Seguridad del Agente de Robots en las instalaciones físicas

Respete las recomendaciones de seguridad del Agente de Robots en las instalaciones físicas para controlar el acceso al servidor en el cual está instalado el Agente de Robots y para mantener seguros los datos sensibles.

Si desea obtener información sobre el acceso del usuario a la aplicación Robots basada en la nube, consulte Permisos de la aplicación Robots.

Nota

La información sobre este tema aplica solo a organizaciones que utilizan un Agente de Robots en las instalaciones físicas para ejecutar scripts de ACL en robots ACL.

Las personas y organizaciones con ACL Robotics Professional Edition no tienen un Agente de Robots en las instalaciones físicas. Los scripts de Python/HCL que se ejecutan en robots HighBond o robots de Flujo de trabajo no utilizan el Agente de Robots.

Acceso de usuario general

Como regla general, debe otorgarle acceso al Agente de Robots a la menor cantidad de cuentas necesarias, con la menor cantidad de derechos y permisos necesarios.

Administrador del servidor

Para mantener el servidor del Agente de Robots lo más seguro posible, aplique con celeridad todas las actualizaciones del sistema operativo y los parches de seguridad de Windows.

Información de instalación sensible

Asegure toda la información sensible relacionada con su instalación del Agente de Robots. Durante el proceso de instalación, si creó archivos que contienen información sensible, como credenciales de cuentas o ajustes de configuración, debe almacenarlos en una ubicación segura.

Lista de permitidos de URL

En el servidor donde está instalado el Agente de Robots, permita la lista de URL especificadas a continuación para el puerto de salida 443. Permita solo la lista de URL de la región donde se encuentra su cuenta de Diligent One.

Para confirmar la región de su cuenta de Diligent One, abra Launchpad y seleccione Opciones > Organización. Su región aparece en Nombre de la región.

¡Precaución!

Configure el puerto 443 únicamente para tráfico saliente. No permita el tráfico entrante.

Región de Diligent One URL
África (Sudáfrica)
  • https://hub-af.highbond.com
  • https://s3.af-south-1.amazonaws.com

Asia-Pacífico (Australia)
  • https://hub-au.highbond.com
  • https://s3.ap-southeast-2.amazonaws.com

Asia-Pacífico (Singapur)
  • https://hub-ap.highbond.com
  • https://s3.ap-southeast-1.amazonaws.com
Asia-Pacífico (Tokio)
  • https://hub-jp.highbond.com
  • https://s3.ap-southeast-1.amazonaws.com

Europa (Alemania)
  • https://hub-eu.highbond.com
  • https://s3.eu-central-1.amazonaws.com

Norteamérica (Canadá)
  • https://hub-ca.highbond.com
  • https://s3.ca-central-1.amazonaws.com

Norteamérica (EE.UU.)
  • https://hub.highbond.com
  • https://s3.us-east-1.amazonaws.com
  • https://s3-1.amazonaws.com
América del Sur (Brasil)
  • https://hub-sa.highbond.com
  • https://s3.sa-east-1.amazonaws.com

Permisos y derechos de inicio de sesión en la cuenta

Dos tipos de cuentas requieren permisos y derechos de inicio de sesión de Windows en el servidor en el que está instalado el Agente de Robots:

  • cuentas de servicio se utilizan para ejecutar los dos servicios de Windows del Agente de Robots
  • cuentas de usuarios individuales se utilizan para acceder a las tablas de Analytics que generan las tareas de Robots

    Los usuarios individuales con una instalación de escritorio de Analytics pueden utilizar la aplicación como cliente de escritorio para conectarse a las tablas de salida almacenadas en el servidor del Agente de Robots.

A continuación, se describen los derechos y permisos específicos de inicio de sesión necesarios para las cuentas.

Derechos de inicio de sesión de la cuenta

La siguiente tabla describe los derechos de inicio de sesión necesarios para las cuentas que necesitan acceder al servidor del Agente de Robots. No otorgue a ninguna cuenta un derecho de inicio de sesión que supere lo que se especifica a continuación. Los derechos de inicio de sesión se especifican en el área de Asignación de derechos de usuario de la política de seguridad de Windows.

La restricción de los derechos de inicio de sesión reduce el riesgo de que alguna persona obtenga acceso no autorizado al servidor del Agente de Robots.

Cuenta Permitir el inicio de sesión local Denegar el inicio de sesión local Iniciar sesión como servicio
Cuenta de servicio del Agente de Robots No
Cuenta de servicio de datos de Robots No

Cuenta de usuario

(Usuarios de Analytics)

 No No

Permisos de la cuenta

Permisos de la cuenta del servicio

Nombre del servicio de Windows Puerto Cuenta para ejecutar el servicio Permisos necesarios para la cuenta de servicio

Agente de Robots

(ejecuta tareas programadas y ad hoc de Robots)

443

solo saliente

Utilice uno de las siguientes:

  • una cuenta de usuario de dominio dedicado
  • una cuenta de dominio de TI genérica

No utilice:

  • una cuenta de empleado individual
  • una cuenta de usuario local
  • una cuenta de sistema local

Nota

Si la cuenta que especifica utiliza una contraseña que caduca, asegúrese de contar con un procedimiento establecido para mantener actualizada la contraseña.

