Beim Sichern Ihres ArcGIS Enterprise-Portals ist es wichtig, dass die Umgebung, in der das Portal ausgeführt wird, ebenfalls sicher ist. Es gibt verschiedene bewährte Methoden, um optimale Sicherheit zu gewährleisten.
Konfigurieren von E-Mail-Einstellungen
Sie können in Ihrer Organisation konfigurieren, dass bei einem vergessenen Kennwort, bei einer aktualisierten Kennwortrichtlinie usw. E-Mail-Benachrichtigungen an Mitglieder und Administratoren gesendet. Schritte und Details finden Sie unter E-Mail-Einstellungen.
Proxy-Funktion des Portals beschränken
Das Portal wird in mehreren Szenarien als Proxy-Server genutzt. Daher kann die Proxy-Funktion des Portals zum Starten von Denial-of-Service- (DoS-) oder Server Side Request Forgery- (SSRF-)Angriffen gegen Computer missbraucht werden, auf die der Portal-Computer zugreift. Um dieses Sicherheitsrisiko zu verringern, wird dringend empfohlen, die Proxy-Funktion des Portals auf genehmigte Webadressen zu beschränken. Zusätzliche Informationen und vollständige Anweisungen finden Sie unter Beschränken der Proxy-Funktion des Portals.
Deaktivieren des anonymen Zugriffs
Der Zugriff auf die Portal-Website wird über den anonymen Portal-Zugriff gesteuert. Um zu verhindern, dass Benutzer auf die Portal-Website zugreifen, ohne zuerst Anmeldeinformationen für das Portal anzugeben, wird empfohlen, den anonymen Zugriff zu deaktivieren. Das Deaktivieren des anonymen Zugriffs verhindert zwar nicht, dass anonyme Benutzer auf für alle freigegebene Inhalte zugreifen, aber auf diese Weise kann sichergestellt werden, dass öffentliche Benutzer nicht über die Portal-Website nach für alle freigegebenen Inhalten oder Ressourcen suchen. Weitere Informationen zum Deaktivieren des anonymen Zugriffs in Ihrem ArcGIS Enterprise-Portal finden Sie unter Deaktivieren des anonymen Zugriffs.
Konfigurieren von TLS-Zertifikaten, die von einer Zertifizierungsstelle signiert wurden, und Einrichten einer Vertrauensstellung mit diesen Zertifikaten
Die Konfiguration eines Zertifikats von einer vertrauenswürdigen Zertifizierungsstelle ist eine Sicherheitsempfehlung für webbasierte Systeme und sorgt dafür, dass Benutzer keine Browser-Warnungen erhalten bzw. kein unerwartetes Verhalten auftritt. Bei der Bereitstellung muss Ihre Organisation ein TLS-Identitätszertifikat zur Verwendung durch den Eingangs-Controller bereitstellen oder generieren. In vielen Bereitstellungskonfigurationen handelt es sich dabei um das TLS-Zertifikat, das allen Endbenutzern verfügbar gemacht wird. Daher wird dringend empfohlen, dem Eingangs-Controller ein Zertifikat zuzuweisen, dass von einer vertrauenswürdigen Zertifizierungsstelle (CA) signiert ist. Wenn bei der Bereitstellung ein selbstsigniertes Zertifikat generiert wurde, können Sie dieses ersetzen, indem Sie nach der Erstellung der Organisation ein neues Zertifikat importieren und es dem Eingangs-Controller zuweisen.
Wenn es sich bei der Zertifizierungsstelle, die das Zertifikat signiert hat, nicht um eine bekannte Zertifizierungsstelle, sondern um eine Unternehmens- oder Domänenzertifizierungsstelle handelt, muss das öffentliche Zertifikat für die Zertifizierungsstelle auch als vertrauenswürdiges Zertifikat importiert werden. Dadurch wird sichergestellt, dass ArcGIS Enterprise alle von der jeweiligen Zertifizierungsstelle signierten Zertifikate überprüfen und als vertrauenswürdig einstufen kann.
Anweisungen zum Importieren eines Identitätszertifikats oder vertrauenswürdigen Zertifikats finden Sie unter Importieren von Zertifikaten.
