- Démarrage
- Prérequis
- Meilleures pratiques
- Considérations de déploiement et de configuration
- Encodage du serveur SQL Server
- Désactivation de la requête de remplacement de la méthode HTTP
- Utiliser la liste d’autorisation de stockage FileSystem en toute sécurité
- Installation
- Mise à jour en cours
- Serveur d'identité
- Résolution des erreurs de démarrage
Utiliser la liste d’autorisation de stockage FileSystem en toute sécurité
Dans la version v2020.4, nous avons ajouté à Orchestrator une nouvelle fonctionnalité appelée Compartiments de stockage (Storage Buckets). Cette fonctionnalité permet aux clients d'Orchestrator (essentiellement les workflows) de lire et écrire des données de type fichier. Nous avons par ailleurs intégré différentes mémoires auxiliaires, également appelées fournisseurs : Azure Blob Store, Amazon S3, Minio, Orchestrator (utilise le stockage configuré d'Orchestrator) et FileSystem.
\\fileserver\\orchestrator_bucket) ou d'un chemin absolu sur le serveur Orchestrator (par exemple c:\data\orchestrator_bucket).
Si l’utilisateur final choisit un emplacement FileSystem contenant des informations sensibles ou généralement considéré comme une zone sensible de configuration et de paramétrage d’un système d’exploitation, cela peut avoir des conséquences non désirées sur le déploiement et l'utilisation d’Orchestrator.
C'est pour cette raison que nous déconseillons l’utilisation du fournisseur FileSystem et que nous l’avons désactivé par défaut pour les installations récentes et les mises à niveau.
UiPath.Orchestrator.dll.config et inclure la liste des emplacements que les utilisateurs seront autorisés à utiliser. Voir Buckets.FileSystem.Allowlist pour plus de détails à ce sujet.
Afin d'améliorer les problématiques de sécurité, les administrateurs d'Orchestrator doivent adopter les bonnes pratiques suivantes lorsqu’ils définissent les entrées de la liste d'autorisation :
- N’utilisez pas le répertoire racine d'installation d'Orchestrator ou tout répertoire servi par un serveur Web ;
- Assurez-vous que le dossier fourni ou le partage réseau ne contient pas de sous-répertoire ou de fichiers contenant des informations sensibles qui ne doivent pas être accessibles aux utilisateurs d'Orchestrator ou aux automatisations ;
- N’utilisez pas une partition complète, telle que
C:\, car celle-ci pourrait permettre l'accès en lecture à des données inattendues ; - Dans la mesure du possible, limitez l’accès à un sous-répertoire créé spécifiquement pour les compartiments de stockage. Par exemple, si vous utilisez
C:\my_datapour stocker toutes vos données, vous pouvez créer un sous-répertoire appeléstorage_buckets, puis ajouterC:\my_data\storage_bucketsà la liste d'autorisation au lieu deC:\my_data; - Recherchez les éventuels fichiers et dossiers cachés avant de sélectionner les chemins autorisés, car ceux-ci peuvent contenir des données sensibles ;
- Utilisez un dossier spécifique d'un partage réseau, et non le partage réseau dans sa totalité (par exemple,
\\server.corp\sharedfolder) ; - N’autorisez pas de dossiers spécifiques au système, tels que
C:\Windows,C:\Program FilesouC:\ProgramData, car ceux-ci peuvent contenir des informations sensibles ; - Interdisez l'utilisation d'un partage administratif (par exemple,
\\server.corp\c$\) ; - Différents utilisateurs peuvent sélectionner le même emplacement sur disque pour les compartiments de stockage. Pour cette raison, aucun utilisateur ne doit stocker de données sensibles dans un compartiment, car il n’y a aucune garantie que les données soient restreintes à cet utilisateur ou à son locataire.
