Sicherheit des lokalen Robots Agent

Befolgen Sie die Sicherheitsempfehlungen des lokalen Robots Agent, um den Zugriff auf den Server, auf dem der Robots Agent installiert ist, zu kontrollieren und vertrauliche Daten zu schützen.

Informationen über den Benutzerzugriff auf die Cloud-basierte Robots-App finden Sie unter Berechtigungen der Robots-App.

Hinweis

Die Informationen in diesem Thema richten sich nur an Organisationen, die einen lokalen Robots-Agenten verwenden, um ACL-Skripts in ACL-Robots auszuführen.

Personen und Organisationen mit ACL Robotics Professional Edition haben keinen Robots-Agenten vor Ort. Python/HCL-Skripts, die in HighBond-Robots oder Workflow-Robots ausgeführt werden, verwenden den Robots Agent nicht.

Allgemeiner Benutzerzugriff

Als allgemeine Richtlinie sollten Sie den Zugriff auf Robots Agent auf die erforderliche Mindestanzahl von Konten mit den minimal erforderlichen Rechten und Berechtigungen beschränken.

Serveradministration

Um den Robots-Agent-Server so sicher wie möglich zu machen, sollten Sie alle Upgrades und Sicherheitspatches für das Windows-Betriebssystem sofort installieren.

Sensible Installationsinformationen

Sichern Sie alle vertraulichen Informationen im Zusammenhang mit der Installation von Robots Agent. Wenn Sie während des Installationsvorgangs Dateien mit vertraulichen Informationen wie beispielsweise Anmeldeinformationen oder Konfigurationseinstellungen erstellen, sollten Sie diese Dateien an einem sicheren Speicherort aufbewahren.

URLs der Zulassungslisten

Setzen Sie auf dem Server, auf dem der Robot-Agent installiert ist, die unten für den ausgehenden Port 443 angegebenen URLs auf die Zulassungsliste. Setzen Sie nur die URLs für die Region auf die Zulassungsliste, in der sich Ihr Diligent One-Konto befindet.

Um die Region für Ihr Diligent One-Konto zu bestätigen, öffnen Sie das Launchpad und wählen Optionen > Organisation aus. Ihre Region wird unter Name der Region angezeigt.

Achtung

Konfigurieren Sie Port 443 nur für den ausgehenden Datenverkehr. Lassen Sie keinen eingehenden Datenverkehr zu.

Diligent One-Region URLs
Afrika (Südafrika)
  • https://hub-af.highbond.com
  • https://s3.af-south-1.amazonaws.com

Asien-Pazifik (Australien)

  • https://hub-au.highbond.com
  • https://s3.ap-southeast-2.amazonaws.com

Asien-Pazifik (Singapur)

  • https://hub-ap.highbond.com
  • https://s3.ap-southeast-1.amazonaws.com
Asien-Pazifik (Tokio)
  • https://hub-jp.highbond.com
  • https://s3.ap-southeast-1.amazonaws.com

Europa (Deutschland)

  • https://hub-eu.highbond.com
  • https://s3.eu-central-1.amazonaws.com

Nordamerika (Kanada)

  • https://hub-ca.highbond.com
  • https://s3.ca-central-1.amazonaws.com

Nordamerika (USA)

  • https://hub.highbond.com
  • https://s3.us-east-1.amazonaws.com
  • https://s3-1.amazonaws.com
Südamerika (Brasilien)
  • https://hub-sa.highbond.com
  • https://s3.sa-east-1.amazonaws.com

Rechte und Berechtigungen für die Kontoanmeldung

Für zwei Arten von Konten sind Windows-Anmelderechte und Berechtigungen auf dem Server erforderlich, auf dem der Robots Agent installiert ist:

  • Dienstkonten werden zur Ausführung der beiden Windows-Dienste des Robots Agent verwendet
  • individuelle Benutzerkonten werden für den Zugriff auf Analytics-Tabellen, die von den Robots-Aufgaben ausgegeben werden

    Einzelne Benutzer mit einer Desktop-Installation von Analytics können die Anwendung als Desktop-Client verwenden, um eine Verbindung zu den auf dem Server des Robots Agent gespeicherten Ausgabetabellen herzustellen.

