Beveiliging van Robots Agent ter plaatse

Volg de beveiligingsaanbevelingen voor de Robots Agent ter plaatse om de toegang tot de server waarop de Robots Agent is geïnstalleerd te beheren en gevoelige gegevens veilig te houden.

Voor informatie over gebruikerstoegang tot de cloud-gebaseerde Robots-app, zie Machtigingen Robots-app.

Opmerking

De informatie in dit onderwerp is alleen van toepassing op organisaties die een Robots-agent ter plaatse gebruiken om ACL-scripts uit te voeren in ACL-robots.

Personen en organisaties met ACL Robotics Professional Edition hebben geen Robots-agent ter plaatse. Python/HCL-scripts die in HighBond-robots of Workflowrobots worden uitgevoerd, maken geen gebruik van de Robots-agent.

Algemene gebruikerstoegang

Als algemene richtlijn moet u de Robots Agent toegang verlenen tot het minimale aantal vereiste accounts, met de minimaal vereiste rechten en machtigingen.

Serverbeheer

Om uw Robots Agent-server zo veilig mogelijk te houden, past u direct alle Windows-besturingssysteemupgrades en beveiligingspatches toe.

Gevoelige installatie-informatie

Beveilig alle gevoelige informatie met betrekking tot uw installatie van de Robots Agent. Tijdens het installatieproces moet u bestanden die gevoelige informatie bevatten, zoals accountgegevens of configuratie-instellingen, op een veilige locatie opslaan.

Lijst met toegestane URL's

Op de server waar de Robots Agent is geïnstalleerd, plaats de hieronder gespecificeerde URL's op de witte lijst voor poort 443 uitgaand. Voeg alleen de URL's toe aan de toelatingslijst voor de regio waar uw Diligent One-account zich bevindt.

Om de regio voor uw Diligent One-account te bevestigen, opent u Launchpad en selecteert u Opties > Organisatie. Uw regio verschijnt onder Regionaam.

Let op

Configureer poort 443 voor alleen uitgaand verkeer. Sta geen inkomend verkeer toe.

Diligent One-regio URLs
Afrika (Zuid-Afrika)
  • https://hub-af.highbond.com
  • https://s3.af-south-1.amazonaws.com

Azië-Pacific (Australië)
  • https://hub-au.highbond.com
  • https://s3.ap-southeast-2.amazonaws.com

Azië-Pacific (Singapore)
  • https://hub-ap.highbond.com
  • https://s3.ap-southeast-1.amazonaws.com
Azië-Pacific (Tokio)
  • https://hub-jp.highbond.com
  • https://s3.ap-northeast-1.amazonaws.com

Europa (Duitsland)
  • https://hub-eu.highbond.com
  • https://s3.eu-central-1.amazonaws.com

Noord-Amerika (Canada)
  • https://hub-ca.highbond.com
  • https://s3.ca-central-1.amazonaws.com

Noord-Amerika (VS)
  • https://hub.highbond.com
  • https://s3.us-east-1.amazonaws.com
  • https://s3-1.amazonaws.com
Zuid-Amerika (Brazilië)
  • https://hub-sa.highbond.com
  • https://s3.sa-east-1.amazonaws.com

Accountaanmeldrights en -machtigingen

Twee soorten accounts hebben Windows-aanmeldingsrechten en -machtigingen nodig op de server waar de Robots Agent is geïnstalleerd:

  • serviceaccounts die worden gebruikt om de twee Windows-services van Robots Agent uit te voeren
  • individuele gebruikersaccounts die worden gebruikt om toegang te krijgen tot Analytics-tabellen die worden uitgevoerd door Robots-taken

    Individuele gebruikers met een desktopinstallatie van Analytics kunnen de toepassing als desktopklant gebruiken om verbinding te maken met uitvoertabellen die zijn opgeslagen op de Robots Agent-server.

De specifieke aanmeldrechten en machtigingen die vereist zijn voor de accounts worden hieronder beschreven.

Aanmeldingsrechten voor account

De onderstaande tabel beschrijft de vereiste aanmeldingsrechten voor de accounts die toegang nodig hebben tot de Robots Agent-server. Verleen geen aanmeldingsrechten aan een account buiten de hieronder gespecificeerde rechten. Aanmeldingsrechten worden gespecificeerd in het gedeelte Toewijzing van gebruikersrechten van het Windows-beveiligingsbeleid.

Het beperken van aanmeldingsrechten verkleint het risico dat iemand ongeoorloofde toegang krijgt tot de Robots Agent-server.

Account Lokaal aanmelden toestaan Lokaal aanmelden weigeren Aanmelden als een service
Robots Agent-serviceaccount Nee Ja Ja
Robots Data Service-account Nee Ja Ja

Gebruikersaccount

(Analytics-gebruikers)

 Ja Nee Nee

Accountmachtigingen

Serviceaccountmachtigingen

Naam van Windows-service Poort Account voor het uitvoeren van de service Vereiste machtigingen voor het serviceaccount

Robots-agent

(voert geplande en ad-hoctaken van Robots uit)

443

alleen uitgaand

Gebruik een van de volgende:

  • een speciaal domeingebruikersaccount
  • een algemeen IT-domeinaccount

Gebruik niet:

  • een individuele werknemersaccount
  • een lokaal gebruikersaccount
  • het Lokale systeemaccount

Opmerking

Als het opgegeven account gebruikmaakt van een wachtwoord dat verloopt, zorg er dan voor dat u een procedure heeft om het wachtwoord actueel te houden.

