Sicherheit des lokalen Robots Agent
Befolgen Sie die Sicherheitsempfehlungen des lokalen Robots Agent, um den Zugriff auf den Server, auf dem der Robots Agent installiert ist, zu kontrollieren und vertrauliche Daten zu schützen.
Informationen über den Benutzerzugriff auf die Cloud-basierte Robots-App finden Sie unter Berechtigungen der Robots-App.
Hinweis
Die Informationen in diesem Thema richten sich nur an Organisationen, die einen lokalen Robots-Agenten verwenden, um ACL-Skripts in ACL-Robots auszuführen.
Personen und Organisationen mit ACL Robotics Professional Edition haben keinen Robots-Agenten vor Ort. Python/HCL-Skripts, die in HighBond-Robots oder Workflow-Robots ausgeführt werden, verwenden den Robots Agent nicht.
Allgemeiner Benutzerzugriff
Als allgemeine Richtlinie sollten Sie den Zugriff auf Robots Agent auf die erforderliche Mindestanzahl von Konten mit den minimal erforderlichen Rechten und Berechtigungen beschränken.
Serveradministration
Um den Robots-Agent-Server so sicher wie möglich zu machen, sollten Sie alle Upgrades und Sicherheitspatches für das Windows-Betriebssystem sofort installieren.
Sensible Installationsinformationen
Sichern Sie alle vertraulichen Informationen im Zusammenhang mit der Installation von Robots Agent. Wenn Sie während des Installationsvorgangs Dateien mit vertraulichen Informationen wie beispielsweise Anmeldeinformationen oder Konfigurationseinstellungen erstellen, sollten Sie diese Dateien an einem sicheren Speicherort aufbewahren.
URLs der Zulassungslisten
Setzen Sie auf dem Server, auf dem der Robot-Agent installiert ist, die unten für den ausgehenden Port 443 angegebenen URLs auf die Zulassungsliste. Setzen Sie nur die URLs für die Region auf die Zulassungsliste, in der sich Ihr Diligent One-Konto befindet.
Um die Region für Ihr Diligent One-Konto zu bestätigen, öffnen Sie das Launchpad und wählen Optionen > Organisation aus. Ihre Region wird unter Name der Region angezeigt.
Achtung
Konfigurieren Sie Port 443 nur für den ausgehenden Datenverkehr. Lassen Sie keinen eingehenden Datenverkehr zu.
Diligent One-Region | URLs |
---|---|
Afrika (Südafrika) |
|
Asien-Pazifik (Australien) |
|
Asien-Pazifik (Singapur) |
|
Asien-Pazifik (Tokio) |
|
Europa (Deutschland) |
|
Nordamerika (Kanada) |
|
Nordamerika (USA) |
|
Südamerika (Brasilien) |
|
Rechte und Berechtigungen für die Kontoanmeldung
Für zwei Arten von Konten sind Windows-Anmelderechte und Berechtigungen auf dem Server erforderlich, auf dem der Robots Agent installiert ist:
- Dienstkonten werden zur Ausführung der beiden Windows-Dienste des Robots Agent verwendet
- individuelle Benutzerkonten werden für den Zugriff auf Analytics-Tabellen, die von den Robots-Aufgaben ausgegeben werden
Einzelne Benutzer mit einer Desktop-Installation von Analytics können die Anwendung als Desktop-Client verwenden, um eine Verbindung zu den auf dem Server des Robots Agent gespeicherten Ausgabetabellen herzustellen.
Die spezifischen Anmelderechte und Berechtigungen, die für die Konten erforderlich sind, werden im Folgenden erläutert.
Kontoanmelderechte
Die nachstehende Tabelle gibt einen Überblick über die erforderlichen Anmelderechte für die Konten, die Zugriff auf den Robots-Agent-Server erfordern. Weisen Sie über die unten angeführten Anforderungen hinaus keinem Konto zusätzliche Anmelderechte zu. Anmelderechte werden in dem Bereich „Zuweisen von Benutzerrechten“ der Windows-Sicherheitsrichtlinie angegeben.
Eine Einschränkung von Anmelderechten verringert das Risiko, dass ein unberechtigter Zugriff auf den Robots-Agent-Server erfolgt.
