Die Härtungseinstellungen wurden für die Baselineversion 2.0 aktualisiert

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 29 Minuten Lesedauer

    • Einige Härtungseinstellungen wurden mit dem Release der Baselineversion Security Center  2.0 aktualisiert.

    Dokumentation Updates
    Anzahl der gleichzeitigen interaktiven Sitzungen minimieren [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Minimieren Sie die Anzahl der gleichzeitigen interaktiven Sitzungen
    • Alte Kurzbeschreibung: Max. gleichzeitige interaktive Sitzungen für Glide-Authentifizierung
    Zertifikatvertrauen erzwingen [In Security Center 1.3 aktualisiert und in 2.0 entfernt]
    • Neue Kurzbeschreibung: Certificate Trust erzwingen
    • Alte Kurzbeschreibung: Certificate Trust
    SMS- Komplexität bei der Passwortzurücksetzung maximieren [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: SMS-komplexität für „Passwort zurücksetzen“ maximieren
    • Alte Kurzbeschreibung: SMS-komplexität für „Passwort zurücksetzen“.
    Plugin für hohe Sicherheit aktivieren [In Security Center 1.3 aktualisiert]
    • Neue Kurzbeschreibung: Plugin für hohe Sicherheit aktivieren
    • Alte Kurzbeschreibung: Hochsicherheits-Plugin
    Strikte Sicherheit von Sitzungscookies erzwingen [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Strikte Sicherheit von Sitzungscookies erzwingen
    • Alte Kurzbeschreibung: Sitzungscookies
    Keine Demozertifikate für aktive SAML-Konfigurationen verwenden [Aktualisiert in Security Center 1.5]
    • Neue Kurzbeschreibung: Keine Demozertifikate für aktive SAML-Konfigurationen verwenden (Plugin-Anwendbarkeit: Single Sign-on für mehrere Anbieter)
    • Alte Kurzbeschreibung: Keine Demozertifikate für aktive SAML-Konfigurationen verwenden
    Entitätserweiterung im XMLDocument2-Streaming-Parser deaktivieren [Aktualisiert in Security Center 1.5] Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Zulässige Java-Pakete einschränken [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Zulässige Java-Pakete einschränken
    • Alte Kurzbeschreibung: Allow-Liste für Java-Pakete
    Verschleierung der Mobile-App-UI erfordern [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Verschleierung der Mobile-App-UI erforderlich
    • Alte Kurzbeschreibung: UI-Verschleierung in mobilen Apps
    Öffentlichen Zugriff auf Favoriten deaktivieren [Aktualisiert in Security Center 1.3 und 2.0]
    • Neue Kurzbeschreibung: Öffentlichen Zugriff auf Favoriten deaktivieren
    • Alte Kurzbeschreibung: Öffentlicher Zugriff auf Favoriten
    Escape-Zeichen für JavaScript [Aktualisiert in Security Center 1.3]
    • Neue Beschreibung: Die Glide-Eigenschaft glide.html.escape_script hilft beim Bereinigen von HTML-Feldern. Wenn glide.html.escape_script nicht auf den empfohlenen Wert „wahr“ festgelegt ist, werden Eingaben nicht für HTML-Felder (Ausgabecodierung) aus einem Back-End-Java-Kontext bereinigt, indem eingebettetes JavaScript entfernt wird. Javascript in HTML-Feldern kann zu gespeichertem und reflektiertem XSS führen. Die Möglichkeit, über XSS zu verfügen, kann dazu führen, dass eine Berechtigungsausweitung auf höhere Rollen wie „Administrator“ leicht erreicht werden kann, in denen mehr Seitwärtsbewegung möglich ist.
    • Alte Beschreibung: Die Glide-Eigenschaft glide.html.escape_script hilft beim Bereinigen von HTML-Feldern. Wenn glide.html.escape_scriptnicht auf den empfohlenen Wert „wahr“ festgelegt ist, werden Eingaben nicht für HTML-Felder (Ausgabecodierung) aus einem Back-End-Java-Kontext bereinigt, indem eingebettetes JavaScript entfernt wird. Javascript in HTML-Feldern kann zu gespeichertem und reflektiertem XSS führen. Die Möglichkeit, über XSS zu verfügen, kann dazu führen, dass eine Berechtigungsausweitung auf höhere Rollen wie „Administrator“ leicht erreicht werden kann, in denen mehr Seitwärtsbewegung möglich ist.
    Xframe-Optionen festlegen, um das Einbetten von Websites von Drittanbietern zu verhindern [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Legen Sie die Xframe-Optionen fest, um das Einbetten von Websites von Drittparteien zu verhindern
    • Alte Kurzbeschreibung: Xframe-Optionen
    • Neue Beschreibung: Wenn com.glide.cs.embed.xframe_options nicht auf den empfohlenen Wert DENY oder SAMEORIGIN festgelegt ist, kann der Inhalt der Webanwendung mithilfe einer ALLOW-FROM-URI in eine Drittanbieterwebsite eingebettet werden. Wenn Sie nicht vertrauenswürdige Websites von Drittanbietern zulassen, könnten Sie Angriffe wie Clickjacking ermöglichen.
    • Alte Beschreibung: Wenn com.glide.cs.embed.xframe_options nicht auf den empfohlenen Wert DENY oder SAMEORIGIN festgelegt ist, kann der Inhalt einer Webanwendung mithilfe einer ALLOW-FROM-URI eingebettet werden. Wenn Sie nicht vertrauenswürdige Websites von Drittanbietern zulassen, könnten Sie Angriffe wie Clickjacking ermöglichen.
    • Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    HTML in Listenansichten codieren [Aktualisiert in Security Center 1.3 und 1.5]
    • Neue Kurzbeschreibung: HTML in Listenansichten codieren
    • Alte Kurzbeschreibung: Escape-Zeichen für HTML
    Verschleierung der klassischen mobilen App-UI vorschreiben [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Verschleierung der Classic Mobile-App-UI erforderlich
    • Alte Kurzbeschreibung: Obfuskation für Classic Mobile-App-UI
    Standardmäßig mit leeren ACLs verweigern [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Standardmäßig mit leeren ACLs verweigern
    • Alte Kurzbeschreibung: Sicherheitsmanager-Standard Deny
    • Neue Beschreibung: Wenn glide.sm.default_mode nicht auf den empfohlenen Wert „verweigern“ festgelegt ist, ermöglicht der Legacy-Sicherheitsmanager der Instanz den Zugriff auf eine Ressource, wenn für diese Ressource keine ACLs definiert sind. oder nur Platzhalter-ACLs auf Tabellenebene. Durch Festlegen von, dass alles, für das keine expliziten ACLs festgelegt sind, anfällig für Manipulationen ist.
    • Alte Beschreibung: Wenn glide.sm.default_mode nicht auf den empfohlenen Wert „verweigern“ festgelegt ist, ermöglicht der Legacy-Sicherheitsmanager den Zugriff auf eine Ressource, wenn für diese Ressource keine ACLs definiert sind. oder nur Platzhalter-ACLs auf Tabellenebene. Durch Festlegen von, dass alles, für das keine expliziten ACLs festgelegt sind, anfällig für Manipulationen ist.
