Strenge Sicherheitseinstellungen erkunden
Strenge Sicherheitseinstellungen schließen mehrere Sicherheitsoptionen ein, die in Ihrer Instanz verfügbar sind.
Das Modul „Strenge Sicherheitseinstellungen“ wird mit dem Plugin „Strenge Sicherheitseinstellungen“ aktiviert, das bei neuen Instanzen standardmäßig aktiv ist. Wenn „Strenge Sicherheitseinstellungen“ in Ihrer Instanz nicht aktiv ist, lesen Sie die Anleitung für „Strenge Sicherheitseinstellungen anfordern“. Weitere Informationen zu diesem Plugin finden Sie unter Plugin für hohe Sicherheit aktivieren [In Security Center 1.3 aktualisiert] in Härtungseinstellungen für Instanzsicherheit. Eigenschaften für diese Arten von Einstellungen für hohe Sicherheit sind verfügbar:
- Standardeigenschaftswerte: Um die Sicherheit auf Ihrer Plattform zu erhöhen, indem alle kritischen Sicherheitseinstellungen an einem zentralen Ort für die Verwaltung und Überwachung zentralisiert werden.
- Standardmäßige Deny-Eigenschaft: Stellt eine Sicherheitsmanager-Eigenschaft zur Steuerung des Standardsicherheitsverhaltens für den Tabellenzugriff bereit.
- Sicherheitsadministratorrolle: Stellt eine Rolle bereit, um die Änderung wichtiger Sicherheitseinstellungen und -ressourcen zu verhindern. Die Sicherheitsadministratorrolle wird nicht von der Administratorrolle geerbt und muss explizit zugewiesen werden.
- Erweiterte Rechte: Ermöglicht Anwendern mit der Sicherheitsadministratorrolle, im Kontext eines normalen Anwenders zu arbeiten und bei Bedarf eine höhere Sicherheitsrolle zu übernehmen.
- Zugriffssteuerungen für Eigenschaften: Ermöglicht Sicherheitsadministratoren das Festlegen der Rollen, die zum Lesen und Schreiben von Eigenschaften erforderlich sind.
- Systemprotokolle: Sind schreibgeschützt.
- Zugriffssteuerungsregeln: Steuern Sie, auf welche Daten Benutzer zugreifen können und wie sie darauf zugreifen können.
- „Strenge Sicherheitseinstellungen“ aktiviert auch automatisch das Plugin „Kontextsicherheit“, wenn es nicht bereits aktiv ist. Darüber hinaus bietet Plattformsicherheitseinstellungen – Hoch Einstellungen und Funktionen zur Erhöhung der Sicherheit Ihrer Instanz.
- Der Inhalt „Härtungseinstellungen für die Instanzsicherheit“ enthält detaillierte Beschreibungen und Compliance-Werte für die sicherheitsbezogenen Systemeigenschaften und Plugins im Now Platform.
- Weitere Informationen zu den einzelnen Eigenschaften finden Sie unter Härtungseinstellungen.
- Navigieren zu .
Optionen auf der Seite „Strenge Sicherheitseigenschaften“ sind Ja oder Nein.
- Navigieren Sie zu sys_properties.list und suchen Sie nach der Eigenschaft, die Sie festlegen oder ändern möchten.
Optionen in der Tabelle „Systemeigenschaften“ [sys_properties.list] sind true oder false.
Zugriffssteuerung für Eigenschaften
Wenn „Strenge Sicherheitseinstellungen“ aktiv ist, werden in der Tabelle „Eigenschaften“ [sys_properties] zwei zusätzliche Spalten erstellt:
- read_roles: Eine durch Kommas getrennte Liste von Rollennamen, die alle Felder dieser Eigenschaft lesen dürfen.
- write_roles: Eine durch Kommas getrennte Liste von Rollennamen, die alle Felder dieser Eigenschaft schreiben/ändern dürfen.
Eigenschaften, die in der Tabelle „Eigenschaften“ aufgeführt sind, haben „read_roles“ des Werts „admin“ und „write_roles“ des Werts „security_admin“. Benutzer mit der Rolle „admin“ können die Eigenschaftswerte anzeigen und lesen, müssen jedoch zum Ändern die Eigenschaftswerte auf die Rolle „security_admin“ hochstufen.
Benachrichtigungen
Durch die Aktivierung von Einstellungen für hohe Sicherheit werden auch Sicherheitswarnmeldungen aktiviert. Im Folgenden finden Sie ein Beispiel für eine Nachricht, die nach einer Genehmigung angezeigt wird.
