Sicherheitshilfe: Plugin „ACL-Regeln“.
Das Sicherheits-Jump-Start-Plugin „Access Control Level (ACL Rules)“ wird automatisch auf allen neuen Instanzen installiert. Verwenden Sie dieses Plugin, um schnell mehrere Systemtabellen zu sichern und den Produktionsstart für Ihre Organisation zu beschleunigen.
Dieses Plugin ist nicht für vorhandene Instanzen vorgesehen, da es den Sicherheitszugriff auf Tabellen ändern kann, die bereits in einer Produktionsumgebung verwendet werden. Wenn ein Administrator dieses Plugin unbedingt auf einer vorhandenen Instanz installieren möchte, sollte es zuerst in einer Testinstanz gründlich getestet werden. Auf diese Weise können Sie die Kompatibilität mit der aktuellen -Implementierung des Unternehmens überprüfen.
Wenn ein Administrator an den neuen ACL-Regeln interessiert ist, die von diesem Plugin bereitgestellt werden, kann er manuell eine oder mehrere Regeln in einer vorhandenen Instanz erstellen und dabei die Liste der ACLs als Leitfaden verwenden.
Die folgenden ACLs sind in diesem Plugin enthalten. Wählen Sie das Symbol in einer Headerzeile aus, um diese Spalte in aufsteigender oder absteigender Reihenfolge zu sortieren. Der Vorgangsschlüssel lautet wie folgt:
- R=lesen
- W=write
- D=löschen
- C=erstellen
| Name | Vorgang | Beschreibung |
|---|---|---|
cmdb_ci |
WCD | Asset- oder ITIL-Rolle zum Schreiben/Erstellen/Löschen von Konfigurationselement-Datensätzen erforderlich |
cmn_department |
WD | Zum Schreiben/Löschen von Abteilungsdatensätzen ist die Rolle „user_admin“ erforderlich |
cmn_location |
WC | Rolle „user_admin“ zum Schreiben/Erstellen von Standortdatensätzen erforderlich |
core_company |
WD | Die Rolle „user_admin“ ist zum Schreiben/Löschen von Unternehmensdatensätzen erforderlich |
kb_knowledge |
Erstellen | Zum Erstellen von Knowledge-Datensätzen ist eine Knowledge-Rolle erforderlich |
ldap_u_config |
RWCD | Die Rolle „user_admin“ ist zum Lesen/Schreiben/Erstellen/Löschen von LDAP-OU-Definitionsdatensätzen erforderlich |
ldap_server_config |
RWCD | Die Rolle „user_admin“ ist zum Lesen/Schreiben/Erstellen/Löschen von LDAP-Server-Datensätzen erforderlich |
process_guide |
WCD | Administratorrolle zum Schreiben/Erstellen/Löschen von Prozessleitfaden-Datensätzen erforderlich |
process_step |
WCD | Administratorrolle zum Schreiben/Erstellen/Löschen von Prozessschritt-Datensätzen erforderlich |
sc_category |
Erstellen | Rolle „catalog_admin“ zum Erstellen von Datensätzen für Servicekatalogkategorien erforderlich |
sc_category |
delete | Die Rolle „catalog_admin“ ist zum Löschen von Servicekatalog-Kategoriedatensätzen erforderlich |
sc_category |
write | Rolle „catalog_admin“ ist zum Schreiben in Datensätze der Servicekatalog-Kategorie erforderlich |
Katalogelement |
write | Rolle „catalog_admin“ zum Schreiben in Katalogelementdatensätze erforderlich |
Katalogelement |
delete | Die Rolle „catalog_admin“ ist zum Löschen von Katalogelementdatensätzen erforderlich |
Katalogelement |
Erstellen | Rolle „catalog_admin“ ist zum Erstellen von Katalogelementdatensätzen erforderlich |
sysevent_email_action |
gelesen | Alle Benutzer können E-Mail-Benachrichtigungsdatensätze lesen (für Abonnementzwecke). |
