In v2020.4 wurde beim Orchestrator eine neue Funktion namens Speicher-Buckets eingeführt. Diese Funktion ermöglicht es Orchestrator-Clients (hauptsächlich Workflows), dateiähnliche Daten zu lesen und zu schreiben. Ebenso wurden mehrere Zusatzspeicher, auch Anbieter genannt, implementiert: Azure Blob Store, Amazon S3, Minio, Orchestrator (nutzt den konfigurierten Speicher von Orchestrator) und FileSystem.

Der FileSystem-Anbieter ermöglicht es dem Orchestrator-Endbenutzer, einen Pfad zu definieren, in dem Daten gespeichert werden, entweder eine Netzwerkfreigabe (z. B. \\fileserver\\orchestrator_bucket) oder einen absoluten Pfad auf dem Orchestrator-Server (z. B. c:\data\orchestrator_bucket).

Falls der Endbenutzer einen FileSystem-Speicherort auswählt, der vertrauliche Informationen enthält oder allgemein als sensibler Bereich von Betriebssystemkonfiguration und -einstellungen gilt, kann dies unbeabsichtigte Folgen für die Orchestrator-Bereitstellung und -Anwendungsfälle haben.

Aus diesem Grund raten wir von der Verwendung des FileSystem-Anbieters ab und haben ihn standardmäßig sowohl bei Neuinstallationen als auch bei Upgrades deaktiviert.

To further mitigate the safety concerns with using the FileSystem provider, starting with v2020.4.5 (to be released) and v2020.10.7, we introduced an allowlist feature so that the Orchestrator admin can control the location of buckets that end-users can create. To use the FileSystem provider, an Orchestrator administrator must first enable the provider and use the allowlist feature from the Orchestrator UiPath.Orchestrator.dll.config file to include the list of locations that users are allowed to use. See Buckets.FileSystem.Allowlist for more details on this.

Um die Sicherheitsbedenken zu verringern, sollten Orchestrator-Administratoren bei der Definition von Einträgen in der Zulassungsliste die folgenden bewährten Methoden anwenden:

• Verwenden Sie nicht das Orchestrator-Installationsstammverzeichnis oder ein Verzeichnis, das von einem Webserver bereitgestellt wird;
• Stellen Sie sicher, dass der angegebene Ordner oder die Netzwerkfreigabe keine Unterverzeichnisse oder Dateien enthält, die vertrauliche Informationen enthalten, auf die Orchestrator-Benutzer oder -Automatisierungen nicht zugreifen sollten;
• Verwenden Sie keine vollständige Partition, z. B. C:\, da dies zu Lesezugriff auf unerwartete Daten führen kann;
• Beschränken Sie nach Möglichkeit den Zugriff auf ein Unterverzeichnis, das speziell für Speicher-Buckets erstellt wurde. Wenn Sie z. B. C:\my_data zum Speichern aller Daten verwenden, können Sie ein Unterverzeichnis mit dem Namen storage_buckets erstellen und dann C:\my_data\storage_buckets zur Zulassungsliste anstelle von C:\my_data hinzufügen;
• Suchen Sie nach ausgeblendeten Dateien und Ordnern, bevor Sie eine Entscheidung für die zulässigen Pfade treffen, da sie möglicherweise vertrauliche Daten enthalten;
• Verwenden Sie einen bestimmten Ordner in einer Netzwerkfreigabe anstelle der gesamten Netzwerkfreigabe (z. B. \\server.corp\sharedfolder);
• Lassen Sie keine systemspezifischen Ordner zu, z. B. C:\Windows, C:\Program Files oder C:\ProgramData, da diese möglicherweise vertrauliche Informationen enthalten;
• Erlauben Sie nicht die Verwendung einer administrativen Freigabe (z. B. \\server.corp\c$\);
• Mehrere Benutzer können denselben Speicherort auf der Festplatte für Speicher-Buckets angeben. Aus diesem Grund sollten Benutzer keine vertraulichen Daten in einem Bucket speichern, da es keine Garantie dafür gibt, dass die Daten für diesen Benutzer oder dessen Mandanten abgegrenzt sind.