Bewährte Methoden zum Konfigurieren einer sicheren Umgebung
In diesem Thema
- Konfigurieren von HTTPS
- Anfordern und Konfigurieren eines eigenen SSL-Zertifikats
- Beschränken von Dateiberechtigungen
- Deaktivieren des primären Site-Administratorkontos
- Definieren des gemeinsam verwendeten Schlüssels zum Erstellen eines ArcGIS-Token
- Sichere Übertragung von ArcGIS-Token
- Verwenden von standardisierten Abfragen
- Deaktivieren des Services-Verzeichnisses
- Beschränken von domänenübergreifenden Anforderungen
Beim Sichern von ArcGIS-Server ist es wichtig, dass die Umgebung, in der ArcGIS for Server ausgeführt wird, ebenfalls sicher ist. Es gibt verschiedene bewährte Methoden, um optimale Sicherheit zu gewährleisten.
Konfigurieren von HTTPS
Wenn Sie Ihre ArcGIS-Server-Site erstmals einrichten, wird die gesamte Kommunikation auf der Site über HTTP gesendet und ist damit nicht sicher. Dies bedeutet, Ihre über ein internes Netzwerk oder das Internet gesendeten Anmeldeinformationen werden nicht verschlüsselt und können abgefangen werden. Um zu verhindern, dass Kommunikation abgefangen wird, empfiehlt es sich, ArcGIS for Server und ArcGIS Web Adaptor (sofern installiert) zu konfigurieren, um die Secure Sockets Layer (SSL)-Verschlüsselung zu erzwingen. Wenn Sie Ihre Site erstmals erstellen, erscheint im Protokoll eine Warnmeldung mit der Empfehlung, dass Sie das Kommunikationsprotokoll Ihrer Site auf SSL aktualisieren.
SSL lässt sich mit zwei Methoden erzwingen:
- HTTP und HTTPS: Bei dieser Methode wird ArcGIS for Server konfiguriert, um für die Kommunikation eine Mischung aus HTTP und HTTPS zu verwenden. Wenn Sie den Server auf diese Weise konfigurieren, werden jedes Mal, wenn Sie Ihre Anmeldedaten angeben müssen, Ihr Benutzername und Kennwort per HTTPS gesendet. Dies bedeutet, Ihre über ein internes Netzwerk oder das Internet gesendeten Anmeldeinformationen werden verschlüsselt und können nicht abgefangen werden. Die restliche Kommunikation auf der Site wird jedoch über HTTP gesendet und ist damit nicht sicher.
- Nur HTTPS: Bei dieser Methode wird ArcGIS for Server konfiguriert, um für die gesamte Kommunikation ausschließlich HTTPS zu verwenden. Benutzernamen, Kennwörter und jegliche weitere Kommunikation werden per HTTPS gesendet. Die Performance des Servers kann abnehmen, wenn die gesamte Kommunikation über SSL erfolgt. Falls Sie über Verknüpfungen oder Lesezeichen zu ArcGIS Server Manager oder zum Administratorverzeichnis verfügen, die HTTP verwenden, müssen Sie diese außerdem für die Verwendung von HTTPS aktualisieren.
Für das Verbinden der Site mit Portal for ArcGIS ist die Verwendung von SSL obligatorisch ("HTTP und HTTPS" oder "Nur HTTPS"). Informationen zum Konfigurieren Ihrer Site für die Verwendung von SSL finden Sie unter Aktivieren von SSL auf ArcGIS for Server. Für die Konfiguration von SSL für Ihre Site verwenden Sie das ArcGIS Server Administrator Directory.
