Beveiliging van Robots Agent ter plaatse
Volg de beveiligingsaanbevelingen voor de Robots Agent ter plaatse om de toegang tot de server waarop de Robots Agent is geïnstalleerd te beheren en gevoelige gegevens veilig te houden.
Voor informatie over gebruikerstoegang tot de cloud-gebaseerde Robots-app, zie Machtigingen Robots-app.
Opmerking
De informatie in dit onderwerp is alleen van toepassing op organisaties die een Robots-agent ter plaatse gebruiken om ACL-scripts uit te voeren in ACL-robots.
Personen en organisaties met ACL Robotics Professional Edition hebben geen Robots-agent ter plaatse. Python/HCL-scripts die in HighBond-robots of Workflowrobots worden uitgevoerd, maken geen gebruik van de Robots-agent.
Algemene gebruikerstoegang
Als algemene richtlijn moet u de Robots Agent toegang verlenen tot het minimale aantal vereiste accounts, met de minimaal vereiste rechten en machtigingen.
Serverbeheer
Om uw Robots Agent-server zo veilig mogelijk te houden, past u direct alle Windows-besturingssysteemupgrades en beveiligingspatches toe.
Gevoelige installatie-informatie
Beveilig alle gevoelige informatie met betrekking tot uw installatie van de Robots Agent. Tijdens het installatieproces moet u bestanden die gevoelige informatie bevatten, zoals accountgegevens of configuratie-instellingen, op een veilige locatie opslaan.
Lijst met toegestane URL's
Op de server waar de Robots Agent is geïnstalleerd, plaats de hieronder gespecificeerde URL's op de witte lijst voor poort 443 uitgaand. Voeg alleen de URL's toe aan de toelatingslijst voor de regio waar uw Diligent One-account zich bevindt.
Om de regio voor uw Diligent One-account te bevestigen, opent u Launchpad en selecteert u Opties > Organisatie. Uw regio verschijnt onder Regionaam.
Let op
Configureer poort 443 voor alleen uitgaand verkeer. Sta geen inkomend verkeer toe.
Diligent One-regio | URLs |
---|---|
Afrika (Zuid-Afrika) |
|
Azië-Pacific (Australië) |
|
Azië-Pacific (Singapore) |
|
Azië-Pacific (Tokio) |
|
Europa (Duitsland) |
|
Noord-Amerika (Canada) |
|
Noord-Amerika (VS) |
|
Zuid-Amerika (Brazilië) |
|
Accountaanmeldrights en -machtigingen
Twee soorten accounts hebben Windows-aanmeldingsrechten en -machtigingen nodig op de server waar de Robots Agent is geïnstalleerd:
- serviceaccounts die worden gebruikt om de twee Windows-services van Robots Agent uit te voeren
- individuele gebruikersaccounts die worden gebruikt om toegang te krijgen tot Analytics-tabellen die worden uitgevoerd door Robots-taken
Individuele gebruikers met een desktopinstallatie van Analytics kunnen de toepassing als desktopklant gebruiken om verbinding te maken met uitvoertabellen die zijn opgeslagen op de Robots Agent-server.
De specifieke aanmeldrechten en machtigingen die vereist zijn voor de accounts worden hieronder beschreven.
Aanmeldingsrechten voor account
De onderstaande tabel beschrijft de vereiste aanmeldingsrechten voor de accounts die toegang nodig hebben tot de Robots Agent-server. Verleen geen aanmeldingsrechten aan een account buiten de hieronder gespecificeerde rechten. Aanmeldingsrechten worden gespecificeerd in het gedeelte Toewijzing van gebruikersrechten van het Windows-beveiligingsbeleid.
Het beperken van aanmeldingsrechten verkleint het risico dat iemand ongeoorloofde toegang krijgt tot de Robots Agent-server.
