在保护 ArcGIS Enterprise 组织时,保护其所在的运行环境也十分重要。 可遵循多种最佳做法,以确保获得最高安全性。
配置电子邮件设置
您可以配置您的组织,以便在忘记密码、更新密码策略等情况下向成员和管理者发送电子邮件通知。 查看电子邮件设置以获取步骤和详细信息。
限制门户的代理功能
在某些情况下会将门户用作代理服务器。 因此,可能会将门户的代理功能误用,从而导致对门户计算机可访问的所有计算机均启动拒绝服务 (DoS) 或服务器端请求伪造 (SSRF) 攻击。 为减少这种潜在漏洞,建议您将门户的代理功能限制为已批准的 web 地址。 有关其他详细信息和完整说明,请参阅限制门户的代理功能。
禁用匿名访问
为了防止任何用户在未预先提供门户凭据的情况下对内容进行访问,建议将门户配置为禁用匿名访问。 禁用匿名访问有助于确保公共用户将无法访问您门户上的资源。
要了解如何在 ArcGIS Enterprise 门户中禁用匿名访问,请参阅禁用匿名访问。 如果使用的是 Web 层身份验证(即通过 ArcGIS Web Adaptor 执行身份验证),则您还需要在 web 服务器上禁用匿名访问。 有关说明信息,请参阅 Web 服务器产品的文档。
配置 CA 签名的服务器证书
ArcGIS Enterprise 门户预先配置了自签名的服务器证书,以便对门户进行初始测试并帮助您快速验证安装是否成功。 然而,在绝大多数情况下,组织需要从受信任的证书颁发机构 (CA) 请求证书并配置门户使用该证书。 证书可由公司(内部)或商业 CA 签名。
应使用公司或商业 CA 的证书对组织内的每个适用 ArcGIS 组件进行配置。常见示例包括 ArcGIS Web Adaptor 和 ArcGIS Server。 例如,ArcGIS Server 还预先配置了自签名证书。 您将联合 ArcGIS Server 站点与您的门户,这对请求 CA 签名的证书并配置要使用它的服务器和 Web Adaptor 十分重要。
配置来自受信任颁发机构的证书对于基于 Web 的系统来说是一种安全的方法,同时也将避免用户遇到浏览器警告或其他异常行为。 如果在测试期间选择使用 ArcGIS Enterprise 随附的自签名证书,则将遇到以下问题:
- 有关不受信任站点的 Web 浏览器或 ArcGIS Pro 警告。 通常,Web 浏览器遇到自签名证书时会显示警告消息并要求您确认是否继续前往该站点。 只要您使用自签名证书,许多浏览器就会显示警告图标或对地址栏标红。
- 无法在门户的 Map Viewer 或 Map Viewer 经典版 中打开联合服务、无法将受保护的服务项目添加到门户、无法在联合服务器中登录到 ArcGIS Server Manager 以及无法从 ArcGIS for Office 连接到门户。
- 配置实用程序服务、打印托管服务以及从客户端应用程序访问门户时出现异常行为。
警告:
以上使用自签名证书时将遇到的问题列表并不详尽。 必须使用 CA 签名证书全面测试和部署门户。
有关如何使用 CA 签名证书配置 ArcGIS Enterprise 的说明,请参阅以下主题:
配置 HTTPS
当您首次配置 ArcGIS Enterprise 部署时,只要执行凭据验证,就会通过 HTTPS 发送用户名和密码。 这意味着您通过内部网络或 Internet 发送的凭据已加密,并且不会被截取。 默认情况下,门户中的所有通信均使用 HTTPS 进行发送。 为了防止任意通信遭到拦截,建议您也将托管 ArcGIS Web Adaptor 的 web 服务器配置为强制执行 HTTPS。
通过强制执行仅使用 HTTPS 的通信,您的 Enterprise 门户之外的所有外部通信(如 ArcGIS Server 服务和开放地理空间信息联盟 (OGC) 服务)即受到保护,因为如果 HTTPS 可用,您的门户便只能访问外部 Web 内容。 否则,会阻止外部内容。
