- Erste Schritte
- Anforderungen
- Best Practices
- Installation
- Wird aktualisiert
- Identity Server
- High Availability Add-on
Installationsanleitung für den Orchestrator
Überlegungen zur Bereitstellung und Konfiguration
Beim Konfigurieren der Benutzer- und Roboterberechtigungen in Orchestrator gibt es zwei potentielle Bedrohungen, vor denen man sich schützen sollte: ein Benutzer mit bösen Absichten oder ein Entwickler mit bösen Absichten.
Die Authentifizierung zwischen dem Orchestrator und Roboter basiert auf einem gemeinsamen Schlüssel, auf den nur der Administrator über die Robotermaschine zugreifen kann. Wenn der Maschinenbenutzer über Administratorrechte verfügt und auf diesen Schlüssel zugreifen kann, dann könnte er sich bei Orchestrator als anderer Roboter ausgeben.
Befolgen Sie die folgenden Richtlinien, um die Risiken und potenziellen Auswirkungen eines Benutzers mit bösen Absichten zu verringern:
- Stellen Sie auf für die beaufsichtigte Automatisierung konfigurierten Maschinen sicher, dass die Benutzer auf dieser Maschine nicht über Administratorrechte verfügen.
- Beschränken Sie die Roboterberechtigungen auf das Minimum, das für die Ausführung der jeweiligen Automatisierung(en) erforderlich ist.
- Deaktivieren Sie in modernen Ordnern die Robotererstellung für die Benutzer mit Administrator- oder anderen Rollen mit hohen Berechtigungen im Orchestrator.
Ein Entwickler mit bösen Absichten kann einen Prozess bereitstellen, der, wenn er von einem Benutzer mit hohen Berechtigungen im Orchestrator ausgeführt wird, diesem Entwickler unerwünschten Zugriff gewährt oder Daten stiehlt.
Befolgen Sie die folgenden Richtlinien, um die Risiken und potenziellen Auswirkungen eines Entwicklers mit bösen Absichten zu verringern:
- Behalten Sie die Kontrolle und Validierung aller Pakete bei, die im Orchestrator bereitgestellt werden.
- Prüfen Sie Automatisierungen vor der Bereitstellung in der Produktion (z. B. Codeprüfung, Virenscan usw.).
- Beschränken Sie die Roboterberechtigungen auf das Minimum, das für die Ausführung der jeweiligen Automatisierung(en) erforderlich ist.
- Deaktivieren Sie in modernen Ordnern die Robotererstellung für die Benutzer mit Administrator- oder anderen Rollen mit hohen Berechtigungen im Orchestrator.
Gemäß der Standardpasswortrichtlinie müssen alle Passwörter mindestens 8 Zeichen und mindestens einen Buchstaben und eine Ziffer enthalten. Dies kann geändert und komplexer gestaltet werden. Wechseln Sie hierzu auf die Seite Einstellungen (Settings) auf der Registerkarte Sicherheit (Security). Weitere Informationen entnehmen Sie dem Thema Settings Description (Beschreibung der Einstellungen).
SecureAppSettings
der Datei UiPath.Orchestrator.dll.config
. Wie dies bewerkstelligt werden kann, erfahren Sie unter Verschlüsseln von UiPath.Orchestrator.dll.config-Abschnitten.
Die Funktion zur automatischen Vervollständigung, die in den meisten Web-Browsern verfügbar ist, ist nicht absolut sicher. Um sicherzustellen, dass niemand Ihr Orchestrator-Login-Passwort entdecken kann, empfehlen wir die Deaktivierung der zuvor genannten Funktion in Ihrem bevorzugten Browser.
Wenn Sie Internet Explorer 11 verwenden:
- Im Internet Explorer klicken Sie Tools > Internetoptionen an. Das Fenster Internetoptionen wird angezeigt.
- In der Registerkarte Inhalt (Content) wählen Sie Einstellungen aus. Das Fenster Einstellungen für Autovervollständigung wird angezeigt.
- Entfernen Sie die Markierung des Kästchens Benutzernamen und Passwörter in Formularen.
- Klicken Sie OK (OK) an. Ihre Einstellungen werden gespeichert.
Ändern Sie das standardmäßige Administratorpasswort (das Ihnen von unserem Team mitgeteilt wurde). Sie können dies machen, indem Sie die Benutzerprofilinformationen bearbeiten. Weitere Informationen finden Sie unter dem Thema Verwalten von Mandanten (Managing tenants).
Kreuzen Sie bei der ersten Anmeldung in Orchestrator nicht das Kontrollkästchen Meine Zugangsdaten merken beim Passwort an. Dadurch werden Sie bei jeder Abmeldung von der aktuellen Sitzung abgemeldet.
Auth.Cookie.Expire
in der Datei UiPath.Orchestrator.dll.config
ändern.
Die Erzwingung einer HTTPS-Verbindung ist wichtig, aber gleichzeitig ist ein SSL-Zertifikat von einem vertrauenswürdigen Anbieter genauso wichtig.
Zusätzlich können Sie die HTTP-Bindung entfernen:
- IIS öffnen.
- Im Bereich Verbindungen navigieren Sie zum Ordner Sites.
- Klicken Sie auf die Orchestrator-Seite. Der Bereich Aktionen (Actions) wird entsprechend aktualisiert.
- Klicken Sie Bindungen an. Das Fenster Sitebindungen wird angezeigt.
- Klicken Sie HTTP-Bindung und dann Entfernen (Remove) an. Die HTTP-Bindung wurde gelöscht.
Wir empfehlen Ihnen, Sicherheits-Caching-Anweisungen hinzuzufügen, um sensible Informationen zu verbergen, die möglicherweise in HTTP-Headern angezeigt werden. Idealerweise sollten alle Antworten die folgenden HTTP-Header zurückgeben:
Cache-control: no-store, no-cache, must-revalidate,private,s-maxage=0
Pragma: no-cache
Cache-control: no-store, no-cache, must-revalidate,private,s-maxage=0
Pragma: no-cache
web.config
im Abschnitt customHeaders
im folgenden Format ein:
<add name="Cache-control" value="s-maxage=0"/>
<add name="Cache-control" value="s-maxage=0"/>
- Benutzer- und Roboterberechtigungen
- Passwortrichtlinie
- Verschlüsseln der Datei UiPath.Orchestrator.dll.config
- Deaktivierung der Funktion für die automatische Vervollständigung in Ihrem Browser
- Ändern des standardmäßigen Systemadministratorpassworts
- Nicht-Ankreuzen des Kontrollkästchens "Meine Zugangsdaten merken"
- Begrenzung der Periode für den Zeitüberlauf der Cookiesitzung
- Verwendung vertrauenswürdiger SSL-Zertifikate
- Cachekontrolle hinzufügen