Strenge Sicherheitseinstellungen erkunden
Strenge Sicherheitseinstellungen schließen mehrere Sicherheitsoptionen ein, die in Ihrer Instanz verfügbar sind.
Das Modul „Strenge Sicherheitseinstellungen“ wird mit dem Plugin „Strenge Sicherheitseinstellungen“ aktiviert, das bei neuen Instanzen standardmäßig aktiv ist. Wenn „Strenge Sicherheitseinstellungen“ in Ihrer Instanz nicht aktiv ist, lesen Sie die Anleitung für „Strenge Sicherheitseinstellungen anfordern“. Weitere Informationen zu diesem Plugin finden Sie unter Hochsicherheits-Plugin in Härtungseinstellungen für Instanzsicherheit. Eigenschaften für diese Arten von Einstellungen für hohe Sicherheit sind verfügbar:
- Standardeigenschaftswerte: Um die Sicherheit auf Ihrer Plattform zu erhöhen, indem alle kritischen Sicherheitseinstellungen an einem zentralen Ort für die Verwaltung und Überwachung zentralisiert werden.
- Standardmäßige Deny-Eigenschaft: Stellt eine Sicherheitsmanager-Eigenschaft zur Steuerung des Standardsicherheitsverhaltens für den Tabellenzugriff bereit.
- Sicherheitsadministratorrolle: Stellt eine Rolle bereit, um die Änderung wichtiger Sicherheitseinstellungen und -ressourcen zu verhindern. Die Sicherheitsadministratorrolle wird nicht von der Administratorrolle geerbt und muss explizit zugewiesen werden.
- Erweiterte Rechte: Ermöglicht Anwendern mit der Sicherheitsadministratorrolle, im Kontext eines normalen Anwenders zu arbeiten und bei Bedarf eine höhere Sicherheitsrolle zu übernehmen.
- Zugriffssteuerungen für Eigenschaften: Ermöglicht Sicherheitsadministratoren das Festlegen der Rollen, die zum Lesen und Schreiben von Eigenschaften erforderlich sind.
- Systemprotokolle: Sind schreibgeschützt.
- Zugriffssteuerungsregeln: Steuern Sie, auf welche Daten Benutzer zugreifen können und wie sie darauf zugreifen können.
- „Strenge Sicherheitseinstellungen“ aktiviert auch automatisch das Plugin „Kontextsicherheit“, wenn es nicht bereits aktiv ist. Darüber hinaus bietet Plattformsicherheitseinstellungen – Hoch Einstellungen und Funktionen zur Erhöhung der Sicherheit Ihrer Instanz.
- Der Inhalt „Härtungseinstellungen für die Instanzsicherheit“ enthält detaillierte Beschreibungen und Compliance-Werte für die sicherheitsbezogenen Systemeigenschaften und Plugins im Now Platform. Weitere Informationen zu diesen Eigenschaften finden Sie unter Härtungseinstellungen für die Instanzsicherheit.
- Weitere Informationen zu den einzelnen Eigenschaften finden Sie unter Härtungseinstellungen für die Instanzsicherheit.
- Navigieren zu an.
Optionen auf der Seite „Strenge Sicherheitseigenschaften“ sind Ja oder Nein.
- Navigieren Sie zu sys_properties.list und suchen Sie nach der Eigenschaft, die Sie festlegen oder ändern möchten.
Optionen in der Tabelle „Systemeigenschaften“ [sys_properties.list] sind true oder false.
Zugriffssteuerung für Eigenschaften
Wenn „Strenge Sicherheitseinstellungen“ aktiv ist, werden in der Tabelle „Eigenschaften“ [sys_properties] zwei zusätzliche Spalten erstellt:
- read_roles: Eine durch Kommas getrennte Liste von Rollennamen, die alle Felder dieser Eigenschaft lesen dürfen.
- write_roles: Eine durch Kommas getrennte Liste von Rollennamen, die alle Felder dieser Eigenschaft schreiben/ändern dürfen.
Eigenschaften, die in der Tabelle „Eigenschaften“ aufgeführt sind, haben „read_roles“ des Werts „admin“ und „write_roles“ des Werts „security_admin“. Benutzer mit der Rolle „admin“ können die Eigenschaftswerte anzeigen und lesen, müssen jedoch zum Ändern die Eigenschaftswerte auf die Rolle „security_admin“ hochstufen.