然而,在某些情况下,您可能需要在门户中启用 HTTP 和 HTTPS 通信。 要了解如何在 ArcGIS Enterprise 中对所有通信强制执行 HTTP 和 HTTPS,请参阅配置 HTTPS。
使用组托管服务帐户
安装您的门户时,建议您使用组托管服务帐户 (gMSA) 作为运行门户服务的帐户。 使用 gMSA 可以提供 Active Directory 域帐户的优势,同时通过定期密码更新来确保该帐户安全。
禁用 ArcGIS Portal Directory
可通过禁用 ArcGIS Portal Directory 来减少从 Web 搜索中找到、浏览或者通过 HTML 表单查询到您的门户项目、服务、Web 地图、群组和其他资源的可能性。 禁用 ArcGIS Portal Directory 还可以加强对跨站点脚本 (XSS) 攻击的防护。
是否禁用 ArcGIS Portal Directory 取决于门户的用途以及用户和开发人员依靠其进行浏览的程度。 禁用 ArcGIS Portal Directory 后,您可能需要准备好创建可用于门户的项目的其他列表或元数据。
有关详细说明,请参阅禁用 ArcGIS Portal Directory。
配置防火墙以使用门户
每个计算机都有数千个端口,其他计算机可通过这些端口向其发送信息。 防火墙是一种安全机制,用于限制其他计算机与您的计算机进行通信时所能使用的端口数。 使用防火墙将通信限制为少数端口时,可以密切监视这些端口以防止受到攻击。
ArcGIS Enterprise 门户使用诸如 7005、7080、7099、7443 和 7654 等特定端口进行通信。作为安全性最佳做法,建议您打开防火墙以允许在这些端口上进行通信;否则,门户可能无法正常运行。 有关详细信息,请参阅 Portal for ArcGIS 使用的端口。
指定令牌有效期
令牌是包含用户名、令牌有效期和其他专有信息的加密信息字符串。 令牌颁发给成员后,成员可在令牌有效期内访问门户。 如果到期,成员必须重新提供其用户名和密码。
使用 ArcGIS Enterprise 时,每次生成一个新的令牌,都应该指定有效期。 如果不指定,则将使用默认的有效期值。
门户可以使用三种类型的令牌,分别是:ArcGIS 令牌、OAuth access 令牌和 OAuth refresh 令牌。 每种类型都有其默认的有效期值。
这些最大和默认值无法增加,只能通过在 ArcGIS Portal Administrator Directory 中设置 maxTokenExpirationMinutes 属性来减少。 maxTokenExpirationMinutes 属性的值适用于每种类型的令牌。 如果该值小于最大值但大于默认值,则只会影响最大值,并且默认值将保持不变。 如果该值小于最大值和默认值,则这两个值都会受到影响,并且最大值和默认值将与 maxTokenExpirationMinutes 中定义的值相匹配。
要更改默认令牌有效期,请执行指定默认令牌有效期中的步骤。
限制文件权限
建议设置文件权限,以便仅授予对 Portal for ArcGIS 安装目录和内容目录的必需访问权限。 访问 Portal for ArcGIS 软件需要具备的唯一帐户是 Portal for ArcGIS 帐户。 此帐户用于运行软件。 您的组织可能需要为更多帐户授予访问权限。 请注意,门户帐户必须具有对安装目录和内容目录的完全访问权限,站点才能正常工作。
Portal for ArcGIS 会从安装位置的父文件夹中继承文件权限。 此外,还会为门户帐户授予权限,使其能够访问安装目录。 门户运行时创建的文件将从其父文件夹中继承权限。 要保护内容目录,针对父文件夹设置限制权限。
对内容目录具有写入权限的任何帐户都可更改门户设置,而这些设置通常只可由系统管理员进行修改。 如果使用内置安全存储来维护用户,则内容目录将包含这些用户的加密密码。 在这种情况下,还应限制对内容目录的读取访问权限。