Härtungseinstellungen für Baseline-Version 5,0 aktualisiert

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 14 Minuten Lesedauer

    • Einige Härtungseinstellungen wurden mit dem Release der Security Center-Baseline-Version 5,0 aktualisiert.

    Die Baseline-Version 5 enthält mehrere Updates für Kurzbeschreibungen, um Stil und Konsistenz in Datensätzen zu gewährleisten. Darüber hinaus wurden viele eigenschaftsbezogene Skripts aktualisiert, um die Genauigkeit der Standardwerte in Fällen zu verbessern, in denen die Eigenschaft aus der Tabelle „sys_property“ entfernt wurde.

    Dokumentation FTP-Anwendernamen
    Autorisierung für SOAP-Anforderungen anfordern [aktualisiert in Security Center 1,3, 1,5 und 2,0]
    • Neue Korrektur: Stellen Sie die Glide-Eigenschaft sicher glide.basicauth.required.soapIst vorhanden und auf den Wert „wahr“ festgelegt. Alternativ können Sie die Instanz für WS-Sicherheit konfigurieren, indem Sie die Eigenschaft „Glide.SOAP.require_WS_Security“ auf „wahr“ festlegen und der Produktdokumentation folgen, um WS-Sicherheitsprofile zu konfigurieren. Wenn die Eigenschaft nicht in der Tabelle „sys_properties“ angezeigt wird, fügen Sie einen neuen Datensatz hinzu.
    • Alte Korrektur: Stellen Sie die Eigenschaft sicher glide.basicauth.required.soapIst auf den Wert „wahr“ festgelegt. Alternativ können Sie die Instanz für WS-Sicherheit konfigurieren, indem Sie die Eigenschaft festlegen glide.soap.require_ws_securityAuf „wahr“ und befolgen Sie die Produktdokumentation, um WS-Sicherheitsprofile zu konfigurieren.
    OCSP-Prüfung bei Netzwerkfehler erzwingen [Neu in Security Center 1,3 und aktualisiert in 2,0]
    • Neue Korrektur: Stellen Sie die Eigenschaft sicher com.glide.communications.httpclient.ocsp_allow_network_errorIst vorhanden und auf „falsch“ festgelegt. Wenn die Eigenschaft nicht in der Tabelle „sys_properties“ angezeigt wird, fügen Sie einen neuen Datensatz hinzu.
    • Alte Korrektur: Stellen Sie die Eigenschaft sicher com.glide.communications.httpclient.ocsp_allow_network_errorIst auf „falsch“ festgelegt.
    url für externe Inhalte deaktivieren [aktualisiert in Security Center 2,0]
    • Neue Korrektur: Stellen Sie die Glide-Eigenschaft sicher glide.ui.url.external.contentIst vorhanden und auf den Wert „falsch“ festgelegt. Wenn die Eigenschaft nicht in der Tabelle „sys_properties“ angezeigt wird, fügen Sie einen neuen Datensatz hinzu.
    • Alte Korrektur: Stellen Sie die Eigenschaft sicher glide.ui.url.external.contentIst auf „falsch“ festgelegt.
    • Neue CVSS-Punktzahl: 7,2
    • Alte CVSS-Punktzahl: 8,1
    • Regelskript: Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Externe XML-Entitäten beschränken [aktualisiert in Security Center 1,3 und 2,0]
    • Neue Korrektur: Stellen Sie die Glide-Eigenschaft sicher glide.xml.entity.whitelistIst vorhanden und ist auf „ http://java.sun.com/j2ee/dtds/ „ Und die Glide-Eigenschaft glide.xml.entity.whitelist.enabledIst vorhanden und auf den Wert „wahr“ festgelegt. Wenn die Eigenschaften nicht in der Tabelle „sys_properties“ angezeigt werden, fügen Sie neue Datensätze hinzu.
    • Alte Korrektur: Stellen Sie die Eigenschaft sicher glide.xml.entity.whitelistIst auf „ http://java.sun.com/j2ee/dtds/ „ Und die Eigenschaft glide.xml.entity.whitelist.enabledIst auf „wahr“ festgelegt.
