Introducción: La seguridad comienza en la sesión
Garantizar la seguridad de su instancia de ServiceNow es una tarea continua, y el Centro de seguridad de ServiceNow (SSC) es su panel para esa misión. Uno de los elementos de cumplimiento más críticos y que a menudo se pasa por alto es el riesgo de secuestro de sesión.
Este artículo detalla cómo activar y configurar el complemento Limit Concurrent Sessions para mitigar este riesgo y aumentar inmediatamente su puntuación de endurecimiento en SSC, como se detalla en nuestra guía central: SSC: la guía definitiva para proteger su instancia y lograr el cumplimiento.
¿Por qué limitar las sesiones simultáneas?
El secuestro de sesión se produce cuando un atacante roba la cookie de una sesión activa y no caducada. Si un usuario tiene cinco o diez pestañas o dispositivos conectados simultáneamente, el atacante tiene cinco o diez "puertas" abiertas para explotar.
El complemento Limit Concurrent Sessions (com.glide.limit.concurrent.sessions) actúa directamente sobre este vector de ataque:
Al limitar el número de sesiones activas por usuario o por perfil de acceso, reducimos drásticamente la superficie de ataque y minimizamos las posibilidades de que un secuestro de sesión se realice correctamente.
Si un usuario con un perfil de alta criticidad (como admin o security_admin) está limitado a una sola sesión, cualquier nuevo intento de inicio de sesión invalidará la sesión anterior, forzando la autenticación nuevamente y frustrando el ataque.
Guía de activación de complementos (en 3 pasos)
Habilitar y configurar esta función es un proceso simple, pero crucial para el cumplimiento de las mejores prácticas de seguridad.
Paso 1: Instalación del plugin
- Vaya a Administración de aplicaciones: en el campo de filtro de la instancia, escriba y navegue hasta:
- Definición del sistema > complementos
- O vaya al Centro de administración > al Administrador de aplicaciones.
- Buscar por ID: Busque por nombre o ID del complemento:
- ID del complemento: com.glide.limit.concurrent.sessions
3.Instalar: Haga clic en el complemento y seleccione Instalar.
Práctica recomendada: Al igual que con cualquier cambio de seguridad, siempre recomendamos realizar la instalación inicial y las pruebas en un entorno que no sea de producción (subproducción) para validar el comportamiento esperado.
Paso 2: Configuración de la propiedad (el paso esencial)
La simple instalación del complemento NO garantiza el cumplimiento. Debe establecer la propiedad del sistema que activa el límite.
- Vaya a Propiedades: en el campo de filtro, escriba y navegue hasta:
- sys_properties.lista
- Crear o modificar propiedad: Busque Propiedad: glide.ui.limit_concurrent_sessions.
- Establecer el valor: Establezca el valor en el número máximo de sesiones permitidas.
- Valor recomendado: 1 (una sesión por usuario).
- Otras opciones: puede usar 2 o 3 para acomodar a los usuarios que necesitan iniciar sesión en varias pestañas, pero el valor 1 es el más seguro.
Paso 3: Validación en Security Center (SSC)
Una vez instalada y configurada la propiedad, ServiceNow Security Center (SSC) reconocerá el cambio y actualizará la puntuación de protección.
- Vaya al SSC: Vaya a Security Center > Consola de configuración.
- Comprobar cumplimiento: en el área Configuración de protección, busque el elemento relacionado con la limitación de sesión. El estado cambiará de "No conforme" a "Conforme".
El cumplimiento de esta métrica es un paso sólido para proteger su instancia y garantizar que se adhiera a las pautas de seguridad más estrictas de ServiceNow.
Cómo afecta el límite de sesión (valor = 1) a la experiencia del usuario
Al establecer la propiedad glide.ui.limit_concurrent_sessions en 1 (una sesión por usuario), el sistema impone una restricción basada en el agente del explorador utilizado, en lugar del número de pestañas abiertas.
Lo que define una sola sesión:
- Misma sesión: varias pestañas abiertas en un solo navegador (por ejemplo, Google Chrome) se consideran parte de la misma sesión activa. La navegación será fluida en todas las pestañas.
- Una nueva sesión: Iniciar sesión desde un navegador diferente (por ejemplo, Microsoft Edge, Mozilla Firefox) o un dispositivo diferente forzará el inicio de una nueva sesión.
Comportamiento en caso de conflicto:
Si el usuario ha iniciado sesión en el navegador A (Chrome) e intenta iniciar sesión en el navegador B (Edge):
- El inicio de sesión en el navegador B será exitoso.
- La sesión anterior en el navegador A se marcará para caducar.
- Cualquier acción posterior realizada en el navegador A (como un clic, una actualización de página, el guardado de registros o la navegación) dará lugar a la finalización inmediata de la sesión, lo que requerirá que el usuario vuelva a iniciar sesión.
En resumen, la propiedad garantiza que el usuario esté activo en un solo contexto de navegador a la vez, eliminando el riesgo de que se abran múltiples sesiones válidas en diferentes agentes.
Si necesita más detalles sobre cómo encaja esto en el panorama general de SSC, consulte CORE: SSC: la guía definitiva para proteger su instancia y lograr el cumplimiento.
- Resumen
- Artículos-publicados
- SSC: la guía definitiva para proteger su instancia y lograr el cumplimiento.
Participa, únete a las comunidades, sigue las publicaciones:
- https://www.youtube.com/@servicenowbr/
- https://www.facebook.com/groups/servicenowbrasil
- https://www.servicenow.com/community/brazil-snug/tkb-p/snug-br-brazil-tkb-board
- https://www.linkedin.com/groups/5134493/
- https://www.servicenow.com/community/user/viewprofilepage/user-id/73505
- https://github.com/Tiagomacul/
- https://www.tiktok.com/@servicenowbr
- https://www.instagram.com/br.servicenow/
- https://open.spotify.com/show/1Qa4xVz7xXnKM9y9wggfT9
- https://join.slack.com/t/servicenowbrasil/shared_invite/zt-2sooa78s7-MWwcMxEdbktNjjIYRZfqHg
- https://www.servicenow.com/community/user/viewprofilepage/user-id/73505
- https://www.linkedin.com/in/tiagomacul/
https://macul.medium.com/limit-concurrent-sessions-plugin-d78e82ac898b
