Einstellungen Für Hohe Sicherheit Erkunden

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 8 Minuten Lesedauer

    • Strenge Sicherheitseinstellungen schließen mehrere Sicherheitsoptionen ein, die in Ihrer Instanz verfügbar sind.

    Das Modul „hohe Sicherheitseinstellungen“ wird mit dem Plugin „hohe Sicherheitseinstellungen“ aktiviert, das standardmäßig in neuen Instanzen aktiv ist. Wenn Einstellungen für hohe Sicherheit in Ihrer Instanz nicht aktiv sind, finden Sie weitere Informationen unter Aktivierung von Einstellungen für hohe Sicherheit wird angefordert . Weitere Informationen zu diesem Plugin finden Sie unter Plugin für hohe Sicherheit aktivieren [aktualisiert in Security Center 1,3] In Instanzsicherheitshärtungseinstellungen. Eigenschaften für diese Arten von Einstellungen für hohe Sicherheit sind verfügbar:

    • Standardeigenschaftswerte: Um die Sicherheit auf Ihrer Plattform zu erhöhen, indem alle kritischen Sicherheitseinstellungen für die Verwaltung und das Auditing an einem Ort zentralisiert werden.
    • Standardmäßige Deny-Eigenschaft: Stellt eine Sicherheitsmanager-Eigenschaft bereit, um das standardmäßige Sicherheitsverhalten für den Tabellenzugriff zu steuern.
    • Sicherheitsadministratorrolle: Stellt eine Rolle bereit, um die Änderung wichtiger Sicherheitseinstellungen und -Ressourcen zu verhindern. Die Sicherheitsadministratorrolle wird nicht von der Administratorrolle übernommen und muss explizit zugewiesen werden.
    • Erweiterte Berechtigungen: Ermöglicht Anwendern mit der Sicherheitsadministratorrolle, im Kontext eines normalen Anwenders zu arbeiten und bei Bedarf auf eine höhere Sicherheitsrolle zu erhöhen.
    • Eigenschaftszugriffssteuerungen: Ermöglicht Sicherheitsadministratoren das Festlegen der Rollen, die zum Lesen und Schreiben von Eigenschaften erforderlich sind.
    • Systemprotokolle: Sind schreibgeschützt.
    • Zugriffssteuerungsregeln: Steuern Sie, auf welche Daten Anwender zugreifen können und wie sie darauf zugreifen können.
    Hinweis:
    • Mit den Einstellungen für hohe Sicherheit wird auch automatisch das Plugin für kontextbezogene Sicherheit aktiviert, wenn es nicht bereits aktiv ist. Darüber hinaus bietet Plattformsicherheitseinstellungen – hoch Einstellungen und Funktionen im Kontext der Erhöhung der Sicherheit Ihrer Instanz.
    • Der Inhalt der Instanzsicherheits-Härtungseinstellungen enthält detaillierte Beschreibungen und Compliance-Werte für die sicherheitsbezogenen Systemeigenschaften und Plugins in ServiceNow AI Platform.
    • Weitere Informationen zu den einzelnen Eigenschaften finden Sie unter Härtungseinstellungen.
    Es gibt zwei Möglichkeiten, Eigenschaften für hohe Sicherheitseinstellungen festzulegen oder zu ändern.
    • Navigieren zu Systemsicherheit > Strenge Sicherheitseinstellungenan.

      Optionen auf der Seite „Eigenschaften für hohe Sicherheit“ sind Ja Oder Nein .

    • Navigieren Sie zu sys_properties.list Und suchen Sie nach der Eigenschaft, die Sie festlegen oder ändern möchten.

      Optionen in der Tabelle „Systemeigenschaften“ [sys_properties.list] sind Wahr Oder Falsch .

