Portal for ArcGIS verfügt über das Python-Skriptwerkzeug portalScan.py, das nach einigen allgemeinen Sicherheitsproblemen sucht. Das Werkzeug überprüft basierend auf bewährten Methoden zum Konfigurieren einer sicheren Umgebung für das Portal, ob Probleme vorliegen. Es analysiert sechs Kriterien oder Konfigurationseigenschaften und unterteilt sie in drei Schweregrade: Critical, Important und Recommended. Diese Kriterien lassen sich wie folgt beschreiben:
| ID | Gewichtung | Eigenschaft | Beschreibung |
|---|---|---|---|
PS01 | Critical | Proxy-Beschränkungen | Legt fest, ob die Proxy-Funktion des Portals beschränkt ist. Der Proxy-Server des Portals ist standardmäßig für jede URL geöffnet. Zur Reduzierung potenzieller Denial of Service- (DoS-) oder Server Side Request Forgery-(SSRF)-Angriffe, wird dringend empfohlen, die Proxy-Funktion des Portals auf genehmigte Webadressen zu beschränken. |
PS02 | Critical | Token-Anforderungen | Stellt fest, ob Anforderungen zur Tokenerstellung mit Anmeldedaten im Abfrageparameter unterstützt werden. Falls ja, könnten bei der Erstellung von Token die Anmeldedaten des Benutzers als Teil der URL bereitgestellt und im Browser-Verlauf oder in Netzwerkkomponenten erfasst und offengelegt werden. Diese Einstellung sollte deaktiviert werden, sofern sie nicht für andere Anwendungen erforderlich ist. |
PS03 | Important | Services-Verzeichnis des Portals | Legt fest, ob auf das Services-Verzeichnis des Portals über einen Webbrowser zugegriffen werden darf. Diese Einstellung sollte deaktiviert werden, um zu vermeiden, dass Ihre Elemente, Services, Webkarten, Gruppen und anderen Ressourcen im Portal durchsucht, im Internet gefunden oder über HTML-Formulare abgefragt werden können. |
PS04 | Important | Sichere Kommunikation | Legt fest, ob das Portal nur über HTTPS kommuniziert. Um zu verhindern, dass Kommunikation im Portal abgefangen wird, empfiehlt es sich, im Portal und auf dem Webserver, auf dem ArcGIS Web Adaptor gehostet wird, die Verwendung von SSL zu erzwingen. |
PS05 | Recommended | Anmeldung für integriertes Konto | Legt fest, ob Benutzer auf der Anmeldeseite des Portals auf die Schaltfläche Konto erstellen klicken können, um ein integriertes Portal-Konto zu erstellen. Deaktivieren Sie diese Funktion, wenn Sie Enterprise-Konten verwenden oder alle Konten manuell erstellen möchten. |
PS06 | Recommended | Anonymer Zugriff | Legt fest, ob der anonyme Zugriff erlaubt ist. Um zu verhindern, dass Benutzer auf Inhalte zugreifen, ohne zuerst Anmeldeinformationen für das Portal anzugeben, empfiehlt es sich, den anonymen Zugriff für das Portal zu deaktivieren. |
Das portalScan.py-Skript ist im Verzeichnis <Portal for ArcGIS installation location>/tools/security gespeichert. Führen Sie das Skript über die Befehlszeile oder -shell aus. Sie müssen die Portal-URL sowie den Benutzernamen und das Kennwort eines Administrators angeben.
Der Scan erstellt einen Bericht im HTML-Format, in dem jegliche oben aufgeführte Probleme, die im angegebenen Portal gefunden wurden, aufgelistet sind. Der Bericht wird im gleichen Ordner abgelegt, aus dem Sie das Skript ausgeführt haben, und ist mit portalScanReport_[hostname]_[date].html bezeichnet.