Eigenschaften von „Strenge Sicherheitseinstellungen“
| Eigenschaft | Beschreibung | Standardwert | Härtungseinstellungen für die Instanzsicherheit |
|---|---|---|---|
| glide.ui.escape_text | XML-Werte auf Parser-Ebene für die Anwenderoberfläche codieren. Verhindert reflektierte und gespeicherte Cross Site Scripting-Angriffe. Diese Eigenschaft ist im Serviceportal nicht anwendbar. Hinweis: Diese Eigenschaft ist in Vancouver und späteren Releases standardmäßig auf „true“ festgelegt und kann von Administratoren nicht geändert werden. Wenn Sie einen Anwendungsfall haben, bei dem die Eigenschaft geändert werden muss, wenden Sie sich an den Kundensupport. |
Ja | XML-Markup codieren [In Security Center 1.3 aktualisiert] |
| glide.ui.escape_all_script | Erzwingt alle Ausdrücke in Jelly-JavaScript <![CDATA[<script type="text/javascript"> |
Ja, in neuen Instanzen | Escape-Zeichen für Jelly-Skript [In Security Center 1.3 und 1.5 aktualisiert] |
| glide.ui.rotate_sessions | HTTP-Sitzungs-IDs rotieren, um Sicherheitsschwachstellen zu reduzieren. Siehe: http://www.owasp.org/index.php/Session_Management#Rotate_Session_Identifiers. |
Ja Hinweis: Wenn Sie das SAML 2.0-Plugin für die Single Sign-on-Authentifizierung verwenden, setzen Sie diese Eigenschaft auf Nein. Andernfalls wird die gemeinsame Nutzung von Sitzungsinformationen zwischen der Instanz und dem Identitätsanbieter beeinträchtigt. |
HTTP-Sitzungs-Bezeichner rotieren |
| glide.ui.secure_cookies | Cookies für sichere Sitzung aktivieren: Zusätzliche Cookie-Sicherheit aktivieren. Falls Ja, wird eine strikte Validierung des Sitzungscookies erzwungen. |
Ja | Strikte Sicherheit von Sitzungscookies erzwingen [Aktualisiert in Security Center 1.3] |
| glide.security.password_reset.uri | Für Mobilgeräte PasswortzurücksetzungURL, zu der der Benutzer weitergeleitet wird, wenn er auf die Schaltfläche Passwort vergessen? klickt. Schaltfläche. |
Keine | |
| glide.security.strict.updates | Sicherheit eingehender Transaktionen bei der Formularübermittlung nochmals überprüfen (Rechte werden immer bei der Formulargenerierung überprüft). Hinweis: Diese Eigenschaft ist in Vancouver und späteren Releases standardmäßig auf „true“ festgelegt und kann von Administratoren nicht geändert werden. Wenn Sie einen Anwendungsfall haben, bei dem die Eigenschaft geändert werden muss, wenden Sie sich an den Kundensupport. |
Ja | Eingehende Transaktionen noch einmal überprüfen [Aktualisiert in Security Center 1.3] |
| glide.security.strict.actions | Überprüfen Sie die Bedingungen für UI-Aktionen vor der Ausführung. Normalerweise werden Bedingungen nur während des Formular-Renderings überprüft. |
Ja | Überprüfen Sie die Bedingungen für UI-Aktionen vor der Ausführung |
| glide.security.use_csrf_token | Aktivieren Sie die Verwendung eines sicheren Tokens, um eingehende Anforderungen zu identifizieren und zu validieren. Dieses Token wird verwendet, um Site-übergreifende Angriffe durch gefälschte Anforderungen zu verhindern. |
Ja | Anti-CSRF-Token aktivieren [Neu in Security Center 1.3, aktualisiert in 1.5 und entfernt in 2.0] |
| glide.ui.escape_html_list_field | HTML für HTML-Felder in einer Listenansicht codieren. |
Ja | HTML in Listenansichten codieren [Aktualisiert in Security Center 1.3 und 1.5] |
| glide.html.escape_script | Escape-Zeichen für JavaScript-Tags in HTML-Feldern. |
Ja | Escape-Zeichen für JavaScript [Aktualisiert in Security Center 1.3] |
| glide.ui.vergissmich | Entfernen Sie das Kontrollkästchen Anwendernamen speichern von der Anmeldeseite. |
Ja | „Anwendernamen speichern“ entfernen |
| glide.smtp.auth | Authentifizieren Sie sich beim SMTP-Server über die Eigenschaften Anwendername und Passwort. Hinweis: Diese Eigenschaft ist veraltet. |
Ja | |
| glide.script.use.sandbox | Vom Client generierte Skripts (AJAXEvaluate- und Abfragebedingungen) in einer Sandbox mit reduzierten Rechten ausführen. Wenn Ja, sind nur die Business-Regeln und Skripteinbindungen verfügbar, für die das Kontrollkästchen Vom Client aufrufbar auf Ja festgelegt ist, und bestimmte Back-End-API-Aufrufe werden nicht zugelassen. Weitere Informationen finden Sie unter Sandbox-Eigenschaft für Skript konfigurieren. |
