在保护 ArcGIS Enterprise 门户时,务必使门户也在安全环境下运行。可遵循多种最佳做法,以确保获得最高安全性。
限制门户的代理功能
在某些情况下会将门户用作代理服务器。因此,可能会将门户的代理功能误用,从而导致对门户计算机可访问的所有计算机均启动拒绝服务 (DoS) 或服务器端请求伪造 (SSRF) 攻击。为减少这种潜在漏洞,强烈建议您将门户的代理功能限制为已批准的 web 地址。有关其他详细信息和完整说明,请参阅限制门户的代理功能。
禁用匿名访问
为了防止任何用户在未预先提供门户凭据的情况下对内容进行访问,建议将门户配置为禁用匿名访问。禁用匿名访问有助于确保公共用户无法访问门户上的资源。
要了解如何在 ArcGIS Enterprise 门户中禁用匿名访问,请参阅禁用匿名访问。如果使用的是 Web 层身份验证(即通过 ArcGIS Web Adaptor 执行身份验证),则您还需要在 web 服务器上禁用匿名访问。相关说明,请参阅 Web 服务器的产品文档。
配置 CA 签名的服务器证书
ArcGIS Enterprise 门户预先配置了自签名的服务器证书,以便对门户进行初始测试并帮助您快速验证安装是否成功。然而,在绝大多数情况下,组织需要从受信任的证书颁发机构 (CA) 请求证书并配置门户使用该证书。证书可由公司(内部)或商业 CA 签名。
应使用公司或商业 CA 的证书对组织内的每个适用 ArcGIS 组件进行配置。常见的示例包括 ArcGIS Web Adaptor 和 ArcGIS Server。例如,ArcGIS Server 还预先配置了自签名证书。您将联合 ArcGIS Server 站点与您的门户,这对请求 CA 签名的证书并配置要使用它的服务器和 Web Adaptor 十分重要。
配置来自受信任颁发机构的证书对于基于 Web 的系统来说是一种安全的方法,同时也将避免用户遇到任何浏览器发出的警告或其他异常行为。如果在测试期间选择使用 ArcGIS Enterprise 随附的自签名证书,则将遇到以下问题:
- 有关不受信任站点的 web 浏览器、ArcGIS Desktop 或 ArcGIS Pro 警告。通常,Web 浏览器遇到自签名证书时将显示警告消息并要求您确认是否继续前往该站点。只要您使用自签名证书,许多浏览器就会显示警告图标或对地址栏标红。
- 无法在门户的 Map Viewer 中打开联合服务、无法将受保护的服务项目添加到门户、无法在联合服务器中登录到 ArcGIS Server Manager 以及无法从 ArcGIS Maps for Office 连接到门户。
- 配置实用程序服务、打印托管服务以及从客户端应用程序访问门户时出现异常行为。
警告:
以上使用自签名证书时将遇到的问题列表并不详尽。必须使用 CA 签名证书全面测试和部署门户。
有关如何使用 CA 签名证书配置 ArcGIS Enterprise 的说明,请参阅以下主题:
配置 HTTPS
当您首次配置 ArcGIS Enterprise 部署时,只要执行凭据验证,就会通过 HTTPS 发送用户名和密码。这意味着您通过内部网络或 Internet 发送的凭据已加密,并且不会被截取。默认情况下,门户中的所有通信均使用 HTTPS 进行发送。为了防止任意通信遭到拦截,建议您也将托管 ArcGIS Web Adaptor 的 web 服务器配置为强制执行 HTTPS。
通过强制执行仅使用 HTTPS 的通信,您的 Enterprise 门户之外的所有外部通信(如 ArcGIS Server 服务和开放地理空间信息联盟 (OGC) 服务)即受到保护,因为仅在 HTTPS 可用时,您的门户才会访问外部 Web 内容。否则,会阻止外部内容。
然而,在某些情况下,您可能希望在门户中启用 HTTP 和 HTTPS 通信。要了解如何在 ArcGIS Enterprise 中对所有通信强制执行 HTTP 和 HTTPS,请参阅配置 HTTPS。
使用组托管服务帐户
安装您的门户时,建议您使用组托管服务帐户 (gMSA) 作为运行门户服务的帐户。使用 gMSA 可以提供 Active Directory 域帐户的优势,同时通过定期密码更新来确保该帐户安全。
禁用 ArcGIS Portal Directory
可通过禁用 ArcGIS Portal Directory 来减少从 Web 搜索中找到、浏览或者通过 HTML 表单查询到您的门户项目、服务、Web 地图、群组和其他资源的可能性。禁用 ArcGIS Portal Directory 还可以加强对跨站点脚本 (XSS) 攻击的防护。
是否禁用 ArcGIS Portal Directory 取决于门户的用途以及用户和开发人员依靠其进行浏览的程度。禁用 ArcGIS Portal Directory 后,您可能需要准备好创建可用于门户的项目的其他列表或元数据。
有关详细说明,请参阅禁用 ArcGIS Portal Directory。
配置防火墙以使用门户
每个计算机都有数千个端口,其他计算机可通过这些端口向其发送信息。防火墙是一种安全机制,用于限制其他计算机与您的计算机进行通信时所能使用的端口数。当使用防火墙将通信限制为仅可通过少量端口进行传输时,您就可对这些端口进行严密监控从而防止遭到外来攻击。
ArcGIS Enterprise 门户使用诸如 7005、7080、7099、7443 和 7654 等特定端口进行通信。作为安全性最佳做法,建议您打开防火墙以允许在这些端口上进行通信;否则,门户可能无法正常运行。有关详细信息,请参阅 Portal for ArcGIS 使用的端口。
指定令牌有效期
令牌是包含用户名、令牌有效期和其他专有信息的加密信息字符串。令牌颁发给成员后,成员可在令牌有效期内访问门户。如果到期,成员必须重新提供其用户名和密码。
使用 ArcGIS Enterprise 时,每次生成一个新的令牌,都应该指定有效期。如果不指定,则将使用默认的有效期值。
门户可以使用三种类型的令牌,分别是:ArcGIS 令牌、OAuth access 令牌和 OAuth refresh 令牌。每种类型都有其默认的有效期值。
这些默认值无法增加,只能通过在 ArcGIS Portal Administrator Directory 中设置 maxTokenExpirationMinutes 属性来减少到小于默认值的值。尽管这些值可能适合您的组织,但是考虑令牌背后的安全隐患很重要。有效期越长的令牌安全性越低。例如,被恶意用户拦截的令牌在有效期内仍可使用。相反,有效期越短越安全,但是使用不方便,因为成员将需要更频繁地输入其用户名和密码。
要更改默认令牌有效期,请执行指定默认令牌有效期中的步骤。
限制文件权限
建议设置文件权限,以便仅授予对 Portal for ArcGIS 安装目录和内容目录的必需访问权限。访问 Portal for ArcGIS 软件需要具备的唯一帐户是 Portal for ArcGIS 帐户。此帐户用于运行软件。您的组织可能需要为更多帐户授予访问权限。请注意,门户帐户必须具有对安装目录和内容目录的完全访问权限,站点才能正常工作。
Portal for ArcGIS 会从安装位置的父文件夹中继承文件权限。此外,还会为门户帐户授予权限,使其能够访问安装目录。门户运行时创建的文件将从其父文件夹中继承权限。如果要保护内容目录,则针对父文件夹设置限制权限。
对内容目录具有写入权限的任何帐户都可更改门户设置,而这些设置通常只可由系统管理员进行修改。如果使用内置安全存储来维护用户,则内容目录将包含这些用户的加密密码。在此情况下,还应限制对内容目录的读取权限。