مشفر أم لا. يوصى باستخدام LDAPS في خصائص ldapURLForUsers وldapURLForRoles المدرجة في معلمات مخزن المستخدم وتكوين مخزن المجموعة.

PS08

مُوصى به

شهادة SSL للبوابة

تحدد ما إذا كان يتم استخدام شهادة موقعة ذاتيًا من قبل البوابة أم لا. للمساعدة في تقليل تحذيرات مستعرض الويب أو أي سلوك آخر غير متوقع من العملاء الذين يتصلون بالبوابة، يوصى باستيراد شهادة SSL الموقعة من CA المرتبطة بالمنفذ 7443 واستخدامها.

PS09

مُوصى به

طلبات المجال العكسي

تحدد ما إذا كانت الطلبات عبر المجال (CORS) غير مقيدة أم لا. لتقليل إمكانية وصول تطبيق غير معروف إلى عنصر مدخل مشترك، يُوصى بتقييد الطلبات عبر النطاقات إلى التطبيقات المستضافة في نطاقات موثوقة فقط.

PS10

هام

عنوان URL للخادم الإداري المتكامل

تحدد ما إذا كان عنوان URL لمسؤول الخادم المتحد لديك قابلاً للوصول عن طريق البوابة أم لا وما إذا كانت شهادة SSL المستخدمة في عنوان URL هذا موثوقًا بها أم لا. إذا لم يكن موثوقًا أو غير قابل للوصول، فسوف تفشل العديد من وظائف البوابة وعملياتها.

PS11

مُوصى به

عنوان URL للخادم المتحد

تحدد ما إذا كان عنوان URL لخدمات الخادم المتحد لديك قابلاً للوصول عن طريق البوابة أم لا وما إذا كانت شهادة SSL المستخدمة في عنوان URL هذا موثوقًا بها أم لا. إذا كان غير موثوق به أو غير قابل للوصول، فستظل البوابة تعمل ولكن قد تفشل بعض عملياتها.

PS12

مُوصى به

المحتوى العام

إذا تم تكوين البوابة بحيث لا يمكن للأعضاء مشاركة المحتوى بشكل عام، فسوف يسرد هذا العناصر التي لا تزال مشتركة مع الجميع.

PS13

هام

إعدادات تكوين SAML

إذا تم تكوين البوابة الإلكترونية لاستخدام مصادقة SAML، فإن هذا يحدد ما إذا كان تم تمكين التأكيدات المشفرة والطلبات الموقعة أم لا. في حالة الدعم من موفر الهوية، يوصى بتكوين البوابة الإلكترونية لطلب التأكيدات المشفرة والطلبات الموقعة.

PS14

هام

حالة خدمة الطباعة الافتراضية

عادةً ما يتم استبدال خدمة الطباعة المكونة افتراضيًا على البوابة الإلكترونية بمجرد توحيد ArcGIS Server. من المستحسن تعطيل خدمة الطباعة الافتراضية إذا لم تكن مستخدمة.

PS15

مُوصى به

حالة خدمة مفتاح الخريطة

تُستخدم خدمة مفتاح الخريطة من قبل البوابة الإلكترونية لاسترداد رموز مفتاح الخريطة من الخريطة القديمة وخدمات المعالم (عبر SOAP). مالم يتم الوصول إلى خدمات قديمة لا تدعم استرداد مفتاح الخريطة عبر REST، من المستحسن تعطيل هذه الخدمة.

PS16

مُوصى به

حالة خدمة RSS

تُستخدم خدمة RSS من قبل البوابة الإلكترونية للتواصل مع موجزات GeoRSS. إذا لم يتم الوصول إلى أي موجزات GeoRSS من خلال أي خرائط ويب على البوابة الإلكترونية، فيفضل تعطيل هذه الخدمة.

PS17

مُوصى به

حالة خدمة KML

تُستخدم خدمة KML من قبل البوابة الإلكترونية للتواصل مع نقاط نهاية KML. إذا لم يتم الوصول إلى أي نقاط نهاية KML من خلال أي خرائط ويب على البوابة الإلكترونية، فيفضل تعطيل هذه الخدمة.

البرنامج النصي portalScan.py موجود في دليل <Portal for ArcGIS installation location>/tools/security. قم بتشغيل البرنامج النصي من shell باستخدام البرنامج النصي portalScan Bash الموجود في نفس الدليل. لديك خيار تحديد معلمة واحدة أو أكثر عند تشغيل البرنامج النصي.

معلمات portalScan.py

يصف الجدول التالي معلمات portalScan.py:

المعلمةالوصف

-n

اسم النطاق المؤهل بالكامل الخاص بالجهاز المثبت عليه Portal for ArcGIS (بمعنى آخر، gisportal.domain.com). الاسم الافتراضي هو اسم المضيف للجهاز الذي يعمل عليه البرنامج النصي.

-u

اسم مستخدم حساب مسئول.

-p

كلمة مرور حساب مسئول.

-o

سيتم حفظ دليل تقرير مسح الأمان. الدليل الافتراضي هو نفس المجلد الذي يعمل عليه البرنامج النصي.

-t

يمكن إنشاء رمز مميز واستخدامه في موضع اسم المستخدم وكلمة المرور. عند إنشاء رمز مميز، يجب أن يكون portalScan هو الإدخال في حقل Webapp URL. عند توفير رمز مميز، فإنه يتجاوز أي اسم مستخدم أو كلمة مرور متوفرين.

--ignoressl

تعطيل التحقق من شهادة SSL. بدءًا من 10.7.1، سيحاول البرنامج النصي التحقق من جميع شهادات طبقة المقابس الآمنة بشكل افتراضي. إذا لم تثق Python بمصدر الشهادات، فسيفشل البرنامج النصي في الإكمال. إذا لزم الأمر، يمكن تحديد هذه المعلمة لتجاهل جميع الشهادات.

-h أو -?

إنتاج قائمة معلمات يمكن تحديدها عند تشغيل البرنامج النصي.

مثال (مع استبدال الملف الناتج إلى الدليل الرئيسي للمستخدم):

./portalScan -n portal.domain.com -u admin -p my.password -o ~

إذا تم تشغيل البرنامج النصي portalScan دون تحديد معلمات، فسيُطلَب منك إدخالها يدويًا أو تحديد القيمة الافتراضية. إذا أردت استخدام رمز مميز، فيجب توفيره كمعلم عند تشغيل البرنامج النصي.

يعمل المسح الضوئي على إنشاء تقرير في تنسيق HTML الذي يُدرج أي من المشاكل المذكورة أعلاه التي تم العثور عليها في البوابة الإلكترونية المحددة.

بشكل افتراضي، يتم حفظ التقرير في نفس المجلد الذي تقوم فيه بتشغيل البرنامج النصي ويتم تسميته portalScanReport_[hostname]_[date].html.


في هذا الموضوع
  1. معلمات portalScan.py