- 入门指南
- 要求
- 最佳实践
- 安装
- 正在更新
- 身份服务器
- High Availability Add-On
部署和配置注意事项
在 Orchestrator 中配置用户和机器人权限时,需要防范两种潜在威胁:恶意用户或恶意开发者。
Orchestrator 和机器人之间的身份验证基于仅管理员可以在机器人计算机上访问的共享密钥。如果计算机用户具有管理员权限并可以访问该密钥,则他们可以在调用 Orchestrator 时模拟其他机器人。
要减轻恶意用户带来的风险和潜在影响,请遵循以下准则:
- 在配置为有人值守的自动化的计算机上,请确保该计算机上的用户没有管理权限。
- 将机器人权限限制为执行特定自动化所需的最低权限。
- 在新式文件夹中,为在 Orchestrator 中具有管理员或其他高权限角色的用户禁用机器人创建。
恶意开发者可能会部署一个流程,当该流程由 Orchestrator 中具有高级权限的用户执行时,会授予该开发者不必要的访问权限,或者窃取数据。
为降低恶意开发者带来的风险和潜在影响,请遵循以下准则:
- 保持对 Orchestrator 中部署的任何包的控制和验证。
- 在部署到生产之前审核自动化(例如,代码审核,病毒扫描等)。
- 将机器人权限限制为执行特定自动化所需的最低权限。
- 在新式文件夹中,为在 Orchestrator 中具有管理员或其他高权限角色的用户禁用机器人创建。
默认的密码策略规定,所有用户密码必须至少包含 8 个字符,其中至少有一个字母和一个数字。您可以在设置页面的安全性选项卡中更改密码,也可以增加密码的复杂度。如需了解详情,请参阅设置说明主题。
UiPath.Orchestrator.dll.config
文件的 SecureAppSettings
部分。要了解如何完成此操作,请参阅加密 UiPath.Orchestrator.dll.config 部分。
大多数网络浏览器中提供的自动完成功能并不完全安全。为确保没有人能找到您的 Orchestrator 登录密码,我们建议您在首选浏览器中禁用上述功能。
如果您使用的是 Internet Explorer 11:
- 在 Internet Explorer 中,依次单击“工具”>“Internet 选项”。系统将显示“Internet 选项”窗口。
- 在“ 内容 ” 选项卡中,选择 “设置”。 系统将显示“ 自动完成设置” 窗口。
- 取消勾选“表单上的用户名和密码”复选框。
- 单击“确定”。您的设置已保存。
更改默认的系统管理员密码(由我们的团队传达给您)。您可以通过编辑用户个人资料信息来完成此操作。有关更多信息,请参阅管理租户。
UiPath.Orchestrator.dll.config
文件中 Auth.Cookie.Expire
参数的值来限制此时间。
尽管强制执行 HTTPS 连接很重要,但是拥有来自受信任的提供程序的 SSL 证书也同样重要。
此外,您可以删除 HTTP 绑定:
- 打开 IIS。
- 在“ 连接 ” 面板中,导航到“ 站点” 文件夹。
- 单击 Orchestrator 站点。 “ 操作 ”面板将相应更新。
- 单击绑定。系统将显示网站绑定窗口。
- 单击 HTTP 绑定,然后单击“ 删除”。 HTTP 绑定已删除。
我们建议添加安全缓存指令以隐藏可能显示在 HTTP 标头中的敏感信息。理想情况下,所有响应都应返回以下 HTTP 标头:
Cache-control: no-store, no-cache, must-revalidate,private,s-maxage=0
Pragma: no-cache
Cache-control: no-store, no-cache, must-revalidate,private,s-maxage=0
Pragma: no-cache
web.config
文件的 customHeaders
部分,格式如下:
<add name="Cache-control" value="s-maxage=0"/>
<add name="Cache-control" value="s-maxage=0"/>