Skip To Content

配置安全环境的最佳做法

在本主题中

在保护 ArcGIS Server 时,务必使 ArcGIS Server 也在安全环境下运行。可遵循多种安全性最佳做法,以确保获得最高安全性。

配置 HTTPS

初始创建 ArcGIS Server 站点时,站点中的所有通信均会通过 HTTP 发送,而这并不安全。这意味着您通过内部网络或 Internet 发送的凭据未加密,并且可能会被截取。要防止任意通信被截取,建议您配置 ArcGIS Server 和 ArcGIS Web Adaptor(如已安装)来强化安全套接字层 (SSL) 加密。初始创建站点时,将在日志中显示一条警告级别消息,建议您更新站点的通信协议以使用 SSL。

强化 SSL 的方法有两种:

  • HTTP 和 HTTPS - 此方法涉及配置 ArcGIS Server 以混合使用 HTTP 和 HTTPS 进行通信。以这种方式配置服务器时,可随时使用 HTTPS 发送您的用户名和密码进行凭据验证。这意味着您通过内部网络或 Internet 发送的凭据已加密,并且不会被截取。但是,所有其他通信会通过 HTTP 发送,而这并不安全。
  • 仅 HTTPS - 此方法涉及配置 ArcGIS Server 以针对所有通信专门使用 HTTPS。使用 HTTPS 发送用户名、密码和所有其他通信。为所有通信请求 SSL 可能会影响服务器的性能。同样,如果您拥有到使用 HTTP 的 ArcGIS Server Manager 或管理员目录的快捷方式或书签,则需要更新这些内容以使用 HTTPS。

如果您将联合站点与 Portal for ArcGIS,则需要使用 SSL(HTTP 和 HTTPS 或仅 HTTPS)。了解如何配置站点以使用 SSL, 请参阅在 ArcGIS Server 上启用 SSL。您将使用ArcGIS Server 管理员目录来配置站点的 SSL。

请求并配置自己的 SSL 证书

ArcGIS Server 预先配置了自签名的 SSL 证书,这样,可初始测试服务器并帮助您快速验证是否安装成功。然而,在绝大多数情况下,组织在使用服务器之前需要从受信任的证书颁发机构 (CA) 请求 SSL 证书并配置服务器。这可能是由您的组织或 CA 签名证书颁发的域证书。

与 ArcGIS Server 一样,Portal for ArcGIS 还预先配置了自签名证书。如果将联合站点与 Portal for ArcGIS,应从受信任的 CA 请求 SSL 证书并配置门户以进行使用。

配置来自受信任颁发机构的证书对于基于 Web 的系统来说是一种安全的方法,同时也将避免用户遇到任何浏览器发出的警告或其他异常行为。如果在测试期间选择使用 ArcGIS Server 和 Portal for ArcGIS 随附的自签名证书,则将遇到以下问题:

  • 有关站点不受信任的 Web 浏览器和 ArcGIS for Desktop 警告。通常,Web 浏览器遇到自签名证书时将显示警告消息并要求您确认是否继续前往该站点。只要您使用自签名证书,许多浏览器就会显示警告图标或对地址栏标红。如果使用自签名证书,则将看到这些类型的警告。
  • 无法在门户地图查看器中打开联合服务、无法将受保护的服务项添加到门户、无法在联合服务器中登录到 ArcGIS Server Manager 以及无法从 Esri Maps for Office 连接到门户。
  • 配置实用程序服务、打印托管服务以及从客户端应用程序访问门户时出现异常行为。
警告:

以上使用自签名证书时将遇到的问题列表并不详尽。必须使用 CA 签名证书全面测试和部署门户。

有关如何使用 CA 签名的证书配置 Portal for ArcGIS、ArcGIS Server 和 ArcGIS Web Adaptor 的说明,请参阅以下主题:

限制文件权限

建议设置文件权限,以便仅授予对 ArcGIS Server 安装目录、配置存储和服务器目录的必需访问权限。访问 ArcGIS Server 软件需要的唯一帐户是 ArcGIS Server 帐户。此帐户用于运行软件。您的组织可能需要为更多帐户授予访问权限。请记住,ArcGIS Server 帐户必须具有对安装目录、配置存储和服务器目录的完全访问权限,站点才能正常工作。

