配置安全环境的最佳做法

限制文件权限

建议设置文件权限，以便仅授予对 ArcGIS Server 安装目录、配置存储和服务器目录的必需访问权限。访问 ArcGIS Server 软件需要具备的唯一帐户是 ArcGIS Server 帐户。此帐户用于运行软件。您的组织可能需要为更多帐户授予访问权限。请记住，ArcGIS Server 帐户必须具有对安装目录、配置存储和服务器目录的完全访问权限，站点才能正常工作。

安装 ArcGIS Server 时的文件权限仅允许运行 ArcGIS Server 的帐户访问这些文件。ArcGIS Server 创建的配置存储和服务器目录等文件已经锁定，因此，只有运行 ArcGIS Server 的帐户才可访问这些文件。

对配置存储具有写入权限的任何帐户都可更改 ArcGIS Server 设置，而这些设置通常只可由系统管理员进行修改。如果使用内置安全存储来维护用户，则配置存储将包含这些用户的加密密码。在此情况下，还应限制对配置存储的读取权限。

如果具有受保护的地图或地理处理服务，务必锁定服务器目录的文件权限，以确保未授权帐户无法获取对这些地图和地理处理作业输出的访问权限。

禁用主站点管理员帐户

主站点管理员帐户是在 ArcGIS Server Manager 中首次创建站点时指定的帐户。仅 ArcGIS Server 可识别其名称和密码；该帐户不是操作系统帐户，且与您的标识存储中的用户帐户分开管理。

建议禁用主站点管理员帐户。这样，可确保除了在标识存储中指定的组和角色之外，无法采用其他任何方式管理 ArcGIS Server。有关完整说明，请参阅禁用主站点管理员帐户。

定义用于生成 ArcGIS 令牌的共享密钥

ArcGIS 令牌是加密信息字符串。共享密钥是用于生成此加密字符串的密钥。共享密钥越复杂，恶意用户越难解密和破译共享密钥。如果用户能够破译共享密钥，复制 ArcGIS Server 的加密算法，并获取授权用户的列表，该用户将能够生成令牌，并使用此特殊 ArcGIS Server 中的任何受保护资源。

在定义共享密钥前，请考虑以下内容：

• 共享密钥的长度应设置为 16 个字符（超出 16 个字符的任何字符均不会采用）。建议使用随机字符序列作为密钥。任何字符都可以使用，包括非字母数字字符。
• 不应将密钥设为字典中的单词或容易猜出的常用值。由于无需记住密钥或在其他位置使用该密钥，因此设置密钥与设置密码不同，复杂的密钥值并不会对用户造成不便。
• 可使用高级加密标准 (AES) 通过共享密钥对令牌加密，该标准也称作 Rijndael。密钥中的 16 个字符表示用于加密的 128 位。有关加密和 AES 的详细信息，请查阅安全性参考资料，或咨询贵组织内具备安全性和密码学专业知识的人员。
• 在高度安全的环境中，建议定期更改共享密钥。切记，如果更改共享密钥，可能需要更新应用程序才能使用新的共享密钥。一旦更改共享密钥，现有的全部嵌入式令牌都将变得无效。

有关详细信息，请参阅关于 ArcGIS 令牌。

安全传输 ArcGIS 令牌

为了防止拦截和错误使用令牌，建议使用采用 HTTPS（安全套接字层或 SSL）的安全连接。使用 HTTPS/SSL 可确保恶意用户无法拦截客户端发送的用户名和密码和 ArcGIS Server 返回的令牌。要了解详细信息，请参阅在 ArcGIS Server 上启用 SSL。

使用标准化查询

ArcGIS Server 中含有一个名为标准化查询的安全选项，能够提供更好的保护以防止 SQL 注入攻击。默认情况下，会启用该选项。

如果您是服务器管理员，建议将这个安全选项保留为启用状态，然后指导应用程序开发人员构建使用独立于数据库的语法的 Where 子语句。禁用这一选项后，系统会更加容易遭受 SQL 注入攻击。

有关详细信息，请参阅关于标准化查询。

禁用服务目录

可通过禁用服务目录来减少从 Web 搜索中找到、浏览或者通过 HTML 表单查询到您的服务的可能性。禁用服务目录还可以加强对跨站点脚本 (XSS) 攻击的防护。

是否禁用服务目录取决于站点的用途以及用户和开发人员依靠它来进行导航的程度。禁用服务目录后，您可能需要准备创建可用于站点的服务的其他列表或元数据。

有关禁用服务目录的说明，请参阅禁用服务目录。

限制跨域请求

跨域请求用于许多系统攻击中。建议限制仅使用 ArcGIS Server 服务托管您所信任的域中的应用程序。有关详细信息，请参阅限制对 ArcGIS Server 的跨域请求。