- Introdução
- Requisitos
- Melhores práticas
- Considerações de Implantação e de Configuração
- Criptografando o Servidor SQL
- Desabilitando a solicitação de substituição do método HTTP
- Usando a Lista de Permissões do Armazenamento do Sistema de Arquivos com Segurança
- Instalação
- Atualizando
- Servidor de Identidade
- Complemento de alta disponibilidade
Usando a Lista de Permissões do Armazenamento do Sistema de Arquivos com Segurança
Na v2020.4, introduzimos uma nova funcionalidade chamada de Buckets de Armazenamento no Orchestrator. Esse recurso permite que os clientes do Orchestrator (principalmente fluxos de trabalho) leiam e gravem dados semelhantes a arquivos. Também implementamos diversos repositórios de suporte, também conhecidos como provedores: Azure Blob Store, Amazon S3, Minio, Orchestrator (usa o armazenamento configurado do Orchestrator) e FileSystem.
\\fileserver\\orchestrator_bucket
) ou um caminho absoluto no servidor do Orchestrator (por exemplo, c:\data\orchestrator_bucket
).
Se o usuário final escolher uma localização do FileSystem que contém informações confidenciais ou é considerada uma área sensível de uma configuração de sistema operacional, isso pode causar consequências não desejadas para a implantação e casos de uso do Orchestrator.
Por isso, desaconselhamos o uso do provedor FileSystem, e desabilitamos isso por padrão em instalações novas e atualizações.
UiPath.Orchestrator.dll.config
do Orchestrator para incluir a lista de locais que os usuários têm permissão para usar. Veja Buckets.FileSystem.Allowlist para mais detalhes.
Para mitigar as preocupações de segurança, os administradores do Orchestrator devem adotar as seguintes práticas recomendadas ao definir entradas na lista de permissões:
- Não use o diretório raiz de instalação do Orchestrator nem qualquer diretório que seja servido por um servidor web;
- Certifique-se de que a pasta ou o compartilhamento de rede fornecidos não tenham nenhum subdiretório ou arquivo contendo informações confidenciais que não devam ser acessíveis a usuários ou automações do Orchestrator;
- Não use uma partição completa, como
C:\
, porque isso pode resultar em acesso de leitura a dados inesperados; - Quando possível, restrinja o acesso a um subdiretório criado especificamente para buckets de armazenamento. Por exemplo, se você usa
C:\my_data
para armazenar todos os seus dados, você pode criar um subdiretório chamadostorage_buckets
, e depois adicionarC:\my_data\storage_buckets
à lista de permissões em vez deC:\my_data
; - Procure arquivos e pastas ocultas antes de decidir sobre os caminhos permitidos, pois eles podem conter dados confidenciais;
- Use uma pasta específica em um compartilhamento de rede em vez de todo o compartilhamento de rede (por exemplo,
\\server.corp\sharedfolder
); - Não permita pastas específicas do sistema, como
C:\Windows
,C:\Program Files
ouC:\ProgramData
, porque elas podem conter informações confidenciais; - Não permita que um compartilhamento administrativo seja usado (por exemplo,
\\server.corp\c$\
); - Vários usuários podem especificar o mesmo local no disco para buckets de armazenamento. Por isso, os usuários não devem armazenar dados confidenciais em um bucket, porque não há nenhuma garantia de que os dados estejam isolados para esse usuário ou seu tenant.