Benachrichtigungen
Durch die Aktivierung von Einstellungen für hohe Sicherheit werden auch Sicherheitswarnmeldungen aktiviert. Im Folgenden finden Sie ein Beispiel für eine Nachricht, die nach einer Genehmigung angezeigt wird.
Eigenschaften von „Strenge Sicherheitseinstellungen“
| Eigenschaft | Beschreibung | Standardwert | Härtungseinstellungen für die Instanzsicherheit |
|---|---|---|---|
| glide.ui.escape_text | XML-Werte auf Parser-Ebene für die Anwenderoberfläche codieren. Verhindert reflektierte und gespeicherte Cross Site Scripting-Angriffe. Diese Eigenschaft ist im Serviceportal nicht anwendbar. Hinweis: Diese Eigenschaft ist in Vancouver und späteren Releases standardmäßig auf „ true “ festgelegt und kann von Administratoren nicht geändert werden. Wenn Sie einen Anwendungsfall haben, bei dem die Eigenschaft geändert werden muss, wenden Sie sich an den Kundensupport. |
Ja | XML |
| glide.ui.escape_all_script | Erzwingt alle Ausdrücke in Jelly-JavaScript <![CDATA[<script type="text/javascript"> |
Ja, in neuen Instanzen | Escape Jelly |
| glide.ui.rotate_sessions | HTTP-Sitzungs-IDs rotieren, um Sicherheitsschwachstellen zu reduzieren. Siehe: http://www.owasp.org/index.php/Session_Management#Rotate_Session_Identifiers. |
Ja Hinweis: Wenn Sie das SAML 2.0-Plugin für die Single Sign-on-Authentifizierung verwenden, setzen Sie diese Eigenschaft auf Nein. Andernfalls wird die gemeinsame Nutzung von Sitzungsinformationen zwischen der Instanz und dem Identitätsanbieter beeinträchtigt. |
HTTP-Sitzungs-Bezeichner rotieren |
| glide.ui.secure_cookies | Cookies für sichere Sitzung aktivieren: Zusätzliche Cookie-Sicherheit aktivieren. Falls Ja, wird eine strikte Validierung des Sitzungscookies erzwungen. |
Ja | Sitzungscookies schützen |
| glide.security.password_reset.uri | Für Mobilgeräte PasswortzurücksetzungURL, zu der der Benutzer weitergeleitet wird, wenn er auf die Schaltfläche Passwort vergessen? klickt. Schaltfläche. |
Keine | |
| glide.security.strict.updates | Sicherheit eingehender Transaktionen bei der Formularübermittlung nochmals überprüfen (Rechte werden immer bei der Formulargenerierung überprüft). Hinweis: Diese Eigenschaft ist in Vancouver und späteren Releases standardmäßig auf „ true “ festgelegt und kann von Administratoren nicht geändert werden. Wenn Sie einen Anwendungsfall haben, bei dem die Eigenschaft geändert werden muss, wenden Sie sich an den Kundensupport. |
Ja | Überprüfen Sie die eingehenden Transaktionen noch einmal |
| glide.security.strict.actions | Überprüfen Sie die Bedingungen für UI-Aktionen vor der Ausführung. Normalerweise werden Bedingungen nur während des Formular-Renderings überprüft. |
Ja | UI-Aktion vor der Ausführung überprüfen |
| glide.security.use_csrf_token | Aktivieren Sie die Verwendung eines sicheren Tokens, um eingehende Anforderungen zu identifizieren und zu validieren. Dieses Token wird verwendet, um Site-übergreifende Angriffe durch gefälschte Anforderungen zu verhindern. |
Ja | Anti-CSRF-Token |
| glide.ui.escape_html_list_field | HTML für HTML-Felder in einer Listenansicht codieren. |
Ja | Escape-Zeichen für HTML |
| glide.html.escape_script | Escape-Zeichen für JavaScript-Tags in HTML-Feldern. |
Ja | Escape-Zeichen für Javascript |
| glide.ui.vergissmich | Entfernen Sie das Kontrollkästchen Anwendernamen speichern von der Anmeldeseite. |
Ja | „Anwendernamen speichern“ entfernen |
| glide.smtp.auth | Authentifizieren Sie sich beim SMTP-Server über die Eigenschaften Anwendername und Passwort. Hinweis: Diese Eigenschaft ist veraltet. |
Ja | |