    Wiederholungsfensterdauer für die Anforderung einer Passwortzurücksetzung maximieren [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Fensterdauer beim Wiederholen für Anforderung zum Zurücksetzen des Passworts maximieren
    • Alte Kurzbeschreibung: Wiederholungsfenster für Anforderung zum Zurücksetzen des Passworts
    Autorisierung für XSD-Anforderungen erfordern [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Autorisierung für XSD-Anforderungen erfordern
    • Alte Kurzbeschreibung: Autorisierung von XSD-Anforderungen
    • Neue Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.basicauth.required.xsd in der Tabelle „sys_properties“ vorhanden und auf „wahr“ festgelegt ist.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.basicauth.required.xsd auf „wahr“ festgelegt ist.
    • Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Escape-Zeichen für Jelly-Skript [In Security Center 1.3 und 1.5 aktualisiert]
    • Neue Kurzbeschreibung: Jelly-Skript mit Escape-Zeichen
    • Alte Kurzbeschreibung: Escape-Zeichen für Jelly
    Eingehende Transaktionen noch einmal überprüfen [Aktualisiert in Security Center 1.3]
    • Neue Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.security.strict.updates in der Tabelle „sys_properties“ vorhanden und auf „wahr“ festgelegt ist.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.security.strict.updates auf „wahr“ festgelegt ist.
    • Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Herunterladbare Dateitypen in statischen Inhalten beschränken [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Herunterladbare Dateitypen in statischen Inhalten beschränken
    • Alte Kurzbeschreibung: Einschränkungen beim Herunterladen von Dateitypen aus statischem Inhalt
    Autorisierung für PDF-Anforderungen erfordern [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Autorisierung für PDF-Anforderungen erforderlich
    • Alte Kurzbeschreibung: Autorisierung von PDF-Anforderungen
    • Neue Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.basicauth.required.pdf in der Tabelle „sys_properties“ vorhanden und auf „wahr“ festgelegt ist.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.basicauth.required.pdf auf „wahr“ festgelegt ist.
    • Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Hochgeladene MIME-Typen einschränken [Aktualisiert in Security Center 1.3 und 2.0]
    • Neue Kurzbeschreibung: Hochgeladene MIME-Typen einschränken
    • Alte Kurzbeschreibung: MIME-Typeinschränkung für Uploads
    • Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Legacy-JQuery-Verhalten deaktivieren [in Security Center 1.3 aktualisiert]
    • Neue Kurzbeschreibung: Legacy-JQuery-Verhalten deaktivieren
    • Alte Kurzbeschreibung: Legacy JQuery-Verhalten
    Fensterdauer beim Entsperren für Anforderung zum Zurücksetzen des Passworts maximieren [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Fensterdauer beim Entsperren für Anforderung zum Zurücksetzen des Passworts maximieren
    • Alte Kurzbeschreibung: Fenster zum Entsperren für Anforderung zum Zurücksetzen des Passworts
    MultiSSO-Debugging deaktivieren [Aktualisiert in Security Center 1.3 und 1.5]
    • Neue Kurzbeschreibung: MultiSSO-Debugging deaktivieren (Plugin-Anwendbarkeit: Single Sign-on für mehrere Anbieter)
    • Alte Kurzbeschreibung: MultiSSO-Debugging deaktivieren
    • Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Verhalten von Produktionsinstanz erzwingen [Aktualisiert in Security Center 1.3 und 1.5]
    • Neue Kurzbeschreibung: Verhalten von Produktionsinstanz erzwingen
    • Alte Kurzbeschreibung: Verhalten von Produktionsinstanz
    Ungültige Versuche zum Zurücksetzen des Passworts begrenzen [In Security Center 1.3 aktualisiert und in 2.0 aktualisiert]
    • Neue Kurzbeschreibung: Minimieren Sie die zulässigen Höchstversuche für die Anforderung einer Passwortzurücksetzung
    • Alte Kurzbeschreibung: Max. Versuche für die Anforderung zum Zurücksetzen des Passworts
    Autorisierung für CSV-Anforderungen erfordern [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Autorisierung für CSV-Anforderungen erfordern
    • Alte Kurzbeschreibung: Autorisierung von CSV-Anforderungen
    • Neue Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.basicauth.required.csv in der Tabelle „sys_properties“ vorhanden und auf „wahr“ festgelegt ist.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.basicauth.required.csv auf „wahr“ festgelegt ist.
    • Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Fensterdauer bei erfolgreicher Anforderung einer Passwortzurücksetzung minimieren [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Fensterdauer bei erfolgreicher Anforderung einer Passwortzurücksetzung minimieren
    • Alte Kurzbeschreibung: Erfolgsfenster für Anforderung zum Zurücksetzen des Passworts
    Strikte Sicherheit für SOAP-Anforderungen erzwingen [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Strikte Sicherheit für SOAP-Anforderungen erzwingen
    • Alte Kurzbeschreibung: Strikte Sicherheit für SOAP-Anforderungen
    Autorisierung für SOAP-Anforderungen erfordern [Aktualisiert in Security Center 1.3, 1.5 und 2.0]
    • Neue Kurzbeschreibung: Autorisierung für SOAP-Anforderungen erfordern
    • Alte Kurzbeschreibung: Autorisierung von SOAP-Anforderungen
    • Neue Beschreibung: Die Glide-Eigenschaft glide.basicauth.required.soap steuert, ob eine Authentifizierung erforderlich ist, um eine SOAP-Anforderung an eine Instanz zu stellen. Wenn glide.basicauth.required.soap nicht auf den empfohlenen Wert „true“ festgelegt ist, wird die Authentifizierung für SOAP-Anforderungen in der Instanz deaktiviert. Sie ermöglicht den nicht authentifizierten Zugriff auf Vorgänge auf Administrator- oder Wartungsebene. Dadurch werden die Sicherheitskontrollen innerhalb der Instanz aufgehoben.
    • Alte Beschreibung: Die Glide-Eigenschaft glide.basicauth.required.soap steuert, ob eine Authentifizierung erforderlich ist, um eine SOAP-Anforderung an eine Instanz zu stellen. Wenn „glide.basisauth.erforderlich.soap“ nicht auf den empfohlenen Wert „wahr“ festgelegt ist, wird die Authentifizierung für SOAP-Anforderungen in der Instanz deaktiviert. Sie ermöglicht den nicht authentifizierten Zugriff auf Vorgänge auf Administrator- oder Wartungsebene. Dadurch werden alle Sicherheitskontrollen innerhalb der Instanz aufgehoben.
    • Neue Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.basicauth.required.soap in der Tabelle „sys_properties“ vorhanden und auf „wahr“ festgelegt ist.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.basicauth.required.soap auf „wahr“ festgelegt ist.
    • Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    XMLdoc2-Entitätsvalidierung mit allowlistDisable-Entitätserweiterung erfordern [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Erfordert die Validierung der XMLdoc2-Entität mit der Entitätserweiterung „allowlistDisable“.
    • Alte Kurzbeschreibung: Validierung der XMLdoc2-Entität mit AllowlistDisable-Entitätserweiterung
    Domain Separation auf Dot-Walking-Felder anwenden [Aktualisiert in Security Center 1.3, 1.5 und 2.0]
    • Neue Kurzbeschreibung: Domain Separation auf Dot-Walking-Felder anwenden (Plugin-Anwendbarkeit: Domain Separation).
