Die Härtungseinstellungen wurden für die Baselineversion 5.0 aktualisiert

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 14 Minuten Lesedauer

    • Einige Härtungseinstellungen wurden mit der Veröffentlichung der Security Center-Baselineversion 5.0 aktualisiert.

    Baselineversion 5 enthält mehrere Aktualisierungen von Kurzbeschreibungen für Stil und Konsistenz über alle Datensätze hinweg. Darüber hinaus wurden viele eigenschaftsbezogene Skripts aktualisiert, um die Genauigkeit der Standardwerte in Fällen zu verbessern, in denen die Eigenschaft aus der Tabelle „sys_property“ entfernt wurde.

    Dokumentation Updates
    Autorisierung für SOAP-Anforderungen erfordern [Aktualisiert in Security Center 1.3, 1.5 und 2.0]
    • Neue Korrektur: Stellen Sie sicher, dass die Glide-Eigenschaft glide.basicauth.required.soap vorhanden und auf den Wert „true“ festgelegt ist. Alternativ können Sie die Instanz für WS-Sicherheit konfigurieren, indem Sie die Eigenschaft „glide.soap.require_ws_security“ auf „wahr“ setzen und der Produktdokumentation zum Konfigurieren von WS-Sicherheitsprofilen folgen. Wenn die Eigenschaft nicht in der Tabelle „sys_properties“ angezeigt wird, fügen Sie einen neuen Datensatz hinzu.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.basicauth.required.soap auf den Wert „wahr“ festgelegt ist. Alternativ können Sie die Instanz für WS-Sicherheit konfigurieren, indem Sie die Eigenschaft glide.soap.require_ws_security auf „wahr“ setzen und der Produktdokumentation zum Konfigurieren von WS-Sicherheitsprofilen folgen.
    OCSP-Prüfung bei Netzwerkfehlern erzwingen [Neu in Security Center 1.3 und aktualisiert in 2.0]
    • Neue Korrektur: Stellen Sie sicher, dass die Eigenschaft com.glide.communications.httpclient.ocsp_allow_network_error vorhanden und auf „falsch“ festgelegt ist. Wenn die Eigenschaft nicht in der Tabelle „sys_properties“ angezeigt wird, fügen Sie einen neuen Datensatz hinzu.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft com.glide.communications.httpclient.ocsp_allow_network_error auf „falsch“ festgelegt ist.
    URL für externen Inhalt deaktivieren [In Security Center 2.0 aktualisiert]
    • Neue Korrektur: Stellen Sie sicher, dass die Glide-Eigenschaft glide.ui.url.external.content vorhanden und auf den Wert „falsch“ festgelegt ist. Wenn die Eigenschaft nicht in der Tabelle „sys_properties“ angezeigt wird, fügen Sie einen neuen Datensatz hinzu.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.ui.url.external.content auf „falsch“ festgelegt ist.
    • Neue CVSS-Punktzahl: 7,2
    • Alte CVSS-Punktzahl: 8,1
    • Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Externe XML-Entitäten einschränken [in Security Center 1.3 und 2.0 aktualisiert]
    • Neue Fehlerkorrektur: Stellen Sie sicher, dass die Glide-Eigenschaft glide.xml.entity.whitelist vorhanden und auf „http://java.sun.com/j2ee/dtds/“ und die Glide-Eigenschaft glide.xml.entity.whitelist.enabled vorhanden und auf den Wert „wahr“ festgelegt ist. Wenn die Eigenschaften nicht in der Tabelle „sys_properties“ angezeigt werden, fügen Sie neue Datensätze hinzu.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.xml.entity.whitelist auf „http://java.sun.com/j2ee/dtds/“ und die Eigenschaft glide.xml.entity.whitelist.enabled auf „wahr“ festgelegt ist.
    Nicht authentifizierte veröffentlichte Berichte deaktivieren [Aktualisiert in Security Center 2.0]
    • Neue Korrektur: Stellen Sie sicher, dass die Glide-Eigenschaft glide.report.published_reports.enabled vorhanden und auf den Wert „falsch“ festgelegt ist. Wenn die Eigenschaft nicht in der Tabelle „sys_properties“ angezeigt wird, fügen Sie einen neuen Datensatz hinzu.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.report.published_reports.enabled auf „falsch“ festgelegt ist.
