本地部署机器人代理安全

遵循本地部署机器人代理安全建议,以控制对装有机器人代理的服务器的访问,确保敏感数据的安全。

有关用户访问基于云的机器人应用程序的信息,请参阅机器人应用程序权限

说明

本主题中的信息仅适用于使用本地部署机器人代理运行 ACL 机器人中的 ACL 脚本的组织。

订阅 ACL Robotics 专业版本的个人和组织没有本地部署机器人代理。HighBond 机器人和工作流机器人中运行的 Python/HCL 脚本不使用机器人代理。

普通用户访问

作为一般性准则,您应该将机器人代理访问权限授予最少数量的必需帐户,并为其配置所需的最小权利和权限。

服务器管理

要使机器人代理服务器尽可能安全,请及时应用所有 Windows 操作系统升级和安全修补程序。

敏感安装信息

请保护与您的机器人代理安装有关的任何敏感信息。在安装过程中,如果您创建了任何包含敏感信息(如帐户凭据或配置设置)的文件,您应该将这些文件存储在安全位置。

允许列表 URL

在安装了机器人代理的服务器上,将下列 URL 添加到端口 443 出站的允许列表。仅将您的 Diligent One 帐户所在区域的 URL 添加到允许列表。

要确认您的 Diligent One 账户所在区域,请打开启动面板并选择选项 > 组织区域名称下方会显示您所在的区域。

注意

将端口 443 配置为仅出站流量。不允许入站流量。

Diligent One 区域 URL
非洲(南非)
  • https://hub-af.highbond.com
  • https://s3.af-south-1.amazonaws.com

亚太地区(澳大利亚)
  • https://hub-au.highbond.com
  • https://s3.ap-southeast-2.amazonaws.com

亚太地区(新加坡)
  • https://hub-ap.highbond.com
  • https://s3.ap-southeast-1.amazonaws.com
亚太地区(东京)
  • https://hub-jp.highbond.com
  • https://s3.ap-northeast-1.amazonaws.com

欧洲(德国)
  • https://hub-eu.highbond.com
  • https://s3.eu-central-1.amazonaws.com

北美(加拿大)
  • https://hub-ca.highbond.com
  • https://s3.ca-central-1.amazonaws.com

北美(美国)
  • https://hub.highbond.com
  • https://s3.us-east-1.amazonaws.com
  • https://s3-1.amazonaws.com
南美洲(巴西)
  • https://hub-sa.highbond.com
  • https://s3.sa-east-1.amazonaws.com

帐户登录权限

有两种帐户需要装有机器人代理的服务器上的 Windows 登录权限:

  • 服务账户 用于运行这两个机器人代理 Windows 服务
  • 个人用户账户 用于访问机器人应用程序任务输出的 Analytics 表

    台式机上装有 Analytics 的个人用户可以将该应用程序用作桌面客户端,以连接存储在机器人代理服务器上的输出表。

帐户所需的具体登录权限概述如下。

帐户登录权限

下表概述了需要访问机器人代理服务器的帐户所需的登录权限。请勿将任何超越以下所指定权限的登录权限授予某个帐户。登录权限是在 Windows 安全策略的”用户权限分配“区域指定的。

限制登录权限可减轻有人获取未经授权访问机器人代理服务器的权限的风险。

帐户 允许本地登录 拒绝本地登录 作为服务登录
机器人代理服务账户
机器人数据服务帐户

用户账户

(Analytics 用户)

帐户权限

服务帐户权限

Windows 服务名称 端口 运行服务的帐户 服务帐户所需的权限

机器人代理

(运行计划的和临时的机器人任务)

443

仅出站

使用以下之一:

  • 专用的域用户帐户
  • 通用 IT 域帐户

使用:

  • 单个员工的帐户
  • 本地用户帐户
  • 本地系统帐户

说明

如果您指定的帐户使用过期的密码,请确保您已准备好可使密码保持最新的过程。

  • 对机器人代理安装文件夹的读取和执行权限

    默认位置:

    C:\Program Files (x86)\ACL Software\Robots Agent

  • 对机器人代理数据文件夹的读/写/列表权限

    默认位置:

    C:\acl\robots\data

机器人数据服务

(提供允许用户在 Analytics 中打开机器人代理表的连接)

10000(默认)

您可以指定 0 到 65536 之间的任何可用端口

 本地系统

  • 对机器人代理安装文件夹的读取和执行权限

    默认位置:

    C:\Program Files (x86)\ACL Software\Robots Agent

  • \aclse 文件夹的读取/写入权限,以便最初创建属于用户的前缀文件夹

    默认位置:

    C:\acl\robots\aclse

用户帐户权限

机器人应用程序任务输出的 Analytics 表存储在装有机器人代理的服务器上。如果用户具有下面列出的权限,则可以连接到这些表并在本地安装的 Analytics 副本中打开它们。(要了解更多信息,请参考查看 ACL 机器人中的表、文件和日志。)

限制用户访问机器人代理服务器

如果您的组织不希望用户有权访问机器人代理服务器,您可以采用其他方法。可将机器人应用程序任务中的分析脚本,写入结果输出到文件类型,例如 Excel 或分隔文件。用户可以直接从基于云的机器人应用程序下载这些文件类型,无需访问机器人代理服务器。

组合方法

还可采用一种组合方法来提供对任务输出结果的访问权限:

  • 普通用户要求普通用户从基于云的机器人应用程序下载结果,相关的结果包含在 Excel 或分隔文件中
  • 开发人员与架构师 让 Analytics 开发人员与数据架构师能够访问机器人代理服务器上的 Analytics 结果表

Analytics 用户的权限

如果要让某些或所有 Analytics 用户能够访问机器人代理服务器上的 Analytics 表,请指定下面列出的权限。

注意

不要向单个用户授予对机器人代理服务器上整个 C:\acl 目录的权限,也不要授予对以下指定文件夹以外的任何文件夹的权限。

将文件夹访问权限仅授予所需的帐户和所需的文件夹可减轻有人获取未经授权访问机器人代理服务器的权限的风险。它还能够防止 Analytics 脚本访问或修改适当文件夹外部的文件。

项目 要求的用户帐户权限

机器人数据服务安装文件夹

  • 对机器人数据服务安装文件夹的读取权限

    默认位置:

    C:\Program Files (x86)\ACL Software\Robots Agent\aclse

机器人数据服务可执行文件

(aclse.exe)

  • 对机器人数据服务可执行文件 (aclse.exe) 的完全控制权限

    默认位置:

    C:\Program Files (x86)\ACL Software\Robots Agent\aclse\aclse.exe

机器人代理数据文件夹

(包含由机器人应用程序任务输出的 Analytics 结果表)

  • 对机器人代理数据文件夹的读取权限

    默认位置:

    C:\acl\robots\data

说明

此权限可以授予整个 \data 文件夹,或者通过以下方式进行限制:

  • 开发模式 授予仅连接到开发模式结果表的权限

    C:\acl\robots\data\Development

  • 生产 授予仅连接到生产结果表的权限

    C:\acl\robots\data\Production

  • 具体机器人 授予仅连接到具体机器人的结果表的权限

    例如:

    C:\acl\robots\data\Production\Robot5

机器人数据服务前缀文件夹

(连接到机器人代理服务器时的 Analytics 工作目录

包含从 Analytics 保存到服务器的 Analytics 输出表和索引文件)

  • 对属于该用户的机器人数据服务前缀文件夹的完全控制权限

    默认位置:

    C:\acl\robots\aclse\<用户名称>