Sicherheit des lokalen Robots Agent

Hinweis

Die Informationen in diesem Thema richten sich nur an Organisationen, die einen lokalen Robots-Agenten verwenden, um ACL-Skripts in ACL-Robots auszuführen.

Personen und Organisationen mit ACL RoboticsProfessional Edition haben keinen Robots-Agenten vor Ort. Python/HCL-Skripts, die in HighBond-Robots oder Workflow-Robots ausgeführt werden, verwenden den Robots Agent nicht.

Befolgen Sie die Sicherheitsempfehlungen des lokalen Robots Agent, um den Zugriff auf den Server, auf dem der Robots Agent installiert ist, zu kontrollieren und vertrauliche Daten zu schützen.

Informationen über den Benutzerzugriff auf die cloudbasierte Robots-App finden Sie unter Berechtigungen der Robots-App.

Verschlüsselte Kommunikation

Sie können Analytics lokal verwenden, um Ergebnistabellen und Arbeitstabellen zu öffnen, die im lokalen Robots Agent gespeichert sind. Für die Kommunikation zwischen Analytics und Robots Agent ist ein kennwortgeschütztes Serverprofil erforderlich. Zusätzlich wird die Datenübertragung mit AES-256-Verschlüsselung (Analytics/Agent v.19 oder höher) oder Twofish-128 (Analytics/Agent v.18 oder früher) gesichert.

Weitere Informationen finden Sie unter .

Allgemeiner Benutzerzugriff

Als allgemeine Richtlinie sollten Sie den Zugriff auf Robots Agent auf die erforderliche Mindestanzahl von Konten mit den minimal erforderlichen Rechten und Berechtigungen beschränken.

Serveradministration

Um den Robots-Agent-Server so sicher wie möglich zu machen, sollten Sie alle Upgrades und Sicherheitspatches für das Windows-Betriebssystem sofort installieren.

Sensible Installationsinformationen

Sichern Sie alle vertraulichen Informationen im Zusammenhang mit der Installation von Robots Agent. Wenn Sie während des Installationsvorgangs Dateien mit vertraulichen Informationen wie beispielsweise Anmeldeinformationen oder Konfigurationseinstellungen erstellen, sollten Sie diese Dateien an einem sicheren Speicherort aufbewahren.

URLs der Zulassungslisten

Um die Kommunikation zwischen dem Robots Agent und Diligent One Platform zu ermöglichen, müssen Sie bestimmte Plattform-URLs zur Netzwerkliste Ihres Unternehmens hinzufügen.

Diligent One PlatformAlle Unternehmen, die einen lokalen Robots Agent verwenden, müssen die allgemeinen Diligent One Platform-URLs für ihre Region zulassen.
HighBond-APIWenn Ihr Unternehmen ACL Robots für die Interaktion mit der HighBond-API verwenden möchte, müssen Sie die HighBond-API-URL für Ihre Region zulassen.

Um die Region für Ihr Diligent One-Konto zu bestätigen, öffnen Sie die Plattform-Startseite und wählen Plattform-Einstellungen > Organisation aus. Ihre Region wird unter Name der Region angezeigt.

Hinweis

Diligent One Platform befindet sich derzeit in einer Phase mit zwei Domänen, in der sowohl die Domäne diligentoneplatform.com als auch die Domäne highbond.com unterstützt werden. Die Domäne highbond.com soll am 31. Juli 2026 stillgelegt werden. Wenn Sie beide Domänen-URLs jetzt zulassen, vermeiden Sie mögliche Unterbrechungen in Zukunft. Für weitere Informationen siehe Häufig gestellte Fragen zu unterstützten Domänen.

Diligent One Platform-URLs auf die Zulassungsliste setzen

Setzen Sie die folgenden Diligent One Platform-URLs für Port 443 Outbound auf die Zulassungsliste. Setzen Sie nur die URLs für die Region auf die Zulassungsliste, in der sich Ihr Diligent One-Konto befindet.

Achtung

Konfigurieren Sie Port 443 nur für den ausgehenden Datenverkehr. Lassen Sie keinen eingehenden Datenverkehr zu.