    Richtlinienprüfungen für die Passwortzurücksetzung aktivieren [In Security Center 2.0 aktualisiert]
    • Neue Korrektur: Stellen Sie sicher, dass die Glide-Eigenschaft glide.enable.password_policy vorhanden und auf den Wert „true“ festgelegt ist. Wenn die Eigenschaft nicht in der Tabelle „sys_properties“ angezeigt wird, fügen Sie einen neuen Datensatz hinzu.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.enable.password_policy auf „wahr“ festgelegt ist.
    Schwellenwert für die Entitätserweiterung für skriptfähiges GlideXMLUtil minimieren [Aktualisiert in Security Center 1.3, 1.5 und 2.0]
    • Neue Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.xmlutil.max_entity_expansion auf maximal „3000“ festgelegt ist. Wenn sich die Instanz auf Washington oder höher befindet, ist der implizite Standardwert 3000, wenn der Datensatz „sys_properties“ nicht vorhanden ist. Wenn sich die Instanz nicht auf Washington oder höher befindet, wird dem Instanzadministrator empfohlen, einen sys_properties-Datensatz mit dem Namen glide.xmlutil.max_entity_expansion und dem Wert 3000 zu erstellen.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.xmlutil.max_entity_expansion auf maximal 3.000 festgelegt ist.
    Ausgehende SSLv2-/SSLv3-Verbindungen deaktivieren [Aktualisiert in Security Center 1.3]
    • Neue Korrektur: Stellen Sie sicher, dass die Glide-Eigenschaft glide.outbound.sslv3.disabled vorhanden und auf den Wert „true“ festgelegt ist. Wenn die Eigenschaft nicht in der Tabelle „sys_properties“ angezeigt wird, fügen Sie einen neuen Datensatz hinzu.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.outbound.sslv3.disabled auf „wahr“ festgelegt ist.
    Wichtig:
    Der Wert für die Eigenschaft glide.outbound.sslv3.disabled ist eine sichere Überschreibung und kann nach der Änderung nicht mehr geändert werden.
    Verhalten der Vorgängerversion für die Umgrenzung des GlideRecord-Bereichs deaktivieren [Neu in Security Center 1.3 und aktualisiert in 1.5 und 2.0]
    • Neue Kurzbeschreibung: Verhalten der Vorgängerversion für GlideRecord-Bereichsbegrenzung deaktivieren
    • Alte Kurzbeschreibung: Verhalten der Vorgängerversion für GlideRecord-Bereichseingrenzung aktivieren
    Hochgeladene MIME-Typen einschränken [Aktualisiert in Security Center 1.3 und 2.0]
    • Neue Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.security.file.mime_type.validation vorhanden und auf „wahr“ festgelegt ist. Wenn die Eigenschaft nicht in der Tabelle „sys_properties“ angezeigt wird, fügen Sie einen neuen Datensatz hinzu.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.security.file.mime_type.validation auf „wahr“ festgelegt ist.
    Jelly JS-Interpolationsschutz für geschachtelte Ausdrücke aktivieren [In Security Center 2.0 aktualisiert]
    • Neue Korrektur: Stellen Sie sicher, dass die Glide-Eigenschaft glide.ui.jelly.js_interpolation.protect_nested_expressions vorhanden und auf den Wert „true“ festgelegt ist. Wenn die Eigenschaft nicht in der Tabelle „sys_properties“ angezeigt wird, fügen Sie einen neuen Datensatz hinzu.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.ui.jelly.js_interpolation.protect_nested_expressions auf „wahr“ festgelegt ist.
    SSL in der LDAP-Authentifizierung aktivieren [In Security Center 1.5 und 2.0 aktualisiert] Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    UserCookie Version 3.1 aktivieren [In Security Center 2.0 aktualisiert]
    • Neue Beschreibung: UserCookie v3 wird nur generiert, wenn die Eigenschaft glide.ui.secure.cookies.use_kmf is disablederfüllt ist. UserCookie v3 ist aufgrund der Speicherung des geheimen Schlüssels für HMAC im Quellcode unsicher und für alle Kunden identisch. Dies kann böswillige Akteure dabei unterstützen, diesen einen geheimen Schlüssel für Hijacking-Angriffe auf Benutzersitzungen zu verwenden. Wenn die Eigenschaft glide.ui.secure.cookies.use_kmf auf „wahr“ festgelegt wird, wird UserCookie v3.1 verwendet, und der geheime Schlüssel wird in einem Sicherheitsspeicher wie KMF gespeichert.