sysevent_register |
RWCD | Administratorrolle zum Lesen/Schreiben/Erstellen/Löschen von Ereignisregistrierungsdatensätzen erforderlich |
sysevent_script_action |
RWCD | Administratorrolle zum Lesen/Schreiben/Erstellen/Löschen von Skriptaktionsdatensätzen erforderlich |
syslog |
RWCD | Zum Lesen/Schreiben/Erstellen/Löschen von Protokolleintragsdatensätzen ist ein Administrator erforderlich |
sysrule |
RWCD | Administrator zum Lesen/Schreiben/Erstellen/Löschen von Regeldatensätzen (E-Mail-Benachrichtigungen, Aktionen für eingehende E-Mails, Genehmigungsregeln usw.) erforderlich |
sysrule |
gelesen | Alle Benutzer können E-Mail-Benachrichtigungsdatensätze für (Abonnementbasierte Benachrichtigungen) lesen. |
sys_app_application |
WCD | Zum Schreiben/Erstellen/Löschen von Anwendungsdatensätzen ist ein Administrator erforderlich |
sys_app_category |
WCD | Administratorrolle zum Schreiben/Erstellen/Löschen von Anwendungskategorie-Datensätzen erforderlich |
sys_app_module |
WCD | Zum Schreiben/Erstellen/Löschen von Moduldatensätzen ist ein Administrator erforderlich |
sys_audit |
RWCD | Administrator zum Lesen/Schreiben/Erstellen/Löschen von Audit-Datensätzen erforderlich |
sys_dictionary |
RWC | Rolle „personalize_dictionary“ zum Lesen/Schreiben/Erstellen von Wörterbuchdatensätzen erforderlich |
sys_dictionary.* |
gelesen | Die Rolle „personalize_dictionary“ kann Wörterbuchfelder lesen |
sys_documentation |
delete | Rolle „personalize_dictionary“ erforderlich, um Feldbezeichnungsdatensätze zu löschen |
sys_documentation |
Erstellen | Rolle „personalize_dictionary“ erforderlich, um Feldbezeichnungsdatensätze zu erstellen |
sys_documentation |
write | Rolle „personalize_dictionary“ erforderlich, um in Feldbezeichnungsdatensätzen zu schreiben |
sys_gage |
RWCD | Administratorrolle zum Lesen/Schreiben/Erstellen/Löschen von Anzeigedatensätzen erforderlich |
sys_anzeige_count |
RWCD | Administratorrolle zum Lesen/Schreiben/Erstellen/Löschen von Datensätzen für Anzeigezähler erforderlich |
sys_group_has_role |
gelesen | Rolle itil zum Anzeigen von Gruppenrollendatensätzen erforderlich |
sys_home |
WCD | Die Rolle „itil_admin“ ist zum Schreiben/Erstellen/Löschen von Datensätzen für den Willkommensseitenabschnitt erforderlich |
sys_installation_exit |
WCD | Administratorrolle zum Schreiben/Erstellen/Löschen von Installationsbeendigungsdatensätzen erforderlich |
sys_job |
WCD | Administratorrolle zum Schreiben/Erstellen/Löschen von Sys-Job-Datensätzen erforderlich |
sys_nav_link |
WCD | Administratorrolle zum Schreiben/Erstellen/Löschen von Navigationslink-Datensätzen erforderlich |
sys_perperspektive |
WCD | Administratorrolle zum Schreiben/Erstellen/Löschen von Menülisten-Datensätzen erforderlich |
sys_portal |
RWCD | Administratorrolle zum Lesen/Schreiben/Erstellen/Löschen von Portaldatensätzen erforderlich |
sys_portal_page |
RWCD | Administratorrolle zum Lesen/Schreiben/Erstellen/Löschen von Homepage-Datensätzen erforderlich |
sys_portal_preferences |
RWCD | Administratorrolle zum Lesen/Schreiben/Erstellen/Löschen von Portaleinstellungsdatensätzen erforderlich |
sys_processor |
WC | Administratorrolle zum Schreiben/Erstellen von Prozessordatensätzen erforderlich |