Account | Lokaal aanmelden toestaan | Lokaal aanmelden weigeren | Aanmelden als een service |
---|---|---|---|
Robots Agent-serviceaccount | Nee | Ja | Ja |
Robots Data Service-account | Nee | Ja | Ja |
Gebruikersaccount (Analytics-gebruikers) |
Ja | Nee | Nee |
Accountmachtigingen
Serviceaccountmachtigingen
Naam van Windows-service | Poort | Account voor het uitvoeren van de service | Vereiste machtigingen voor het serviceaccount |
---|---|---|---|
Robots-agent (voert geplande en ad-hoctaken van Robots uit) |
443 alleen uitgaand |
Gebruik een van de volgende:
Gebruik niet:
Opmerking Als het opgegeven account gebruikmaakt van een wachtwoord dat verloopt, zorg er dan voor dat u een procedure heeft om het wachtwoord actueel te houden. |
|
Robots-gegevensservice (biedt de connectiviteit waarmee gebruikers Robots Agent-tabellen kunnen openen in Analytics) |
10000 (standaard) U kunt elke beschikbare poort tussen 0 en 65536 opgeven |
Lokaal systeem |
|
Gebruikersaccountmachtigingen
Analytics-tabellen die worden uitgevoerd door Robots-taken worden opgeslagen op de server waarop de Robots Agent is geïnstalleerd. Gebruikers kunnen verbinding maken met deze tabellen en ze openen in hun lokaal geïnstalleerde kopie van Analytics als ze over de hieronder beschreven machtigingen beschikken. (Voor meer informatie raadpleegt u De tabellen, bestanden en logboeken bekijken in een ACL-robot.)
Gebruikerstoegang tot de Robots Agent-server beperken
Als uw organisatie niet wil dat gebruikers toegang hebben tot de Robots Agent-server, kunt u een andere aanpak kiezen. De analysescripts in Robots-taken kunnen zo worden geschreven dat ze resultaten uitvoeren naar een bestandstype zoals Excel of een gescheiden bestand. Gebruikers kunnen deze bestandstypen rechtstreeks downloaden uit de cloudgebaseerde Robots-app, zonder dat ze toegang hoeven te hebben tot de Robots Agent-server.
Een gecombineerde aanpak
U kunt ook een gecombineerde aanpak hanteren voor het verlenen van toegang tot taakuitvoerresultaten:
- Gewone gebruikers Moeten resultaten die in Excel- of gescheiden bestanden staan downloaden via de in de cloud gehoste Robots-app
- Ontwikkelaars en architecten Geef analyticsontwikkelaars en gegevensarchitecten toegang tot de resultaattabellen van Analytics op de Robots Agent-server
Machtigingen voor Analytics-gebruikers
Als u sommige of alle Analytics-gebruikers toegang wilt geven tot Analytics-tabellen op de Robots Agent-server, geef dan de hieronder beschreven machtigingen op.
Let op
Geef individuele gebruikers geen machtigingen voor de volledige C:\acl map op de Robots Agent-server, of voor mappen buiten wat hieronder is gespecificeerd.
Het beperken van toegang tot mappen tot alleen de vereiste accounts en alleen de vereiste mappen vermindert het risico dat iemand ongeautoriseerde toegang krijgt tot de Robots Agent-server. Het voorkomt ook dat een Analytics-script toegang krijgt tot of wijzigingen aanbrengt in bestanden buiten de juiste mappen.
Item | Machtigingen voor gebruikersaccounts vereist |
---|---|
Installatiemap van Robots Data Service |
|
Robots Data Service-executable (aclse.exe) |
|
Gegevensmap Robots Agent (bevat Analytics-resultaattabellen die door Robots-taken zijn gegenereerd) |
Opmerking Deze toestemming kan worden verleend voor de gehele \data-map, of kan op de volgende manieren worden beperkt:
|
Robots Data Service Prefix-map (de Analytics-werkmap bij verbinding met de Robots Agent-server bevat Analytics-uitvoertabellen en indexbestanden die van Analytics op de server zijn opgeslagen) |
|