Sicherheitsempfehlungen

Deaktivieren des anonymen Zugriffs

Um zu verhindern, dass Benutzer auf Inhalte zugreifen, ohne zuerst Anmeldeinformationen für das Portal anzugeben, empfiehlt es sich, den anonymen Zugriff für das Portal zu deaktivieren. Durch das Deaktivieren des anonymen Zugriffs kann sichergestellt werden, dass ein öffentlicher Benutzer nicht auf Ressourcen im Portal zugreifen kann.

Weitere Informationen zum Deaktivieren des anonymen Zugriffs in Portal for ArcGIS finden Sie unter Deaktivieren des anonymen Zugriffs. Wenn Sie die Authentifizierung auf Webebene verwenden (d. h., Sie führen die Authentifizierung über ArcGIS Web Adaptor aus), müssen Sie auch den anonymen Zugriff auf den Webserver deaktivieren. Anweisungen dazu finden Sie in der Produktdokumentation zu Ihrem Webserver.

Anfordern und Konfigurieren eines eigenen SSL-Zertifikats

Portal for ArcGIS enthält ein vorkonfiguriertes selbstsigniertes SSL-Zertifikat, mit dem das Portal zuerst getestet werden kann. Außerdem lässt sich mit dem Zertifikat schnell überprüfen, ob die Installation erfolgreich ausgeführt wurde. In fast allen Fällen empfiehlt es sich jedoch, ein SSL-Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle (ZS) anzufordern und dessen Verwendung im Portal zu konfigurieren. Hierbei sollte es sich um ein von Ihrer Organisation ausgegebenes oder ein von einer Zertifizierungsstelle signiertes Zertifikat handeln.

Wie Portal for ArcGIS verfügt ArcGIS for Server über ein vorkonfiguriertes selbstsigniertes Zertifikat. Wenn Sie eine ArcGIS-Server-Site mit Ihrem Portal verbinden, sollten Sie ein SSL-Zertifikat von einer vertrauenswürdigen Zertifizierungsstelle (ZS) anfordern und den Server für dessen Verwendung konfigurieren.

Die Konfiguration eines Zertifikats von einer vertrauenswürdigen Zertifizierungsstelle ist eine Sicherheitsempfehlung für webbasierte Systeme und sorgt dafür, dass Benutzer keine Browser-Warnungen erhalten bzw. kein unerwartetes Verhalten auftritt. Wenn Sie beim Testen das selbstsignierte Zertifikat verwenden möchten, das in Portal for ArcGIS und ArcGIS-Server enthalten ist, tritt Folgendes ein:

• Webbrowser- und ArcGIS for Desktop-Warnungen zu einer nicht vertrauenswürdigen Site. Wenn ein Webbrowser auf ein selbstsigniertes Zertifikat trifft, zeigt er in der Regel eine Warnung an, und fordert Sie auf, zu bestätigen, dass Sie zu der Site weitergeleitet werden möchten. Viele Browser zeigen Warnsymbole oder eine rot markierte Adressleiste an, so lange Sie das selbstsignierte Zertifikat verwenden. Diese Art von Warnungen sind typisch, wenn Sie ein selbstsigniertes Zertifikat verwenden.
• Ein Verbund-Service kann im Map Viewer des Portals nicht geöffnet werden, dem Portal kann kein gesichertes Service-Element hinzugefügt werden, die Anmeldung bei ArcGIS Server Manager auf einem Verbundserver kann nicht durchgeführt werden und es kann keine Verbindung mit dem Portal über Esri Maps for Office hergestellt werden.
• Unerwartetes Verhalten beim Drucken von gehosteten Services und beim Zugreifen auf das Portal über Client-Anwendungen.

Achtung:

Die oben aufgeführte Liste der Probleme, die im Zusammenhang mit der Verwendung eines selbstsignierten Zertifikats auftreten, erhebt keinen Anspruch auf Vollständigkeit. Es wird empfohlen, ein Domänenzertifikat oder ein CA-signiertes Zertifikat zu verwenden, um das Portal vollständig zu testen und bereitzustellen.

Weitere Anweisungen zum Konfigurieren von Portal for ArcGIS und ArcGIS-Server mit einem eigenen Zertifikat finden Sie in den folgenden Themen:

• Importieren eines Zertifikats in das Portal
• Aktivieren von SSL auf dem ArcGIS-Server mit einem CA-signierten Zertifikat

Konfigurieren von HTTPS

Bei der Erstkonfiguration der Portal-Bereitstellung werden der Benutzername und das Kennwort bei jeder Aufforderung zur Eingabe Ihrer Anmeldeinformationen über HTTPS (Secure Sockets Layer oder SSL) gesendet. Dies bedeutet, Ihre über ein internes Netzwerk oder das Internet gesendeten Anmeldeinformationen werden verschlüsselt und können nicht abgefangen werden. Die restliche Kommunikation im Portal wird jedoch über HTTP gesendet und ist damit nicht sicher. Um zu verhindern, dass Kommunikation im Portal abgefangen wird, empfiehlt es sich, im Portal und auf dem Webserver, auf dem ArcGIS Web Adaptor gehostet wird, die Erzwingung von SSL konfigurieren.