    • Alte Beschreibung: UserCookie v3 wird nur generiert, wenn die Eigenschaft glide.ui.secure.cookies.use_kmf deaktiviert ist. UserCookie v3 ist aufgrund der Speicherung des geheimen Schlüssels für HMAC im Quellcode unsicher und für alle Kunden identisch. Dies kann böswillige Akteure dabei unterstützen, diesen einen geheimen Schlüssel für Hijacking-Angriffe auf Benutzersitzungen zu verwenden.
    • Neue Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.ui.secure.cookies.use_kmf vorhanden und auf „wahr“ festgelegt ist. Wenn die Eigenschaft nicht in der Tabelle „sys_properties“ angezeigt wird, fügen Sie einen neuen Datensatz hinzu.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.ui.secure.cookies.use_kmf auf „wahr“ festgelegt ist. Dies bedeutet, dass UserCookie v3.1 verwendet wird und der geheime Schlüssel in einem Sicherheitsspeicher wie KMF gespeichert wird.
    Legen Sie die OTP-Lebensdauer für die Passwortzurücksetzung auf maximal 12 Stunden fest [Aktualisiert in Security Center 2.0] Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Anwender-Identitätswechsel protokollieren [Aktualisiert in Security Center 1.3 und 2.0]
    • Neue Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.sys.log_impersonation vorhanden und auf „wahr“ festgelegt ist. Wenn die Eigenschaft nicht in der Tabelle „sys_properties“ angezeigt wird, fügen Sie einen neuen Datensatz hinzu.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.sys.log_impersonation auf „wahr“ festgelegt ist.
    Erforderliche JMS-Verbindungsfactorys [Neu in Security Center 1.3 und aktualisiert in 1.5 und 2.0] Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Sicherstellen, dass das Erstellen/Löschen von Dashboards eine Zugriffsprüfung erfordert [Neu in Security Center 1.3 und aktualisiert in 2.0]
    • Neue Korrektur: Stellen Sie sicher, dass die Glide-Eigenschaft glide.processors.check_access_before_process vorhanden und auf den Wert „true“ festgelegt ist. Wenn die Eigenschaft nicht in der Tabelle „sys_properties“ angezeigt wird, fügen Sie einen neuen Datensatz hinzu.
    • Alte Korrektur: Stellen Sie sicher, dass der Wert von glide.processors.check_access_before_process immer „wahr“ ist.
    Inaktive Sitzungen proaktiv für ungültig erklären [Neu in Security Center 1.3 und aktualisiert in 1.5 und 2.0]
    • Neue Korrektur: Stellen Sie sicher, dass die Glide-Eigenschaft glide.active.session.timeout.invalidate.session vorhanden und auf den Wert „true“ festgelegt ist. Wenn die Eigenschaft nicht in der Tabelle „sys_properties“ angezeigt wird, fügen Sie einen neuen Datensatz hinzu.
    • Alte Korrektur: Legen Sie die Glide-Eigenschaft glide.active.session.timeout.invalidate.session auf „wahr“ fest.
    Sicherheitsbereich für Mitarbeiterbereich für HR-Fallverwaltung erzwingen [Neu in Security Center 1.5 und aktualisiert in 2.0] Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Sicherheitsbereich für Playbook für Lizenzen und Berechtigungen erzwingen [Neu in Security Center 1.5 und aktualisiert in 2.0] Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Herunterladbare MIME-Typen einschränken [Aktualisiert in Security Center 1.3 und 2.0]
    • Neue Beschreibung: Wenn die Eigenschaft glide.ui.attachment.force_download_all_mime_types auf „wahr“ festgelegt ist, wird die Eigenschaft glide.ui.attachment.download_mime_types überschrieben, sodass alle MIME-Typen heruntergeladen und nicht vom Browser gerendert werden. Beispiel: Das Herunterladen von Text/HTML erzwingt, dass eine HTML-Datei als Datei auf den Client heruntergeladen und nicht inline im Browser angezeigt wird, wodurch ein XSS-Angriff verhindert wird. XSS kann zu einer leicht zu erreichenden Berechtigungseskalation auf höhere Rollen wie „Administrator“ führen, in der mehr seitliche Bewegung möglich ist.