Die spezifischen Anmelderechte und Berechtigungen, die für die Konten erforderlich sind, werden im Folgenden erläutert.

Kontoanmelderechte

Die nachstehende Tabelle gibt einen Überblick über die erforderlichen Anmelderechte für die Konten, die Zugriff auf den Robots-Agent-Server erfordern. Weisen Sie über die unten angeführten Anforderungen hinaus keinem Konto zusätzliche Anmelderechte zu. Anmelderechte werden in dem Bereich „Zuweisen von Benutzerrechten“ der Windows-Sicherheitsrichtlinie angegeben.

Eine Einschränkung von Anmelderechten verringert das Risiko, dass ein unberechtigter Zugriff auf den Robots-Agent-Server erfolgt.

Konto Lokal anmelden zulassen Lokal anmelden verweigern Anmelden als Dienst
Robots Agent-Dienstkonto Nein Ja Ja
Robots-Datendienstkonto Nein Ja Ja

Benutzerkonto

(Analytics-Benutzer)

Ja Nein Nein

Kontoberechtigungen

Dienstkontoberechtigungen

Windows-Dienstname Port Konto, das den Dienst ausführt Für das Dienstkonto erforderliche Berechtigungen

Robots-Agent

(Führt geplante und Ad-hoc-Robots-Aufgaben aus)

443

Nur ausgehend

Verwenden Sie eins der Folgende:

  • ein dediziertes Domainenbenutzerkonto
  • ein generisches IT-Domänenkonto

Verwenden Sie nicht:

  • ein Konto eines einzelnen Mitarbeiters
  • Ein lokales Benutzerkonto
  • Das lokale Systemkonto

Hinweis

Wenn das von Ihnen angegebene Konto ein Passwort verwendet, das ablaufen kann, stellen Sie sicher, dass dieses Passwort regelmäßig aktualisiert wird.

  • Lese- und Ausführungsberechtigung für den Robots-Agent-Installationsordner

    Standardordner:

    C:\Programme (x86)\ACL Software\Robots Agent

  • Lese-/Schreib-/Listenberechtigungen für den Datenordner von Robots Agent

    Standardspeicherort:

    C:\acl\robots\data

Robots-Datendienst

(bietet die Konnektivität, die es Benutzern ermöglicht, Robots-Agent-Tabellen in Analytics zu öffnen)

10000 (Standard)

Sie können jeden verfügbaren Port zwischen 0 und 65536 eingeben

Lokales System
  • Lese- und Ausführungsberechtigung für den Robots-Agent-Installationsordner

    Standardordner:

    C:\Programme (x86)\ACL Software\Robots Agent

  • Lese-/Schreibberechtigungen für den Ordner \aclse, um zunächst Präfix-Ordner zu erstellen, die den Benutzern gehören

    Standardspeicherort:

    C:\acl\robots\aclse

Benutzerkontoberechtigungen

Die von den Robots-Aufgaben ausgegebenen Analytics-Tabellen werden auf dem Server gespeichert, auf dem der Robots Agent installiert ist. Benutzer können eine Verbindung zu diesen Tabellen herstellen und sie in ihrer lokal installierten Kopie von Analytics öffnen, wenn sie über die unten aufgeführten Berechtigungen verfügen. (Weitere Informationen finden Sie unter Tabellen, Dateien und Protokolle in einem ACL-Robot anzeigen.)