    Eigenschaftszugriffssteuerung

    Wenn Einstellungen für hohe Sicherheit aktiv sind, werden in der Tabelle „Eigenschaften“ [sys_properties] zwei zusätzliche Spalten erstellt:

    • Read_roles : Eine kommagetrennte Liste von Rollennamen, die alle Felder dieser Eigenschaft lesen dürfen.
    • Write_roles : Eine kommagetrennte Liste von Rollennamen, die alle Felder dieser Eigenschaft schreiben/ändern dürfen.

    Eigenschaften, die in der Eigenschaftentabelle aufgeführt sind, haben Read_roles Von Administrator, und Write_roles Von Security_admin. Anwender mit der Administratorrolle können die Eigenschaftswerte anzeigen und lesen, müssen jedoch auf die Rolle „Security_admin“ hochgestuft werden, um sie zu ändern.

    Benachrichtigungen

    Durch die Aktivierung von Einstellungen für hohe Sicherheit werden auch Sicherheitswarnmeldungen aktiviert. Im Folgenden finden Sie ein Beispiel für eine Nachricht, die nach einer Genehmigung angezeigt wird.

    Abbildung : 1. Sicherheitswarnungsbenachrichtigung
    Sicherheitswarnungsbenachrichtigung

    Eigenschaften für hohe Sicherheitseinstellungen

    Eigenschaft Beschreibung Standardwert Härtungseinstellungen für die Instanzsicherheit
    glide.ui.escape_text

    XML-Werte auf Parser-Ebene für die Anwenderoberfläche mit Escape-Zeichen versehen. Verhindert reflektierte und gespeicherte Cross-Site-Skripting-Angriffe. Diese Eigenschaft gilt nicht im Serviceportal.

    Hinweis:
    Diese Eigenschaft ist auf festgelegt Wahr Standardmäßig in Vancouver Und spätere Releases und können nicht von Administratoren geändert werden. Wenden Sie sich für einen Anwendungsfall, bei dem die Eigenschaft geändert werden muss, an den Kundensupport.
    		 Ja XML-Markup mit Escape-Zeichen [aktualisiert in Security Center 1,3]
    glide.ui.escape_all_script

    Erzwingt alle Ausdrücke in Jelly JavaScript ]]>Tags, die standardmäßig mit Escape-Zeichen versehen werden sollen. Erzwingt das Escape-Zeichen nur, wenn das Typattribut in der vorhanden ist ]]>Tag ist leer oder wenn der Wert ist Text/javascript , Text/ecmascript , Anwendung/javascript , Anwendung/ecmascript , Oder Application/x-javascript .

    		 Ja in neuen Instanzen Jelly-Skript mit Escape-Zeichen [aktualisiert in Security Center 1,3 und 1,5]
    Glide.ui.Rotation_Sessions

    Rotieren Sie HTTP-Sitzungsbezeichner, um Sicherheitsschwachstellen zu reduzieren. Siehe: http://www.owasp.org/index.php/Session_Management#Rotate_Session_Identifiers .

    		 Ja
    Hinweis:

    Wenn Sie das SAML 2,0-Plugin für die Single Sign-on-Authentifizierung verwenden, legen Sie diese Eigenschaft auf Nein fest Andernfalls wird die gemeinsame Nutzung von Sitzungsinformationen zwischen der Instanz und dem Identitätsanbieter beeinträchtigt.

    		 HTTP-Sitzungsbezeichner rotieren
    glide.ui.secure_cookies

    Sichere Sitzungscookies aktivieren: Zusätzliche Cookie-Sicherheit aktivieren. Wenn Ja , Strikte Validierung von Sitzungscookies wird erzwungen.

    		 Ja Strikte Sicherheit von Sitzungscookies erzwingen [aktualisiert im Sicherheitscenter 1,3]
    glide.security.password_reset.uri

    Für Mobilgeräte Passwortzurücksetzung, URL, zu der der Anwender weitergeleitet wird, wenn er auf klickt Passwort vergessen? Schaltfläche.

