泛微Ecology安全包注意事项

三四五六

Ecology安全包注意事项：
1、该安全包支持自动更新，目前正在陆续推送中，可用sysadmin登录，直接访问/security/checksec20241120.jsp，如果报404错误或者检测不通过，说明尚未推送到或者贵公司服务器无法连接外网自动更新，请参照第2步或者手动下载最新安全包更新。
2、用sysadmin登录oa系统，访问/security/monitor/Monitor.jsp，点击【环境信息】，如果看到【下载并应用更新】，可以直接点击，然后等待几分钟后即可实现在线更新，该更新不需要重启服务，（注意：建议在业务低峰期或者下班时间处理，避免出现CPU高占用等性能问题，如果没有看到【下载并应用更新】或者再次刷新页面仍然显示老版本，说明因为安全包版本太老或者网络等原因导致在线更新失败，需要手动下载补丁更新），更新成功后再次执行步骤1的检测，确保修复。【集群环境需要每个节点都单独更新】。
3、该安全包支持运维平台升级工具升级。
4、自动更新受客户数量、服务器带宽等因素影响，推送会比较慢，建议收到通知后立即手动下载更新。
5、建议对sysadmin账号启用IP白名单策略，保障高权限账号泄露带来的安全隐患（护网期间，建议启用）
用专业文本编辑工具修改/ecology/WEB-INF/securityXML/weaver_security_custom_rules_1.xml，在下方添加如下代码（如果要放行某个网段，则填写IP的前半段即可，如192.168.7. ，则代表192.168.7.*都可以访问)：
<sysadmin-allow-login-ips>
<ip>ip1</ip>
<ip>ip2</ip>
</sysadmin-allow-login-ips>

除上述产品功能，其他如Ecology7.0及以下，EMobile7及以下、Ebridge云桥、Esearch微搜等都不受此次漏洞影响！如有任何问题，请及时与您的服务顾问联系，谢谢！

针对系统安全，泛微再次给到提醒， 请务必做好以下几点：
1、请时刻关注泛微发的邮件及短信等信息。
2、应用程序和数据库程序的经常性的异地异介质备份。
3、开启密码复杂度策略：密码长度至少8位，且包含字母、数字、特殊字符，密码不能有明显的输入规律、避免使用弱口令作为初始密码。
4、访问OA地址/wui/weak.jsp页面，关闭或者禁用弱密码用户。
5、开启“密码变更提醒”、“密码输入错误自动锁定”、“长时间未登录自动锁定”、开启登录时需要“验证码”功能，用于防范暴力破解攻击。
6、请务必启用登录密码加密传输功能（有版本要求，需满足E8为KB81001711及以上版本，E9全版本支持）。启用方法：修改/ecology/WEB-INF/prop/openRSA.properties文件（如果不存在，则新建此文件），将其中的isrsaopen的值改为1，重启服务即可。
7、请务必关闭不必要的端口外网映射，如果开放OA外网，必须开放的端口有以下，其余端口均不需要开放互联网访问（尤其是远程桌面端口（默认3389），务必不能开放互联网） ecology：默认80端口、EM6：默认89端口、EM7：默认8999端口、emessage：默认7070和5222端口、云桥：默认8088端口。
8、远程桌面等使用后及时关闭。
9、操作系统等补丁及时更新。
10、泛微发布的安全补丁及时更新升级。下载地址：https://www.weaver.com.cn/cs/securityDownload.asp# 根据不同的系统安装不同的补丁包。
11、在OA地址/security/monitor/Monitor.jsp下开启各类安全设置。
12、以上包括了正式系统和测试系统。