Diligent One-Region	Diligent One Platform-URLs
Nordamerika (USA) AWS-Name: Osten der USA (N. Virginia)	https://hub.highbond.com https://hub.diligentoneplatform.com https://s3.us-east-1.amazonaws.com https://s3-1.amazonaws.com
Afrika (Südafrika) AWS-Name: Afrika (Kapstadt)	https://hub-af.highbond.com https://hub-af.diligentoneplatform.com https://s3.af-south-1.amazonaws.com
Asien-Pazifik (Australien) AWS-Name: Asien-Pazifik (Sydney)	https://hub-au.highbond.com https://hub-au.diligentoneplatform.com https://s3.ap-southeast-2.amazonaws.com
Asien-Pazifik (Japan) AWS-Name: Asien-Pazifik (Tokio)	https://hub-jp.highbond.com https://hub-jp.diligentoneplatform.com https://s3.ap-southeast-1.amazonaws.com
Asien-Pazifik (Singapur) AWS-Name: Asien-Pazifik (Singapur)	https://hub-ap.highbond.com https://hub-ap.diligentoneplatform.com https://s3.ap-southeast-1.amazonaws.com
Europa (Deutschland) AWS-Name: Europa (Frankfurt)	https://hub-eu.highbond.com https://hub-eu.diligentoneplatform.com https://s3.eu-central-1.amazonaws.com
Europa (London) AWS-Name: Europa (London)	https://hub-uk.highbond.com https://hub-uk.diligentoneplatform.com https://s3.eu-west-2.amazonaws.com
Nordamerika (Kanada) AWS-Name: Kanada (Mitte)	https://hub-ca.highbond.com https://hub-ca.diligentoneplatform.com https://s3.ca-central-1.amazonaws.com
Südamerika (Brasilien) AWS-Name: Südamerika (São Paulo)	https://hub-sa.highbond.com https://hub-sa.diligentoneplatform.com https://s3.sa-east-1.amazonaws.com

HighBond-API-URLs auf die Zulassungsliste setzen

Wenn Ihr Unternehmen ACLScript-Befehle verwenden möchte, um Daten zwischen der Projekte-App oder der Ergebnisse-App und einem ACL Robot zu übertragen, müssen Sie die HighBond-API-URLs auf die Zulassungsliste setzen. Sie können diese Anforderung ignorieren, wenn Sie keine Daten zwischen einer App und einem ACL Robot übertragen müssen.

Setzen Sie nur die URLs für die Region auf die Zulassungsliste, in der sich Ihr Diligent One-Konto befindet.

Weitere Informationen zur HighBond-API finden Sie in der HighBond-API-Referenz.

Diligent One-Region	HighBond-API-URLs
Nordamerika (USA) AWS-Name: Osten der USA (N. Virginia)	https://apis-us.highbond.com https://apis.highbond.com https://apis-us.diligentoneplatform.com https://apis.diligentoneplatform.com Hinweis Setzen Sie für jede Domäne beide URLs auf die Zulassungsliste.
Afrika (Südafrika) AWS-Name: Afrika (Kapstadt)	https://apis-af.highbond.com https://apis-af.diligentoneplatform.com
Asien-Pazifik (Australien) AWS-Name: Asien-Pazifik (Sydney)	https://apis-au.highbond.com https://apis-au.diligentoneplatform.com
Asien-Pazifik (Japan) AWS-Name: Asien-Pazifik (Tokio)	https://apis-jp.highbond.com https://apis-jp.diligentoneplatform.com
Asien-Pazifik (Singapur) AWS-Name: Asien-Pazifik (Singapur)	https://apis-ap.highbond.com https://apis-ap.diligentoneplatform.com
Europa (Deutschland) AWS-Name: Europa (Frankfurt)	https://apis-eu.highbond.com https://apis-eu.diligentoneplatform.com
Europa (London) AWS-Name: Europa (London)	https://apis-uk.highbond.com https://apis-uk.diligentoneplatform.com
Nordamerika (Kanada) AWS-Name: Kanada (Mitte)	https://apis-ca.highbond.com https://apis-ca.diligentoneplatform.com
Südamerika (Brasilien) AWS-Name: Südamerika (São Paulo)	https://apis-sa.highbond.com https://apis-sa.diligentoneplatform.com
AWS GovCloud (US-Bundesbehörden)	https://apis.highbond-gov.com
AWS GovCloud (US-Bundesstaaten, Lokal und Bildungswesen)	https://apis.highbond-gov2.com

Rechte und Berechtigungen für die Kontoanmeldung

Für zwei Arten von Konten sind Windows-Anmelderechte und Berechtigungen auf dem Server erforderlich, auf dem der Robots Agent installiert ist:

Dienstkontenwerden zur Ausführung der beiden Windows-Dienste des Robots Agent verwendet
Individuelle Benutzerkontenwerden für den Zugriff auf Analytics-Tabellen, die von den Robots-Aufgaben ausgegeben werden, verwendet
Einzelne Benutzer mit einer Desktop-Installation von Analytics können die Anwendung als Desktop-Client verwenden, um eine Verbindung zu den auf dem Server des Robots Agent gespeicherten Ausgabetabellen herzustellen.