    		 Keine
    glide.security.strict.updates

    Überprüfen Sie die Sicherheit eingehender Transaktionen während der Formularübermittlung erneut (Rechte werden bei der Formulargenerierung immer überprüft).

    Hinweis:
    Diese Eigenschaft ist auf festgelegt Wahr Standardmäßig in Vancouver Und spätere Releases und können nicht von Administratoren geändert werden. Wenden Sie sich für einen Anwendungsfall, bei dem die Eigenschaft geändert werden muss, an den Kundensupport.
    		 Ja Eingehende Transaktionen doppelt prüfen [aktualisiert in Security Center 1,3]
    glide.security.strict.actions

    Überprüfen Sie die Bedingungen für UI-Aktionen vor der Ausführung. Normalerweise werden Bedingungen nur während des Formularrenderings überprüft.

    		 Ja Überprüfen Sie die UI-Aktionsbedingungen vor der Ausführung
    glide.security.use_csrf_token

    Aktivieren Sie die Verwendung eines sicheren Tokens, um eingehende Anforderungen zu identifizieren und zu validieren. Dieses Token wird verwendet, um Site-übergreifende Angriffe auf Anforderungsfälschung zu verhindern.

    		 Ja Anti-CSRF-Token aktivieren [Neu in Security Center 1,3, aktualisiert 1,5 und entfernt 2,0]
    glide.ui.escape_html_list_field

    HTML für HTML-Felder in einer Listenansicht mit Escape-Zeichen versehen.

    		 Ja HTML in Listenansichten mit Escape-Zeichen versehen [aktualisiert in Security Center 1,3 und 1,5]
    glide.html.escape_script

    JavaScript-Tags in HTML-Feldern mit Escape-Zeichen versehen.

    		 Ja JavaScript mit Escape-Zeichen versehen [aktualisiert in Security Center 1,3]
    Glide.ui.Vergessen

    Entfernen Sie Merken Sie sich Kontrollkästchen auf der Anmeldeseite.

    		 Ja Entfernen Sie „mich speichern“
    glide.smtp.auth Authentifizieren Sie sich mit dem SMTP-Server anhand der Anwendernamen- und Passworteigenschaften.
    Hinweis:
    Diese Eigenschaft ist veraltet.
    		 Ja
    Glide.SOAP.strict_Security

    Erzwingen Sie strikte Sicherheit für eingehende SOAP-Anforderungen. Erfordert, dass eingehende SOAP-Anforderungen den Sicherheitsmanager für Tabellen- und Feldzugriff durchlaufen, und überprüft SOAP-Anwender auf die richtigen Rollen für die Verwendung des Webservice.

    		 Ja Strikte Sicherheit der SOAP-Anforderung erzwingen [aktualisiert in Security Center 1,3]
    Glide.basicauth.erforderlich.WSDL

    Autorisierung für eingehende WSDL-Anforderungen anfordern.

    Hinweis:
    Wenn Sie keine Autorisierung für eingehende WSDL-Anforderungen anfordern möchten, müssen Sie die ACL-Regeln (Access Control) ändern, damit Gastanwender auf den WSDL-Inhalt zugreifen können.
    		 Ja Autorisierung für WSDL-Anforderung anfordern [aktualisiert in Security Center 1,3 und 1,5]
    glide.basicauth.required.csv

    Erfordert eine Basisautorisierung für eingehende CSV-Anforderungen

    an.    		 Ja Autorisierung für CSV-Anforderungen anfordern [aktualisiert in Security Center 1,3]
    Glide.basicauth.erforderlich.Excel

    Erfordert eine Basisautorisierung für eingehende Excel-Anforderungen.

    		 Ja Autorisierung für Excel-Anforderungen anfordern [aktualisiert in Security Center 1,3]
    Glide.basicauth.erforderlich.Importprozessor

    Erfordert eine Basisautorisierung für eingehende Importanforderungen.

