AX 服务器安全
遵照 AX 服务器安全建议,控制对 ACL GRC Analytics Exchange 的访问并保持敏感审核数据安全。
普通用户访问
作为一般性准则,您应该将 AX 服务器访问权限授予最少数量的必需帐户,并为其配置所需的最小权利和权限。
Windows 用户帐户安全
用于运行 Analytics Exchange 服务的 Windows 用户账户
只能使用专门域用户帐户运行“AX 服务”帐户。 不要使用下列任一帐户类型:
- 通用 IT 域帐户
- 单个员工的帐户
- 本地用户帐户和本地系统帐户
说明
您指定的专用域用户帐户需要对 Active Directory 域控制器的访问权限,以便认证登录 ACL GRC Analytics Exchange 的用户。 如果您指定的帐户使用过期的密码,请确保您已准备好可使密码保持最新的过程。
用于运行 AX 引擎节点的 Windows 用户帐号
使用您用来运行 Analytics Exchange 服务的同一域用户帐户
运行 AX 引擎节点和 Analytics Exchange 服务的许可是相同的。 对您拥有的两种手段使用同一帐户来仅跟踪一个帐户。
单个 Windows 用户帐户
通过首先将单个用户帐户添加到 Windows 用户组来管理 AX 服务器上的用户权利和权限。 在为单个用户帐户授予 AX 服务器上的权利和权限时,有两个用户组选项:
- 特地为 AX 客户端用户创建域用户组
- 将 AX 客户端用户添加到本地“用户”组
说明
第一个选项更安全,原因如下:
- 它使您可以在单个用户级别指定前缀文件夹权限,从而防止用户访问其他用户的数据文件。
- 可以在 Active Directory 中进行后续的更新,而不需要访问承载 AX 服务器的服务器。
以后各节指定了任一类型组的登录权限和文件夹权限。
登录尝试
不要禁用用户或 AX 服务器管理员的登录尝试限制。 要减轻在破解密码时进行野蛮尝试的风险,ACL GRC Analytics Exchange 默认情况下会启用登录抑制:
- 用户在发生两次失败的登录尝试后,该用户会被锁住三秒钟。
这些默认值可在 deployerConfigContext.xml 配置文件中进行更改。
- 管理员在发生五次失败的登录尝试后,该用户会被锁住十秒钟。
这些默认值可在 admin-security.xml 配置文件中进行更改。
AX 客户端超时设置
默认情况下,AX 客户端在保持空闲 30 分钟后超时。 要为 AX 客户端配置不同的最大空闲时间,请更新 aclAuditExchange.xml 配置文件中的设置。 要了解更多信息,请参考aclAuditExchange.xml。
说明
如果应用程序正在完成处理时间超过超时值的大型导入或导出操作,则超时计数器会在处理完成之后启动。 由于最大空闲时间设置,导入或导出操作不会失败。
如果当超时到期时,与导入和导出文件不相关的对话框处于打开状态,则该应用程序和所有关联的对话框都将关闭。
敏感安装信息
请保护与您的 AX 服务器安装有关的任何敏感信息。 在安装过程中,如果您创建了任何包含敏感信息(如帐户凭证或配置设置)的文件,您应该将这些文件存储在安全位置。
服务器配置 IP 限制
以下服务器配置页面要求验证管理员用户名和密码:
- /manager
- /aclconfig
您还可以通过限制对 IP 地址子集的页面访问权限来增强这些页面的安全性。
说明
如果限制对本地主机的访问权限,则必须在访问配置页面时在浏览器地址中输入 127.0.0.1。
要限制对这些页面的访问权限,请将下列文件添加到 ACL\App\Tomcat\conf\Catalina\localhost 目录,并且在逗号分隔列表中指定允许的请求 IP 地址:
-
manager.xml:限制访问 /manager 页面的权限:
<Context path="/manager" debug="0" privileged="true"> <!-- 限制对 localhost 的访问。 --> <!-- 必须将允许的服务器添加到逗号分隔列表中 --> <Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="127.0.0.1"/> </Context>
-
aclconfig.xml:限制访问/aclconfig 页面的权限:
<Context path="/aclconfig" debug="0" privileged="true"> <!-- 限制对 localhost 的访问。 --> <!-- 必须将允许的服务器添加到逗号分隔列表中 --> <Valve className="org.apache.catalina.valves.RemoteAddrValve" allow="127.0.0.1"/> </Context>