  • Permiso de lectura y ejecución para la carpeta de instalación del Agente de Robots

    Ubicación predeterminada:

    C:\Program Files (x86)\ACL Software\Robots Agent

  • Permisos de lectura/escritura/listado para la carpeta de datos del Agente de Robots

    Ubicación predeterminada:

    C:\acl\robots\data

Servicio de datos de Robots

(ofrece la conectividad que les permite a los usuarios abrir tablas del Agente de Robots en Analytics)

10000 (predeterminado)

Puede especificar cualquier puerto disponible entre 0 y 65536

 Sistema local

  • Permiso de lectura y ejecución para la carpeta de instalación del Agente de Robots

    Ubicación predeterminada:

    C:\Program Files (x86)\ACL Software\Robots Agent

  • Permisos de lectura/escritura para la carpeta \aclse para crear inicialmente las carpetas Prefijo que pertenecen a los usuarios

    Ubicación predeterminada:

    C:\acl\robots\aclse

Permisos de la cuenta de usuario

Las tablas de estudios analíticos generadas por las tareas de Robots se almacenan en el servidor en el que está instalado el Agente de Agent. Los usuarios se pueden conectar a estas tablas y abrirlas en la copia instalada localmente de Analytics si cuentan con los permisos que se indican más adelante. (Si desea obtener más información, consulte Ver las tablas, los archivos y los logs en un robot ACL).

Restricción del acceso de los usuarios al servidor del Agente de Robots

Si su organización no desea que los usuarios tengan acceso al servidor del Agente de Robots, puede utilizar un enfoque diferente. Se pueden escribir los scripts de estudios analíticos de las tareas de Robots de manera que envíen los resultados a un tipo de archivo Excel o delimitado. Los usuarios pueden descargar estos tipos de archivo directamente de la aplicación Robots basada en la nube, sin necesidad de tener acceso al servidor del Agente de Robots.

Un enfoque combinado

También podría adoptar un enfoque combinado para proporcionar acceso a los resultados de las tareas:

  • Usuarios regulares Exija a los usuarios regulares que descarguen los resultados contenidos en archivos de Excel o archivos delimitados desde la aplicación Robots basada en la nube
  • Desarrolladores y arquitectos Permita que los desarrolladores de estudios analíticos y los arquitectos de datos tengan acceso a las tablas de resultados de Analytics en el servidor del Agente de Robots

Permisos para los usuarios de Analytics

Si desea permitirles a algunos o todos los usuarios de Analytics acceder a las tablas de Analytics en el servidor del Agente de Robots Agent, especifique los permisos que se describen a continuación.

¡Precaución!

No les otorgue a los usuarios individuales permisos para todo el directorio C:\acl del servidor del Agente de Robots ni a ninguna carpeta que no se encuentre en las siguientes especificaciones.

La restricción del acceso a las carpetas únicamente para las cuentas y carpetas necesarias reduce el riesgo de que alguien obtenga acceso no autorizado al Servidor del Agente de Robots. También impide que un script de Analytics modifique o acceda a archivos fuera de las carpetas adecuadas.

Elemento Permisos de cuenta del usuario necesarios

Carpeta de instalación del Servicio de datos de Robots

  • Permiso de lectura para la carpeta de instalación del Servicio de datos de Robots

    Ubicación predeterminada:

    C:\Program Files (x86)\ACL Software\Robots Agent\aclse

Archivo ejecutable del Servicio de datos de Robots

(aclse.exe)

  • Permiso de control absoluto para el archivo ejecutable del Servicio de datos de Robots (aclse.exe)

    Ubicación predeterminada:

    C:\Program Files (x86)\ACL Software\Robots Agent\aclse\aclse.exe

Carpeta de datos del Agente de Robots

(contiene las tablas de resultados de Analytics generadas por las tareas de Robots)

  • Permiso de lectura para la carpeta de datos del Agente de Robots

    Ubicación predeterminada:

    C:\acl\robots\data

Nota

Este permiso se puede otorgar para toda la carpeta \data o se puede limitar de las siguientes maneras:

  • Modo de desarrollo otorgue permito de conexión únicamente a las tablas de resultados del modo de desarrollo

    C:\acl\robots\data\Development

  • Producción otorgue permiso de conexión únicamente a las tablas de resultados de producción

    C:\acl\robots\data\Production

  • Robots específicos otorgue permiso de conexión a las tablas de resultados únicamente de robots específicos

    Por ejemplo:

    C:\acl\robots\data\Production\Robot5

Carpeta de Prefijo del Servicio de datos de Robots

(el directorio de trabajo de Analytics cuando está conectado al servidor del Agente de Robots

contiene archivos de índice y tablas de salida de Analytics que se guardaron en el servidor desde Analytics)

  • Permiso de control absoluto para la carpeta de Prefijo del Servicio de datos de Robots que pertenece al usuario

    Ubicación predeterminada:

    C:\acl\robots\aclse\<nombre_de_usuario>