orchestrator
2023.10
false
Orchestrator 安装指南
Automation CloudAutomation Cloud Public SectorAutomation SuiteStandalone
Last updated 2024年10月3日

安全使用文件系统存储允许列表

在 v2020.4 中,我们引入了名为存储桶的新功能。此功能允许 Orchestrator 客户端(主要是工作流)读取和写入类文件数据。我们还实施了几个后备存储,也被称为供应商:Azure Blob Store、Amazon S3、Minio、Orchestrator(使用 Orchestrator 的配置存储)和文件系统。

文件系统提供程序允许 Orchestrator 最终用户定义保存数据的路径,可以是网络共享(例如 \\fileserver\\orchestrator_bucket),也可以是 Orchestrator 服务器上的绝对路径(例如 c:\data\orchestrator_bucket)。

如果最终用户选择的文件系统位置包含敏感信息,或通常被认为是操作系统配置和设置的敏感区域,则可能会对 Orchestrator 的部署和用例造成意想不到的后果。

因此,我们不鼓励使用文件系统提供程序,并且默认情况下在全新安装和升级中均禁用它。

为了进一步缓解使用文件系统提供程序的安全问题,从 v2020.4.5 (待发布)和 v2020.10.7 开始,我们引入了允许列表功能,以便 Orchestrator 管理员可以控制最终用户可以创建的存储桶的位置。要使用文件系统提供程序,Orchestrator 管理员必须首先启用该提供程序并使用 Orchestrator UiPath.Orchestrator.dll.config 文件中的允许列表功能来包括允许用户使用的位置列表。有关更多详细信息,请参阅 Buckets.FileSystem.Allowlist

为了减轻安全隐患,Orchestrator 管理员在定义允许列表中的条目时应采用以下最佳实践:

  • 不要使用 Orchestrator 安装根目录或网页服务器提供的任何目录;
  • 确保提供的文件夹或网络共享中没有任何包含 Orchestrator 用户或自动化不应访问的敏感信息的子目录或文件;
  • 不要使用完整分区,例如 C:\,因为它可能导致对意外数据的读取访问;
  • 如果可能,将访问权限限制为专门为存储桶创建的子目录。例如,如果使用 C:\my_data 存储所有数据,则可以创建一个名为 storage_buckets 的子目录,然后将 C:\my_data\storage_buckets 而非 C:\my_data 添加到允许列表中;
  • 在确定允许的路径之前,先查找隐藏的文件和文件夹,因为它们可能包含敏感数据;
  • 使用网络共享中的特定文件夹而不是整个网络共享(例如 \\server.corp\sharedfolder);
  • 不要允许使用系统特定的文件夹,例如 C:\WindowsC:\Program FilesC:\ProgramData,因为它们可能包含敏感信息;
  • 不要允许使用管理共享(例如 \\server.corp\c$\);
  • 多个用户可以在磁盘上为存储桶指定相同的位置。因此,用户不应将敏感数据存储在存储桶中,因为不能保证数据与该用户或其租户是隔离的。

此页面有帮助吗?

获取您需要的帮助
了解 RPA - 自动化课程
UiPath Community 论坛
Uipath Logo White
信任与安全
© 2005-2024 UiPath。保留所有权利。