Die spezifischen Anmelderechte und Berechtigungen, die für die Konten erforderlich sind, werden im Folgenden erläutert.

Kontoanmelderechte

Die nachstehende Tabelle gibt einen Überblick über die erforderlichen Anmelderechte für die Konten, die Zugriff auf den Robots-Agent-Server erfordern. Weisen Sie über die unten angeführten Anforderungen hinaus keinem Konto zusätzliche Anmelderechte zu. Anmelderechte werden in dem Bereich „Zuweisen von Benutzerrechten“ der Windows-Sicherheitsrichtlinie angegeben.

Eine Einschränkung von Anmelderechten verringert das Risiko, dass ein unberechtigter Zugriff auf den Robots-Agent-Server erfolgt.

Konto	Lokal anmelden zulassen	Lokal anmelden verweigern	Anmelden als Dienst
Robots Agent-Dienstkonto	Nein	Ja	Ja
Robots-Datendienstkonto	Nein	Ja	Ja
Benutzerkonto (Analytics-Benutzer)	Ja	Nein	Nein

Konto

Lokal anmelden zulassen

Lokal anmelden verweigern

Anmelden als Dienst

Robots Agent-Dienstkonto

Nein

Robots-Datendienstkonto

Nein

Benutzerkonto

(Analytics-Benutzer)

Nein

Kontoberechtigungen

Dienstkontoberechtigungen

Windows-Dienstname	Port	Konto, das den Dienst ausführt	Für das Dienstkonto erforderliche Berechtigungen
Robots-Agent (Führt geplante und Ad-hoc-Robots-Aufgaben aus)	443 Nur ausgehend	Verwenden Sie eins der Folgende: ein dediziertes Domainenbenutzerkonto ein generisches IT-Domänenkonto Verwenden Sie nicht: ein Konto eines einzelnen Mitarbeiters Ein lokales Benutzerkonto Das lokale Systemkonto Hinweis Wenn das von Ihnen angegebene Konto ein Passwort verwendet, das ablaufen kann, stellen Sie sicher, dass dieses Passwort regelmäßig aktualisiert wird.	Lese- und Ausführungsberechtigung für den Robots-Agent-Installationsordner Standardordner: C:\Program Files (x86)\ACL Software\Robots Agent Berechtigungen zum Lesen/Schreiben/Auflisten für den Datenordner des Robots Agenten Standardordner: C:\acl\robots\data
Robots-Datendienst (bietet die Konnektivität, die es Benutzern ermöglicht, Robots-Agent-Tabellen in Analytics zu öffnen)	10000 (Standard) Sie können jeden verfügbaren Port zwischen 0 und 65536 eingeben	Lokales System	Lese- und Ausführungsberechtigung für den Robots-Agent-Installationsordner Standardordner: C:\Program Files (x86)\ACL Software\Robots Agent Lese-/Schreibberechtigungen für den Ordner \aclse, um zunächst Präfix-Ordner zu erstellen, die den Benutzern gehören Standardordner: C:\acl\robots\aclse

Windows-Dienstname

Port

Konto, das den Dienst ausführt

Für das Dienstkonto erforderliche Berechtigungen

Robots-Agent

(Führt geplante und Ad-hoc-Robots-Aufgaben aus)

443

Nur ausgehend

Verwenden Sie eins der Folgende:

ein dediziertes Domainenbenutzerkonto
ein generisches IT-Domänenkonto

Verwenden Sie nicht:

ein Konto eines einzelnen Mitarbeiters
Ein lokales Benutzerkonto
Das lokale Systemkonto

Hinweis

Wenn das von Ihnen angegebene Konto ein Passwort verwendet, das ablaufen kann, stellen Sie sicher, dass dieses Passwort regelmäßig aktualisiert wird.

Lese- und Ausführungsberechtigung für den Robots-Agent-Installationsordner
Standardordner:
C:\Program Files (x86)\ACL Software\Robots Agent
Berechtigungen zum Lesen/Schreiben/Auflisten für den Datenordner des Robots Agenten
Standardordner:
C:\acl\robots\data

Robots-Datendienst

(bietet die Konnektivität, die es Benutzern ermöglicht, Robots-Agent-Tabellen in Analytics zu öffnen)

10000 (Standard)

Sie können jeden verfügbaren Port zwischen 0 und 65536 eingeben

Lokales System

Lese- und Ausführungsberechtigung für den Robots-Agent-Installationsordner
Standardordner:
C:\Program Files (x86)\ACL Software\Robots Agent
Lese-/Schreibberechtigungen für den Ordner \aclse, um zunächst Präfix-Ordner zu erstellen, die den Benutzern gehören
Standardordner:
C:\acl\robots\aclse

Benutzerkontoberechtigungen

Die von den Robots-Aufgaben ausgegebenen Analytics-Tabellen werden auf dem Server gespeichert, auf dem der Robots Agent installiert ist. Benutzer können eine Verbindung zu diesen Tabellen herstellen und sie in ihrer lokal installierten Kopie von Analytics öffnen, wenn sie über die unten aufgeführten Berechtigungen verfügen. (Weitere Informationen finden Sie unter Tabellen, Dateien und Protokolle in einem ACL-Robot anzeigen.)

