• 首页
  • 工作区企业安全指南
本文由AI翻译

工作区企业安全指南

介绍

ONLYOFFICE 提供多种方式确保您的门户得到妥善保护。在本指南中,介绍了所有可以增强门户、安全数据以及在云端和桌面编辑器中工作的安全级别的功能和工具。

SSL 证书

SSL 证书是一种数字证书,用于验证网站的身份并启用加密连接。您可以使用控制面板生成 SSL 证书或上传第三方证书。

证书生成

使用 Let’s Encrypt 服务提供 CA 签名的证书。

要成功生成 Let’s Encrypt 证书,必须打开端口 80。

要生成新证书,

  1. 在左侧边栏的通用设置部分中打开HTTPS页面,
  2. 点击生成并应用按钮。将弹出一个消息框,通知证书和私钥已成功生成。

控制面板和门户将在此过程中重新启动并变得不可用。此过程可能需要长达 5 分钟。证书安装过程结束后,您的门户将通过 HTTPS 可用。

证书上传

要上传第三方证书(例如,Amazon 或 GoDaddy),

  1. 在左侧边栏的通用设置部分中打开HTTPS页面,
  2. 点击CRT 证书字段旁的加号按钮,选择您的.crt证书进行上传,
  3. 点击HTTPS 密钥字段旁的加号按钮,选择您的私有.key密钥进行上传,
    上传前,请确保私钥未加密。如果您有密码保护的 .key 文件,您需要先解密。
  4. 上传.crt.key文件后,点击页面底部的应用按钮。

之后,您的控制面板和门户将在此过程中重新启动并变得不可用。此过程可能需要长达 5 分钟。证书安装过程结束后,您的门户将通过 HTTPS 可用。证书颁发的域名现在显示在控制面板HTTPS页面的生成于域名部分。

SSL 证书 SSL 证书

一旦您生成或购买并上传了证书,您可以使用 SSL Labs 服务或其他类似服务检查您的安全级别。您的安全级别不得低于 A。

要了解更多关于切换到 HTTPS 的信息,请阅读这篇文章。

自动备份

可以在控制面板中启用自动备份。使用第三方服务定期制作门户副本也是一个不错的选择。

要开启自动备份

  1. 切换到左侧边栏的通用设置部分中的备份页面,找到自动备份部分,
  2. 点击禁用开关以启用该功能,
    自动备份 自动备份
  3. 选择备份文件的必要存储(可用选项包括 Amazon AWS S3、Google、Rackspace 和 Selectel 云存储服务或其他 WebDAV 服务,临时存储仅在数据备份部分可用),
  4. 指定备份创建的时间间隔:每天每周每月,并指明必要的时间段,
  5. 通过选择相应的下拉列表中的必要值(从 1 到 30)设置要存储的备份副本的最大数量
  6. 如果您还想备份邮件数据,请勾选在备份中包含邮件框,
  7. 点击保存按钮。

备份将按照指定的周期自动创建。

要了解更多关于备份和恢复选项的信息,请阅读这篇文章。

门户安全设置调整

在向门户添加用户之前,必须设置门户访问规则。可以通过门户门户访问页面完成。您可以通过以下方式访问该页面:设置 > 安全 > 门户访问

您可以通过确定密码设置来限制门户访问:调整密码字符数要求包含大写字母以及数字和特殊字符

门户安全设置调整 门户安全设置调整

门户登录可使用两因素认证。可以设置使用应用程序 - Authy 或 Google Authenticator;强烈推荐后者。另一种方式是通过 SMS 的 2FA。要使用它,您需要使用 SMC、Clickatell 或 Twillio(您可以在集成选项卡第三方服务页面上打开这些选项,使用相应服务的 API 密钥)。

由于一些大众邮件域名存在已知的安全问题,您可以指定可用于注册的受信任邮件域名。要启用此功能,请在受信任邮件域设置中选择自定义域复选框,并在出现的字段中提供受信任的域名。