Die Performance des Portals kann abnehmen, wenn die gesamte Kommunikation über SSL erfolgt. Falls Sie über Verknüpfungen oder Lesezeichen zur Portal-Website verfügen, die HTTP verwenden, müssen Sie diese außerdem für die Verwendung von HTTPS aktualisieren.

Informationen zum Erzwingen von SSL für die gesamte Kommunikation in Portal for ArcGIS finden Sie unter Konfigurieren von HTTPS.

Deaktivieren des ArcGIS Portal Directory

Sie können das ArcGIS Portal Directory deaktivieren, um zu vermeiden, dass Ihre Elemente, Services, Webkarten, Gruppen und anderen Ressourcen im Portal durchsucht, im Internet gefunden oder über HTML-Formulare abgefragt werden können. Die Deaktivierung des Portal Directory bietet außerdem Schutz vor Cross-Site-Scripting-(XSS-)Angriffen.

Die Entscheidung, das Portal Directory zu deaktivieren, hängt von dem Zweck Ihres Portals ab und dem Grad, in dem Benutzer und Entwickler darin navigieren müssen. Wenn Sie das Portal Directory deaktivieren, müssen Sie möglicherweise andere Listen oder Metadaten zu den verfügbaren Elementen im Portal erstellen.

Eine vollständige Anleitung finden Sie unter Deaktivieren des ArcGIS Portal Directory.

Konfigurieren der Firewall zur Verwendung des Portals

Jeder Computer hat Tausende von Ports, über die andere Computer Informationen senden können. Eine Firewall ist ein Sicherheitsmechanismus, der die Anzahl der Ports am Computer, über die andere Computer kommunizieren können, einschränkt. Wenn Sie die Kommunikation mithilfe einer Firewall auf eine kleine Anzahl von Ports einschränken, können Sie diese Ports streng überwachen, um Angriffe zu verhindern.

Portal for ArcGIS verwendet bestimmte Ports zur Kommunikation, z. B. 7080, 7443, 7005, 7099, 7199 und 7654. Aus Sicherheitsgründen empfiehlt es sich, diese Ports in der Firewall zu öffnen, um die Kommunikation zu ermöglichen. Andernfalls funktioniert das Portal möglicherweise nicht ordnungsgemäß. Weitere Informationen finden Sie unter Von Portal for ArcGIS verwendete Ports.

Beschränken von Dateiberechtigungen

Es wird empfohlen, Dateiberechtigungen so festzulegen, dass der Zugriff auf das Installationsverzeichnis und das Inhaltsverzeichnis von Portal for ArcGIS auf die notwendigen Konten beschränkt ist. Das einzige Konto, auf das die Portal for ArcGIS-Software Zugriff benötigt, ist das Portal for ArcGIS-Konto. Dieses Konto wird zum Ausführen der Software verwendet. In Ihrer Organisation kann es erforderlich sein, dass auch anderen Konten Zugriff erteilt wird. Denken Sie daran, dass das Portal for ArcGIS-Konto vollständigen Zugriff auf das Installations- und Inhaltsverzeichnis benötigt, damit die Site ordnungsgemäß funktioniert.

Portal for ArcGIS übernimmt die Dateiberechtigungen vom übergeordneten Ordner, in dem die Software installiert ist. Darüber hinaus erteilt Portal for ArcGIS dem Portal for ArcGIS-Konto die Berechtigung zum Zugriff auf das Installationsverzeichnis. Dateien, die erstellt werden, während das Portal ausgeführt wird, übernehmen die Berechtigungen vom übergeordneten Ordner. Wenn Sie das Inhaltsverzeichnis sichern möchten, legen Sie eingeschränkte Berechtigungen für den übergeordneten Ordner fest.

Jedes Konto mit Schreibzugriff auf das Inhaltsverzeichnis kann Portal for ArcGIS-Einstellungen ändern, die in der Regel nur vom Systemadministrator geändert werden können. Wenn ein integrierter Sicherheitsspeicher zum Verwalten von Benutzern verwendet wird, enthält das Inhaltsverzeichnis verschlüsselte Kennwörter für diese Benutzer. In dem Fall sollte auch der Lesezugriff auf das Inhaltsverzeichnis beschränkt werden.