    		 Ja Autorisierung für Importanforderungen anfordern [aktualisiert in Security Center 1,3]
    glide.basicauth.required.pdf

    Erfordert eine Standardautorisierung für eingehende PDF-Anforderungen.

    		 Ja Autorisierung für PDF-Anforderungen anfordern [Aktualisiert in Security Center 1,3]
    glide.basicauth.required.rss Erfordert eine Basisautorisierung für eingehende RSS-Anforderungen. Ja Autorisierung für RSS-Anforderungen anfordern [aktualisiert in Security Center 1,3]
    Glide.basicauth.erforderlich.SkriptedProzessor

    Erfordert eine Standardautorisierung für eingehende Skriptanforderungen.

    		 Ja Autorisierung für Skriptanforderungen anfordern [aktualisiert in Security Center 1,3]
    Glide.basicauth.erforderlich.SOAP

    Standard-Berechtigung für eingehende SOAP-Requests anfordern.

    		 Ja Autorisierung für SOAP-Anforderungen anfordern [aktualisiert in Security Center 1,3, 1,5 und 2,0]
    Glide.basicauth.erforderlich.unl

    Erfordert eine Basisautorisierung für eingehende Entladeanforderungen.

    		 Ja Autorisierung für Entladeanforderungen anfordern [aktualisiert in Security Center 1,3]
    glide.basicauth.required.xml

    Erfordert eine Basisautorisierung für eingehende XML-Anforderungen.

    		 Ja Autorisierung für XML-Anforderungen anfordern [aktualisiert im Sicherheitscenter 1,3]
    Glide.basicauth.erforderlich.xsd

    Erfordert eine Basisautorisierung für eingehende XSD-Anforderungen.

    		 Ja Autorisierung für XSD-Anforderungen erfordern [aktualisiert im Sicherheitscenter 1,3]
    glide.cms.catalog_uri_relative

    Relative Links aus dem URI-Parameter in /ess/catalog.do erzwingen. Wenn Ja , Nur relative URLs sind über die Seite „/ess/catalog.do“ mit zulässig uriParameter. Wenn Nein , Alle URLs sind zulässig, was möglicherweise eine Verknüpfung mit externen nicht autorisierten Inhalten zulassen kann.

    		 Ja Relative Links erzwingen [aktualisiert in Security Center 1,3 und 1,5]
    glide.set_x_frame_options

    Aktivieren Sie diese Eigenschaft, um den X-Frame-Options-Antwortheader für alle UI-Seiten auf SAMEORIGIN festzulegen. Der X-Frame-Options HTTP Response Header kann verwendet werden, um anzugeben, ob der Browser eine Seite in einem <frame> oder <iframe> rendern kann. Websites können diese Eigenschaft verwenden, um Clickjacking-Angriffe zu vermeiden, indem sichergestellt wird, dass ihre Inhalte nicht in andere Websites eingebettet werden. https://developer.mozilla.org/en/the_x-frame-options_response_header

    		 Ja X-Frame-options implementieren: SAMEORIGIN-Sicherheitsheader [aktualisiert in Security Center 1,3]
    Glide.ui.attachment.Download_MIME_types

    Eine Liste von kommagetrennten MIME-Anhangstypen, die im Browser nicht inline gerendert werden. Verhindert standortübergreifende Skripting-Angriffe. Beispiel: Text/HTML Erzwingt, dass HTML-Dateien als Anhänge auf den Client heruntergeladen und nicht inline im Browser angezeigt werden.

    		 Text/html,image/svg,image/svg+xml Herunterladbare MIME-Typen beschränken [aktualisiert in Security Center 1,3 und 2,0]
    glide.security.groupby_acl_check

    Wenn diese Eigenschaft aktiviert ist, werden ACL-Prüfungen für GroupBy-Vorgänge für die Gruppennamen basierend auf den tatsächlichen Daten aus den Gruppen durchgeführt.