| glide.script.use.sandbox | Vom Client generierte Skripts (AJAXEvaluate- und Abfragebedingungen) in einer Sandbox mit reduzierten Rechten ausführen. Wenn Ja, sind nur die Business-Regeln und Skripteinbindungen verfügbar, für die das Kontrollkästchen Vom Client aufrufbar auf Ja festgelegt ist, und bestimmte Back-End-API-Aufrufe werden nicht zugelassen. Weitere Informationen finden Sie unter Sandbox-Eigenschaft für Skript konfigurieren. |
Ja | Vom Client generierte Skripts in der Sandbox |
| glide.soap.strict_security | Strikte Sicherheit für eingehende SOAP-Anforderungen erzwingen. Erfordert, dass bei eingehenden SOAP-Anforderungen der Zugriff auf Tabellen und Felder durch den Sicherheitsmanager überprüft wird, und überprüft die SOAP-Anwender auf die richtigen Rollen für die Verwendung des Webservice. |
Ja | Strikte Sicherheit für SOAP-Anforderungen |
| glide.basicauth.required.wsdl | Autorisierung für eingehende WSDL-Anforderungen anfordern. Hinweis: Wenn Sie keine Autorisierung für eingehende WSDL-Anforderungen vorschreiben möchten, müssen Sie die Regeln für die Zugriffssteuerung (ACL) ändern, um Gastbenutzern den Zugriff auf WSDL-Inhalt zu ermöglichen. |
Ja | Autorisierung von WSDL-Anforderungen |
| glide.basicauth.required.csv | Standardautorisierung für eingehende CSV-Anforderungen anfordern an. |
Ja | Autorisierung von CSV-Anforderungen |
| glide.basisauth.erforderlich.excel | Standardautorisierung für eingehende Excel-Anforderungen anfordern. |
Ja | Autorisierung von Excel-Anforderungen |
| glide.basisauth.erforderlich.importprozessor | Standardautorisierung für eingehende Importanforderungen anfordern. |
Ja | Autorisierung der Importanforderung |
| glide.basicauth.required.pdf | Standardautorisierung für eingehende PDF-Anforderungen anfordern. |
Ja | Autorisierung von PDF-Anforderungen |
| glide.basicauth.required.rss | Standardautorisierung für eingehende RSS-Anforderungen anfordern. | Ja | Autorisierung von RSS-Anforderungen |
| glide.basicauth.required.scriptedprocessor | Standardautorisierung für eingehende Skriptanforderungen anfordern. |
Ja | Autorisierung von Skript-Anforderungen |
| glide.basicauth.required.soap | Standard-Berechtigung für eingehende SOAP-Requests anfordern. |
Ja | Standardauthentifizierung: SOAP-Anforderungen |
| glide.basicauth.required.unl | Standardautorisierung für eingehende Entlade-Anforderungen anfordern. |
Ja | Autorisierung von Entlade-Anforderungen |
| glide.basicauth.required.xml | Standardautorisierung für eingehende XML-Anforderungen anfordern. |
Ja | Autorisierung von XML-Anforderungen |
| glide.basisauth.erforderlich.xsd | Standardautorisierung für eingehende XSD-Anforderungen anfordern. |
Ja | Autorisierung von XSD-Anforderungen |
| glide.cms.catalog_uri_relative | Erzwingen Sie relative Links über den URI-Parameter für /ess/catalog.do. Falls Ja, werden nur relative URLs über die Seite „/ess/catalog.do“ mit dem Parameter uri zugelassen. Bei „ Nein“ sind alle URLs zulässig, was auch Verknüpfungen zu externen, nicht autorisierten Inhalten zulassen kann. |
Ja | Relative Links erzwingen |
| glide.set_x_frame_options | Aktivieren Sie diese Eigenschaft, um den X-Frame-Options-Antwortheader für alle UI-Seiten auf SAMEORIGIN festzulegen. Der X-Frame-Options HTTP Response Header kann verwendet werden, um anzugeben, ob der Browser eine Seite in einem <frame> oder <iframe> rendern kann. Websites können diese Eigenschaft verwenden, um Clickjacking-Angriffe zu vermeiden, indem sichergestellt wird, dass ihr Inhalt nicht in andere Websites eingebettet wird. https://developer.mozilla.org/en/the_x-frame-options_response_header |
Ja | X-Frame-Options: SAMEORIGIN |