ArcGIS Server 会从安装位置的父文件夹中继承权限。此外,ArcGIS Server 还会为 ArcGIS Server 帐户授予权限,使其能够访问安装目录。在 ArcGIS Server 运行过程中创建的文件(如日志)会从父文件夹中继承各自的权限。如果要保护配置存储和服务器目录,请设置限制访问父文件夹。

对配置存储具有写入权限的任何帐户都可更改 ArcGIS Server 设置,而这些设置通常只可由系统管理员进行修改。如果使用内置安全存储来维护用户,则配置存储将包含这些用户的加密密码。在此情况下,还应限制对配置存储的读取权限。

如果具有受保护的地图或地理处理服务,务必锁定服务器目录的文件权限,以确保未授权帐户无法获取对这些地图和地理处理作业输出的访问权限。

禁用主站点管理员帐户

主站点管理员帐户是在 ArcGIS Server Manager 中首次创建站点时指定的帐户。仅 ArcGIS Server 可识别其名称和密码;该帐户不是操作系统帐户,且与您的标识存储中的用户帐户分开管理。

建议禁用主站点管理员帐户。这样,可确保除了在标识存储中指定的组和角色之外,无法采用其他任何方式管理 ArcGIS Server。有关完整说明,请参阅禁用主站点管理员帐户

定义用于生成 ArcGIS 令牌的共享密钥

ArcGIS 令牌是加密信息字符串。共享密钥是用于生成此加密字符串的密钥。共享密钥越复杂,恶意用户越难解密和破译共享密钥。如果用户能够破译共享密钥,复制 ArcGIS 服务器的加密算法,并获取授权用户的列表,该用户将能够生成令牌,并使用此特殊 ArcGIS 服务器中的任何受保护资源。

在定义共享密钥前,请考虑以下内容:

  • 共享密钥的长度应设置为 16 个字符(超出 16 个字符的任何字符均不会采用)。建议使用随机字符序列作为密钥。任何字符都可以使用,包括非字母数字字符。
  • 不应将密钥设为字典中的单词或容易猜出的常用值。由于无需记住密钥或在其他位置使用该密钥,因此设置密钥与设置密码不同,复杂的密钥值并不会对用户造成不便。
  • 可使用高级加密标准 (AES) 通过共享密钥对令牌加密,该标准也称作 Rijndael。密钥中的 16 个字符表示用于加密的 128 位。有关加密和 AES 的详细信息,请查阅安全性参考资料,或咨询贵组织内具备安全性和密码学专业知识的人员。
  • 在高度安全的环境中,建议定期更改共享密钥。切记,如果更改共享密钥,可能需要更新应用程序才能使用新的共享密钥。一旦更改共享密钥,现有的全部嵌入式令牌都将变得无效。

有关详细信息,请参阅关于 ArcGIS 令牌

安全传输 ArcGIS 令牌

为了防止拦截和错误使用令牌,建议使用采用 HTTPS(安全套接字层或 SSL)的安全连接。使用 HTTPS/SSL 可确保恶意用户无法拦截客户端发送的用户名和密码和 ArcGIS Server 返回的令牌。要了解详细信息,请参阅在 ArcGIS Server 上启用 SSL

使用标准化查询

ArcGIS Server 中含有一个安全选项(即标准化查询),能够提供更好的保护以防止 SQL 注入攻击。默认情况下,会启用该选项。

如果您是服务器管理员,建议将这个安全选项保留为启用状态,然后指导应用程序开发人员构建使用独立于数据库的语法的 WHERE 子语句。禁用这一选项后,系统会更加容易遭受 SQL 注入攻击。

有关详细信息,请参阅关于标准化查询

禁用服务目录

可通过禁用服务目录来减少从 Web 搜索中找到、浏览或者通过 HTML 表单查询到您的服务的可能性。禁用服务目录还可以加强对跨站点脚本 (XSS) 攻击的防护。

是否禁用服务目录取决于站点的用途以及用户和开发人员依靠它来进行导航的程度。禁用服务目录后,您可能需要准备创建可用于站点的服务的其他列表或元数据。

有关禁用服务目录的说明,请参阅禁用服务目录

限制跨域请求

跨域请求用于许多系统攻击中。建议限制仅使用 ArcGIS Server 服务托管您所信任的域中的应用程序。有关详细信息,请参阅限制对 ArcGIS Server 的跨域请求