Segurança do Agente do Robôs local

Siga as recomendações de segurança do Agente do Robôs local para controlar o acesso ao servidor em que o Agente do Robôs está instalado e manter os dados confidenciais seguros.

Para obter informações sobre o acesso do usuário ao aplicativo Robôs baseado em nuvem, consulte.Permissões do aplicativo Robôs

Observação

As informações neste tópico se aplicam apenas a organizações que usam um Agente do Robôs local para executar scripts ACL em robôs ACL.

Indivíduos e organizações com o ACL Robotics Professional Edition não têm um Agente do Robôs local. Os scripts Python/HCL executados em robôs HighBond e de fluxo de trabalho não usam o Agente do Robôs.

Acesso geral do usuário

Como orientação geral, você deve conceder ao Agente do Robôs acesso ao número mínimo de contas necessárias, com os direitos e permissões mínimos necessários.

Administração do servidor

Para manter o servidor do Agente do Robôs o mais seguro possível, aplique imediatamente todas as atualizações e patches de segurança do sistema operacional Windows.

Informações sobre instalações confidenciais

Proteja todas as informações confidenciais relacionadas à sua instalação do Agente do Robôs. Durante o processo de instalação, se você criar arquivos que contenham informações confidenciais, como credenciais da conta ou definições de configuração, deverá armazenar os arquivos em um local seguro.

Lista de permissões de URLs

No servidor em que o Agente do Robôs está instalado, coloque na lista de permissões as URLs especificadas abaixo para a porta 443 de saída. Coloque na lista de permissões somente as URLs para a região onde sua conta do Diligent One está localizada.

Para confirmar a região da sua conta do Diligent One, abra o Launchpad e selecione Opções > Organização. A sua região é exibida em Nome da região.

Cuidado

Configure a porta 443 apenas para tráfego de saída. Não permita tráfego de entrada.

Região do Diligent One URLs
África (África do Sul)
  • https://hub-af.highbond.com
  • https://s3.af-south-1.amazonaws.com

Ásia-Pacífico (Austrália)
  • https://hub-au.highbond.com
  • https://s3.ap-southeast-2.amazonaws.com

Ásia-Pacífico (Singapura)
  • https://hub-ap.highbond.com
  • https://s3.ap-southeast-1.amazonaws.com
Ásia-Pacífico (Tóquio)
  • https://hub-jp.highbond.com
  • https://s3.ap-northeast-1.amazonaws.com

Europa (Alemanha)
  • https://hub-eu.highbond.com
  • https://s3.eu-central-1.amazonaws.com

América do Norte (Canadá)
  • https://hub-ca.highbond.com
  • https://s3.ca-central-1.amazonaws.com

América do Norte (EUA)
  • https://hub.highbond.com
  • https://s3.us-east-1.amazonaws.com
  • https://s3-1.amazonaws.com
América do Sul (Brasil)
  • https://hub-sa.highbond.com
  • https://s3.sa-east-1.amazonaws.com

Direitos e permissões de login da conta

Dois tipos de contas exigem direitos e permissões de login do Windows no servidor em que o Agente do Robôs está instalado:

  • contas de serviço usadas para executar os dois serviços do Windows do Agente do Robôs
  • contas de usuário individual usadas para acessar as tabelas de saída do Analytics geradas pelas tarefas do Robôs

    Usuários individuais com uma instalação da área de trabalho do Analytics podem usar o aplicativo como um cliente da área de trabalho para se conectar às tabelas de saída armazenadas no servidor do Agente do Robôs.

Os direitos e permissões específicos de login exigidos pelas contas estão descritos abaixo.

Direitos de login na conta

A tabela abaixo descreve os direitos de login necessários para as contas que exigem acesso ao servidor do Agente do Robôs. Não conceda nenhum direito de login a uma conta além dos especificados abaixo. Os direitos de login são especificados na área Atribuições de direitos de usuário da política de segurança do Windows.

A restrição de direitos de login diminui o risco de alguém obter acesso não autorizado ao servidor do Agente do Robôs.

Contas Permitir login local Negar login local Fazer logon como um serviço
Conta de serviço do Agente do Robôs Não Sim Sim
Conta do Serviço de Dados do Robôs Não Sim Sim

Conta de usuário

(usuários do Analytics)

 Sim Não Não

Permissões da conta

Permissões da conta de serviço

Nome do serviço do Windows Porta Conta para executar o serviço Permissões necessárias para a conta de serviço

Agente do Robôs

(executa tarefas agendadas e ad hoc do Robôs)

443

somente saída

Use um dos seguintes:

  • uma conta de usuário de domínio dedicado
  • uma conta genérica de TI do domínio

Não use:

  • uma conta de funcionário individual
  • uma conta de usuário local
  • a conta do Sistema Local

Observação

Se a conta especificada usa uma senha que expira, não deixe de implementar um processo para manter a senha atualizada.

