Portal for ArcGIS verfügt über das Python-Skriptwerkzeug portalScan.py, das nach einigen allgemeinen Sicherheitsproblemen sucht. Das Werkzeug überprüft basierend auf bewährten Methoden zum Konfigurieren einer sicheren Umgebung für das Portal, ob Probleme vorliegen. Es analysiert sechs Kriterien oder Konfigurationseigenschaften und unterteilt sie in drei Schweregrade: Critical, Important und Recommended. Diese Kriterien lassen sich wie folgt beschreiben:
ID | Gewichtung | Grundstück | Beschreibung |
---|---|---|---|
PS01 | Critical | Proxy-Beschränkungen | Legt fest, ob die Proxy-Funktion des Portals beschränkt ist. Der Proxy-Server des Portals ist standardmäßig für jede URL geöffnet. Zur Reduzierung potenzieller Denial of Service- (DoS-) oder Server Side Request Forgery-(SSRF)-Angriffe, wird dringend empfohlen, die Proxy-Funktion des Portals auf genehmigte Webadressen zu beschränken. |
PS02 | Critical | Token-Anforderungen | Stellt fest, ob Anforderungen zur Tokenerstellung mit Anmeldedaten im Abfrageparameter unterstützt werden. Falls ja, könnten bei der Erstellung von Token die Anmeldedaten des Benutzers als Teil der URL bereitgestellt und im Browser-Verlauf oder in Netzwerkkomponenten erfasst und offengelegt werden. Diese Einstellung sollte deaktiviert werden, sofern sie nicht für andere Anwendungen erforderlich ist. |
PS03 | Important | Services-Verzeichnis des Portals | Legt fest, ob auf das Services-Verzeichnis des Portals über einen Webbrowser zugegriffen werden darf. Diese Einstellung sollte deaktiviert werden, um zu vermeiden, dass Ihre Elemente, Services, Webkarten, Gruppen und anderen Ressourcen im Portal durchsucht, im Internet gefunden oder über HTML-Formulare abgefragt werden können. |
PS04 | Important | Sichere Kommunikation | Legt fest, ob das Portal nur über HTTPS kommuniziert. Um zu verhindern, dass Kommunikation im Portal abgefangen wird, empfiehlt es sich, im Portal und auf dem Webserver, auf dem ArcGIS Web Adaptor gehostet wird, die Verwendung von SSL zu erzwingen. |
PS05 | Recommended | Anmeldung für integriertes Konto | Legt fest, ob Benutzer auf der Anmeldeseite des Portals auf die Schaltfläche Konto erstellen klicken können, um ein integriertes Portal-Konto zu erstellen. Deaktivieren Sie diese Funktion, wenn Sie Enterprise-Konten verwenden oder alle Konten manuell erstellen möchten. |
PS06 | Recommended | Anonymer Zugriff | Legt fest, ob der anonyme Zugriff erlaubt ist. Um zu verhindern, dass Benutzer auf Inhalte zugreifen, ohne zuerst Anmeldeinformationen für das Portal anzugeben, empfiehlt es sich, den anonymen Zugriff für das Portal zu deaktivieren. |
Das portalScan.py-Skript ist im Verzeichnis <Portal for ArcGIS installation location>/tools/security gespeichert. Führen Sie das Skript über die Befehlszeile oder -shell aus. Sie haben beim Ausführen des Skripts die Möglichkeit, mindestens einen Parameter festzulegen.
portalScan.py-Parameter
Parameter | Beschreibung |
---|---|
-n | Der vollständig qualifizierte Domänenname der Computers, auf dem Portal installiert ist (d. h. gisportal.domain.com). Die Standardeinstellung ist der Hostname des Computers, auf dem das Skript ausgeführt wird. |
-u | Der Benutzername eines Administratorkontos. |
-p | Das Kennwort eines Administratorkontos. |
-o | Das Verzeichnis, in dem der Sicherheitsüberprüfungsbericht gespeichert wird. Das Standardverzeichnis entspricht dem Ordner, in dem Sie das Skript ausführen. |
-t | Anstelle des Benutzernamens und Kennworts kann ein Token erstellt werden. Wenn ein Token erstellt wird, sollte der vollständig qualifizierte Domänenname des überprüften Portals in das Feld "Webapp-URL" eingegeben werden. Wird ein Token bereitgestellt, überschreibt er jeden angegebenen Benutzernamen bzw. jedes angegebene Kennwort. |
-h oder -? | Gibt eine Liste der Parameter aus, die beim Ausführen des Skripts festgelegt werden können. |
Beispiel: python portalScan.py -n portal.domain.com -u admin -p my.password -o C:\Temp
Wenn das Skript portalScan.py ohne Angabe von Parametern ausgeführt wird, werden Sie aufgefordert, sie manuell einzugeben oder den Standardwert auszuwählen. Falls Sie einen Token verwenden möchten, muss er beim Ausführen des Skripts als Parameter bereitgestellt werden.
Der Scan erstellt einen Bericht im HTML-Format, in dem jegliche oben aufgeführte Probleme, die im angegebenen Portal gefunden wurden, aufgelistet sind.
Der Bericht wird standardmäßig im selben Ordner gespeichert, aus dem Sie das Skript ausgeführt haben, und ist mit portalScanReport_[hostname]_[date].html bezeichnet.