    • Alte Kurzbeschreibung: Domain Separation anwenden
    • Neue Beschreibung: Diese Eigenschaft steuert, ob Teilnahmeabfragen domänengetrennte Bedingungen erhalten oder nicht, um sicherzustellen, dass sie die Domain Separation-Funktion für Dot-Walking-Felder anwenden. Wenn glide.sys.domain.include_domain_condition_on_join auf einer Instanz mit Domänentrennung nicht auf den empfohlenen Wert „true“ festgelegt ist, können vertrauliche Informationen offengelegt werden, die nicht mit einer bestimmten Domäne geteilt werden sollen.
    • Alte Beschreibung: Diese Eigenschaft steuert, ob Teilnahmeabfragen domänengetrennte Bedingungen erhalten oder nicht, um sicherzustellen, dass sie die Domain Separation-Funktion für Dot-Walking-Felder anwenden. Wenn glide.sys.domain.include_domain_condition_on_join nicht auf den empfohlenen Wert „true“ festgelegt ist, können vertrauliche Informationen offengelegt werden, die nicht mit einer bestimmten Domäne geteilt werden sollen.
    • Neue Fehlerkorrektur: Stellen Sie sicher, dass die Eigenschaft glide.sys.domain.include_domain_condition_on_join auf „true“ festgelegt ist, wenn das Plugin „Domain Separation“ aktiv ist.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.sys.domain.include_domain_condition_on_join auf „wahr“ festgelegt ist.
    • Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    JSONP-Anforderungen auf vertrauenswürdige URLs beschränken [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: JSONP-Anforderungen auf vertrauenswürdige URLs beschränken
    • Alte Kurzbeschreibung: Aufnahmeliste für JSONP-Anforderung
    • Neue Beschreibung: Diese Eigenschaft gibt vertrauenswürdige URLs für den Service „angularJS $http“ an, um JSONP-Anforderungen zuzulassen/abzulehnen. Die Eigenschaft ist erforderlich, da dies einen potenziell grundlegenden Change für Kunden darstellt, sodass sie eine Möglichkeit benötigen, ihre vertrauenswürdigen URLs hinzuzufügen. Wenn angular.jsonp.inclusion_list.enabled nicht auf den empfohlenen Wert „wahr“ festgelegt ist, sind JSONP-Anforderungen in jeder URL zulässig.
    • Alte Beschreibung: Diese Eigenschaft gibt vertrauenswürdige URLs für den Service „angularJS $http“ an, um JSONP-Anforderungen zuzulassen/abzulehnen. Die Eigenschaft ist erforderlich, da dies einen potenziell grundlegenden Change für Kunden darstellt, sodass sie eine Möglichkeit benötigen, ihre vertrauenswürdigen URLs hinzuzufügen. Wenn angular.jsonp.inclusion_list.enabled) nicht auf den empfohlenen Wert „true“ festgelegt ist, sind JSONP-Anforderungen in jeder URL zulässig.
    Max. SMS pro Tag für die Passwortzurücksetzung minimieren [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Max. SMS pro Tag für Passwortzurücksetzung minimieren
    • Alte Kurzbeschreibung: Max. SMS pro Tag für Passwort zurücksetzen
    Verzögerungsdauer für die Verifizierung der Verifizierung der Passwortzurücksetzung maximieren [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Verzögerungsdauer der Verifizierung der Verifizierung der Passwortzurücksetzung maximieren
    • Alte Kurzbeschreibung: Verzögerung bei der Verifizierung des Passwortzurücksetzens
    • Neue Beschreibung: Wenn password_reset.verification.delay nicht auf den empfohlenen Wert von 1000 oder mehr festgelegt ist, wird die Anmeldung anfälliger für Brute-Force-Angriffe. Diese Verzögerung um Millisekunden schränkt die Möglichkeit eines böswilligen Akteurs ein, zu versuchen, die Identifizierungs- oder Verifizierungsdetails von Anwendern mithilfe von Automatisierungstools („Bots“) zu erraten.
    • Alte Beschreibung: Wenn password_reset.verification.delay nicht auf den empfohlenen Wert von 1000 oder mehr festgelegt ist, wird die Anmeldung anfälliger für Brute-Force-Angriffe. Diese Verzögerung um Millisekunden schränkt die Möglichkeit eines Hackers ein, zu versuchen, die Identifizierungs- oder Verifizierungsdetails von Anwendern mithilfe von Automatisierungstools („Bots“) zu erraten.
    Autorisierung für Daten-Broker-REST-API erfordern [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Autorisierung für Daten-Broker-REST-API erforderlich
    • Alte Kurzbeschreibung: REST-API-Autorisierung für Daten-Broker
    • Neue Beschreibung: Wenn glide.basicauth.required.databrokerrestapiprocessor nicht auf den empfohlenen Wert „wahr“ festgelegt ist, ist für alle eingehenden Daten-Broker-REST-API-Anforderungen keine Standardautorisierung erforderlich. Dies kann dazu führen, dass Informationen von der Instanz nicht authentifiziert werden.
    • Alte Beschreibung: Ab der Version Utah: Wenn glide.basicauth.required.databrokerrestapiprocessor nicht auf den empfohlenen Wert „wahr“ festgelegt ist, ist für alle eingehenden Daten-Broker-REST-API-Anforderungen keine Standardautorisierung erforderlich. Dies kann dazu führen, dass Informationen von der Instanz nicht authentifiziert werden.
    • Neue Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.basicauth.required.databrokerrestapiprocessor in der Tabelle „sys_properties“ vorhanden und auf „wahr“ festgelegt ist.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.basicauth.required.databrokerrestapiprocessor auf Instanzen mit Utah-Release und höher auf „true“ festgelegt ist.
    • Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Autorisierung für JSONv2-Anforderung erfordern [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Autorisierung für JSONv2-Anforderung erforderlich
    • Alte Kurzbeschreibung: Autorisierung von JSONv2-Anforderungen
    • Neue Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.basicauth.required.jsonv2 in der Tabelle „sys_properties“ vorhanden und auf „wahr“ festgelegt ist.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.basicauth.required.jsonv2 auf „wahr“ festgelegt ist.
    • Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    JavaScript-Tags in eingebettetem HTML deaktivieren [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Deaktivieren Sie JavaScript-Tags in eingebettetem HTML
    • Alte Kurzbeschreibung: Javascript-Tags in eingebettetem HTML zulassen
    • Neue Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.ui.security.codetag.allow_script in der Tabelle „sys_properties“ vorhanden und auf „falsch“ festgelegt ist.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.ui.security.codetag.allow_script auf „falsch“ festgelegt ist.
    • Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Sicherheits-Jump-Start-Plugin aktivieren (ACL-Regeln) [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Sicherheits-Jump-Start-Plugin aktivieren (ACL-Regeln)
    • Alte Kurzbeschreibung: Sicherheits-Jump-Start-Plugin (ACL-Regeln)
    Gastanwender für SOAP-Anforderungen festlegen [Aktualisiert in Security Center 1.3 und 2.0]
    • Neue Kurzbeschreibung: Gastanwender für SOAP-Anforderungen festlegen
    • Alte Kurzbeschreibung: Gastanwender für SOAP-Anforderungen
    Skript-Sandbox aktivieren [In Security Center 1.3 aktualisiert]
    • Neue Kurzbeschreibung: Vom Client generierte Skripts in der Sandbox erzwingen
    • Alte Kurzbeschreibung: Vom Client generierte Skripts-Sandbox
    Externe XML-Entitäten einschränken [in Security Center 1.3 und 2.0 aktualisiert]
    • Neue Kurzbeschreibung: Externe XML-Entitäten einschränken
    • Alte Kurzbeschreibung: Allow-Liste für URLs zur Validierung von XML-Entitäten
    ACLs zur Steuerung von Live-Profildetails aktivieren [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: ACLs zur Steuerung von Live-Profildetails aktivieren
    • Alte Kurzbeschreibung: ACLs zur Steuerung von Live-Profildetails aktivieren
    Zugriff auf anwenderdefinierte Journaleinträge beschränken [In Security Center 1.3 aktualisiert und in 2.0 entfernt]
    • Neue Kurzbeschreibung: Zugriff auf anwenderdefinierte Journaleinträge beschränken
    • Alte Kurzbeschreibung: Sichere anwenderdefinierte Journaleinträge
    • Neue Beschreibung: Wenn glide.live_feed.custom_journal.acl_check_enabled nicht auf den empfohlenen Wert „wahr“ festgelegt ist, können alle Anwender alle Journaleinträge innerhalb der Live-Feed-Funktion sehen. Wenn Sie die Eigenschaft auf „wahr“ setzen, werden ACLs in anwenderdefinierten Journalfeldern berücksichtigt. Dies ist eine vorteilhafte Funktion.