Ja | Skript-Sandbox aktivieren [In Security Center 1.3 aktualisiert] |
| glide.soap.strict_security | Strikte Sicherheit für eingehende SOAP-Anforderungen erzwingen. Erfordert, dass bei eingehenden SOAP-Anforderungen der Zugriff auf Tabellen und Felder durch den Sicherheitsmanager überprüft wird, und überprüft die SOAP-Anwender auf die richtigen Rollen für die Verwendung des Webservice. |
Ja | Strikte Sicherheit für SOAP-Anforderungen erzwingen [Aktualisiert in Security Center 1.3] |
| glide.basicauth.required.wsdl | Autorisierung für eingehende WSDL-Anforderungen anfordern. Hinweis: Wenn Sie keine Autorisierung für eingehende WSDL-Anforderungen vorschreiben möchten, müssen Sie die Regeln für die Zugriffssteuerung (ACL) ändern, um Gastbenutzern den Zugriff auf WSDL-Inhalt zu ermöglichen. |
Ja | Autorisierung für WSDL-Anforderung erfordern [Aktualisiert in Security Center 1.3 und 1.5] |
| glide.basicauth.required.csv | Standardautorisierung für eingehende CSV-Anforderungen anfordern . |
Ja | Autorisierung für CSV-Anforderungen erfordern [Aktualisiert in Security Center 1.3] |
| glide.basisauth.erforderlich.excel | Standardautorisierung für eingehende Excel-Anforderungen anfordern. |
Ja | Autorisierung für Excel-Anforderungen erfordern [Aktualisiert in Security Center 1.3] |
| glide.basisauth.erforderlich.importprozessor | Standardautorisierung für eingehende Importanforderungen anfordern. |
Ja | Autorisierung für Importanforderungen erfordern [Aktualisiert in Security Center 1.3] |
| glide.basicauth.required.pdf | Standardautorisierung für eingehende PDF-Anforderungen anfordern. |
Ja | Autorisierung für PDF-Anforderungen erfordern [Aktualisiert in Security Center 1.3] |
| glide.basicauth.required.rss | Standardautorisierung für eingehende RSS-Anforderungen anfordern. | Ja | Autorisierung für RSS-Anforderungen erfordern [Aktualisiert in Security Center 1.3] |
| glide.basicauth.required.scriptedprocessor | Standardautorisierung für eingehende Skriptanforderungen anfordern. |
Ja | Autorisierung für Skriptanforderungen erfordern [Aktualisiert in Security Center 1.3] |
| glide.basicauth.required.soap | Standard-Berechtigung für eingehende SOAP-Requests anfordern. |
Ja | Autorisierung für SOAP-Anforderungen erfordern [Aktualisiert in Security Center 1.3, 1.5 und 2.0] |
| glide.basicauth.required.unl | Standardautorisierung für eingehende Entlade-Anforderungen anfordern. |
Ja | Autorisierung für Entlade-Anforderungen erfordern [Aktualisiert in Security Center 1.3] |
| glide.basicauth.required.xml | Standardautorisierung für eingehende XML-Anforderungen anfordern. |
Ja | Autorisierung für XML-Anforderungen erfordern [Aktualisiert in Security Center 1.3] |
| glide.basisauth.erforderlich.xsd | Standardautorisierung für eingehende XSD-Anforderungen anfordern. |
Ja | Autorisierung für XSD-Anforderungen erfordern [Aktualisiert in Security Center 1.3] |
| glide.cms.catalog_uri_relative | Erzwingen Sie relative Links über den URI-Parameter für /ess/catalog.do. Falls Ja, werden nur relative URLs über die Seite „/ess/catalog.do“ mit dem Parameter uri zugelassen. Bei „Nein“sind alle URLs zulässig, was auch Verknüpfungen zu externen, nicht autorisierten Inhalten zulassen kann. |
Ja | Relative Links erzwingen [Aktualisiert in Security Center 1.3 und 1.5] |
| glide.set_x_frame_options | Aktivieren Sie diese Eigenschaft, um den X-Frame-Options-Antwortheader für alle UI-Seiten auf SAMEORIGIN festzulegen. Der X-Frame-Options HTTP Response Header kann verwendet werden, um anzugeben, ob der Browser eine Seite in einem <frame> oder <iframe> rendern kann. Websites können diese Eigenschaft verwenden, um Clickjacking-Angriffe zu vermeiden, indem sichergestellt wird, dass ihr Inhalt nicht in andere Websites eingebettet wird. https://developer.mozilla.org/en/the_x-frame-options_response_header |
Ja | Implementieren Sie den Sicherheitsheader „x-frame-options: SAMEORIGIN“ [Aktualisiert in Security Center 1.3] |
