orchestrator
2024.10
true
- 入门指南
- 要求
- 最佳实践
- 部署和配置注意事项
- 加密 SQL Server
- 禁用 HTTP 方法覆盖请求
- 安全使用文件系统存储允许列表
- 安装
- 正在更新
- 身份服务器
- High Availability Add-On
- 对启动错误进行故障排除
Orchestrator 安装指南
Last updated 2024年10月21日
安全使用文件系统存储允许列表
在 v2020.4 中,我们引入了名为存储桶的新功能。此功能允许 Orchestrator 客户端(主要是工作流)读取和写入类文件数据。我们还实施了几个后备存储,也被称为供应商:Azure Blob Store、Amazon S3、Minio、Orchestrator(使用 Orchestrator 的配置存储)和文件系统。
文件系统提供程序允许 Orchestrator 最终用户定义保存数据的路径,可以是网络共享(例如
\\fileserver\\orchestrator_bucket),也可以是 Orchestrator 服务器上的绝对路径(例如 c:\data\orchestrator_bucket)。
如果最终用户选择的文件系统位置包含敏感信息,或通常被认为是操作系统配置和设置的敏感区域,则可能会对 Orchestrator 的部署和用例造成意想不到的后果。
因此,我们不鼓励使用文件系统提供程序,并且默认情况下在全新安装和升级中均禁用它。
为了进一步缓解使用文件系统提供程序的安全问题,从 v2020.4.5 (待发布)和 v2020.10.7 开始,我们引入了允许列表功能,以便 Orchestrator 管理员可以控制最终用户可以创建的存储桶的位置。要使用文件系统提供程序,Orchestrator 管理员必须首先启用该提供程序并使用 Orchestrator
UiPath.Orchestrator.dll.config 文件中的允许列表功能来包括允许用户使用的位置列表。有关更多详细信息,请参阅 Buckets.FileSystem.Allowlist。
为了减轻安全隐患,Orchestrator 管理员在定义允许列表中的条目时应采用以下最佳实践:
- 不要使用 Orchestrator 安装根目录或网页服务器提供的任何目录;
- 确保提供的文件夹或网络共享中没有任何包含 Orchestrator 用户或自动化不应访问的敏感信息的子目录或文件;
- 不要使用完整分区,例如
C:\,因为它可能导致对意外数据的读取访问; - 如果可能,将访问权限限制为专门为存储桶创建的子目录。例如,如果使用
C:\my_data存储所有数据,则可以创建一个名为storage_buckets的子目录,然后将C:\my_data\storage_buckets而非C:\my_data添加到允许列表中; - 在确定允许的路径之前,先查找隐藏的文件和文件夹,因为它们可能包含敏感数据;
- 使用网络共享中的特定文件夹而不是整个网络共享(例如
\\server.corp\sharedfolder); - 不要允许使用系统特定的文件夹,例如
C:\Windows、C:\Program Files或C:\ProgramData,因为它们可能包含敏感信息; - 不要允许使用管理共享(例如
\\server.corp\c$\); - 多个用户可以在磁盘上为存储桶指定相同的位置。因此,用户不应将敏感数据存储在存储桶中,因为不能保证数据与该用户或其租户是隔离的。
