- Introdução
- Requisitos
- Melhores práticas
- Instalação
- Atualizando
- Servidor de Identidade
- Complemento de alta disponibilidade
Considerações de Implantação e de Configuração
Há duas ameaças em potencial contra as quais devemos nos proteger ao configurar as permissões de usuários e robôs no Orchestrator: um usuário mal-intencionado ou um desenvolvedor mal-intencionado.
A autenticação entre o Orchestrator e os Robôs é baseada em uma chave compartilhada acessível apenas pelo Administrador na máquina do robô. Se o usuário da máquina tiver direitos administrativos e puder acessar essa chave, ele poderá se fazer passas por outros robôs ao fazer chamadas para o Orchestrator.
Para mitigar os riscos e o impacto potencial de um usuário mal-intencionado, siga estas orientações:
- Em máquinas configuradas para a automação assistida, certifique-se de que os usuários nessa máquina não tenham direitos administrativos.
- Limite as permissões de robôs para o mínimo necessário para executar as automações específicas desejadas.
- Em pastas modernas, desabilite a criação de robôs para os usuários com funções de administrador ou outras de alto privilégio no Orchestrator.
Um desenvolvedor mal-intencionado pode implantar um processo que, quando executado por um usuário com permissões de alto nível no Orchestrator, concede a esse desenvolvedor acesso indesejado ou dados roubados.
Para mitigar os riscos e o impacto potencial de um desenvolvedor mal-intencionado, siga estas orientações:
- Mantenha o controle e a validação sobre qualquer pacote que esteja sendo implantado no Orchestrator.
- Audite automações antes de sua implantação na produção (ou seja, revise o código, faça uma verificação de vírus etc.).
- Limite as permissões de robôs para o mínimo necessário para executar as automações específicas desejadas.
- Em pastas modernas, desabilite a criação de robôs para os usuários com funções de administrador ou outras de alto privilégio no Orchestrator.
A política de senha padrão afirma que todas as senhas de usuário devem conter pelo menos 8 caracteres, e pelo menos uma letra e um número. Isso pode ser alterado para adicionar mais complexidade na página Configurações, na aba Segurança. Para obter mais informações, consulte o tópico Descrição das Configurações.
SecureAppSettings
do arquivo UiPath.Orchestrator.dll.config
. Para ver como isso pode ser feito, consulte as Seções do UiPath.Orchestrator.dll.config.
O recurso de autocompletar disponível na maioria dos navegadores web não é completamente seguro. Para garantir que ninguém possa descobrir sua senha de login do Orchestrator, recomendamos que você desabilite o recurso mencionado acima no seu navegador preferido.
Se você estiver usando o Internet Explorer 11:
- No Internet Explorer, clique em Ferramentas > Opções de Internet. A janela Opções de Internet é exibida.
- Na aba Conteúdo, selecione Configurações. A janela de Configurações do Autocompletar é exibida.
- Desmarque a caixa de seleção Nomes de usuário e senhas em formulários.
- Clique em OK. Suas configurações foram salvas.
Altere a senha de administrador padrão do sistema (que foi comunicada a você pela nossa equipe). Você pode fazer isso editando as informações do perfil de usuário. Para mais informações, consulte Como gerenciar tenants.
Quando você fizer logon pela primeira vez no Orchestrator, não selecione a opção de senha Lembrar-me. Isso ajuda você a sair da sessão atual todas as vezes.
Auth.Cookie.Expire
no arquivo UiPath.Orchestrator.dll.config
.
Embora exigir uma conexão HTTPS seja importante, ter um certificado SSL de um provedor confiável também é importante.
Além disso, você pode remover a vinculação HTTP:
- Abra o IIS.
- No painel Conexões, navegue até a pasta Sites.
- Clique no site do Orchestrator. O painel Ações é atualizado de acordo.
- Clique em Ligações. A janela de Ligações de Site é exibida.
- Clique na ligação HTTP e depois em Remover. A ligação HTTP foi excluída.
Recomendamos adicionar diretivas de segurança de cache para ocultar informações confidenciais que possam ser exibidas em cabeçalhos HTTP. Idealmente, todas as respostas devem retornar os seguintes cabeçalhos HTTP:
Cache-control: no-store, no-cache, must-revalidate,private,s-maxage=0
Pragma: no-cache
Cache-control: no-store, no-cache, must-revalidate,private,s-maxage=0
Pragma: no-cache
web.config
, na seção customHeaders
, no seguinte formato:
<add name="Cache-control" value="s-maxage=0"/>
<add name="Cache-control" value="s-maxage=0"/>
- Permissões de Usuários e Robôs
- Política de Senha
- Criptografando o arquivo UiPath.Orchestrator.dll.config
- Desabilitando o recurso de Autocompletar no Seu Navegador
- Alterando a Senha de Administrador Padrão do Sistema
- Não selecionar a caixa de seleção Lembrar-me
- Limitando o Período de Tempo Limite da Sessão de Cookie
- Usando Certificados SSL Confiáveis
- Adicionando o Controle de Cache