    • Alte Beschreibung: Wenn glide.live_feed.custom_journal.acl_check_enabled nicht auf den empfohlenen Wert „wahr“ festgelegt ist, können alle Anwender alle Journaleinträge sehen. Wenn Sie die Eigenschaft auf „wahr“ setzen, werden ACLs in anwenderdefinierten Journalfeldern berücksichtigt. Dies ist eine vorteilhafte Funktion.
    Legen Sie die OTP-Lebensdauer für die Passwortzurücksetzung auf maximal 12 Stunden fest [Aktualisiert in Security Center 2.0]
    • Neue Beschreibung: Diese Eigenschaft glide.pwd_reset.onetime.token.validity lässt den Link in der E-Mail zum Zurücksetzen des Passworts nach der in glide.pwd_reset.onetime.token.validity propertyangegebenen Anzahl von Stunden ablaufen. Die Gültigkeit des Passwortzurücksetzungstokens sollte gemäß der normalen Anwender-Experience so kurz wie möglich gehalten werden. Eine lange Gültigkeit des Passwortzurücksetzungstokens kann böswilligen Akteuren bei der Übernahme von Accounts helfen.
    • Alte Beschreibung: Diese Eigenschaft glide.pwd_reset.onetime.token.validity lässt den Link in der E-Mail zum Zurücksetzen des Passworts nach der in der Eigenschaft glide.pwd_reset.onetime.token.validity angegebenen Anzahl von Stunden ablaufen. Die Gültigkeit des Passwortzurücksetzungstokens sollte gemäß der normalen Anwender-Experience so kurz wie möglich gehalten werden. Eine lange Gültigkeit des Passwortzurücksetzungstokens kann Hackern bei der Übernahme von Accounts helfen.
    Lesezugriff delegierter Entwickler einschränken [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Lesezugriff delegierter Entwickler einschränken
    • Alte Kurzbeschreibung: Zulassungsliste für Lesezugriff von delegierten Entwicklern
    Zulässige ServiceNow interne IP-Adressen definieren [Aktualisiert in Security Center 1.3 und 1.5]
    • Neue Kurzbeschreibung: Zulässige interne ServiceNow-IP-Adressen definieren
    • Alte Kurzbeschreibung: Zulassungsliste für IP-Adressenzugriff
    SOAP-Inhaltstyp validieren [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: SOAP-Inhaltstyp validieren
    • Alte Kurzbeschreibung: Überprüfung des SOAP-Inhaltstyps
    • Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Autorisierung für Excel-Anforderungen erfordern [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Autorisierung für Excel-Anforderungen erfordern
    • Alte Kurzbeschreibung: Autorisierung von Excel-Anforderungen
    • Neue Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.basicauth.required.excel in der Tabelle „sys_properties“ vorhanden und auf „wahr“ festgelegt ist.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.basicauth.required.excel auf „wahr“ festgelegt ist.
    • Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Autorisierung für API-Anforderungen erfordern [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Autorisierung für API-Anforderungen erfordern
    • Alte Kurzbeschreibung: Autorisierung von API-Anforderungen
    • Neue Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.basicauth.required.api in der Tabelle „sys_properties“ vorhanden und auf „wahr“ festgelegt ist.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.basicauth.required.api auf „wahr“ festgelegt ist.
    • Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Schwellenwert für die Entitätserweiterung für skriptfähiges GlideXMLUtil minimieren [Aktualisiert in Security Center 1.3, 1.5 und 2.0]
    • Neue Kurzbeschreibung: Schwellenwert für Entitätserweiterung minimieren
    • Alte Kurzbeschreibung: Schwellenwert für Entitätserweiterung wird festgelegt
    Anwender während des Prozesses zum Zurücksetzen/Ändern des Passworts benachrichtigen [Entfernt in Security Center 1.5]
    • Neue Kurzbeschreibung: Anwender während des Passwortzurücksetzungs-/Change-Prozesses benachrichtigen
    • Alte Kurzbeschreibung: Prozess für Passwortzurücksetzung/Change-Benachrichtigung
    • Neue Korrektur: Sicherstellen, dass der Prozess zum Zurücksetzen des Passworts Anwender benachrichtigt, wenn das Passwort geändert oder zurückgesetzt wird.
    • Alte Korrektur: Sicherstellen, dass der Prozess zum Zurücksetzen des Passworts Anwender benachrichtigt, wenn das Passwort geändert oder zurückgesetzt wird.
    Legacy-AngularJS-Verhalten deaktivieren [in Security Center 1.3 aktualisiert]
    • Neue Kurzbeschreibung: Legacy-AngularJS-Verhalten deaktivieren
    • Alte Kurzbeschreibung: Legacy AngularJS Behavior
    Zeitüberschreitungsdauer beim Entsperren bei fehlgeschlagener Anmeldung maximieren [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Zeitüberschreitungsdauer beim Entsperren bei fehlgeschlagener Anmeldung maximieren
    • Alte Kurzbeschreibung: Zeitüberschreitung beim Entsperren nach fehlgeschlagenen Anmeldungen verwalten
    Kennzeichnung für „Nur-HTTP-Cookie“ aktivieren [In Security Center 1.3 aktualisiert]
    • Neue Kurzbeschreibung: Kennzeichnung für „Nur-HTTP-Cookie“ aktivieren
    • Alte Kurzbeschreibung: Kennzeichnung für „Nur-HTTP-Cookie“
    • Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    ACLs für bereichsbezogenen Administratoranwendungen aktivieren [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: ACLs für bereichsbezogenen Administratoranwendungen aktivieren
    • Alte Kurzbeschreibung: ACLs für bereichsbezogenen Administratoranwendungen verwalten
    • Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    UserCookie Version 3.1 aktivieren [In Security Center 2.0 aktualisiert]
    • Neue Beschreibung: UserCookie v3 wird nur generiert, wenn die Eigenschaft glide.ui.secure.cookies.use_kmf deaktiviert ist. UserCookie v3 ist aufgrund der Speicherung des geheimen Schlüssels für HMAC im Quellcode unsicher und für alle Kunden identisch. Dies kann böswillige Akteure dabei unterstützen, diesen einen geheimen Schlüssel für Hijacking-Angriffe auf Benutzersitzungen zu verwenden.