    Nicht authentifizierte veröffentlichte Berichte deaktivieren [aktualisiert in Security Center 2,0]
    • Neue Korrektur: Stellen Sie die Glide-Eigenschaft sicher glide.report.published_reports.enabledIst vorhanden und auf den Wert „falsch“ festgelegt. Wenn die Eigenschaft nicht in der Tabelle „sys_properties“ angezeigt wird, fügen Sie einen neuen Datensatz hinzu.
    • Alte Korrektur: Stellen Sie die Eigenschaft sicher glide.report.published_reports.enabledIst auf „falsch“ festgelegt.
    Richtlinienprüfungen für Passwortzurücksetzung aktivieren [aktualisiert in Security Center 2,0]
    • Neue Korrektur: Stellen Sie die Glide-Eigenschaft sicher glide.enable.password_policyIst vorhanden und auf den Wert „wahr“ festgelegt. Wenn die Eigenschaft nicht in der Tabelle „sys_properties“ angezeigt wird, fügen Sie einen neuen Datensatz hinzu.
    • Alte Korrektur: Stellen Sie die Eigenschaft sicher glide.enable.password_policyIst auf „wahr“ festgelegt.
    Schwellenwert für Entitätserweiterung für skriptfähige GlideXMLUtil minimieren [aktualisiert in Security Center 1,3, 1,5 und 2,0]
    • Neue Korrektur: Stellen Sie die Eigenschaft sicher glide.xmlutil.max_entity_expansionIst auf maximal 3000 festgelegt. Wenn sich die Instanz in Washington oder höher befindet, ist der implizite Standardwert 3000, wenn der Datensatz „sys_properties“ nicht vorhanden ist. Wenn sich die Instanz nicht in Washington oder höher befindet, empfiehlt es sich, dass der Instanzadministrator einen sys_properties-Datensatz mit dem Namen erstellt glide.xmlutil.max_entity_expansionUnd der Wert 3000.
    • Alte Korrektur: Stellen Sie die Eigenschaft sicher glide.xmlutil.max_entity_expansionIst auf maximal 3000 festgelegt.
    Ausgehende SSLv2/SSLv3-Verbindungen deaktivieren [aktualisiert im Sicherheitscenter 1,3]
    • Neue Korrektur: Stellen Sie die Glide-Eigenschaft sicher glide.outbound.sslv3.disabledIst vorhanden und auf den Wert „wahr“ festgelegt. Wenn die Eigenschaft nicht in der Tabelle „sys_properties“ angezeigt wird, fügen Sie einen neuen Datensatz hinzu.
    • Alte Korrektur: Stellen Sie die Eigenschaft sicher glide.outbound.sslv3.disabledIst auf „wahr“ festgelegt.
    Wichtig:
    Der Wert für glide.outbound.sslv3.disabledEigenschaft ist eine sichere Überschreibung und kann nach der Änderung nicht geändert werden.
    Legacy-Verhalten für GlideRecord-Umfangsabgrenzung deaktivieren [Neu in Security Center 1,3 und aktualisiert in 1,5 und 2,0]
    • Neue Kurzbeschreibung: Deaktivieren Sie das Legacy-Verhalten des GlideRecord-Umfangs
    • Alte Kurzbeschreibung: Legacy-Verhalten für GlideRecord-Umfangseinfassung aktivieren
    Hochgeladene MIME-Typen beschränken [aktualisiert in Security Center 1,3 und 2,0]
    • Neue Korrektur: Stellen Sie die Eigenschaft sicher glide.security.file.mime_type.validationIst vorhanden und auf „wahr“ festgelegt. Wenn die Eigenschaft nicht in der Tabelle „sys_properties“ angezeigt wird, fügen Sie einen neuen Datensatz hinzu.
    • Alte Korrektur: Stellen Sie die Eigenschaft sicher glide.security.file.mime_type.validationIst auf „wahr“ festgelegt.
    Jelly JS-Interpolationsschutz für geschachtelte Ausdrücke aktivieren [aktualisiert in Security Center 2,0]
    • Neue Korrektur: Stellen Sie die Glide-Eigenschaft sicher glide.ui.jelly.js_interpolation.protect_nested_expressionsIst vorhanden und auf den Wert „wahr“ festgelegt. Wenn die Eigenschaft nicht in der Tabelle „sys_properties“ angezeigt wird, fügen Sie einen neuen Datensatz hinzu.