    • Alte Beschreibung: Wenn die Eigenschaft glide.ui.attachment.force_download_all_mime_types nicht auf „wahr“ festgelegt ist, wird die Eigenschaft glide.ui.attachment.download_mime_types überschrieben, sodass alle MIME-Typen heruntergeladen und nicht vom Browser gerendert werden. Beispiel: Das Herunterladen von Text/HTML erzwingt, dass eine HTML-Datei als Datei auf den Client heruntergeladen und nicht inline im Browser angezeigt wird, wodurch ein XSS-Angriff verhindert wird. Die Möglichkeit, über XSS zu verfügen, kann dazu führen, dass eine Berechtigungsausweitung auf höhere Rollen wie „Administrator“ leicht erreicht werden kann, in denen mehr Seitwärtsbewegung möglich ist.
    • Neue Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.ui.attachment.force_download_all_mime_types auf „wahr“ festgelegt ist. Wenn die Eigenschaft in der Tabelle „sys_properties“ nicht vorhanden ist, ist der Standardwert „false“.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.ui.attachment.force_download_all_mime_types auf „wahr“ festgelegt ist.
    • Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Eingeschränkt herunterladbare MIME-Typen definieren [Aktualisiert in Security Center 1.3, 1.5 und 2.0] Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Download infizierter Dateien nicht zulassen [Aktualisiert in Security Center 1.5 und 2.0]
    • Neue Beschreibung: Wenn die Eigenschaft com.glide.snap.infected_download_allowed auf „wahr“ festgelegt ist, können Benutzer weiterhin nicht gescannte Anhänge herunterladen, falls der Antivirenservice ausfällt oder nicht erreichbar ist. Dies bedeutet, dass es möglich ist, dass ein Benutzer eine schädliche Datei herunterlädt und das Risiko eingeht, dass der Desktop des Benutzers infiziert wird (sofern kein anderer Endpunktschutz auf dem Gerät vorhanden ist).
    • Alte Beschreibung: Wenn com.glide.snap.infected_download_allowed nicht auf den empfohlenen Wert „falsch“ festgelegt ist, ist es möglich, eine schädliche Datei herunterzuladen, die nicht gescannt wurde, wodurch das Risiko einer Infektion des Anwenderdesktops besteht.
    • Neue Korrektur: Stellen Sie sicher, dass die Eigenschaft com.glide.snap.infected_download_allowed auf „falsch“ festgelegt ist.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft com.glide.snap.infected_download_allowed auf „falsch“ festgelegt ist.
    Zugriff auf skriptfähige GlideSystemUserSession-API beschränken [In Security Center 1.3 und 2.0 aktualisiert]
    • Neue Beschreibung: gs.addErrorMessageNoSanitizationMessaging() und gs.addInfoMessageNoSanitization() werden in der Skriptumgebung für Protokollierung und Benachrichtigungen verwendet. Beide sind in der Sandbox verfügbar, wenn diese Eigenschaft nicht auf den empfohlenen Wert „false“ festgelegt ist. Die Sandbox ist eine Skriptumgebung mit geringen Berechtigungen, die für nicht authentifizierte Benutzer und Benutzer ohne Rolle verfügbar ist. Beide Methoden können verwendet werden, um einem Anwender nicht bereinigte Eingaben anzuzeigen. Es ist gefährlich, dem Anwender nicht bereinigte Eingaben anzuzeigen, da nicht bereinigte Eingaben gefährlichen Code enthalten können, der im Browser des Anwenders ausgeführt wird. Dies kann für traditionelle reflektierte XSS-Angriffe verwendet werden. Abgeleitete XSS-Angriffe können in mehreren Szenarien verwendet werden, einschließlich Hijacking-Angriff auf Sitzungen.