Konto | Lokal anmelden zulassen | Lokal anmelden verweigern | Anmelden als Dienst |
---|---|---|---|
Robots Agent-Dienstkonto | Nein | Ja | Ja |
Robots-Datendienstkonto | Nein | Ja | Ja |
Benutzerkonto (Analytics-Benutzer) |
Ja | Nein | Nein |
Kontoberechtigungen
Dienstkontoberechtigungen
Windows-Dienstname | Port | Konto, das den Dienst ausführt | Für das Dienstkonto erforderliche Berechtigungen |
---|---|---|---|
Robots-Agent (Führt geplante und Ad-hoc-Robots-Aufgaben aus) |
443 Nur ausgehend |
Verwenden Sie eins der Folgende:
Verwenden Sie nicht:
Hinweis Wenn das von Ihnen angegebene Konto ein Passwort verwendet, das ablaufen kann, stellen Sie sicher, dass dieses Passwort regelmäßig aktualisiert wird. |
|
Robots-Datendienst (bietet die Konnektivität, die es Benutzern ermöglicht, Robots-Agent-Tabellen in Analytics zu öffnen) |
10000 (Standard) Sie können jeden verfügbaren Port zwischen 0 und 65536 eingeben |
Lokales System |
|
Benutzerkontoberechtigungen
Die von den Robots-Aufgaben ausgegebenen Analytics-Tabellen werden auf dem Server gespeichert, auf dem der Robots Agent installiert ist. Benutzer können eine Verbindung zu diesen Tabellen herstellen und sie in ihrer lokal installierten Kopie von Analytics öffnen, wenn sie über die unten aufgeführten Berechtigungen verfügen. (Weitere Informationen finden Sie unter Tabellen, Dateien und Protokolle in einem ACL-Robot anzeigen.)
Benutzerzugriff auf den Robots-Agent-Server einschränken
Wenn Ihre Organisation nicht möchte, dass Benutzer Zugriff auf den Robots-Agent-Server haben, können Sie einen anderen Ansatz wählen. Die Analyseskripte in den Robots-Aufgaben können so verfasst werden, dass die Ergebnisse in einen Dateityp wie Excel oder Trennzeichen-getrennt ausgegeben werden. Benutzer können diese Dateitypen direkt von der Cloud-basierten Robots-App herunterladen, ohne dass sie Zugriff auf den Robots-Agent-Server haben müssen.
Ein kombinierter Ansatz
Sie könnten auch einen kombinierten Ansatz zur Bereitstellung von Zugriff auf die Ausgabeergebnisse von Aufgaben verfolgen:
- Normale Benutzer Verlangen, dass normale Benutzer Ergebnisse, die in Excel-Dateien oder durch Komma getrennte Dateien enthalten sind, über die cloudbasierte Robots-App herunterladen müssen
- Entwickler und Architekten Analyseentwicklern und Datenarchitekten den Zugriff auf Analytics-Ergebnistabellen auf dem Robots-Agent-Server gestatten
Berechtigungen für Analytics-Benutzer
Wenn Sie einigen oder allen Analytics-Benutzern die Möglichkeit geben möchten, auf Analytics-Tabellen auf dem Robots Agent-Server zuzugreifen, geben Sie die unten aufgeführten Berechtigungen an.
Achtung
Geben Sie einzelnen Benutzern keine Berechtigungen für das gesamte Verzeichnis C:\acl auf dem Robots-Agent-Server oder für einen anderen als den unten angegebenen Ordner.
Eine Einschränkung des Zugriffs auf die benötigten Konten und die benötigten Ordner verringert das Risiko, dass ein unberechtigter Zugriff auf den Robots-Agent-Server erfolgt. Dadurch wird auch verhindert, dass ein Analytics-Skript auf Dateien außerhalb der angemessenen Ordner zugreift und diese verändert.
Element | Erforderliche Benutzerkontoberechtigungen |
---|---|
Installationsorder für den Robots-Datendienst |
|
Programmdateien für den Robots-Datendienst (aclse.exe) |
|
Datenordner für Robots Agent (enthält die von den Robots-Aufgaben ausgegebenen der Analytics-Ergebnistabellen) |
Hinweis Diese Berechtigung kann für den gesamten Ordner \data gewährt werden, oder sie kann auf die folgende Weise eingeschränkt werden:
|
Präfix-Order für den Robots-Datendienst (das Analytics-Arbeitsverzeichnis, wenn eine Verbindung mit dem Robots-Agent-Server besteht enthält Analytics-Ausgabetabellen und Indexdateien, die von Analytics auf dem Server gespeichert wurden) |
|