说明
要复原此变更并移除 IP 限制,您必须备份 ACL\App\Tomcat\webapps\manager 目录,停止 Tomcat 服务,然后删除已添加到 ACL\App\Tomcat\conf\Catalina\localhost 的文件。 完成这些步骤后,请立即用备份覆盖 manager 文件夹,然后重启该服务。
帐户登录权限
下表概述了需要访问 AX 服务器的帐户所需的登录权限。 请勿将任何超越以下所指定权限的登录权限授予某个帐户。 登录权限是在 Windows 安全策略的”用户权限分配“区域指定的。
限制登录权限可减轻有人获取未经授权访问 AX 服务器的权限的风险。
帐户登录权限
|
登录权限 |
AX 服务帐户 (包括任何引擎节点) |
PostgreSQL 帐户 (如果数据库服务器是 Oracle,则不适用) |
AX 用户组帐户 (AX 客户端、AX Web 客户端和 AX 加载项用户的 Windows 用户组) |
AX 连接器帐户 (ACL Analytics 用户) |
|---|---|---|---|---|
|
允许本地登录 |
否 |
否 |
否 |
否 说明 如果您需要使用数据库配置文件连接到 SQL Server,则需要允许本地登录。 |
|
拒绝本地登录 |
是 (必须手动分配) |
是 (必须手动分配) |
是 (必须手动分配) |
否 |
|
作为服务登录 |
是 (由 AX 安装程序自动分配) |
是 (由 AX 安装程序自动分配) |
否 |
否 |
文件夹权限
注意
请勿将单个用户或用户组权限授予 AX 服务器上的整个“ACL”目录或 AX 服务器操作系统目录。 此类型的配置会产生重大安全风险,建议不要这么做。
下表概述了您需要授予帐户以便其访问 AX 服务器的文件夹权限。 请勿将任何超越以下所指定权限的文件夹权限授予某个帐户。
将文件夹访问权限仅授予所需的帐户和所需的文件夹可减轻有人获取未经授权访问 AX 服务器的权限的风险。 它还能够防止 ACL 脚本访问或修改适当文件夹外部的文件。
AX 服务器文件夹权限
|
AX 服务器上的文件夹 |
AX 服务帐户 (包括任何引擎节点) |
PostgreSQL 帐户 (如果数据库服务器是 Oracle,则不适用) |
AX 用户组帐户 (AX 客户端、AX Web 客户端和 AX 加载项用户的 Windows 用户组) |
AX 连接器帐户 (ACL Analytics 用户) |
|---|---|---|---|---|
|
ACL\App |
读取 写入 |
无权限 |
无权限 |
无权限 |
|
ACL\App\analytic_engine\aclse\conf (AX 连接器配置文件夹) |
读取 写入 |
无权限 |
无权限 |
读取 |
|
ACL\App\TomCat\conf (TomEE 应用程序服务器配置文件夹) 此子文件夹包含控制 ACL GRC Analytics Exchange 功能的配置文件。 安装 AX 服务器之后,配置文件可能包含敏感信息,如哈希凭据和主机名。 |
读取 写入 |
无权限 |
无权限 |
无权限 |
|
ACL\Data |
读取 写入 |
无权限 |
无权限 |
无权限 |
|
ACL\Data\aclse\<用户名> (如果您为 AX 用户使用域用户组) |
读取 写入 |
无权限 |
无权限 |
用户对于自己的子文件夹的完全控制 |
|
ACL\Data\aclse (如果您对 AX 用户使用 AX 服务器本地“用户”组) |
读取 写入 |
无权限 |
无权限 |
如果不安全,则为完全控制 如果安全,则无权限 |
|
ACL\Data\jobs |
完全控制 |
无权限 |
无权限 |
无权限 |
|
ACL\Data\savedfailedjobs |
完全控制 |
无权限 |
无权限 |
无权限 |
|
ACL\Data\repository |
读取 写入 |
无权限 |
无权限 |
读取 |
|
ACL\Data\repository\datafiles (包含存储在 ACL GRC Analytics Exchange 中的源数据文件) |
读取 写入 |
无权限 |
无权限 |
读取 |
|
ACL\Data\repository\upload |
读取 写入 |
无权限 |
无权限 |
读取 |
|
共享数据文件文件夹 (如果使用引擎节点,或单独的数据文件服务器) |
读取 写入 |
无权限 |
无权限 |
读取 |
|
存档和恢复数据目录 |
读取 写入 |
无权限 |
无权限 |
无权限 |