    • Alte Beschreibung: Messaging in der Glide-Skripting-Sandbox wird zu Protokollierungszwecken verwendet. Durch den Aufruf dieser nicht bereinigten Fehlerfunktion wird die Plattform für reflektierte XSS-Angriffe verfügbar gemacht. XSS-Angriffe können eine einfache Berechtigungseskalation ermöglichen, indem Sitzungscookies einer Person stehlen. Wenn glide.sandbox.usersession.allow_unsanitized_messages nicht auf den empfohlenen Wert „false“ festgelegt ist, sind die nicht bereinigten Fehlermeldungsfunktionen „addErrorMessageNoSanitization“ und „addInfoMessageNoSanitization“ für das Skript verfügbar.
    Abfrageregeln für das Arbeitsauftragsmanagement für Serviceorganisationen aktivieren [Neu in Security Center 1.5 und aktualisiert in 2.0]
    • Neue Beschreibung: Bei Festlegung auf „wahr“ werden Regeln/Filter aus der Tabelle „sn_query_rule“ verwendet, um den Lesezugriff auf Tabellen im Zusammenhang mit dem Außendienst-Management (Arbeitsauftrag und Arbeitsauftragsaufgabe) für den angemeldeten Anwender durch Abfragen von Business-Regeln und Lese-ACLs zu bestimmen. Bei „false“ werden die Datensätze nicht basierend auf Abfrageregeln gefiltert. Abfragegeschäftsregeln fügen zusätzliche Sicherheitsvalidierungen hinzu. Diese Eigenschaft filtert insbesondere Datensätze für Service Desk-Mitarbeiter, Qualifizierer und Einsatzplaner basierend auf dem zugewiesenen Gebiet oder der Gebietsmitgliedschaft. Es empfiehlt sich, beim Lesen von Datensätzen das Prinzip der geringsten Berechtigung zu befolgen. Wenn diese Eigenschaft nicht auf „wahr“ festgelegt ist, besteht möglicherweise ein erhöhtes Risiko, dass Daten aus Tabellen des Außendienst-Managements offengelegt werden.
    • Alte Beschreibung: Bei Festlegung auf „wahr“ werden Regeln/Filter aus der Tabelle „sn_query_rule“ verwendet, um den Lesezugriff auf Tabellen im Zusammenhang mit dem Außendienst-Management (Arbeitsauftrag und Arbeitsauftragsaufgabe) für den angemeldeten Anwender durch Abfragen von Business-Regeln und Lese-ACLs zu bestimmen. Bei „false“ werden die Datensätze nicht basierend auf Abfrageregeln gefiltert. Abfragegeschäftsregeln fügen zusätzliche Sicherheitsvalidierungen hinzu. Diese Eigenschaft filtert insbesondere Datensätze für Service Desk-Mitarbeiter, Qualifizierer und Einsatzplaner basierend auf dem zugewiesenen Gebiet oder der Gebietsmitgliedschaft. Es empfiehlt sich, beim Lesen von Datensätzen das Prinzip der geringsten Berechtigung zu befolgen.
    E-Mail-Domänen für die Registrierung externer Anwender einschränken [Aktualisiert in Security Center 1.3, 1.5 und 2.0]
    • Neue Beschreibung: Die Eigenschaft sn_ext_usr_reg.allowed_email_domains definiert, welche E-Mail-Adressen sich selbst bei einer ServiceNow-Instanz registrieren dürfen. Das Format muss eine kommagetrennte Liste zulässiger E-Mail-Domänen sein, z. B. „domain1.com,domain2.com“, wobei E-Mail-Adressen wie „example@domain2.com“ akzeptiert werden. Wenn sn_ext_usr_reg.allowed_email_domains nicht mit einer Liste zulässiger Domänen festgelegt ist, können Benutzer mit einer beliebigen E-Mail-Adresse Konten in den Instanzen registrieren. Wenn dies nicht definiert ist, könnten böswillige Akteure die Registrierung mit E-Mail-Adressen aus unerwünschten Domänen durchführen, um sich authentifizierten Zugriff auf die Instanz zu verschaffen.
