- Erste Schritte
- Anforderungen
- Best Practices
- Überlegungen zur Bereitstellung und Konfiguration
- Verschlüsselung des SQL Servers (Encrypting the SQL Server)
- Deaktivieren von Überschreibungsanforderungen der HTTP-Methode
- Sichere Verwendung der FileSystem-Speicherzulassungsliste
- Installation
- Wird aktualisiert
- Identity Server
- Fehlerbehebung bei Startfehlern
Sichere Verwendung der FileSystem-Speicherzulassungsliste
In v2020.4 wurde beim Orchestrator eine neue Funktion namens Speicher-Buckets eingeführt. Diese Funktion ermöglicht es Orchestrator-Clients (hauptsächlich Workflows), dateiähnliche Daten zu lesen und zu schreiben. Ebenso wurden mehrere Zusatzspeicher, auch Anbieter genannt, implementiert: Azure Blob Store, Amazon S3, Minio, Orchestrator (nutzt den konfigurierten Speicher von Orchestrator) und FileSystem.
\\fileserver\\orchestrator_bucket) oder einen absoluten Pfad auf dem Orchestrator-Server (z. B. c:\data\orchestrator_bucket).
Falls der Endbenutzer einen FileSystem-Speicherort auswählt, der vertrauliche Informationen enthält oder allgemein als sensibler Bereich von Betriebssystemkonfiguration und -einstellungen gilt, kann dies unbeabsichtigte Folgen für die Orchestrator-Bereitstellung und -Anwendungsfälle haben.
Aus diesem Grund raten wir von der Verwendung des FileSystem-Anbieters ab und haben ihn standardmäßig sowohl bei Neuinstallationen als auch bei Upgrades deaktiviert.
UiPath.Orchestrator.dll.config verwenden, um die Liste der Speicherorte einzufügen, die Benutzer verwenden dürfen. Weitere Informationen hierzu finden Sie unter Buckets.FileSystem.Allowlist.
Um die Sicherheitsbedenken zu verringern, sollten Orchestrator-Administratoren bei der Definition von Einträgen in der Zulassungsliste die folgenden bewährten Methoden anwenden:
- Verwenden Sie nicht das Orchestrator-Installationsstammverzeichnis oder ein Verzeichnis, das von einem Webserver bereitgestellt wird;
- Stellen Sie sicher, dass der angegebene Ordner oder die Netzwerkfreigabe keine Unterverzeichnisse oder Dateien enthält, die vertrauliche Informationen enthalten, auf die Orchestrator-Benutzer oder -Automatisierungen nicht zugreifen sollten;
- Verwenden Sie keine vollständige Partition, z. B.
C:\, da dies zu Lesezugriff auf unerwartete Daten führen kann; - Beschränken Sie nach Möglichkeit den Zugriff auf ein Unterverzeichnis, das speziell für Speicher-Buckets erstellt wurde. Wenn Sie z. B.
C:\my_datazum Speichern aller Daten verwenden, können Sie ein Unterverzeichnis mit dem Namenstorage_bucketserstellen und dannC:\my_data\storage_bucketszur Zulassungsliste anstelle vonC:\my_datahinzufügen; - Suchen Sie nach ausgeblendeten Dateien und Ordnern, bevor Sie eine Entscheidung für die zulässigen Pfade treffen, da sie möglicherweise vertrauliche Daten enthalten;
- Verwenden Sie einen bestimmten Ordner in einer Netzwerkfreigabe anstelle der gesamten Netzwerkfreigabe (z. B.
\\server.corp\sharedfolder); - Lassen Sie keine systemspezifischen Ordner zu, z. B.
C:\Windows,C:\Program FilesoderC:\ProgramData, da diese möglicherweise vertrauliche Informationen enthalten; - Erlauben Sie nicht die Verwendung einer administrativen Freigabe (z. B.
\\server.corp\c$\); - Mehrere Benutzer können denselben Speicherort auf der Festplatte für Speicher-Buckets angeben. Aus diesem Grund sollten Benutzer keine vertraulichen Daten in einem Bucket speichern, da es keine Garantie dafür gibt, dass die Daten für diesen Benutzer oder dessen Mandanten abgegrenzt sind.