Anfordern und Konfigurieren eines eigenen SSL-Zertifikats
ArcGIS for Server enthält standardmäßig ein vorkonfiguriertes selbstsigniertes SSL-Zertifikat, mit dem der Server zuerst getestet werden kann. So lässt sich mit dem Zertifikat schnell überprüfen, ob die Installation erfolgreich ausgeführt wurde. In fast allen Fällen empfiehlt es sich jedoch, ein SSL-Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle (ZS) anzufordern und den Server für dessen Verwendung zu konfigurieren. Hierbei sollte es sich um ein von Ihrer Organisation ausgegebenes oder ein von einer Zertifizierungsstelle (CA) signiertes Zertifikat handeln.
Wie Portal for ArcGIS verfügt ArcGIS-Server über ein vorkonfiguriertes selbstsigniertes Zertifikat. Wenn Sie Ihre Site mit Portal for ArcGIS verbinden, sollten Sie ein SSL-Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle anfordern und das Portal für dessen Verwendung konfigurieren.
Die Konfiguration eines Zertifikats von einer vertrauenswürdigen Zertifizierungsstelle ist eine Sicherheitsempfehlung für webbasierte Systeme und sorgt dafür, dass Benutzer keine Browser-Warnungen erhalten bzw. kein unerwartetes Verhalten auftritt. Wenn Sie beim Testen das selbstsignierte Zertifikat verwenden möchten, das in ArcGIS-Server und Portal for ArcGIS enthalten ist, tritt Folgendes ein:
- Webbrowser- und ArcGIS for Desktop-Warnungen zu einer nicht vertrauenswürdigen Site. Wenn ein Webbrowser ein selbstsigniertes Zertifikat erkennt, zeigt er in der Regel eine Warnung an, und fordert Sie auf, zu bestätigen, dass Sie zu der Site weitergeleitet werden möchten. Viele Browser zeigen Warnsymbole oder eine rot markierte Adressleiste an, so lange Sie das selbstsignierte Zertifikat verwenden. Diese Art von Warnungen sind typisch, wenn Sie ein selbstsigniertes Zertifikat verwenden.
- Ein Verbund-Service kann im Map Viewer des Portals nicht geöffnet werden, dem Portal kann kein gesichertes Service-Element hinzugefügt werden, die Anmeldung bei ArcGIS Server Manager auf einem Verbundserver kann nicht durchgeführt werden und es kann keine Verbindung mit dem Portal über Esri Maps for Office hergestellt werden.
- Unerwartetes Verhalten beim Konfigurieren von Utility-Services, Drucken von gehosteten Services und beim Zugreifen auf das Portal über Client-Anwendungen.
Vorsicht:
Die oben aufgeführte Liste der Probleme, die im Zusammenhang mit der Verwendung eines selbstsignierten Zertifikats auftreten, erhebt keinen Anspruch auf Vollständigkeit. Es ist unbedingt erforderlich, ein von einer Zertifizierungsstelle signiertes Zertifikat zu verwenden, um das Portal vollständig zu testen und bereitzustellen.
Weitere Anweisungen zum Konfigurieren von Portal for ArcGIS, ArcGIS for Server und ArcGIS Web Adaptor mit einem solchen Zertifikat finden Sie in den folgenden Themen:
Beschränken von Dateiberechtigungen
Es wird empfohlen, dass Dateiberechtigungen so festgelegt werden, dass der Zugriff auf das Installationsverzeichnis, den Konfigurationsspeicher und die Serververzeichnisse von ArcGIS-Server auf die notwendigen Konten beschränkt ist. Das einzige Konto, auf das die ArcGIS-Server-Software Zugriff benötigt, ist das ArcGIS-Server-Konto. Dieses Konto wird zum Ausführen der Software verwendet. In Ihrer Organisation kann es erforderlich sein, dass auch anderen Konten Zugriff erteilt wird. Denken Sie daran, dass das ArcGIS-Server-Konto vollständigen Zugriff auf das Installationsverzeichnis, den Konfigurationsspeicher und die Serververzeichnisse benötigt, damit die Site ordnungsgemäß funktioniert.