    • Alte Beschreibung: Die Eigenschaft sn_ext_usr_reg.allowed_email_domains definiert, welche E-Mail-Adressen sich bei einer ServiceNow-Instanz selbst registrieren dürfen. Wenn sn_ext_usr_reg.allowed_email_domains nicht mit einer Liste zulässiger Domänen festgelegt ist, können Benutzer mit einer beliebigen E-Mail-Adresse Konten in den Instanzen registrieren. Wenn dies nicht definiert ist, könnten böswillige Akteure die Registrierung mit E-Mail-Adressen aus unerwünschten Domänen durchführen, um sich authentifizierten Zugriff auf die Instanz zu verschaffen.
    Domain Separation auf Dot-Walking-Felder anwenden [Aktualisiert in Security Center 1.3, 1.5 und 2.0]
    • Neue Beschreibung: Diese Eigenschaft steuert, ob Teilnahmeabfragen domänengetrennte Bedingungen erhalten oder nicht, um sicherzustellen, dass sie die Domain Separation-Funktion für Dot-Walking-Felder anwenden. Wenn glide.sys.domain.include_domain_condition_on_join auf einer Instanz mit Domänentrennung nicht auf den empfohlenen Wert „true“ festgelegt ist, können vertrauliche Informationen offengelegt werden, die nicht mit einer bestimmten Domäne geteilt werden sollen. Es kann moderate funktionale Auswirkungen auf die Instanz haben, wenn Komponenten von den unsicheren domänenübergreifenden Abfragen abhängig sind. Instanzen sollten vor der Aktivierung in Test- und Entwicklungsumgebungen getestet werden.
    • Alte Beschreibung: Diese Eigenschaft steuert, ob Teilnahmeabfragen domänengetrennte Bedingungen erhalten oder nicht, um sicherzustellen, dass sie die Domain Separation-Funktion für Dot-Walking-Felder anwenden. Wenn glide.sys.domain.include_domain_condition_on_join auf einer Instanz mit Domänentrennung nicht auf den empfohlenen Wert „true“ festgelegt ist, können vertrauliche Informationen offengelegt werden, die nicht mit einer bestimmten Domäne geteilt werden sollen.
    Prüfung der URL-Allow-Liste erzwingen [Aktualisiert in Security Center 1.3, 1.5 und 2.0]
    • Neue Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.security.url.whitelist.strict_check auf „wahr“ oder die Eigenschaft glide.security.url.whitelist auf einen Wert festgelegt ist.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.security.url.whitelist.strict_check auf „wahr“ und die Eigenschaft glide.security.url.whitelist auf einen Wert festgelegt ist.
    Gastanwender für SOAP-Anforderungen festlegen [Aktualisiert in Security Center 1.3 und 2.0] Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Zugriff auf Hintergrundskript beschränken [In Security Center 1.3 und 2.0 aktualisiert]
    • Neue Beschreibung: Diese Eigenschaft enthält die erforderliche Rolle für den Zugriff auf das Modul „Skripthintergrund“. Wenn glide.script_processor.admin nicht auf den empfohlenen und standardmäßigen Wert „admin“ festgelegt ist, können Benutzer mit einer Rolle mit geringeren Berechtigungen Hintergrundskripts in der Instanz ausführen. Dies führt zu einer vollständigen Umgehung des ACL-Systems, das vollständigen Zugriff auf Tabellen ermöglicht.
    • Alte Beschreibung: Diese Eigenschaft enthält die erforderliche Rolle für den Zugriff auf das Modul „Skripthintergrund“. Wenn glide.script_processor.admin nicht auf den empfohlenen Wert „admin“, „security_admin“ oder „maint“ festgelegt ist, können Benutzer mit einer Rolle mit geringeren Berechtigungen Hintergrundskripts in der Instanz ausführen. Dies führt zu einer vollständigen Umgehung des ACL-Systems, das vollständigen Zugriff auf Tabellen ermöglicht.
    • Neue Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.script_processor.admin auf den Administrator festgelegt ist. Dies ist der Standardwert für Instanzen.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft glide.script_processor.admin auf die Rolle „admin“, „security_admin“ oder „maint“ festgelegt ist.