Konfigurieren von HTTPS
Bei der Erstkonfiguration Ihrer ArcGIS Enterprise-Bereitstellung werden der Benutzername und das Kennwort bei jeder Aufforderung zur Eingabe Ihrer Anmeldeinformationen über HTTPS gesendet. Dies bedeutet, Ihre über das interne Netzwerk oder das Internet gesendeten Anmeldeinformationen werden verschlüsselt und können nicht abgefangen werden. Standardmäßig wird die gesamte Kommunikation innerhalb des Portals über HTTPS gesendet.
Durch die Erzwingung von Kommunikation über HTTPS wird die gesamte externe Kommunikation außerhalb des Enterprise-Portals (z. B. ArcGIS Server-Services und Open Geospatial Consortium (OGC)-Services) sicher gestaltet, da das Portal nur auf externen Webinhalt zugreift, wenn HTTPS verfügbar ist. Anderenfalls wird externer Inhalt blockiert.
Es kann jedoch Situationen geben, in denen Sie sowohl die HTTP- als auch die HTTPS-Kommunikation innerhalb des Portals aktivieren möchten. Informationen zum Erzwingen von HTTP und HTTPS für die gesamte Kommunikation in ArcGIS Enterprise finden Sie unter Konfigurieren von HTTPS.
Deaktivieren von API-Verzeichnissen ohne administrative Funktionen
Sie können über das Administratorverzeichnis den HTML-Zugriff auf das ArcGIS-Portalverzeichnis /<context>/sharing/rest und das ArcGIS REST-Services-Verzeichnis /<context>/rest/services deaktivieren. Diese Einstellung kann helfen zu vermeiden, dass Ihre Elemente, Services, Webkarten, Gruppen und anderen Ressourcen im Portal durchsucht, im Internet gefunden oder über HTML-Formulare abgefragt werden können. Die Deaktivierung des Zugriffs auf diese Verzeichnisse bietet außerdem Schutz vor XSS-Angriffen (Cross Site Scripting).
Die Entscheidung, den Zugriff auf diese Verzeichnisse zu deaktivieren, hängt von dem Zweck Ihres Portals ab und dem Grad, in dem Benutzer und Entwickler darin navigieren müssen. Wenn Sie den Zugriff auf diese Verzeichnisse deaktivieren, müssen Sie möglicherweise Listen der verfügbaren Vorgänge oder Metadaten zu den im Portal verfügbaren Elementen und Services erstellen.
Weitere Informationen finden Sie unter Deaktivieren von API-Verzeichnissen ohne administrative Funktionen.
Festlegen der Token-Gültigkeitsdauer
Ein Token ist eine Zeichenfolge mit verschlüsselten Informationen, die den Namen des Benutzers, die Token-Gültigkeitsdauer und andere proprietäre Informationen enthält. Wenn ein Token an das Mitglied ausgegeben wird, kann dieses Mitglied auf das Portal zugreifen, bis der Token abläuft. Wenn er abgelaufen ist, muss das Mitglied erneut den Benutzernamen und das Kennwort angeben.
Immer wenn Sie ArcGIS Enterprise verwenden und ein neues Token generieren, sollten Sie eine Gültigkeitsdauer festlegen. Andernfalls wird ein Standardwert für die Gültigkeitsdauer verwendet.
Im Portal werden drei Typen von Token verwendet: ArcGIS-Token, OAuth-access-Token und OAuth-refresh-Token. Jeder Typ verfügt über einen eigenen Standardwert für die Gültigkeitsdauer.
Diese Standardwerte können nicht erhöht werden. Sie können lediglich verringert werden, indem die maxTokenExpirationMinutes-Eigenschaft im ArcGIS-Portalverzeichnis auf einen kleineren Wert als den Standardwert festgelegt wird. Diese Werte sind zwar möglicherweise für Ihre Organisation geeignet, jedoch müssen die Sicherheitsaspekte eines Token beachtet werden. Ein Token mit längerer Gültigkeitsdauer bietet weniger Sicherheit. Beispielsweise kann ein Token, der von einem böswilligen Benutzer abgefangen wurde, verwendet werden, bis er abgelaufen ist. Dagegen bietet eine kürzere Gültigkeitsdauer höhere Sicherheit, jedoch weniger Komfort, da die Mitglieder ihren Benutzernamen und ihr Kennwort häufiger eingeben müssen.
Um die Standard-Ablaufzeit für Token zu ändern, führen Sie die folgenden Schritte unter Festlegen des Wertes für den Ablauf des Standard-Tokens aus.