    • Alte Korrektur: Stellen Sie die Eigenschaft sicher glide.ui.jelly.js_interpolation.protect_nested_expressionsIst auf „wahr“ festgelegt.
    SSL in LDAP-Authentifizierung aktivieren [aktualisiert in Security Center 1,5 und 2,0] Regelskript: Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    UserCookie-Version 3,1 aktivieren [aktualisiert in Security Center 2,0]
    • Neue Beschreibung: UserCookie v3 wird nur generiert, wenn Eigenschaft glide.ui.secure.cookies.use_kmf is disabled. UserCookie v3 ist nicht sicher, da geheimer Schlüssel für HMAC im Quellcode gespeichert und für alle Kunden identisch ist. Die schädliche Akteure unterstützen kann, diesen einen geheimen Schlüssel für Versuche zum Hijacking von Anwendersitzungen zu verwenden. Durch Festlegen der Eigenschaft glide.ui.secure.cookies.use_kmfAuf „wahr“ wird AnwenderCookie v3.1 verwendet, und der geheime Schlüssel wird in einem Sicherheitsspeicher wie KMF gespeichert.
    • Alte Beschreibung: AnwenderCookie v3 wird nur generiert, wenn Eigenschaft glide.ui.secure.cookies.use_kmf Ist deaktiviert. UserCookie v3 ist nicht sicher, da geheimer Schlüssel für HMAC im Quellcode gespeichert und für alle Kunden identisch ist. Die schädliche Akteure unterstützen kann, diesen einen geheimen Schlüssel für Versuche zum Hijacking von Anwendersitzungen zu verwenden.
    • Neue Korrektur: Stellen Sie die Eigenschaft sicher glide.ui.secure.cookies.use_kmfIst vorhanden und auf „wahr“ festgelegt. Wenn die Eigenschaft nicht in der Tabelle „sys_properties“ angezeigt wird, fügen Sie einen neuen Datensatz hinzu.
    • Alte Korrektur: Stellen Sie die Eigenschaft sicher glide.ui.secure.cookies.use_kmfIst auf „wahr“ festgelegt. Dies bedeutet, dass AnwenderCookie v3.1 verwendet wird und der geheime Schlüssel in einem Sicherheitsspeicher wie KMF gespeichert wird.
    OTP-Lebensdauer für Passwortzurücksetzung auf 1 Stunde festlegen [aktualisiert in Security Center 2,0] Regelskript: Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Identitätswechsel des Anwenders protokollieren [aktualisiert in Security Center 1,3 und 2,0]
    • Neue Korrektur: Stellen Sie die Eigenschaft sicher glide.sys.log_impersonationIst vorhanden und auf „wahr“ festgelegt. Wenn die Eigenschaft nicht in der Tabelle „sys_properties“ angezeigt wird, fügen Sie einen neuen Datensatz hinzu.
    • Alte Korrektur: Stellen Sie die Eigenschaft sicher glide.sys.log_impersonationIst auf „wahr“ festgelegt.
    Erforderliche jms-Connection Factorys [Neu in Security Center 1,3 und aktualisiert in 1,5 und 2,0] Regelskript: Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Stellen Sie sicher, dass die Erstellung/Löschung von Dashboards eine Zugriffsprüfung erfordert [Neu in Security Center 1,3 und aktualisiert in 2,0]
    • Neue Korrektur: Stellen Sie die Glide-Eigenschaft sicher glide.processors.check_access_before_processIst vorhanden und auf den Wert „wahr“ festgelegt. Wenn die Eigenschaft nicht in der Tabelle „sys_properties“ angezeigt wird, fügen Sie einen neuen Datensatz hinzu.
    • Alte Korrektur: Stellen Sie den Wert von sicher glide.processors.check_access_before_processIst immer „wahr“.
    Inaktive Sitzungen proaktiv für ungültig erklären [Neu in Security Center 1,3 und aktualisiert in 1,5 und 2,0]
    • Neue Korrektur: Stellen Sie die Glide-Eigenschaft sicher glide.active.session.timeout.invalidate.sessionIst vorhanden und auf den Wert „wahr“ festgelegt. Wenn die Eigenschaft nicht in der Tabelle „sys_properties“ angezeigt wird, fügen Sie einen neuen Datensatz hinzu.
    • Alte Korrektur: Legen Sie die Glide-Eigenschaft fest glide.active.session.timeout.invalidate.sessionAuf „wahr“.
