Identifiziert Apps, die auf Ihrer Instanz aktiviert sind und über aktualisierte Versionen verfügen.

Überprüfen Sie, ob Sie die aktuellsten Versionen von Store-Anwendungen ausführen, die Korrekturen potenzieller Sicherheitsprobleme enthalten können.

Identifiziert Skripts, die von Endanwendern direkt aufgerufen werden können (z. B. vom Client aufrufbare Skripteinbindungen, Widgets, Prozessoren, REST-Endpunkte)

Diese Skripts sollten ACLs beachten und GlideRecordSecure oder GlideRecord mit canRead, canWrite, canCreate, canDelete verwenden.

Gibt Skripts an, in denen die JavaScript-Inhaltszugriffssteuerung verwendet wird, um bestimmte JavaScript-Bibliotheken von Drittanbietern zuzulassen oder abzulehnen.

Überprüfen Sie Instanzanpassungen, um sicherzustellen, dass Bibliotheken nicht verwendet werden, bevor Sie den Zugriff blockieren. Die Tabelle „Zugriffsnachverfolgung für JavaScript-Inhaltsanbieter“ [sys_js_content_Provider_Access_Tracking] kann überprüft werden, um das letzte Datum anzuzeigen, an dem auf die Bibliothek zugegriffen wurde.

Identifiziert vom Client aufrufbare Skripteinbindungen, die keine entsprechende ACL haben. Diese Skripts verwenden die standardmäßige ACL („*“) des aufrufbaren Clientskripts.

Erstellen Sie für diese Skripts ACLs, die die entsprechenden Zugriffskriterien definieren, um sicherzustellen, dass nur erwartete Anwender mit der bereitgestellten Funktionalität interagieren können.

Identifiziert Datensatzersteller, die keine zusätzliche serverseitige Validierung haben. Diese Prüfung identifiziert anwenderdefinierte Tabellen mit einem Datensatzersteller, aber ohne zugehörige Business-Regel.

Dies kann Anwendern ermöglichen, unerwartete Daten an die zugehörige Tabelle zu übermitteln.

Identifiziert ACL-Datensätze, die kein Skript, keine Bedingung, kein Sicherheitsattribut oder keine Rolle oder ACLs mit haben Öffentlich Rolle.

ACLs werden leer gelassen oder mit verwendet Öffentlich Die Rolle bietet offenen Zugriff auf alle von dieser ACL geschützten Inhalte.

Gibt HTML-Felder an, wo HTML-Bereinigung Ist inaktiv.

HTML-Bereinigung entfernt oder ersetzt potenziell schädliche Elemente und Attribute im HTML-Code. Überprüfen Sie HTML-Felder, in denen die Bereinigung inaktiv ist, um zu bestätigen, ob diese Konfiguration erforderlich ist.

Identifiziert nicht aktivierte Plugins, die zusätzliche, konfigurierbare Sicherheitskontrollen bereitstellen. Die Ergebnisse dieser Prüfung werden zu Informationszwecken bereitgestellt.

Bevor Sie eines der identifizierten Plugins aktivieren, stellen Sie sicher, dass das Plugin Ihre Anwendungsfälle oder Anforderungen erfüllt. Sie können diese Ergebnisse stummschalten, wenn Sie keinen Anwendungsfall für den identifiziert haben.

Identifiziert IP-Adresszugriffssteuerungsbereiche, die eine große Anzahl von IP-Adressen enthalten.

Überprüfen und bestätigen Sie, dass die aktuelle Konfiguration Ihren Geschäftsanforderungen entspricht.

Identifiziert öffentliche GraphQL-Schemas in der GraphQL-API-Tabelle [sys_graphql_Schema].

Diese Schemas können so konfiguriert werden, dass sie ohne Authentifizierung verfügbar sind. Je nach Funktionalität des Endpunkts kann dies nicht authentifizierten Anwendern ermöglichen, unerwartete Aktionen auszuführen oder mit unerwarteten Daten zu interagieren.

Identifiziert Knowledge Bases und Knowledge Base-Artikel, die konfiguriert sind, um nicht authentifizierten Anwendern Zugriff zu ermöglichen.

Überprüfen und bestätigen Sie, dass die aktuelle Konfiguration Ihren Geschäftsanforderungen entspricht.

Identifiziert Rest-API-Endpunkte in der Tabelle „geskriptete REST-Ressource“ [sys_WS_Operation], die so konfiguriert sind, dass sie ohne Authentifizierung verfügbar sind.

Je nach Funktionalität des Endpunkts kann dies nicht authentifizierten Anwendern ermöglichen, unerwartete Aktionen auszuführen oder mit unerwarteten Daten zu interagieren.

Identifiziert Serviceportal-Seiten, die öffentlich gemacht werden. Serviceportal-Seiten werden nicht authentifizierten Anwendern zur Verfügung gestellt, indem das Feld „öffentlich“ auf „wahr“ festgelegt wird.

Überprüfen und bestätigen Sie, dass die aktuelle Konfiguration Ihren Geschäftsanforderungen entspricht.

Gibt UI-Seiten an, die öffentlich gemacht werden. UI-Seiten können für nicht authentifizierte Anwender mithilfe der Seite [sys_public] verfügbar gemacht werden.

Überprüfen und bestätigen Sie, dass die aktuelle Konfiguration Ihren Geschäftsanforderungen entspricht.

Identifiziert alle Rollen (Tabelle „Rollen“ [sys_user_role]), die enthalten Administrator Rolle.

Die Administrator Die Rolle gewährt Anwendern Administratorrechte und sollte nur bei Bedarf verwendet werden. Überprüfen und bestätigen Sie, dass die aktuelle Konfiguration Ihren Geschäftsanforderungen entspricht. Wenn dies eine absichtliche Konfiguration ist, kann diese Prüfung stummgeschaltet werden.

Identifiziert UI-Seiten, die keine ACL für diese UI-Seite haben.

UI-Seiten, die keine bestimmte ACL haben, standardmäßig auf eine generische UI-Seiten-ACL, Die unbeabsichtigten Anwendern Zugriff gewähren kann.

Identifiziert Anwender mit lokal festgelegten Passwörtern.

Anwender mit lokalen Passwörtern können mithilfe der lokalen Anmeldeinformationen über APIs mit der Instanz interagieren, auch wenn lokale Anmeldungen nicht zulässig sind. Diese Passwortkonfiguration ist erforderlich, damit Integrationsanwenderaccounts ordnungsgemäß funktionieren.

Überprüfen Sie diese Anwenderaccounts, um sicherzustellen, dass sich nur beabsichtigte Anwender (z. B. Integrationsaccounts) mit lokaler Authentifizierung authentifizieren können.

Identifiziert Anwenderaccounts mit Passwörtern, die in früheren Versionen von erstellt wurden ServiceNow AI Platform, Der möglicherweise einen veralteten oder veralteten Hashing-Algorithmus verwendet hat.

Für Accounts, die mit alten Plattformversionen erstellt wurden und ihre Passwörter nicht rotiert wurden, können weiterhin Passwörter mit einem Legacy-Hashing-Algorithmus gespeichert werden. Überprüfen Sie die erstellten identifizierten Accounts unter Berücksichtigung der Passwortzurücksetzung.

Identifiziert unsichere Datensatzersteller.

Wenn sie nicht den entsprechenden Rollen zugewiesen sind, können nicht autorisierte Anwender darauf zugreifen, wodurch möglicherweise vertrauliche Informationen offengelegt werden. Weisen Sie Datensatzerstellern entsprechende Rollen zu, um sicherzustellen, dass sie nur für Anwender zugänglich sind, die sie benötigen.