要为受信任用户的 IP 设置白名单,请使用IP 安全功能。

此限制将限制即使是现有门户用户从新位置授权访问门户。

ONLYOFFICE Workspace 还具有会话生命周期功能。启用后,您可以为每个用户设置会话持续时间,之后将自动注销。

要了解更多关于如何控制门户访问的信息,请阅读这篇文章。

LDAP 访问集中化

您可以从 LDAP 服务器导入用户凭据。可以通过控制面板门户设置部分的LDAP页面完成。

打开启用 LDAP 认证开关,然后提供以下数据:

  • 您的服务器信息,如 URL 地址,
  • 用于访问 LDAP 服务器的端口号,
  • 要导入的用户数据目录路径(用户 DN),
  • 用户过滤器,如果您只需要从该目录导入某些用户,以及登录属性值。
    LDAP 设置 LDAP 设置

导入组的方式与从 LDAP 服务器导入用户的方式相同。

ONLYOFFICE 门户上的登录域与 LDAP 域对应。

您还可以将 LDAP 服务器数据与 ONLYOFFICE 门户同步,以便在用户配置文件中正确显示。

要了解更多关于如何使用 LDAP 服务器导入用户和组的信息,请阅读这篇文章。

使用私有 SMTP 服务器

在 ONLYOFFICE Workspace 中,用户通知(例如关于门户或社区更新、文档访问授权或项目更改)的默认服务器是 ONLYOFFICE SMTP 服务器。为了更高的安全性,我们建议使用您自己的 SMTP 服务器,以便您的消息不会通过任何第三方服务。

要这样做,请按照以下说明进行操作:

  1. 打开设置模块,然后在集成部分中打开SMTP 设置页面。
  2. 指定 SMTP 服务器域和端口。
  3. 指定登录凭据
  4. 指定收件人的发件人名称和发件人电子邮件地址。
  5. 可选。为了更好的安全性,如果您的服务器支持,请选择启用 SSL复选框。
    使用私有 SMTP 服务器 使用私有 SMTP 服务器

设置 SMTP 服务器设置后,尝试发送测试邮件,点击发送测试邮件按钮。如果邮件成功发送,点击保存按钮。

要了解更多关于如何设置 SMTP 服务器的信息,请阅读这篇文章。

用户登录和其他操作监控

使用 ONLYOFFICE Workspace,您可以轻松跟踪用户操作和登录。您可以使用控制面板查看用户操作和登录列表。

登录信息保存在登录历史页面上:

跟踪登录历史 跟踪登录历史

要查看最近半年的详细统计信息,请点击下载并打开报告按钮。报告将以 .xlsx 电子表格格式打开(LoginHistory_ReportStartDate-EndDate.xlsx)

登录历史报告包括以下详细信息:用户IP地址、浏览器平台,在注册事件时使用的日期和时间,尝试登录/注销的用户的姓名,执行操作的门户页面,特定操作(例如,登录失败。未找到关联的社交帐户)。

操作历史保存在审计跟踪页面上:

接收审计跟踪数据 接收审计跟踪数据

要查看最近半年的详细统计信息,请点击下载并打开报告按钮。报告将以 .xlsx 电子表格格式打开(AuditTrail_ReportStartDate-EndDate.xlsx)

审计跟踪报告包括以下详细信息:用户IP地址、浏览器平台,在注册事件时使用的日期和时间,执行操作的用户的姓名,执行操作的门户页面,通用操作类型(例如,下载、附加、更新访问),特定操作(例如,项目[产品开发和推广]。任务[分发优惠券]。状态更新:已关闭),产品模块,更改的实体所指的模块。

还可以在相应页面上设置登录历史和审计跟踪的存储期限。

禁用 root 访问

为了避免数据泄漏,最好禁止以 root 身份登录,因为 root 用户可以完全访问系统的所有数据。这可以通过服务器的终端完成,将 root 登录权限设置为

关闭所有不必要的端口

您应该只保持门户功能所需的端口开放,因为额外的开放端口可能导致数据泄漏。ONLYOFFICE Workspace 功能所需的端口列表在这里

调整存储文件版本的参数

为了数据保护,如果某些用户的互联网连接较差,您可以使用文档模块设置部分调整文件版本控制。可以保留所有中间版本,并允许自动创建更新文件的副本,或在应用更改后仅更新现有文件。您可以在这里阅读更多信息。

