扫描安全性最佳做法

ES01

严重

代理限制

确定是否限制门户的代理功能。 默认情况下，门户代理服务器对所有 URL 开放。 为了减少潜在的拒绝服务 (DoS) 风险或服务器端请求伪造 (SSRF) 攻击，建议您将门户的代理功能限制为已批准的 Web 地址。

ES02

严重

Web 内容过滤

生成禁用过滤 web 内容属性的要素服务列表。 禁用此属性将允许用户向输入字段中输入任何文本，这样会使服务暴露于跨站点脚本 (XSS) 的潜在攻击之中。 默认情况下启用该属性，除非需要不受支持的 HTML 实体或属性，否则请勿禁用此属性。

ES03

重要信息

Enterprise 服务目录

确定是否可通过 Web 浏览器访问 ArcGIS Enterprise 服务目录。 除非用户正在使用该目录搜索和查找服务，否则应禁用此选项，从而减少在 Web 搜索中浏览、查找或者通过 HTML 表单查询到您的服务的可能性。 这样做还可以加强对跨站点脚本 (XSS) 攻击的防护。

ES04

重要信息

Web 通信

确定是否为 ArcGIS Enterprise 启用 HTTPS。 要防止任意通信被截取，建议您配置托管反向代理的 ArcGIS Enterprise 和 web 服务器或 ArcGIS Web Adaptor（如已安装）来强化 SSL 加密。

ES05

推荐

内置账户注册

确定用户是否可以单击组织注册页面上的创建账户按钮来创建内置账户。 如果正在使用组织特定的账户或者希望手动创建全部账户，请禁用此选项。

ES06

推荐

匿名访问

确定是否允许匿名访问。 为了防止任何用户在未预先提供凭据的情况下对内容进行访问，建议将组织配置为禁用匿名访问。

ES07

推荐

LDAP 标识存储

如果您的组织配置了 LDAP 标识存储，则用于确定是否使用加密通信。 建议您使用 LDAP 作为用户和群组的 LDAP URL。

ES08

推荐

入口控制器 TLS 证书

确定入口控制器是否使用自签名证书。 为了帮助减少与门户通信的客户端的 Web 浏览器警告或其他意外行为，建议导入并使用已绑定到入口控制器的 CA 签名 TLS 证书。

ES09

推荐

跨域请求

确定跨域 (CORS) 请求是否不受限制。 为了降低未知应用程序访问共享门户项目的可能性，建议将跨域请求限制为仅在受信任域中托管的应用程序。

ES10

严重

联合服务器管理 URL

确定您的联合服务器的管理员 URL 是否可通过门户访问，以及此 URL 中使用的 TLS 证书是否受信任。 如果不受信任或无法访问，许多门户功能将无法使用且操作将会失败。

ES11

推荐

联合服务器服务 URL

确定您的联合服务器的服务 URL 是否可通过门户访问，以及此 URL 中使用的 SSL 证书是否受信任。 如果不受信任或无法访问，门户仍将正常运行，但某些门户操作可能会失败。

ES12

推荐

公共内容

如果对您的组织进行配置，以使成员无法公开共享内容，则会列出仍与所有人共享的所有项目。

ES13

重要信息

动态工作空间

生成可通过动态工作空间访问数据库的服务列表。 如果保护不当，这将导致恶意第三方通过 REST 显示数据库和工作空间进行访问。 仅在服务和动态图层/工作空间功能用于 Web 应用程序的主动使用时，才可启用动态工作空间。 在这些情况下，需确保由地图服务用于连接至工作空间或数据库的数据库连接具备应用程序所需的最低权限，例如，在所需工作空间范围内仅对其他表格的只读权限。

ES14

推荐

要素服务权限

返回已启用更新或删除操作并支持匿名访问的要素服务列表。 此操作允许在不进行验证的情况下更改或删除要素服务数据。

ES15

重要信息

SAML 配置设置

如果将您的组织配置为使用 SAML 身份验证，则用于确定是否启用加密声明和签名请求。 如果身份提供者支持，建议您将门户配置为同时需要加密声明和签名请求。