ArcGIS-Server übernimmt die Dateiberechtigungen vom übergeordneten Ordner, in dem die Software installiert ist. Darüber hinaus erteilt ArcGIS-Server dem ArcGIS-Server-Konto Zugriffsberechtigung auf das Installationsverzeichnis. Dateien, die erstellt werden, während ArcGIS-Server ausgeführt wird (z. B. Protokolle), übernehmen die Berechtigungen vom übergeordneten Ordner. Wenn Sie den Konfigurationsspeicher und die Serververzeichnisse sichern möchten, legen Sie eingeschränkte Berechtigungen für den übergeordneten Ordner fest.
Jedes Konto mit Schreibzugriff auf den Konfigurationsspeicher kann ArcGIS-Server-Einstellungen ändern, die in der Regel nur vom Systemadministrator geändert werden können. Wenn ein integrierter Sicherheitsspeicher zum Verwalten von Benutzern verwendet wird, enthält der Konfigurationsspeicher verschlüsselte Kennwörter für diese Benutzer. In dem Fall sollte auch der Lesezugriff auf den Konfigurationsspeicher beschränkt werden.
Wenn Sie Karten- oder Geoverarbeitungsservices gesichert haben, ist es wichtig, Dateiberechtigungen für Serververzeichnisse zu sperren, um sicherzustellen, dass nicht autorisierte Konten keinen Zugriff auf Ausgaben von Karten- und Geoverarbeitungsaufträgen erhalten.
Deaktivieren des primären Site-Administratorkontos
Das primäre Site-Administratorkonto ist das Konto, das Sie angeben, wenn Sie eine Site in ArcGIS Server Manager neu erstellen. Der Name und das Kennwort des Kontos werden nur von ArcGIS-Server erkannt. Es handelt sich dabei nicht um ein Betriebssystemkonto, und die Verwaltung erfolgt separat von dem Benutzerkonto in Ihrem Identitätsspeicher.
Es wird empfohlen, dass Sie das primäre Site-Administratorkonto deaktivieren. Auf diese Weise stellen Sie sicher, dass es außer der Gruppe oder Rolle, die Sie im Identitätsspeicher festgelegt haben, keine andere Möglichkeit zum Verwalten von ArcGIS-Server gibt. Vollständige Anweisungen finden Sie unter Deaktivieren des primären Site-Administratorkontos.
Definieren des gemeinsam verwendeten Schlüssels zum Erstellen eines ArcGIS-Token
Ein ArcGIS-Token ist eine Zeichenfolge mit verschlüsselten Informationen. Der gemeinsam verwendete Schlüssel ist der kryptografische Schlüssel, der zum Generieren dieser verschlüsselten Zeichenfolge verwendet wird. Je komplexer der gemeinsam verwendete Schlüssel ist, um so schwerer ist es für Benutzer mit bösen Absichten, die Verschlüsselung zu überwinden und den Schlüssel zu entschlüsseln. Falls ein Benutzer es schafft, den gemeinsam verwendeten Schlüssel zu entschlüsseln, den ArcGIS Server-Verschlüsselungsalgorithmus zu replizieren und die Liste berechtigter Benutzer abzurufen, kann er Token generieren und auf jede gesicherte Ressource auf diesem speziellen ArcGIS-Server zugreifen.
Bevor Sie einen gemeinsam verwendeten Schlüssel definieren, sollten Sie Folgendes beachten:
- Für den gemeinsam verwendeten Schlüssel sollten 16 Zeichen festgelegt werden (alle Zeichen nach dem 16. Zeichen werden nicht verwendet). Es wird empfohlen, eine Abfolge zufälliger Zeichen für den Schlüssel zu verwenden. Alle Zeichen sind zulässig, einschließlich nicht alphanumerischer Zeichen.
- Der Schlüssel sollte nicht auf einen Wert festgelegt werden, der leicht geraten werden kann (kein bestehendes Wort oder gängiger Wert). Da die Benutzer den Schlüssel weder andernorts verwenden noch ihn sich merken müssen, stellt die geforderte Komplexität anders als bei Kennwörtern hier kein Problem dar.