sys_properties |
WC | Administratorrolle zum Schreiben/Erstellen von Systemeigenschaften-Datensätzen erforderlich |
sys_properties_category |
WCD | Administratorrolle zum Schreiben/Erstellen/Löschen von Eigenschaftskategorie-Datensätzen erforderlich |
sys_report |
delete | Rollen, die Berichtsdatensätze löschen können (schränkt das Löschen über die Berichts-UI nicht ein) |
sys_report |
write | Rollen, die in Berichtsdatensätze schreiben können (schränkt die Bearbeitung über die Berichts-UI nicht ein) |
sys_report |
gelesen | Anwender können ihre eigenen Berichtsdatensätze, die ihrer Gruppe sowie GLOBALE Datensätze lesen (hat keine Auswirkung auf die Anzeige über die Berichts-UI). |
sys_report |
gelesen | Rollen, die Berichtsdatensätze lesen können (Schränkt die Anzeige über die Berichts-UI nicht ein) |
sys_reportroles |
gelesen | Administratorrolle zum Lesen von Berichtsrollendatensätzen erforderlich |
sys_script |
WCD | Administratorrolle zum Schreiben/Erstellen/Löschen von Business-Regel-Datensätzen erforderlich |
sys_script_ajax |
WCD | Administratorrolle zum Schreiben/Erstellen/Löschen von AJAX-Skriptdatensätzen erforderlich |
sys_script_client |
WCD | Administratorrolle zum Schreiben/Erstellen/Löschen von Clientskript-Datensätzen erforderlich |
sys_script_include |
WCD | Administratorrolle zum Schreiben/Erstellen/Löschen von Skripteinbindungsdatensätzen erforderlich |
sys_security_acl |
write | Administratorrolle ist zum Schreiben in Zugriffssteuerungsdatensätze erforderlich |
| sys_security_acl_role | Erstellen | Administratorrolle zum Erstellen von Zugriffsrollendatensätzen erforderlich |
sys_security_acl_role |
delete | Administratorrolle zum Löschen von Zugriffsrollendatensätzen erforderlich |
sys_security_acl_role |
write | Administratorrolle zum Schreiben in Datensätze für Zugriffsrollen erforderlich |
sys_security_operation |
delete | -Administratorrolle zum Löschen von Security Operation-Datensätzen erforderlich |
sys_security_operation |
Erstellen | -Administratorrolle zum Erstellen von Security Operation-Datensätzen erforderlich |
sys_security_operation |
write | Administratorrolle zum Schreiben in Datensätze von Security Operations erforderlich |
sys_security_operation |
query_range | |
sys_security_operation |
||
sys_security_type |
write | Administratorrolle zum Schreiben in Sicherheitstypdatensätze erforderlich |
sys_security_type |
Erstellen | -Administratorrolle zum Erstellen von Sicherheitstypdatensätzen erforderlich |
sys_security_type |
delete | Administratorrolle zum Löschen von Sicherheitstypdatensätzen erforderlich |
sys_status |
Erstellen | -Administratorrolle zum Erstellen von Systemstatusdatensätzen erforderlich |
sys_status |
delete | Administratorrolle zum Löschen von Systemstatusdatensätzen erforderlich |
sys_status |
write | Administratorrolle zum Schreiben in Systemstatus-Datensätze erforderlich |
sys_template |
write | Die Rolle „template_editor“ ist zum Schreiben in Vorlagendatensätze erforderlich |
sys_template |
Erstellen | Rolle „emplate_editor“ zum Erstellen von Vorlagendatensätzen erforderlich |
sys_template |
delete | Die Rolle „template_editor“ ist zum Löschen von Vorlagendatensätzen erforderlich |