  • Permissão de leitura e execução para a pasta de instalação do Agente do Robôs

    Local padrão:

    C:\Arquivos de Programa (x86)\ACL Software\Robots Agent

  • Permissão de leitura/gravação/lista para a pasta de dados do Agente do Robôs

    Local padrão:

    C:\acl\robots\data

Serviço de dados do Robôs

(fornece a conectividade que permite aos usuários abrir as tabelas do Agente do Robôs no Analytics)

10000 (padrão)

Você pode especificar qualquer porta disponível entre 0 e 65536.

 Sistema local

  • Permissão de leitura e execução para a pasta de instalação do Agente do Robôs

    Local padrão:

    C:\Arquivos de Programa (x86)\ACL Software\Robots Agent

  • Permissões de leitura/gravação para a pasta \aclse para criar inicialmente as pastas de Prefixo pertencentes aos usuários

    Local padrão:

    C:\acl\robots\aclse\

Permissões da conta de usuário

As tabelas de análise geradas pelas tarefas do Robôs são armazenadas no servidor em que o Agente do Robôs está instalado. Os usuários podem se conectar a essas tabelas e abri-las na cópia instalada localmente do Analytics, se tiverem as permissões descritas abaixo. (Para obter mais informações, consulte Exibição das tabelas, arquivos e logs em um robô ACL.)

Restringindo o acesso do usuário ao servidor do Agente do Robôs

Se sua organização não deseja que os usuários tenham acesso ao servidor do Agente do Robôs, você pode adotar uma abordagem diferente. Os scripts de análises nas tarefas do Robôs podem ser gravados para gerar resultados em um tipo de arquivo como Excel ou delimitado. Os usuários podem baixar esses tipos de arquivos diretamente do aplicativo Robôs baseado em nuvem, sem a necessidade de acesso ao servidor do Agente do Robôs.

Uma abordagem combinada

Você também pode usar uma abordagem combinada para fornecer acesso aos resultados da saída da tarefa:

  • Usuários normais Faça com que usuários normais baixem os resultados contidos em arquivos delimitados ou do Excel usando o aplicativo Robôs na nuvem
  • Desenvolvedores e arquitetos Permita que desenvolvedores de análise e arquitetos de dados acessem as tabelas de resultados do Analytics no servidor do Agente do Robôs

Permissões para usuários do Analytics

Se você deseja permitir que alguns ou todos os usuários do Analytics acessem as tabelas do Analytics no servidor do Agente do Robôs, especifique as permissões descritas abaixo.

Cuidado

Não conceda permissões de usuários individuais para todo o diretório C:\acl no servidor do Agente do Robôs ou para qualquer pasta além do especificado abaixo.

Restringir o acesso à pasta apenas para as contas necessárias e apenas para as pastas necessárias diminui o risco de alguém obter acesso não autorizado ao servidor do Agente do Robôs. Além disso, evita que um script do Analytics obtenha acesso ou modifique arquivos fora das pastas adequadas.

Item Permissões da conta de usuário necessárias

Pasta de instalação do Serviço de Dados do Robôs

  • Permissão de leitura para a pasta de instalação do Serviço de Dados do Robôs

    Local padrão:

    C:\Arquivos de Programa (x86)\ACL Software\Robots Agent\aclse

Executável do Serviço de Dados do Robôs

(aclse.exe)

  • Permissão de controle total para o executável do Serviço de Dados do Robôs (aclse.exe)

    Local padrão:

    C:\Arquivos de Programa (x86)\ACL Software\Robots Agent\aclse\aclse.exe

Pasta de dados do Agente do Robôs

(contém tabelas de resultados do Analytics geradas por tarefas do Robôs)

  • Permissão de leitura para a pasta de dados do Agente do Robôs

    Local padrão:

    C:\acl\robots\data

Observação

Essa permissão pode ser concedida a toda a pasta \data ou pode ser limitada das seguintes maneiras:

  • Modo de desenvolvimento concede permissão para conectar-se apenas às tabelas de resultados do modo de desenvolvimento

    C:\acl\robots\data\Development

  • Produção para conectar-se apenas às tabelas de resultados de produção

    C:\acl\robots\data\Production

  • Robôs específicos concedem permissão para conectar-se a tabelas de resultados apenas para robôs específicos

    Por exemplo:

    C:\acl\robots\data\Production\Robot5

Pasta de Prefixo do Serviço de Dados do Robôs

(o diretório de trabalho do Analytics quando conectado ao servidor do Agente do Robôs

contém tabelas de saída e arquivos de índice do Analytics salvos do Analytics no servidor)

  • Permissão de controle total para a pasta de Prefixo do Serviço de Dados do Robôs pertencente ao usuário

    Local padrão:

    C:\acl\robots\aclse\<user_name>