设置文档权限和门户访问权限

您应该仅向某些工作组的授权成员提供文档访问权限。您可以通过点击所需文档旁的共享按钮来调整访问级别。在打开的窗口中,您可以添加用户并设置他们的访问级别,包括:

  • 只读
  • 填写表单
  • 自定义筛选器
  • 评论
  • 审阅
  • 完全访问

开发人员还可以单独设置文档权限级别,并更详细地禁止访问文档历史、内容复制、文档下载等。有关配置文档访问参数的更多信息,请访问这里

还可以设置门户访问权限。您可以使用设置模块限制不同用户和组对某些模块的访问。您需要从安全部分打开访问权限页面。在那里,您可以调整管理员并更改他们的访问权限。此外,您还可以在该页面下方授予或拒绝对某些模块的访问。

用于安全处理文档的私人房间

在 ONLYOFFICE 中,每个用户都可以使用私人房间创建安全的工作空间来处理文档。私人房间文档中的一个部分。私人房间中的 .docx、.xlsx 和 .pptx 办公文件使用AES-256加密算法进行加密。

要使用私人房间,

  1. 控制面板中启用该功能,
  2. 下载桌面编辑器并在应用程序主页面上将其连接到云。

您可以在门户上的私人房间中工作,使用文档模块中的相应部分。您可以像通常在门户上共享文档一样共享来自私人房间的文档。

数据加密保护

ONLYOFFICE 具有数据加密功能,可以在服务器版本上使用控制面板进行管理。

加密允许将数据转换为机密和安全存储。ONLYOFFICE 加密基于一种加密后认证(Encrypt-then-MAC)类型的加密(AES-256-CBC + HMAC-SHA256),适用于整个数据主体。它符合AES-256国际数据加密标准。

要为加密准备门户,您需要:

  1. 登录您的门户并点击 控制面板 图标在 开始页面。
    或者,您可以转到门户 设置 并选择左侧面板上的 控制面板 链接。
  2. 切换到 备份 部分并 备份数据
  3. 禁用 自动数据备份 功能。
  4. 为 连接静态数据存储 和 连接存储作为 CDN 选择 本地存储 选项。
  5. 确保您的硬盘上有足够的空间。

准备工作完成后,您可以继续下一步。

要加密存储,您需要:

  1. 切换到 存储 部分在 控制面板中。
  2. 勾选 通知用户门户将不可用 复选框,以便在加密过程开始时通过电子邮件通知所有活跃用户。
    加密过程成功完成后,所有活跃用户也将收到电子邮件通知。如果加密过程中出现错误,则所有管理员(无论是否选择通知用户选项)将收到未成功加密过程的电子邮件通知。
  3. 点击 加密存储 按钮,然后点击 确定 启动加密过程。
    启用加密后,新创建的 备份副本 数据档案将包含 解密的 文件。当恢复这样的副本时,文件将在磁盘上再次加密。

完成该过程所需的时间取决于数据量。加密过程中所有门户将不可用。加密完成后,门户数据将可供使用。

加密存储 加密存储

要解密存储,您需要:

  1. 切换到 存储 部分在 控制面板中。
  2. 勾选 通知用户门户将不可用 复选框,以便在解密过程开始时通过电子邮件通知所有活跃用户。
    解密过程成功完成后,所有活跃用户也将收到电子邮件通知。如果解密过程中出现错误,则所有管理员(无论是否选择通知用户选项)将收到未成功解密过程的电子邮件通知。
  3. 点击 解密存储 按钮,然后点击 确定 启动解密过程。

完成该过程所需的时间取决于数据量。解密过程中所有门户将不可用。解密完成后,门户数据将可供使用。

解密存储 解密存储

在您自己的服务器上托管 ONLYOFFICE 文档,或在云端使用

在本地部署注册文档云
文章: 标签:
浏览所有标签