    		 Ja Keine
    glide.security.diag_txns_acl Wenn Ja , Nur der Administratoranwender oder Anwender von der zulässigen IP-Adresse kann darauf zugreifen Statistiken.do , Threads.do , Und Replikation.do . Nein Zugriff auf Leistungsüberwachung einschränken [aktualisiert in Security Center 1,3]
    glide.ui.security.codetag.allow_script

    Zulassen, dass eingebettetes HTML (mit [Code]-Tags) JavaScript-Tags enthält.

    Hinweis:
    Diese Eigenschaft ist auf festgelegt Wahr Standardmäßig in Vancouver Und spätere Releases und können nicht von Administratoren geändert werden. Wenden Sie sich für einen Anwendungsfall, bei dem die Eigenschaft geändert werden muss, an den Kundensupport.
    		 Nein Eingebetteten HTML-Code deaktivieren [aktualisiert in Security Center 1,3]
    Glide.Skript.Allow.ajaxevaluieren

    Aktivieren Sie den AJAXEvaluate-Prozessor. Die AJAXAuswerten API-Aufruf ermöglicht dem Client das Senden und Ausführen beliebiger Skripts auf dem Server.

    		 Nein AJAXEvaluate deaktivieren

    Die folgenden Eigenschaften sind in der Tabelle „sys_properties“ definiert, sind jedoch auf der Seite „Einstellungen für hohe Sicherheit“ nicht sichtbar.

    Eigenschaft Beschreibung Standardwert Härtungseinstellungen für die Instanzsicherheit
    com.glide.communications.httpclient.verify_hostname

    Überprüfen Sie den Hostnamen und die Zertifikatkette, die von Remote-SSL-Hosts angezeigt werden. Schützen Sie sich vor MITM-Angriffen (man-in-the-Middle).

    Weitere Informationen finden Sie unter Richten Sie die Kubernetes-Spoke ein

    Hinweis:
    Diese Eigenschaft überschreibt die Eigenschaft com.glide.communications.trustmanager_trust_all.
    		 wahr Keine
    Glide.basicauth.required.Schema

    Erfordert Standardauthentifizierung für eingehende Tabellenschemaanforderungen.

    		 wahr Keine
    glide.security.csrf_previous.allow

    Verwendung eines abgelaufenen sicheren Tokens zulassen, um eingehende Anforderungen zu identifizieren und zu validieren. Dieses Token wird verwendet, um Site-übergreifende Angriffe auf Anforderungsfälschung zu verhindern.

    		 falsch Keine
    glide.security.csrf_previous.time_limit

    Zeit in Sekunden, bis ein sicheres Token abläuft. Ermöglicht die Kontrolle über die Gültigkeitsdauer des vorherigen CSRF-Tokens. Wenn die Anwendersitzung abläuft, läuft das sichere Token mit ab, es sei denn glide.security.csrf_previous.allowEigenschaft ist aktiviert und liegt innerhalb des von dieser Eigenschaft beschriebenen Zeitrahmens. Dieses Token wird verwendet, um Site-übergreifende Angriffe auf Anforderungsfälschung zu verhindern.

    		 86400
    Hinweis:
    Wert in Sekunden. Entspricht 1 Tag.
    		 Keine
    glide.security.csrf.strict.validation.mode

    Erzwingt die strikte Überprüfung von CSRF-Token, wobei das erneute Übermitteln der Anforderung durch Benutzer nicht erlaubt ist, wenn das CSRF-Token nicht übereinstimmt.

    		 falsch Verhindern, dass Anwender eine Warnung zur Umgehung der CSRF-Validierung akzeptieren [aktualisiert in Security Center 1,3 und 1,5]
    com.glide.security.check_unsanitized_html Erzwingt das Bereinigungsverhalten von translated_html-Feldern auf globaler Ebene für Feldzuweisungen. Erzwingen Keine