    Zertifikatkette und Hostname verifizieren [Neu in Security Center 1.3 und aktualisiert in 2.0]
    • Neue Beschreibung: Wenn die Glide-Eigenschaft com.glide.communications.httpclient.verify_hostname nicht auf den sicheren Wert „wahr“ festgelegt ist, werden der Hostname und die Zertifikatskette, die von Remote-Hosts während einer von der ServiceNow-Instanz initiierten TLS-Verbindung präsentiert werden, nicht validiert. Dies könnte die Sicherheit der TLS-Verbindung gefährden und Person-in-the-Mate-Angriffe ermöglichen, bei denen die Kommunikation zwischen zwei Parteien abgefangen wird. Dies kann zur Offenlegung vertraulicher Daten führen.
    • Alte Beschreibung: Wenn com.glide.communications.httpclient.verify_hostname nicht auf „wahr“ festgelegt ist, könnte dies Person-in-the-Mate-Angriffe ermöglichen, bei denen die Kommunikation zwischen zwei Parteien abgefangen wird. Wenn Sie diese Eigenschaft auf einen unsicheren Wert festlegen, wird der Zertifikatverifizierungsprozess deaktiviert, der alle Zertifizierungen in der Zertifikatkette durch Überprüfen des Sperrstatus auswertet. Legen Sie diese Eigenschaft auf „wahr“ fest, um zu verhindern, dass der HTTP-Client eine Verbindung zu einem potenziell schädlichen Hostnamen herstellt.
    Sperrzeit für Versuche zum Zurücksetzen des ungültigen Passworts [Aktualisiert in Security Center 1.3 und 2.0]
    • Neue Kurzbeschreibung: Control Lockout Time for Invalid Password Reset Attempts
    • Alte Kurzbeschreibung: Minimize Reset Password Request Max Attempts Window Duration
    • Neue Beschreibung: Die Eigenschaft password_reset.request.max_attempt_window definiert die Anzahl der Minuten, die ein Benutzer warten muss, um sein Passwort zurückzusetzen oder zu ändern, nachdem die mit der password_reset.request.max_attempt propertyEigenschaft festgelegte maximale Anzahl von Fehlversuchen überschritten wurde. Eine geringe Anzahl von Minuten für die Eigenschaft password_reset.request.max_attempt_window erhöht das Risiko des erfolgreichen Brute-Erzwingens eines Passworts, da eine größere Anzahl von Versuchen zum Zurücksetzen des Passworts unternommen werden kann. Der Standardwert ist 1440 Minuten.
    • Alte Beschreibung: Wenn password_reset.request.max_attempt_window nicht auf den empfohlenen Wert von 1440 oder weniger festgelegt ist, kann es möglich sein, Account-Brute-Force auszuführen, da der Account nach einer maximalen Anzahl falscher Authentifizierungsversuche nicht gesperrt wird.
    • Neue Korrektur: Stellen Sie sicher, dass die Eigenschaft password_reset.request.max_attempt_window mindestens auf 1440 festgelegt ist.
    • Alte Korrektur: Stellen Sie sicher, dass die Eigenschaft password_reset.request.max_attempt_window auf maximal 1440 festgelegt ist.
    • Regelskript: Das Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Verhalten der Vorgängerversion für die Umgrenzung des GlideRecord-Bereichs deaktivieren [Neu in Security Center 1.3 und aktualisiert in 1.5 und 2.0]
    • Neue Kurzbeschreibung: Disable GlideRecord Scope Fencing Legacy Behavior
    • Alte Kurzbeschreibung: Enable GlideRecord Scope Fencing Legacy Behavior
    • Neue Korrektur: Legen Sie die Glide-Eigenschaft glide.record.legacy_cross_scope_access_policy_in_script auf „falsch“ fest. Wenn er in der Tabelle „sys_properties“ nicht vorhanden ist, ist der Standardwert „true“.
    • Alte Korrektur: Legen Sie die Glide-Eigenschaft glide.record.legacy_cross_scope_access_policy_in_script auf „falsch“ fest.
    Ungültige Versuche zum Zurücksetzen des Passworts begrenzen [In Security Center 1.3 aktualisiert und in 2.0 aktualisiert]
    • Neue Kurzbeschreibung: Limit Invalid Password Reset Attempts
    • Alte Kurzbeschreibung: Minimize Reset Password Request Max Attempt Allowance