| glide.ui.attachment.download_mime_types | Eine Liste von kommagetrennten MIME-Typen für Anhänge, die nicht inline im Browser gerendert werden. Sie verhindert Cross Site Scripting-Angriffe. Beispielsweise erzwingt text/html, dass HTML-Dateien als Anhänge auf den Client heruntergeladen und nicht inline im Browser angezeigt werden. |
text/html,image/svg,image/svg+xml | Herunterladbare MIME-Typen einschränken [Aktualisiert in Security Center 1.3 und 2.0] |
| glide.security.groupby_acl_check | Wenn diese Eigenschaft aktiviert ist, werden ACL-Prüfungen für GroupBy-Vorgänge für die Gruppennamen basierend auf den tatsächlichen Daten der Gruppen durchgeführt. |
Ja | Keine |
| glide.security.diag_txns_acl | Falls „Ja“, kann nur der Administratoranwender oder ein Anwender von der zulässigen IP-Adresse auf stats.do, threads.dound replication.dozugreifen. | Nein | Zugriff auf Leistungsüberwachung einschränken [Aktualisiert in Security Center 1.3] |
| glide.ui.security.codetag.allow_script | Eingebettetes HTML (mit [code]-Tags) darf JavaScript-Tags enthalten. Hinweis: Diese Eigenschaft ist in Vancouver und späteren Releases standardmäßig auf „true“ festgelegt und kann von Administratoren nicht geändert werden. Wenn Sie einen Anwendungsfall haben, bei dem die Eigenschaft geändert werden muss, wenden Sie sich an den Kundensupport. |
Nein | Eingebetteten HTML-Code deaktivieren [In Security Center 1.3 aktualisiert] |
| glide.script.allow.ajaxevaluieren | Aktivieren Sie den AJAXEvaluate-Prozessor. Der AJAXEvaluate- API-Aufruf ermöglicht es dem Client, beliebige Skripts auf dem Server zu senden und auszuführen. |
Nein | AJAXEvaluate deaktivieren |
| glide.login.autocomplete | Browsern die Verwendung der automatischen Vervollständigung für Passwortfelder in Anmeldeformularen erlauben. |
Nein |
Die folgenden Eigenschaften sind in der Tabelle „sys_properties“ definiert, werden jedoch nicht auf der Seite „Strenge Sicherheitseinstellungen“ angezeigt.
| Eigenschaft | Beschreibung | Standardwert | Härtungseinstellungen für die Instanzsicherheit |
|---|---|---|---|
| com.glide.communications.httpclient.verify_hostname | Überprüft den Hostnamen und die Zertifikatkette, die von Remote-SSL-Hosts dargestellt werden. Schützen Sie sich vor MITM-Angriffen (Man-In-The-Middle). Weitere Informationen finden Sie unter Kubernetes-Spoke einrichten Hinweis: Diese Eigenschaft überschreibt die Eigenschaft com.glide.communications.trustmanager_trust_all. |
wahr | Keine |
| glide.basicauth.required.schema | Standardauthentifizierung für eingehende Tabellenschemaanforderungen anfordern. |
wahr | Keine |
| glide.security.csrf_ previous.allow | Verwendung eines abgelaufenen sicheren Tokens zum Identifizieren und Validieren eingehender Anforderungen zulassen Dieses Token wird verwendet, um Site-übergreifende Angriffe durch gefälschte Anforderungen zu verhindern. |
falsch | Keine |
| glide.security.csrf_ previous.time_limit | Zeit in Sekunden, bis ein sicheres Token abläuft. Ermöglicht die Kontrolle über die Gültigkeitsdauer des vorherigen CSRF-Tokens. Wenn die Benutzersitzung abläuft, läuft auch das sichere Token ab, es sei denn, die Eigenschaft glide.security.csrf_previous.allow ist aktiviert und der Zeitraum liegt innerhalb des durch diese Eigenschaft beschriebenen Zeitrahmens. Dieses Token wird verwendet, um Site-übergreifende Angriffe durch gefälschte Anforderungen zu verhindern. |
86400 Hinweis: Wert in Sekunden. Entspricht 1 Tag. |
Keine |
| glide.security.csrf.strict.validation.mode | Erzwingt die strikte Überprüfung von CSRF-Token, wobei das erneute Übermitteln der Anforderung durch Benutzer nicht erlaubt ist, wenn das CSRF-Token nicht übereinstimmt. |
falsch | Verhindern, dass Benutzer die Warnung zur Umgehung der CSRF-Validierung akzeptieren [aktualisiert in Security Center 1.3 und 1.5] |
| com.glide.security.check_unsanitized_html | Erzwingt das Bereinigungsverhalten von translated_html-Feldern auf globaler Ebene für Feldzuweisungen. | erzwingen | Keine |