- Primeros pasos
- Requisitos
- Mejores prácticas
- Consideraciones de implementación y configuración
- Cifrar el servidor SQL
- Desactivación de la solicitud de anulación del método HTTP
- Utilizar la lista de permisos de almacenamiento de FileSystem
- Instalación
- Actualizando
- Servidor de identidad
- Complemento de alta disponibilidad
Utilizar la lista de permisos de almacenamiento de FileSystem
En v2020.4, presentamos una nueva característica de Orchestrator llamada Depósitos de almacenamiento. Esta característica permite a los clientes de Orchestrator (principalmente, flujos de trabajo) leer y escribir datos en forma de archivo. También implementamos varios almacenes de respaldo, también llamados proveedores: Azure Blob Store, Amazon S3, Minio, Orchestrator (utiliza el almacenamiento configurado de Orchestrator) y FileSystem.
\\fileserver\\orchestrator_bucket
) o una ruta absoluta en el servidor de Orchestrator (por ejemplo, c:\data\orchestrator_bucket
).
Si el usuario final selecciona una ubicación de FileSystem que contiene información confidencial o generalmente se considera un área crítica de la configuración y ajustes del sistema operativo, podría causar consecuencias indeseables para la implementación de Orchestrator y casos de uso.
Por este motivo, desalentamos el uso del proveedor de FileSystem y lo deshabilitamos por defecto en instalaciones nuevas y actualizaciones.
UiPath.Orchestrator.dll.config
archivo Orchestrator para incluir la lista de ubicaciones que los usuarios pueden utilizar. Consulta Buckets.FileSystem.Allowlist para obtener más información al respecto.
Para mitigar las preocupaciones de seguridad, los administradores de Orchestrator deben adoptar las siguientes prácticas recomendadas al definir las entradas en la lista de permitidos:
- No usar el directorio raíz de instalación de Orchestrator o ningún directorio que sea servido por un servidor web;
- Asegúrate de que la carpeta o el recurso compartido de red no contiene ningún subdirectorio o archivo que contenga información confidencial que no debería ser accesible a los usuarios de Orchestrator o automatizaciones;
- No utilices una partición completa, como
C:\
, ya que podría resultar en un acceso de lectura de datos inesperado; - Restringe en la medida de lo posible el acceso a un subdirectorio creado específicamente para los depósitos de almacenamiento. Por ejemplo, si almacenas todos tus datos en
C:\my_data
, puedes crear un subdirectorio llamadostorage_buckets
, y, a continuación, añadirC:\my_data\storage_buckets
a la lista de permitidos en lugar deC:\my_data
; - Busca archivos y carpetas ocultos antes de decidir las ruas permitidas, ya que podrían contener datos confidenciales;
- Utiliza una carpeta específica en un recurso compartido de red en lugar de todo el recurso compartido (por ejemplo,
\\server.corp\sharedfolder
); - No permitas carpetas específicas de sistema, como
C:\Windows
,C:\Program Files
oC:\ProgramData
, ya que podrían contener información confidencial; - No permitas que se utilice un recurso compartido de administración (por ejemplo,
\\server.corp\c$\
); - Múltiples usuarios pueden especificar la misma ubicación en el disco para sus depósitos de almacenamiento. Por este motivo, los usuarios no deben almacenar datos confidenciales en un depósito, ya que no hay garantías de que los datos estén aislados para ese usuario o su tenant.