    • Alte Beschreibung: UserCookie v3 wird nur generiert, wenn die Eigenschaft „glide.ui.secure.cookies.use_kmf“ deaktiviert ist. UserCookie v3 ist aufgrund der Speicherung des geheimen Schlüssels für HMAC im Quellcode unsicher und für alle Kunden identisch. Das kann Hacker dabei unterstützen, diesen einen geheimen Schlüssel für den Hijacking-Angriff auf Benutzersitzungen zu verwenden.
    Autorisierung für XML-Anforderungen erfordern [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Autorisierung für XML-Anforderungen erfordern
    • Alte Kurzbeschreibung: Autorisierung von XML-Anforderungen
    • Neue Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.basicauth.required.xml in der Tabelle „sys_properties“ vorhanden und auf „wahr“ festgelegt ist.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.basicauth.required.xml auf „wahr“ festgelegt ist.
    • Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Ablaufdauer des Links zur Registrierung externer Anwender minimieren [Aktualisiert in Security Center 1.3 und 1.5]
    • Neue Kurzbeschreibung: Ablaufdauer des Links für die Registrierung externer Anwender minimieren
    • Alte Kurzbeschreibung: Ablaufdatum des Registrierungslinks für externe Anwender
    Eingehende E-Mail-Bilder in Anhänge konvertieren [In Security Center 1.3 aktualisiert und in 1.5 entfernt]
    • Neue Kurzbeschreibung: Eingehende E-Mail-Bilder in Anhänge konvertieren
    • Alte Kurzbeschreibung: Eingehende HTML-E-Mails konvertieren
    SMTP-Empfängermenge minimieren [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: SMTP-Empfängermenge minimieren
    • Alte Kurzbeschreibung: Max. SMTP-Empfänger
    Aktualisierte Version des MultiSSO-Plugins aktivieren [In Security Center 1.3 und 1.5aktualisiert]
    • Neue Kurzbeschreibung: Aktualisierte Version des Multi-SSO-Plugins aktivieren (Plugin-Anwendbarkeit: Single Sign-on für mehrere Anbieter)
    • Alte Kurzbeschreibung: Aktualisierte Version des Multi-SSO-Plugins ist aktiviert
    • Neue CVSS-Punktzahl: 7,1
    • Alte CVSS-Punktzahl: 5
    Ausführung von Rohdatenbankabfragen deaktivieren [In Security Center 1.3 aktualisiert und in 2.0 entfernt]
    • Neue Kurzbeschreibung: Ausführung von Rohdatenbankabfragen deaktivieren
    • Alte Kurzbeschreibung: Anforderungen für die Zugriffssteuerung auf Vorgangsebene
    • Neue Beschreibung: Diese Eigenschaft ermöglicht es einem Anwender, SQL-Rohabfragen in der Datenbank auszuführen, die Zugriff auf Tabellen und Daten außerhalb von GlideRecord-Einschränkungen gewähren können. Wenn glide.db.allow_unsafe_dbi_execute_sql nicht auf den empfohlenen Wert „false“ festgelegt ist, ermöglicht dies den Aufruf von „dbi.executeStatement()“ von einem skriptfähigen Glide-Objekt.
    • Alte Beschreibung: Diese Eigenschaft ermöglicht es einem Anwender, SQL-Rohabfragen in der Datenbank auszuführen, die Zugriff auf Tabellen und Daten außerhalb von GlideRecord-Einschränkungen gewähren können. Wenn glide.db.allow_unsafe_dbi_execute_sql nicht auf den empfohlenen Wert „false“ festgelegt ist, ermöglicht dies den Aufruf von „dbi.executeStatement()“ von einem skriptfähigen Glide-Objekt.
    XML-Markup codieren [In Security Center 1.3 aktualisiert]
    • Neue Kurzbeschreibung: Escape-XML-Markup
    • Alte Kurzbeschreibung: Escape-XML
    • Neue Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.ui.escape_text in der Tabelle „sys_properties“ vorhanden und auf „wahr“ festgelegt ist.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.ui.escape_text auf „wahr“ festgelegt ist.
    • Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Autorisierung für RSS-Anforderungen erfordern [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Autorisierung für RSS-Anforderungen erfordern
    • Alte Kurzbeschreibung: Autorisierung von RSS-Anforderungen
    • Neue Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.basicauth.required.rss in der Tabelle „sys_properties“ vorhanden und auf „wahr“ festgelegt ist.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.basicauth.required.rss auf „wahr“ festgelegt ist.
    • Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Zulässige Anhangsgröße minimieren [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Zulässige Anhangsgröße minimieren
    • Alte Kurzbeschreibung: Maximal zulässige Anhangsgröße
    Relative Links erzwingen [Aktualisiert in Security Center 1.3 und 1.5]
    • Neue Beschreibung: Die Eigenschaft glide.cms.catalog_uri_relative erzwingt relative Links vom URI-Parameter für /ess/catalog.do. Wenn glide.cms.catalog_uri_relative nicht auf den empfohlenen Wert „wahr“ festgelegt ist, wird die URL nicht mit der Funktion „forceRelativeURL(url)“ bereinigt. Absolute URLs können ein Sicherheitsrisiko darstellen, wenn sie als Teil von Parametern oder Feldwerten verwendet werden und so die Quellseite auf eine von Angreifern kontrollierte Website umleiten.
    • Alte Beschreibung: Verwenden Sie die Eigenschaft glide.cms.catalog_uri_relative, um relative Links vom URI-Parameter für /ess/catalog.do zu erzwingen. Wenn glide.cms.catalog_uri_relative nicht auf den empfohlenen Wert „wahr“ festgelegt ist, kann die URL nicht mit der Funktion „forceRelativeURL(url)“ bereinigt werden.
    SMS-Codebenachrichtigung für die Registrierung und Verifizierung aktivieren [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: SMS-Codebenachrichtigung für die Registrierung und Verifizierung aktivieren
    • Alte Kurzbeschreibung: SMS-Codebenachrichtigung für die Registrierung und Verifizierung
    Cache-Steuerung – HTTP-Headerwert [In Security Center 1.3 aktualisiert und in 1.5 entfernt]
    • Neue Kurzbeschreibung: Cache-Steuerung – HTTP-Headerwert
    • Alte Kurzbeschreibung: HTTP-Headerwert „Cache-Steuerung“.
    • Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Internen Zugriff auf explizite externe Rollen verweigern [Aktualisiert in Security Center 1.3 und 1.5]
    • Neue Kurzbeschreibung: Internen Zugriff auf explizite externe Rollen verweigern
    • Alte Kurzbeschreibung: Interne Sperrliste für explizite Rollen aktivieren
    • Neuer Name der technischen Konfiguration: glide.security.explicit_roles.enable_internal_user_blacklist,glide.security.explicit_roles.internal_user_blacklist
    • Alter Name der technischen Konfiguration: glide.security.explicit_roles.enable_internal_user_blacklist
    • Neue Beschreibung: Dadurch wird verhindert, dass externen Benutzern die Rolle „snc_internal“ zugewiesen werden kann. Wenn glide.security.explicit_roles.enable_internal_user_blacklist nicht auf den empfohlenen Wert „true“ festgelegt ist und die Eigenschaft glide.security.explicit_roles.internal_user_blacklist nicht auf eine Liste nicht vertrauenswürdiger Benutzerklassen festgelegt ist, kann den angegebenen Rollen die Rolle „snc_internal“ anstelle der Rolle „snc_external“ zugewiesen werden. Wenn die Liste leer ist, wird standardmäßig allen Benutzern die Rolle snc_internal zugewiesen. Die Eigenschaft muss mindestens die Standardrollen csm_consumer_user,customer_contact enthalten. Eine falsche Konfiguration dieser Eigenschaften erhöht das Risiko, dass ein externer Benutzeraccount Zugriff auf interne Informationen erhält.