Benutzerzugriff auf den Robots-Agent-Server einschränken

Wenn Ihre Organisation nicht möchte, dass Benutzer Zugriff auf den Robots-Agent-Server haben, können Sie einen anderen Ansatz wählen. Die Analyseskripte in den Robots-Aufgaben können so verfasst werden, dass die Ergebnisse in einen Dateityp wie Excel oder Trennzeichen-getrennt ausgegeben werden. Benutzer können diese Dateitypen direkt von der Cloud-basierten Robots-App herunterladen, ohne dass sie Zugriff auf den Robots-Agent-Server haben müssen.

Ein kombinierter Ansatz

Sie könnten auch einen kombinierten Ansatz zur Bereitstellung von Zugriff auf die Ausgabeergebnisse von Aufgaben verfolgen:

Normale BenutzerVerlangen, dass normale Benutzer Ergebnisse, die in Excel-Dateien oder durch Komma getrennte Dateien enthalten sind, über die cloudbasierte Robots-App herunterladen müssen
Entwickler und ArchitektenAnalyseentwicklern und Datenarchitekten den Zugriff auf Analytics-Ergebnistabellen auf dem Robots-Agent-Server gestatten

Berechtigungen für Analytics-Benutzer

Wenn Sie einigen oder allen Analytics-Benutzern die Möglichkeit geben möchten, auf Analytics-Tabellen auf dem Robots Agent-Server zuzugreifen, geben Sie die unten aufgeführten Berechtigungen an.

Achtung

Geben Sie einzelnen Benutzern keine Berechtigungen für das gesamte Verzeichnis C:\acl auf dem Robots-Agent-Server oder für einen anderen als den unten angegebenen Ordner.

Eine Einschränkung des Zugriffs auf die benötigten Konten und die benötigten Ordner verringert das Risiko, dass ein unberechtigter Zugriff auf den Robots-Agent-Server erfolgt. Dadurch wird auch verhindert, dass ein Analytics-Skript auf Dateien außerhalb der angemessenen Ordner zugreift und diese verändert.

Element	Erforderliche Benutzerkontoberechtigungen
Installationsorder für den Robots-Datendienst	Leseberechtigung für den Installationsordner des Robots-Datendienstes Standardordner: C:\Program Files (x86)\ACL Software\Robots Agent\aclse
Programmdateien für den Robots-Datendienst (aclse.exe)	Vollzugriff auf die ausführbare Datei des Robots-Datendienstes (aclse.exe) Standardordner: C:\Program Files (x86)\ACL Software\Robots Agent\aclse\aclse.exe
Datenordner für Robots Agent (enthält die von den Robots-Aufgaben ausgegebenen der Analytics-Ergebnistabellen)	Leseberechtigung für den Datenordner des Robots Agenten Standardordner: C:\acl\robots\data Hinweis Diese Berechtigung kann für den gesamten Ordner \data gewährt werden, oder sie kann auf die folgende Weise eingeschränkt werden: EntwicklungsmodusErteilen Sie die Erlaubnis, eine Verbindung nur zu Ergebnistabellen für den Entwicklermodus herzustellen. C:\acl\robots\data\Development ProduktionErteilen Sie die Erlaubnis, nur eine Verbindung zu den Ergebnistabellen für den Produktionsmodus zu erstellen. C:\acl\robots\data\Production Bestimmte RobotsErteilen Sie die Erlaubnis, eine Verbindung nur zu den Ergebnistabellen für bestimmte Robots herzustellen. Beispiel: C:\acl\robots\data\Production\Robot5
Präfix-Order für den Robots-Datendienst (das Analytics-Arbeitsverzeichnis, wenn eine Verbindung mit dem Robots-Agent-Server besteht enthält Analytics-Ausgabetabellen und Indexdateien, die von Analytics auf dem Server gespeichert wurden)	Vollzugriff auf den Präfix-Ordner des Robots-Datendienstes, der dem Benutzer gehört Standardordner: C:\acl\robots\aclse\<user_name>