| glide.ui.attachment.download_mime_types | Eine Liste von kommagetrennten MIME-Typen für Anhänge, die nicht inline im Browser gerendert werden. Sie verhindert Cross Site Scripting-Angriffe. Beispielsweise erzwingt text/html, dass HTML-Dateien als Anhänge auf den Client heruntergeladen und nicht inline im Browser angezeigt werden. |
text/html,image/svg,image/svg+xml | Erzwingen Sie den Download der MIME-Typen |
| glide.security.groupby_acl_check | Wenn diese Eigenschaft aktiviert ist, werden ACL-Prüfungen für GroupBy-Vorgänge für die Gruppennamen basierend auf den tatsächlichen Daten der Gruppen durchgeführt. |
Ja | Keine |
| glide.security.diag_txns_acl | Falls „ Ja“, kann nur der Administratoranwender oder ein Anwender von der zulässigen IP-Adresse auf stats.do, threads.dound replication.dozugreifen. | Nein | Leistungsüberwachung (ACL) |
| glide.ui.security.codetag.allow_script | Eingebettetes HTML (mit [code]-Tags) darf JavaScript-Tags enthalten. Hinweis: Diese Eigenschaft ist in Vancouver und späteren Releases standardmäßig auf „ true “ festgelegt und kann von Administratoren nicht geändert werden. Wenn Sie einen Anwendungsfall haben, bei dem die Eigenschaft geändert werden muss, wenden Sie sich an den Kundensupport. |
Nein | Eingebetteten HTML-Code zulassen |
| glide.script.allow.ajaxevaluieren | Aktivieren Sie den AJAXEvaluate-Prozessor. Der AJAXEvaluate- API-Aufruf ermöglicht es dem Client, beliebige Skripts auf dem Server zu senden und auszuführen. |
Nein | Aktivieren Sie AJAXEvaluate |
| glide.login.autocomplete | Browsern die Verwendung der automatischen Vervollständigung für Passwortfelder in Anmeldeformularen erlauben. |
Nein | Automatische Vervollständigung des Passwortfelds |
Die folgenden Eigenschaften sind in der Tabelle „sys_properties“ definiert, werden jedoch nicht auf der Seite „Strenge Sicherheitseinstellungen“ angezeigt.
| Eigenschaft | Beschreibung | Standardwert | Härtungseinstellungen für die Instanzsicherheit |
|---|---|---|---|
| com.glide.communications.httpclient.verify_hostname | Überprüft den Hostnamen und die Zertifikatkette, die von Remote-SSL-Hosts dargestellt werden. Schützen Sie sich vor MITM-Angriffen (Man-In-The-Middle). Weitere Informationen finden Sie unter Kubernetes-Spoke einrichten Hinweis: Diese Eigenschaft überschreibt die Eigenschaft com.glide.communications.trustmanager_trust_all. |
wahr | Keine |
| glide.basicauth.required.schema | Standardauthentifizierung für eingehende Tabellenschemaanforderungen anfordern. |
wahr | Keine |
| glide.security.csrf_ previous.allow | Verwendung eines abgelaufenen sicheren Tokens zum Identifizieren und Validieren eingehender Anforderungen zulassen Dieses Token wird verwendet, um Site-übergreifende Angriffe durch gefälschte Anforderungen zu verhindern. |
falsch | Keine |
| glide.security.csrf_ previous.time_limit | Zeit in Sekunden, bis ein sicheres Token abläuft. Ermöglicht die Kontrolle über die Gültigkeitsdauer des vorherigen CSRF-Tokens. Wenn die Benutzersitzung abläuft, läuft auch das sichere Token ab, es sei denn, die Eigenschaft glide.security.csrf_previous.allow ist aktiviert und der Zeitraum liegt innerhalb des durch diese Eigenschaft beschriebenen Zeitrahmens. Dieses Token wird verwendet, um Site-übergreifende Angriffe durch gefälschte Anforderungen zu verhindern. |
86400 Hinweis: Wert in Sekunden. Entspricht 1 Tag. |
Keine |
| glide.security.csrf.strict.validation.mode | Erzwingt die strikte Überprüfung von CSRF-Token, wobei das erneute Übermitteln der Anforderung durch Benutzer nicht erlaubt ist, wenn das CSRF-Token nicht übereinstimmt. |
falsch | Strikte CSRF-Validierung |
| com.glide.security.check_unsanitized_html | Erzwingt das Bereinigungsverhalten von translated_html-Feldern auf globaler Ebene für Feldzuweisungen. | erzwingen | Keine |