    • Alte Beschreibung: Diese Eigenschaft verhindert, dass externen Benutzern die Rolle „snc_internal“ zugewiesen wird. Wenn glide.security.explicit_roles.enable_internal_user_blacklist auf den empfohlenen Wert „wahr“ festgelegt ist, wird glide.security.explicit_roles.internal_user_blacklist property aktiviert, wodurch die Rolle „snc_external“ zugewiesen werden kann. Wenn der Wert auf „false“ festgelegt ist, wird die Eigenschaft glide.security.explicit_roles.internal_user_blacklist deaktiviert.
    • Neue Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.security.explicit_roles.enable_internal_user_blacklist auf „true“ festgelegt ist und dass die Eigenschaft glide.security.explicit_roles.internal_user_blacklist die gefährlichen Elemente csm_consumer_user, Customer_contact enthält.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.security.explicit_roles.enable_internal_user_blacklist auf „wahr“ festgelegt ist.
    • Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Einmalige Lebensdauer der Verifizierung außerhalb des Bereichs minimieren [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Einmalige Lebensdauer der Verifizierung außerhalb des Bereichs minimieren
    • Alte Kurzbeschreibung: Kurze einmalige Lebensdauer der Verifizierung außerhalb des Bereichs
    Autorisierung für Skriptanforderungen erfordern [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Autorisierung für Skriptanforderungen erfordern
    • Alte Kurzbeschreibung: Autorisierung von Skript-Anforderungen
    • Neue Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.basicauth.required.scriptedprocessor in der Tabelle „sys_properties“ vorhanden und auf „wahr“ festgelegt ist.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.basicauth.required.scriptedprocessor auf „wahr“ festgelegt ist.
    • Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Gleichzeitige interaktive Sitzungen begrenzen [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Gleichzeitige interaktive Sitzungen begrenzen
    • Alte Kurzbeschreibung: Beschränkung gleichzeitiger interaktiver Sitzungen auf Glide-Authentifizierung
    • Neue Beschreibung: Diese Eigenschaft sollte mit dem Plugin „Gleichzeitige Sitzungen begrenzen“ (com.glide.limit.concurrent.sessions) verwendet werden. Wenn das Plugin aktiv ist und die Eigenschaft auf „false“ festgelegt ist, kann ein Benutzer eine beliebige Anzahl gleichzeitiger interaktiver Sitzungen in einer Instanz haben. Eine größere Anzahl offener Sitzungen bedeutet, dass die Wahrscheinlichkeit eines Hijacking-Angriffs auf Sitzungen hoch ist.
    • Alte Beschreibung: Diese Eigenschaft soll mit dem Plugin „Gleichzeitige Sitzungen begrenzen“ (com.glide.limit.concurrent.sessions) verwendet werden. Wenn das Plugin aktiv ist und die Eigenschaft auf „false“ festgelegt ist, kann ein Benutzer eine beliebige Anzahl gleichzeitiger interaktiver Sitzungen in einer Instanz haben. Eine größere Anzahl offener Sitzungen bedeutet, dass die Wahrscheinlichkeit eines Hijacking-Angriffs auf Sitzungen hoch ist.
    Verhindern, dass Benutzer die Warnung zur Umgehung der CSRF-Validierung akzeptieren [aktualisiert in Security Center 1.3 und 1.5]
    • Neue Kurzbeschreibung: Strikte CSRF-Token-Validierung erzwingen
    • Alte Kurzbeschreibung: Strikte CSRF-Validierung
    • Neue Beschreibung: Diese Eigenschaft aktiviert die strikte Validierung des CSRF-Tokens, die die Wiederverwendung von CSRF-Token verhindert. Wenn glide.security.csrf.strict.validation.mode nicht auf den empfohlenen Wert „true“ festgelegt ist, können CSRF-Token wiederverwendet werden, was CSRF-Angriffe erleichtert.
    • Alte Beschreibung: Diese Eigenschaft aktiviert die strikte Validierung des CSRF-Tokens, die die Wiederverwendung von CSRF-Token verhindert. Wenn glide.security.csrf.strict.validation.mode nicht auf den empfohlenen Wert „wahr“ festgelegt ist, kann das CSRF-Token wiederverwendet werden, wodurch CSRF-Angriffe erleichtert werden.
    Zeitüberschreitungsdauer der Sitzungsaktivität minimieren [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Zeitüberschreitungsdauer der Sitzungsaktivität minimieren
    • Alte Kurzbeschreibung: Zeitüberschreitung bei Sitzungsaktivität
    HTML-Bereinigung aktivieren [In Security Center 1.3 aktualisiert]
    • Neue Kurzbeschreibung: HTML-Bereinigung aktivieren
    • Alte Kurzbeschreibung: HTML-Bereinigung
    Zugriff auf Hintergrundskript beschränken [In Security Center 1.3 und 2.0 aktualisiert]
    • Neue Beschreibung: Diese Eigenschaft enthält die erforderliche Rolle für den Zugriff auf das Modul „Skripthintergrund“. Wenn glide.script_processor.admin nicht auf den empfohlenen Wert „admin“, „security_admin“ oder „maint“ festgelegt ist, können Benutzer mit einer Rolle mit geringeren Berechtigungen Hintergrundskripts in der Instanz ausführen. Dies führt zu einer vollständigen Umgehung des ACL-Systems, das vollständigen Zugriff auf Tabellen ermöglicht.
    • Alte Beschreibung: Diese Eigenschaft enthält die erforderliche Rolle für den Zugriff auf das Modul „Skripthintergrund“. Wenn glide.script_processor.admin nicht auf den empfohlenen Wert „Administrator“ festgelegt ist, kann jeder Anwender mit einer Rolle mit geringen Berechtigungen Hintergrundskripts in der Instanz ausführen. Dies führt zu einer vollständigen Umgehung des ACL-Systems, das vollständigen Zugriff auf Tabellen ermöglicht
    • Neue Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.script_processor.admin auf die Rolle „admin“, „security_admin“ oder „maint“ festgelegt ist.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.script_processor.admin auf „Administrator“ festgelegt ist.
    • Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Eingebetteten HTML-Code deaktivieren [In Security Center 1.3 aktualisiert]
    • Neue Kurzbeschreibung: Eingebetteten HTML-Code deaktivieren
    • Alte Kurzbeschreibung: Eingebetteter HTML-Code
    Absolute Zeitüberschreitungsdauer für Sitzung minimieren [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Absolute Zeitüberschreitungsdauer der Sitzung minimieren
    • Alte Kurzbeschreibung: Absolute Zeitüberschreitung für Sitzung
    Standardmäßige Authentifizierung für vom Client aufrufbare Skripteinbindungen anfordern [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Standardmäßige Authentifizierung für vom Client aufrufbare Skripteinbindungen erfordern
    • Alte Kurzbeschreibung: Datenschutz für vom Client aufrufbare Skripteinbindungen
    Zugriff auf skriptfähige GlideSystemUserSession-API beschränken [In Security Center 1.3 und 2.0 aktualisiert]
    • Neue Kurzbeschreibung: Zugriff auf skriptfähige GlideSystemUserSession-API einschränken
    • Alte Kurzbeschreibung: Zugriff auf skriptfähige GlideSystemUserSession-API
    HTML-Bereinigung erzwingen [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: HTML-Bereinigung erzwingen
    • Alte Kurzbeschreibung: Nicht bereinigten HTML-Code prüfen
    • Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Absolute Zeitüberschreitungsdauer für Sitzung minimieren [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Absolute Zeitüberschreitungsdauer der Sitzung minimieren
    • Alte Kurzbeschreibung: Absolute Zeitüberschreitung für Sitzung
    Rollenbasierte Multifaktor-Authentifizierung aktivieren [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Rollenbasierte Multifaktor-Authentifizierung aktivieren
    • Alte Kurzbeschreibung: Rollenbasierte Multifaktor-Authentifizierung
    SAML-Dauer von „notBefore“ und „notOnOrAfter“ minimieren [Aktualisiert in Security Center 1.3 und 1.5]
    • Neue Kurzbeschreibung: SAML-Einschränkungsdauer für „notBefore“ oder „notOnOrAfter“ minimieren (Plugin-Anwendbarkeit: Single Sign-on für mehrere Anbieter)
    • Alte Kurzbeschreibung: SAML-Einschränkung „notBefore“ oder „notOnOrAfter“.
    • Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    E-Mail-Domänen für die Registrierung externer Anwender einschränken [Aktualisiert in Security Center 1.3, 1.5 und 2.0]
    • Neue Kurzbeschreibung: E-Mail-Domänen für Registrierung externer Anwender beschränken (Plugin-Anwendbarkeit: Registrierung externer Anwender)
    • Alte Kurzbeschreibung: Allow-Liste für E-Mail-Domänen zur Registrierung externer Anwender
    • Neue Korrektur: Stellen Sie sicher, dass die Eigenschaft sn_ext_usr_reg.allowed_email_domains nicht auf einen leeren Wert festgelegt ist.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft sn_ext_usr_reg.allowed_email_domains nicht auf einen leeren Wert festgelegt ist.
    Fensterdauer bei SMS-Pause für Passwortzurücksetzung maximieren [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Fensterdauer beim Anhalten der SMS-Pause für Passwortzurücksetzung maximieren
    • Alte Kurzbeschreibung: SMS-Pause-Fenster für „Passwort zurücksetzen“.
    • Neue Korrektur: Stellen Sie sicher, dass die Eigenschaft password_reset.sms.pause_window auf mindestens 2 festgelegt ist.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft password_reset.sms.pause_window auf 2 festgelegt ist.
    • Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Ausgehende SSLv2-/SSLv3-Verbindungen deaktivieren [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Ausgehende SSLv2-/SSLv3-Verbindungen deaktivieren
    • Alte Kurzbeschreibung: SSLv2/SSLv3 wird deaktiviert
    Autorisierung für Entlade-Anforderungen erfordern [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Autorisierung für Entlade-Anforderungen erforderlich
    • Alte Kurzbeschreibung: Autorisierung von Entlade-Anforderungen
    • Neue Fehlerkorrektur: Stellen Sie sicher, dass die Eigenschaft glide.basicauth.required.unl in „sys_properties_table“ vorhanden und auf „wahr“ festgelegt ist.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.basicauth.required.unl auf „wahr“ festgelegt ist.
    • Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Bewertung und Filterung von E-Mail-Spam aktivieren [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Bewertung und Filterung von E-Mail-Spam aktivieren
    • Alte Kurzbeschreibung: Bewertung und Filterung von E-Mail-Spam
    Anfänglicher eindeutiger LDAP-Namen löschen [In Security Center 1.3 aktualisiert und in 2.0 entfernt]
    • Neue Kurzbeschreibung: Einstellung des anfänglichen differenzierten LDAP-Namens löschen
    • Alte Kurzbeschreibung: Initial Distinguished Name (LDAP)
    Anti-CSRF-Token aktivieren [Neu in Security Center 1.3, aktualisiert in 1.5 und entfernt in 2.0]
    • Neue Kurzbeschreibung: Anti-CSRF-Token aktivieren
    • Alte Kurzbeschreibung: Anti-CSRF-Token
    AJAXGlideRecord-ACL-Überprüfung erfordern [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: AJAXGlideRecord-ACL-Überprüfung erforderlich
    • Alte Kurzbeschreibung: AJAXGlideRecord-ACL-Überprüfung wird aktiviert
    Anwender-Identitätswechsel protokollieren [Aktualisiert in Security Center 1.3 und 2.0] Regelskript: Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Download infizierter Dateien nicht zulassen [Aktualisiert in Security Center 1.5 und 2.0] Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Captcha für die Registrierung externer Anwender aktivieren [Aktualisiert in Security Center 1.3 und 1.5]
    • Neue Kurzbeschreibung: Captcha für die Registrierung externer Anwender aktivieren (Plugin-Anwendbarkeit: Registrierung externer Anwender)
    • Alte Kurzbeschreibung: Captcha für die Registrierung externer Anwender aktivieren
    SQL-Fehlermeldungen deaktivieren [In Security Center 1.3 und 1.5 aktualisiert]
    • Neue Kurzbeschreibung: SQL-Fehlermeldungen deaktivieren
    • Alte Kurzbeschreibung: SQL-Fehlermeldungen werden deaktiviert
    Ablaufdauer für die Anforderung einer Passwortzurücksetzung minimieren [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Ablaufdauer für Anforderung einer Passwortzurücksetzung minimieren
    • Alte Kurzbeschreibung: Ablaufdatum für Anforderung zum Zurücksetzen des Passworts
    • Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Sperrzeit für Versuche zum Zurücksetzen des ungültigen Passworts [Aktualisiert in Security Center 1.3 und 2.0]
    • Neue Kurzbeschreibung: Fensterdauer bei maximalen Versuchen für die Anforderung einer Passwortzurücksetzung minimieren
    • Alte Kurzbeschreibung: Fenster für max. Versuche für Anforderung zum Zurücksetzen des Passworts
    Herunterladbare MIME-Typen einschränken [Aktualisiert in Security Center 1.3 und 2.0]
    • Neue Kurzbeschreibung: Herunterladbare MIME-Typen einschränken
    • Alte Kurzbeschreibung: Deny-Liste für herunterladbare MIME-Typen
    Excel-Formeln codieren [In Security Center 1.3 aktualisiert]
    • Neue Kurzbeschreibung: Excel-Formeln mit Escape-Zeichen
    • Alte Kurzbeschreibung: Excel-Formel mit Escape-Zeichen
    Plugin für kontextbezogene Sicherheit aktivieren [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Plugin für kontextbezogene Sicherheit aktivieren
    • Alte Kurzbeschreibung: Plugin für kontextbezogene Sicherheit
    Accountwiederherstellung aktivieren [In Security Center 1.3 und 1.5aktualisiert]
    • Neue Kurzbeschreibung: Accountwiederherstellung aktivieren (Plugin-Anwendbarkeit: Single Sign-on für mehrere Anbieter)
    • Alte Kurzbeschreibung: Accountwiederherstellung
    • Neue Beschreibung: Diese Eigenschaft steuert die Funktion zur Accountwiederherstellung, die die Möglichkeit zur Umgehung des Single Sign-on an speziell dafür vorgesehene Administratoren bindet. Wenn glide.sso.acr.enabled nicht auf den empfohlenen Wert „true“ festgelegt ist, bleiben die lokalen interaktiven Anmeldungen (basierend auf Anwendernamen oder Passwörtern) aktiviert, wenn Single Sign-on für die Instanz aktiviert ist. Durch das Eliminieren lokaler interaktiver Anmeldungen wird das Risiko eines nicht autorisierten Zugriffs auf die Instanz verringert.