- Das Token wird mit der AES-Verschlüsselungsmethode (Advanced Encryption Standard), die auch Rijndael genannt wird, mit dem gemeinsam verwendeten Schlüssel verschlüsselt. Die 16 Zeichen im Schlüssel stellen die 128 Bits dar, die zum Verschlüsseln verwendet werden. Weitere Informationen zur Verschlüsselung und zu AES finden Sie in Sicherheitsreferenzen oder erhalten Sie von Mitarbeitern Ihres Unternehmens, die über Kenntnisse in Sicherheit und Kryptografie verfügen.
- In hoch geschützten Umgebungen wird empfohlen, den gemeinsam verwendeten Schlüssel regelmäßig zu ändern. Denken Sie daran, dass die Anwendungen möglicherweise aktualisiert werden müssen, um den neuen gemeinsam verwendeten Schlüssel verwenden zu können. Alle vorhandenen eingebetteten Token werden ungültig, nachdem der gemeinsam verwendete Schlüssel geändert wurde.
Weitere Informationen finden Sie unter ArcGIS-Token.
Sichere Übertragung von ArcGIS-Token
Um das Abfangen und den Missbrauch von Token zu verhindern, wird die Verwendung einer sicheren Verbindung mit HTTPS (Secure Sockets Layer oder SSL) empfohlen. Durch die Verwendung von HTTPS/SSL wird sichergestellt, dass der Benutzername und das Kennwort, die vom Client gesendet werden, und das von ArcGIS for Server zurückgegebene Token nicht abgefangen werden können. Weitere Informationen finden Sie unter Aktivieren von SSL auf ArcGIS for Server
Verwenden von standardisierten Abfragen
ArcGIS-Server bietet eine Sicherheitsoption, standardisierte Abfragen genannt, die einen besseren Schutz vor der Einschleusung von SQL-Befehlen bietet. Diese Option ist standardmäßig aktiviert.
Serveradministratoren wird empfohlen, diese Sicherheitsoption aktiviert zu lassen und Anwendungsentwickler anzuweisen, WHERE-Klausel-Anweisungen zu erstellen, die eine datenbankunabhängige Syntax verwenden. Die Deaktivierung dieser Option kann Ihr System anfälliger für die Einschleusung von SQL-Befehlen machen.
Weitere Informationen hierzu finden Sie unter Standardisierte Abfragen.
Deaktivieren des Services-Verzeichnisses
Das Services-Verzeichnis kann deaktiviert werden, um zu vermeiden, dass Ihre Services durchsucht, im Internet gefunden oder über HTML-Formulare abgefragt werden können. Die Deaktivierung des Services-Verzeichnisses bietet außerdem Schutz vor Cross-Site-Scripting-(XSS-)Angriffen.
Die Entscheidung, das Services-Verzeichnis zu deaktivieren, hängt von dem Zweck Ihrer Site ab und dem Grad, in dem Benutzer und Entwickler darin navigieren müssen. Wenn Sie das Services-Verzeichnis deaktivieren, müssen Sie wahrscheinlich andere Listen oder Metadaten zu den auf Ihrer Site verfügbaren Services erstellen.
Anweisungen zur Deaktivierung von Services-Verzeichnissen finden Sie unter Deaktivieren des Services-Verzeichnisses.
Beschränken von domänenübergreifenden Anforderungen
Domänenübergreifende Anforderungen kommen bei vielen Systemangriffen zur Anwendung. Es wird empfohlen, die Verwendung von ArcGIS-Server-Service auf Anwendungen zu beschränken, die nur in vertrauenswürdigen Domänen gehostet werden. Weitere Informationen hierzu finden Sie unter Beschränken von domänenübergreifenden Anforderungen an ArcGIS-Server.