  • Lees- en uitvoermachtiging voor de installatiemap van de Robots Agent

    Standaardlocatie:

    C:\Program Files (x86)\ACL Software\Robots Agent

  • Lees-/schrijf-/lijstmachtigingen voor de gegevensmap van de Robots Agent

    Standaardlocatie:

    C:\acl\robots\data

Robots-gegevensservice

(biedt de connectiviteit waarmee gebruikers Robots Agent-tabellen kunnen openen in Analytics)

10000 (standaard)

U kunt elke beschikbare poort tussen 0 en 65536 opgeven

 Lokaal systeem

  • Lees- en uitvoermachtiging voor de installatiemap van de Robots Agent

    Standaardlocatie:

    C:\Program Files (x86)\ACL Software\Robots Agent

  • Lees-/schrijfmachtigingen voor de \aclse -map om aanvankelijk Prefix-mappen te maken die bij gebruikers horen

    Standaardlocatie:

    C:\acl\robots\aclse

Gebruikersaccountmachtigingen

Analytics-tabellen die worden uitgevoerd door Robots-taken worden opgeslagen op de server waarop de Robots Agent is geïnstalleerd. Gebruikers kunnen verbinding maken met deze tabellen en ze openen in hun lokaal geïnstalleerde kopie van Analytics als ze over de hieronder beschreven machtigingen beschikken. (Voor meer informatie raadpleegt u De tabellen, bestanden en logboeken bekijken in een ACL-robot.)

Gebruikerstoegang tot de Robots Agent-server beperken

Als uw organisatie niet wil dat gebruikers toegang hebben tot de Robots Agent-server, kunt u een andere aanpak kiezen. De analysescripts in Robots-taken kunnen zo worden geschreven dat ze resultaten uitvoeren naar een bestandstype zoals Excel of een gescheiden bestand. Gebruikers kunnen deze bestandstypen rechtstreeks downloaden uit de cloudgebaseerde Robots-app, zonder dat ze toegang hoeven te hebben tot de Robots Agent-server.

Een gecombineerde aanpak

U kunt ook een gecombineerde aanpak hanteren voor het verlenen van toegang tot taakuitvoerresultaten:

  • Gewone gebruikers Moeten resultaten die in Excel- of gescheiden bestanden staan downloaden via de in de cloud gehoste Robots-app
  • Ontwikkelaars en architecten Geef analyticsontwikkelaars en gegevensarchitecten toegang tot de resultaattabellen van Analytics op de Robots Agent-server

Machtigingen voor Analytics-gebruikers

Als u sommige of alle Analytics-gebruikers toegang wilt geven tot Analytics-tabellen op de Robots Agent-server, geef dan de hieronder beschreven machtigingen op.

Let op

Geef individuele gebruikers geen machtigingen voor de volledige C:\acl map op de Robots Agent-server, of voor mappen buiten wat hieronder is gespecificeerd.

Het beperken van toegang tot mappen tot alleen de vereiste accounts en alleen de vereiste mappen vermindert het risico dat iemand ongeautoriseerde toegang krijgt tot de Robots Agent-server. Het voorkomt ook dat een Analytics-script toegang krijgt tot of wijzigingen aanbrengt in bestanden buiten de juiste mappen.

Item Machtigingen voor gebruikersaccounts vereist

Installatiemap van Robots Data Service

  • Leesmachtiging voor de installatiemap van de Robots Data Service

    Standaardlocatie:

    C:\Program Files (x86)\ACL Software\Robots Agent\aclse

Robots Data Service-executable

(aclse.exe)

  • Volledige beheermachtiging voor het uitvoerbare bestand van de Robots Data Service (aclse.exe)

    Standaardlocatie:

    C:\Program Files (x86)\ACL Software\Robots Agent\aclse\aclse.exe

Gegevensmap Robots Agent

(bevat Analytics-resultaattabellen die door Robots-taken zijn gegenereerd)

  • Leesmachtiging voor de gegevensmap van de Robots Agent

    Standaardlocatie:

    C:\acl\robots\data

Opmerking

Deze toestemming kan worden verleend voor de gehele \data-map, of kan op de volgende manieren worden beperkt:

  • Ontwikkelingsmodus staat alleen verbindingen toe met resultaattabellen die zich in de ontwikkelingsmodus bevinden

    C:\acl\robots\data\Development

  • Productie verleent toestemming om alleen verbinding te maken met productieresultaattabellen

    C:\acl\robots\data\Production

  • Specifieke robots geven toestemming om resultaattabellen te koppelen voor uitsluitend bepaalde robots

    Bijvoorbeeld:

    C:\acl\robots\data\Production\Robot5

Robots Data Service Prefix-map

(de Analytics-werkmap bij verbinding met de Robots Agent-server

bevat Analytics-uitvoertabellen en indexbestanden die van Analytics op de server zijn opgeslagen)

  • Volledige beheermachtiging voor de Robots Data Service Prefix-map van de gebruiker

    Standaardlocatie:

    C:\acl\robots\aclse\<user_name>