    • Alte Beschreibung: Diese Eigenschaft steuert die Funktion zur Accountwiederherstellung. Wenn glide.sso.acr.enabled nicht auf den empfohlenen Wert „wahr“ festgelegt ist, ist keine Accountwiederherstellung nach Anwender-ID möglich.
    • Neue CVSS-Punktzahl: 6,5
    • Alte CVSS-Punktzahl: 9,1
    • Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Autorisierung für Importanforderungen erfordern [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Autorisierung für Importanforderungen erfordern
    • Alte Kurzbeschreibung: Autorisierung der Importanforderung
    • Neue Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.basicauth.required.importprocessor in der Tabelle „sys_properties“ vorhanden und auf „wahr“ festgelegt ist.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.basicauth.required.importprocessor auf „wahr“ festgelegt ist.
    • Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    SNC-Zugriffssteuerungs-Plugin aktivieren [In Security Center 1.3 aktualisiert]
    • Neue Kurzbeschreibung: SNC-Zugriffssteuerungs-Plugin aktivieren
    • Alte Kurzbeschreibung: SNC Access Control Plugin
    Gleichzeitige Sitzungen über alle Knoten hinweg begrenzen [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Gleichzeitige Sitzungen über alle Knoten hinweg begrenzen
    • Alte Kurzbeschreibung: Glide-Authentifizierung für Begrenzung gleichzeitiger Sitzungen über alle Knoten hinweg
    Autorisierung für XML-Ausgabeanforderungen erfordern [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Autorisierung für XML-Ausgabeanforderungen erfordern
    • Alte Kurzbeschreibung: Autorisierung der XML-Ausgabe
    • Neue Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.basicauth.required.xmloutputprocessor in der Tabelle „sys_properties“ vorhanden und auf „wahr“ festgelegt ist.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.basicauth.required.xmloutputprocessor auf „wahr“ festgelegt ist.
    • Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Skripts in Scratchpad codieren [In Security Center 1.3 aktualisiert]
    • Neue Kurzbeschreibung: Escape-Skripts in Scratchpad
    • Alte Kurzbeschreibung: Scratchpad mit Escape-Zeichen
    • Neue Beschreibung: Das Notizblock ist eine einfache Möglichkeit, Informationen auf dem Server festzulegen, auf die im Browser zugegriffen werden kann. Ein Administrator kann alles in ein Skript aufnehmen, einschließlich beliebiger Daten aus beliebigen Datensätzen. Wenn glide.ui.escape_scratchpad nicht auf den empfohlenen Wert „wahr“ festgelegt ist, kann ein bösartiges Skript wie eine websiteübergreifende Skripting-Schwachstelle ausgeführt werden.
    • Alte Beschreibung: Das Notizblock ist eine einfache Möglichkeit, Informationen auf dem Server festzulegen, auf die im Browser zugegriffen werden kann. Ein Administrator kann ein Skript für alles erstellen, einschließlich beliebiger Daten aus beliebigen Datensätzen. Wenn glide.ui.escape_scratchpad nicht auf den empfohlenen Wert „wahr“ festgelegt ist, kann ein bösartiges Skript wie eine websiteübergreifende Skripting-Schwachstelle ausgeführt werden.
    Autorisierung für WSDL-Anforderung erfordern [Aktualisiert in Security Center 1.3 und 1.5]
    • Neue Kurzbeschreibung: Autorisierung für WSDL-Anforderung erforderlich
    • Alte Kurzbeschreibung: Autorisierung von WSDL-Anforderungen
    • Neue Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.basicauth.required.wsdl in der Tabelle „sys_properties“ vorhanden und auf „wahr“ festgelegt ist.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.basicauth.required.wsdl auf „wahr“ festgelegt ist.
    • Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Autorisierung für SCHEMA-Anforderungen erfordern [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Autorisierung für SCHEMA-Anforderungen erforderlich
    • Alte Kurzbeschreibung: Autorisierung von SCHEMA-Anforderungen
    • Neue Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.basicauth.required.schema in der Tabelle „sys_properties“ vorhanden und auf „wahr“ festgelegt ist.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.basicauth.required.schema auf „wahr“ festgelegt ist.
    • Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Herunterladbare MIME-Typen einschränken [Aktualisiert in Security Center 1.3 und 2.0]
    • Neue Kurzbeschreibung: Herunterladbare MIME-Typen einschränken
    • Alte Kurzbeschreibung: Herunterladbare MIME-Typen
    Protokollierung für Anwender mit geringen Berechtigungen in der Skript-Sandbox deaktivieren [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Deaktiviert die Protokollierung für Anwender mit geringen Berechtigungen in der Skript-Sandbox
    • Alte Kurzbeschreibung: Glide-Sicherheitsprotokollierung – Keine Protokollierung für Sandbox
    • Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Implementieren Sie den Sicherheitsheader „x-frame-options: SAMEORIGIN“ [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Implementieren Sie den Sicherheitsheader „X-Frame-Options: SAMEORIGIN“.
    • Alte Kurzbeschreibung: X-Frame-Optionen: SAMEORIGIN
    • Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Zugriff auf Leistungsüberwachung einschränken [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Zugriff auf Leistungsüberwachung einschränken
    • Alte Kurzbeschreibung: Leistungsüberwachungs-ACL
    Ausführliche SQL-Fehlermeldungen für Importprozessor deaktivieren [Aktualisiert in Security Center 1.3] Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    SMS-Ablaufzeit bei Passwortzurücksetzung minimieren [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Ablaufdauer für SMS bei Passwortzurücksetzung minimieren
    • Alte Kurzbeschreibung: SMS-Ablaufdatum für Passwort zurücksetzen
    Erstellen von Anwendern aus eingehenden E-Mails deaktivieren [Aktualisiert in Security Center 1.3]
    • Neue Kurzbeschreibung: Erstellen von Anwendern aus eingehenden E-Mails deaktivieren
    • Alte Kurzbeschreibung: E-Mails nach Domäne beschränken
    • Neue Beschreibung: Ein Administrator kann eine E-Mail-Eigenschaft festlegen, um Benutzer automatisch aus eingehenden E-Mails zu erstellen. Wenn diese Eigenschaft auf den unsicheren Wert festgelegt ist, erstellt die Instanz automatisch Anwender aus eingehenden E-Mails. Jeder erstellte Anwender hat dasselbe hartcodierte Standardpasswort, wodurch die Umgehung der Authentifizierung durch Brute-Force erleichtert wird.
    • Alte Beschreibung: Ein Administrator kann eine E-Mail-Eigenschaft so festlegen, dass Anwender automatisch aus eingehenden E-Mails erstellt werden. Wenn diese Eigenschaft auf den unsicheren Wert festgelegt ist, erstellt die Instanz automatisch Anwender aus eingehenden E-Mails. Jeder erstellte Anwender hat dasselbe hartcodierte Standardpasswort, wodurch die Umgehung der Authentifizierung durch Brute-Force erleichtert wird.
    • Neue Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.pop3readerjob.create_caller auf „falsch“ festgelegt ist.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.pop3readerjob.create_caller auf „falsch“ festgelegt ist