O Portal for ArcGIS vem com uma ferramenta de script Python, portalScan.py, que escanea alguns problemas de segurança comuns. A ferramenta verifica por problemas baseados em algumas das melhores práticas para configurar um ambiente seguro para seu portal. Ela analisa seis critérios ou propriedades de configuração e os divide em três níveis de severidade: Critical, Important e Recommended.. As descrições destes critérios são como seguem:
| ID | Severidade | Imóvel | Descrição |
|---|---|---|---|
PS01 | Critical | Restrições de proxy | Determina se o recurso de proxy do portal é restrito. Por padrão, o servidor de proxy do portal está aberto para qualquer URL. Para mitigar contra ataques potenciais de Denial of Service (DoS) ou Server Side Request Forgery (SSRF), está fortemente recomendado que você restrinja o recurso de proxy do portal para aprovar endereços da web. |
PS02 | Critical | Pedidos de token | Determina se a geração de pedidos de token com credenciais no parâmetro de consulta são suportados. Se suportado, ao gerar tokens, as credenciais do usuário podem ser fornecidas como parte do URL e podem ser expostas por histórico do navegador ou em logs de rede. Estes devem ser desativados a menos que exigidos por outros aplicativos. |
PS03 | Important | Diretório de serviços do portal | Determina se o diretório de serviços do portal é acessível por um navegador da web. Isto deve ser desativado para reduzir as chances dos seus itens, serviços, mapas da web, grupos e outros recursos do portal de serem procurados, encontrados em uma pesquisa da web ou consultados por formulários HTML. |
PS04 | Important | Comunicação segura | Determina se o portal comunica somente pelo HTTPS. Para prevenir a interceptação de qualquer comunicação dentro do portal, é recomendado que você configure seu portal e o servidor da web hospedando o Web Adaptor para forçar o SSL. |
PS05 | Recommended | Registro de conta embutido | Determina se os usuários podem clicar no botão Criar uma Conta na página de registro do portal para criar uma conta do portal embutida. Se você estiver utilizando contas enterprise ou deseja criar todas as contas manualmente, desative esta opção. |
PS06 | Recommended | Acesso anônimo | Determina se o acesso anônimo é permitido. Para prevenir qualquer usuário de acessar o conteúdo sem primeiro fornecer as credenciais para o portal, é recomendado que você configure seu portal para desabilitar acesso anônimo. |
O portalScan.py script é localizado no <Portal for ArcGIS installation location>\tools\security diretório. Execute o script a partir da linha de comandos ou shell. Você tem a opção para especificar um ou mais parâmetros ao executar o script.
parâmetros de portalScan.py
| Parâmetro | Descrição |
|---|---|
-n | O nome de domínio completamente qualificado da máquina onde o Portal está instalado (isto é: gisportal.domain.com). O padrão é o hostname da máquina onde o script é executado. |
-u | O nome do usuário de uma conta do administrador. |
-p | A senha de uma conta do administrador. |
-o | O diretório onde o relatório do escaneamento de segurança será salvo. O diretório padrão é a mesma pasta onde você executa o script. |
-t | Um token pode ser gerado e utilizado no local do nome do usuário e senha. Ao gerar um token, o nome de domínio completamente qualificado do Portal sendo escaneado deve ser a entrada do campo 'Webapp URL'. Quando um token for fornecido, ele substitui qualquer nome do usuário ou senha que é fornecida. |
-h ou -? | Gera saídas de uma listagem dos parâmetros que podem ser especificadas ao executar o script. |
Exemplo: python portalScan.py -n portal.domain.com -u admin -p my.password -o C:\Temp
Se o script portalScan.py for executado sem especificar quaisquer parâmetros, você será solicitado para inseri-los manualmente ou selecionar o valor padrão. Se desejar utilizar um token, ele deve ser fornecido como um parâmetro ao executar o script.
O escaneamento gere um relatório no formato de HTML que lista qualquer um dos problemas acima que foram localizados no portal especificado.
Por padrão, o relatório é salvo na mesma pasta onde você executa o script e é denominado portalScanReport_[hostname]_[date].html.