    Sicherheitsbereich für Mitarbeiterbereich für HR-Fallmanagement erzwingen [Neu in Security Center 1,5 und aktualisiert 2,0] Regelskript: Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Playbook für Lizenz und Erlaubnis für den Sicherheitsumfang erzwingen [Neu in Security Center 1,5 und aktualisiert 2,0] Regelskript: Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Herunterladbare MIME-Typen beschränken [aktualisiert in Security Center 1,3 und 2,0]
    • Neue Beschreibung: Wenn die Eigenschaft glide.ui.attachment.force_download_all_mime_typesIst auf „wahr“ festgelegt, dann die glide.ui.attachment.download_mime_typesEigenschaft wird überschrieben, sodass alle MIME-Typen heruntergeladen und nicht vom Browser gerendert werden. Zum Beispiel erzwingt das Herunterladen von Text/HTML, dass eine HTML-Datei als Datei auf den Client heruntergeladen und nicht inline im Browser angezeigt wird, um einen XSS-Angriff zu verhindern. XSS kann zu einer einfachen Berechtigungseskalation an höhere Rollen wie Administrator führen, in denen mehr seitliche Bewegungen erfolgen können.
    • Alte Beschreibung: Wenn die Eigenschaft glide.ui.attachment.force_download_all_mime_typesIst nicht auf „wahr“ festgelegt, dann ist glide.ui.attachment.download_mime_typesEigenschaft wird überschrieben, sodass alle MIME-Typen heruntergeladen und nicht vom Browser gerendert werden. Zum Beispiel erzwingt das Herunterladen von Text/HTML, dass eine HTML-Datei als Datei auf den Client heruntergeladen und nicht inline im Browser angezeigt wird, um einen XSS-Angriff zu verhindern. Die Fähigkeit, XSS zu verwenden, kann zu einer einfachen Berechtigungseskalation zu höheren Rollen wie Administrator führen, wo mehr seitliche Bewegungen ausgeführt werden können.
    • Neue Korrektur: Stellen Sie die Eigenschaft sicher glide.ui.attachment.force_download_all_mime_typesIst auf „wahr“ festgelegt. Wenn die Eigenschaft in der Tabelle „sys_properties“ nicht vorhanden ist, ist der Standardwert „falsch“.
    • Alte Korrektur: Stellen Sie die Eigenschaft sicher glide.ui.attachment.force_download_all_mime_typesIst auf „wahr“ festgelegt.
    • Regelskript: Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Eingeschränkte herunterladbare MIME-Typen definieren [aktualisiert in Security Center 1,3, 1,5 und 2,0] Regelskript: Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Download infizierter Dateien nicht zulassen [aktualisiert in Security Center 1,5 und 2,0]
    • Neue Beschreibung: Wenn die Eigenschaft com.glide.snap.infected_download_allowedIst auf „wahr“ festgelegt, können Anwender auch dann nicht gescannte Anhänge herunterladen, wenn der Virenschutzservice ausgefallen oder nicht erreichbar ist. Dies bedeutet, dass es möglich ist, dass ein Anwender eine schädliche Datei herunterlädt und das Risiko besteht, den Desktop des Anwenders zu infizieren (falls auf dem Gerät kein anderer Endpunktschutz vorhanden ist).
    • Alte Beschreibung: Wenn com.glide.snap.infected_download_allowedIst nicht auf den empfohlenen Wert „falsch“ festgelegt, kann eine schädliche Datei heruntergeladen werden, die nicht gescannt wurde, was zu einem Risiko führt, den Desktop des Anwenders zu infizieren.
    • Neue Korrektur: Stellen Sie die Eigenschaft sicher com.glide.snap.infected_download_allowedIst auf „falsch“ festgelegt.
    • Alte Korrektur: Stellen Sie die Eigenschaft sicher com.glide.snap.infected_download_allowedIst auf „falsch“ festgelegt.