sys_template |
gelesen | Rolle „template_editor“ zum Lesen von Vorlagenrollendatensätzen erforderlich |
sys_ui_action |
Erstellen | -Administratorrolle zum Erstellen von UI-Aktionsdatensätzen erforderlich |
sys_ui_action |
delete | Administratorrolle zum Löschen von UI-Aktionsdatensätzen erforderlich |
sys_ui_action |
write | Administratorrolle zum Schreiben in UI-Aktionsdatensätze erforderlich |
sys_ui_action_view |
write | Administratorrolle zum Schreiben in Datensätze von UI-Ansichtsaktionen erforderlich |
sys_ui_action_view |
Erstellen | -Administratorrolle zum Erstellen von Datensätzen für UI-Ansichtsaktionen erforderlich |
sys_ui_action_view |
delete | Administratorrolle zum Löschen von UI-Ansichtsaktionsdatensätzen erforderlich |
sys_ui_policy |
Erstellen | -Administratorrolle zum Erstellen von UI-Richtliniendatensätzen erforderlich |
sys_ui_policy |
delete | -Administratorrolle zum Löschen von UI-Richtliniendatensätzen erforderlich |
sys_ui_policy |
write | Administratorrolle zum Schreiben in UI-Richtliniendatensätze erforderlich |
sys_ui_policy_action |
Erstellen | Administratorrolle zum Erstellen von Datensätzen für UI-Richtlinienaktionen erforderlich |
sys_ui_policy_action |
delete | Administratorrolle zum Löschen von UI-Richtlinien-Aktionsdatensätzen erforderlich |
sys_ui_policy_action |
write | Administratorrolle zum Schreiben in Datensätze von UI-Richtlinienaktionen erforderlich |
sys_ui_script |
write | Administratorrolle zum Schreiben in UI-Skriptdatensätze erforderlich |
sys_ui_script |
delete | Administratorrolle zum Löschen von UI-Skriptdatensätzen erforderlich |
sys_ui_script |
Erstellen | Administratorrolle zum Erstellen von UI-Skriptdatensätzen erforderlich |
sys_user |
write | Anwender ohne Rolle können nur ihren eigenen Datensatz aktualisieren |
sys_user_grmember |
delete | Die Rolle „user_admin“ ist zum Löschen von Gruppenmitgliedsdatensätzen erforderlich |
sys_user_grmember |
write | Die Rolle „user_admin“ ist zum Schreiben in Gruppenmitgliedsdatensätze erforderlich |
sys_user_group |
Erstellen | Nur itil und höhere Versionen können Gruppendatensätze erstellen |
sys_user_group |
write | Nur itil und höhere Versionen können in Gruppendatensätzen schreiben |
sys_user_has_role |
gelesen | Rolle itil zum Anzeigen von Benutzerrollendatensätzen erforderlich |
sys_user_role |
Erstellen | Administratorrolle zum Erstellen von Rollendatensätzen erforderlich |
sys_user_role |
delete | Administratorrolle zum Löschen von Rollendatensätzen erforderlich |
sys_user_role |
write | Administratorrolle zum Schreiben in Rollendatensätze erforderlich |
sys_user_role_contains |
gelesen | Rolle „itil“ erforderlich, um enthaltene Rollendatensätze anzuzeigen |
sys_user_role_contains |
write | Administratorrolle zum Schreiben in Datensätze für enthaltene Rollen erforderlich |
sys_user_token |
RWCD | Administratorrolle zum Lesen/Schreiben/Erstellen/Löschen von Anwender-Token-Datensätzen erforderlich |
Hinweis:
Weitere Informationen zu diesem Plugin finden Sie unter Sicherheits-Jump-Start (ACL-Regeln) (Härtung der Instanzsicherheit) in Einstellungen für die Härtung der Instanzsicherheit.