Benutzerzugriff auf den Robots-Agent-Server einschränken

Wenn Ihre Organisation nicht möchte, dass Benutzer Zugriff auf den Robots-Agent-Server haben, können Sie einen anderen Ansatz wählen. Die Analyseskripte in den Robots-Aufgaben können so verfasst werden, dass die Ergebnisse in einen Dateityp wie Excel oder Trennzeichen-getrennt ausgegeben werden. Benutzer können diese Dateitypen direkt von der Cloud-basierten Robots-App herunterladen, ohne dass sie Zugriff auf den Robots-Agent-Server haben müssen.

Ein kombinierter Ansatz

Sie könnten auch einen kombinierten Ansatz zur Bereitstellung von Zugriff auf die Ausgabeergebnisse von Aufgaben verfolgen:

  • Normale Benutzer Verlangen, dass normale Benutzer Ergebnisse, die in Excel-Dateien oder durch Komma getrennte Dateien enthalten sind, über die cloudbasierte Robots-App herunterladen müssen
  • Entwickler und Architekten Analyseentwicklern und Datenarchitekten den Zugriff auf Analytics-Ergebnistabellen auf dem Robots-Agent-Server gestatten

Berechtigungen für Analytics-Benutzer

Wenn Sie einigen oder allen Analytics-Benutzern die Möglichkeit geben möchten, auf Analytics-Tabellen auf dem Robots Agent-Server zuzugreifen, geben Sie die unten aufgeführten Berechtigungen an.

Achtung

Geben Sie einzelnen Benutzern keine Berechtigungen für das gesamte Verzeichnis c:\acl auf dem Robots-Agent-Server oder für einen anderen als den unten angegebenen Ordner.

Eine Einschränkung des Zugriffs auf die benötigten Konten und die benötigten Ordner verringert das Risiko, dass ein unberechtigter Zugriff auf den Robots-Agent-Server erfolgt. Dadurch wird auch verhindert, dass ein Analytics-Skript auf Dateien außerhalb der angemessenen Ordner zugreift und diese verändert.

Element Erforderliche Benutzerkontoberechtigungen

Installationsorder für den Robots-Datendienst

  • Leseberechtigung für den Installationsordner des Robots-Datendienstes

    Standardordner:

    C:\Programme (x86)\ACL Software\Robots Agent\aclse

Programmdateien für den Robots-Datendienst

(aclse.exe)

  • Vollzugriff auf die ausführbare Datei des Robots-Datendienstes (aclse.exe)

    Standardordner:

    C:\Programme (x86)\ACL Software\Robots Agent\aclse\aclse.exe

Datenordner für Robots Agent

(enthält die von den Robots-Aufgaben ausgegebenen der Analytics-Ergebnistabellen)

  • Leseberechtigung für den Datenordner des Robots Agenten

    Standardordner:

    C:\acl\robots\data

Hinweis

Diese Berechtigung kann für den gesamten Ordner \data gewährt werden, oder sie kann auf die folgende Weise eingeschränkt werden:

  • Entwicklermodus Erteilen Sie die Erlaubnis, eine Verbindung nur zu Ergebnistabellen für den Entwicklermodus herzustellen

    C:\acl\robots\data\Development

  • Produktion erteilen Sie die Erlaubnis, nur eine Verbindung zu den Ergebnistabellen für den Produktionsmodus zu erstellen

    C:\acl\robots\data\Production

  • Bestimmte Robots erteilen Sie die Erlaubnis, eine Verbindung nur zu den Ergebnistabellen für bestimmte Robots herzustellen

    Beispiel:

    C:\acl\robots\data\Production\Robot5

Präfix-Order für den Robots-Datendienst

(das Analytics-Arbeitsverzeichnis, wenn eine Verbindung mit dem Robots-Agent-Server besteht

enthält Analytics-Ausgabetabellen und Indexdateien, die von Analytics auf dem Server gespeichert wurden)

  • Vollzugriff auf den Präfix-Ordner des Robots-Datendienstes, der dem Benutzer gehört

    Standardordner:

    C:\acl\robots\aclse\<Benutzername>