- Démarrage
- Prérequis
- Meilleures pratiques
- Considérations de déploiement et de configuration
- Encodage du serveur SQL Server
- Désactivation de la requête de remplacement de la méthode HTTP
- Utiliser la liste d’autorisation de stockage FileSystem en toute sécurité
- Installation
- Mise à jour en cours
- Serveur d'identité
- Résolution des erreurs de démarrage
Considérations de déploiement et de configuration
Il y a deux menaces potentielles dont il faut se protéger lors de la configuration des autorisations utilisateur et du Robot dans Orchestrator : un utilisateur ou un développeur malveillant.
L'authentification entre Orchestrator et les robots est basée sur une clé partagée accessible uniquement par l'administrateur sur la machine Robot. Si l'utilisateur de la machine dispose de droits d'administration et peut accéder à cette clé, il pourra alors emprunter l'identité d'autres robots lors des appels à Orchestrator.
Pour atténuer les risques et l'impact potentiel d'un utilisateur malveillant, suivez ces instructions :
- Sur les machines configurées pour l'automatisation avec assistance, assurez-vous que les utilisateurs de cette machine ne disposent pas de droits d'administration.
- Limitez les autorisations du robot au minimum requis pour exécuter la ou les automatisations particulières.
- Dans les dossiers modernes, désactivez la création de robots pour les utilisateurs ayant des rôles d'administrateur ou d'autres rôles à privilèges élevés dans Orchestrator.
Un développeur malveillant pourrait déployer un processus qui, lorsqu'il est exécuté par un utilisateur ayant des autorisations de haut niveau dans Orchestrator, accorde à ce développeur un accès indésirable ou vole des données.
Pour atténuer les risques et l'impact potentiel d'un développeur malveillant, suivez ces instructions :
- Gardez le contrôle et la validation de tous les paquets déployés dans Orchestrator.
- Auditez les automatisations avant le déploiement en production (c'est-à-dire, Examen du code, analyse antivirus, etc.).
- Limitez les autorisations du robot au minimum requis pour exécuter la ou les automatisations particulières.
- Dans les dossiers modernes, désactivez la création de robots pour les utilisateurs ayant des rôles d'administrateur ou d'autres rôles à privilèges élevés dans Orchestrator.
La politique de mot de passe par défaut indique que tous les mots de passe utilisateur doivent contenir au moins 8 caractères et au moins une lettre et un chiffre. Cela peut être modifié et rendu plus complexe sur la page Paramètres (Settings), dans l'onglet Sécurité (Security). Pour plus d'informations, consultez la rubrique Description des paramètres.
SecureAppSettings
du fichier UiPath.Orchestrator.dll.config
. Pour savoir comment procéder, consultez la section Cryptage UiPath.Orchestrator.dll.config Sections
La fonctionnalité de saisie semi-automatique disponible dans la plupart des navigateurs Web n'est pas entièrement sécurisée. Pour s'assurer que personne ne découvre votre mot de passe de connexion à Orchestrator, nous vous recommandons de désactiver la fonctionnalité susmentionnée dans votre navigateur préféré.
Si vous utilisez Internet Explorer 11 :
- Dans Internet Explorer, cliquez sur Outils & gt; Options Internet pour ouvrir la fenêtre Options Internet.
- Dans l'onglet Contenu, sélectionnez Paramètres. La fenêtre Paramètres de la saisie semi-automatique s'affiche.
- Décochez la case Noms d'utilisateur et mots de passe sur les formulaires.
- Cliquez sur OK (OK). Vos paramètres sont enregistrés.
Modifiez le mot de passe de l'administrateur système par défaut (qui vous a été communiqué par notre équipe). Vous pouvez le faire en modifiant les informations du profil utilisateur. Pour plus d'informations, consultez Gestion des locataires.
Lors de la première connexion à Orchestrator, ne cochez pas l'option Mémoriser le mot de passe (Remember Me). Cela permet de vous déconnecter de la session en cours à chaque fois.
Auth.Cookie.Expire
dans le fichier UiPath.Orchestrator.dll.config
.
Bien que l'implémentation d'une connexion HTTPS soit importante, la possession d'un certificat SSL provenant d'un fournisseur approuvé l'est tout autant.
En outre, vous pouvez supprimer la liaison HTTP :
- Ouvrez IIS.
- Dans le volet Connexions, accédez au dossier Sites.
- Cliquez sur le site Orchestrator. Le volet Actions est mis à jour en conséquence.
- Cliquez sur Liaisons. La fenêtre Liaisons de site s'affiche.
- Cliquez sur la liaison HTTP, puis sur Remove (Supprimer). La liaison HTTP a été supprimée.
Nous recommandons d'ajouter des directives de mise en cache de sécurité afin de masquer des informations sensibles susceptibles de s'afficher dans les en-têtes HTTP. De préférence, toutes les réponses doivent retourner les en-têtes HTTP suivants :
Cache-control: no-store, no-cache, must-revalidate,private,s-maxage=0
Pragma: no-cache
Cache-control: no-store, no-cache, must-revalidate,private,s-maxage=0
Pragma: no-cache
web.config
, dans la section customHeaders
, au format suivant :
<add name="Cache-control" value="s-maxage=0"/>
<add name="Cache-control" value="s-maxage=0"/>
- Autorisations utilisateur et du Robot
- Stratégie de mot de passe
- Chiffrement du fichier UiPath.Orchestrator.dll.config
- Désactivation de la fonctionnalité Saisie semi-automatique dans votre navigateur
- Modification du mot de passe de l'administrateur système par défaut
- Non-sélection de la case Mémoriser le mot de passe (Remember Me)
- Limitation de la période d'expiration de session des cookies
- Utilisation des certificats SSL approuvés
- Ajout de Cache-Control