    Zugriff auf skriptfähige GlideSystemUserSession-API beschränken [aktualisiert in Security Center 1,3 und 2,0]
    • Neue Beschreibung: gs.addErrorMessageNoSanitizationMessaging() Und gs.addInfoMessageNoBereinigung() Werden in der Skriptumgebung für Protokollierung und Benachrichtigungen verwendet. Beide sind in der Sandbox verfügbar, wenn diese Eigenschaft nicht auf den empfohlenen Wert „falsch“ festgelegt ist. Die Sandbox ist eine Skripterstellungsumgebung mit geringen Berechtigungen, die nicht authentifizierten Anwendern ohne Rolle zur Verfügung steht. Beide Methoden können verwendet werden, um einem Anwender nicht bereinigte Eingaben anzuzeigen. Das Anzeigen nicht bereinigter Eingaben für den Anwender ist gefährlich, da nicht bereinigte Eingaben gefährlichen Code enthalten können, der im Browser des Anwenders ausgeführt wird. Dies kann für traditionelle reflektierte XSS-Angriffe verwendet werden. Reflektierte XSS-Angriffe können in mehreren Szenarien verwendet werden, einschließlich Sitzungs-Hijacking.
    • Alte Beschreibung: Messaging in der Glide-Skripting-Sandbox wird zu Protokollierungszwecken verwendet. Durch das Aufrufen dieser nicht bereinigten Fehlerfunktion wird die Plattform reflektierten XSS-Angriffen ausgesetzt. XSS-Angriffe können eine einfache Berechtigungseskalation ermöglichen, indem Sitzungscookies einer Person gestohlen werden. Wenn glide.sandbox.usersession.allow_unsanitized_messagesIst nicht auf den empfohlenen Wert „falsch“ festgelegt, dann werden die nicht bereinigten Fehlernachrichtenfunktionen verwendet AddErrorMessageNoBereinigung Und AddInfoMessageNoBereinigung Sind für Skript verfügbar.
    Abfrageregeln für Arbeitsauftragsmanagement für Serviceorganisationen aktivieren [Neu in Security Center 1,5 und aktualisiert 2,0]
    • Neue Beschreibung: Bei „wahr“ werden Regeln/Filter aus der Tabelle „sn_query_rule“ verwendet, um den Lesezugriff auf Tabellen im Zusammenhang mit dem Außendienst-Management (Arbeitsauftrag und Arbeitsauftragsaufgabe) für den angemeldeten Anwender über Abfragegeschäftsregeln und Lese-ACLs zu bestimmen. Bei „falsch“ werden die Datensätze nicht basierend auf Abfrageregeln gefiltert. AbfrageBusiness-Regeln fügen zusätzliche Sicherheitsvalidierungen hinzu. Insbesondere filtert diese Eigenschaft Datensätze für Service Desk-Mitarbeiter, Qualifizierer und Dispatcher basierend auf ihrem zugewiesenen Gebiet oder ihrer Gebietsmitgliedschaft. Es empfiehlt sich, beim Lesen von Datensätzen das Prinzip der geringsten Berechtigung zu befolgen. Wenn diese Eigenschaft nicht auf „wahr“ festgelegt ist, kann das Risiko der Datengefährdung durch Außendienst-Management-Tabellen erhöht werden.
    • Alte Beschreibung: Bei „wahr“ werden Regeln/Filter aus der Tabelle „sn_query_rule“ verwendet, um den Lesezugriff auf Tabellen im Zusammenhang mit dem Außendienst-Management (Arbeitsauftrag und Arbeitsauftragsaufgabe) für den angemeldeten Anwender über Abfragegeschäftsregeln und Lese-ACLs zu bestimmen. Bei „falsch“ werden die Datensätze nicht basierend auf Abfrageregeln gefiltert. AbfrageBusiness-Regeln fügen zusätzliche Sicherheitsvalidierungen hinzu. Insbesondere filtert diese Eigenschaft Datensätze für Service Desk-Mitarbeiter, Qualifizierer und Dispatcher basierend auf ihrem zugewiesenen Gebiet oder ihrer Gebietsmitgliedschaft. Es empfiehlt sich, beim Lesen von Datensätzen das Prinzip der geringsten Berechtigung zu befolgen.
    Beschränken Sie E-Mail-Domänen für die Registrierung externer Anwender [Aktualisiert in Sicherheitscenter 1,3, 1,5 und 2,0]
    • Neue Beschreibung: Die sn_ext_usr_reg.allowed_email_domainsDie Eigenschaft definiert, welche E-Mail-Adressen sich bei einer ServiceNow-Instanz selbst registrieren dürfen. Das Format muss eine kommagetrennte Liste zulässiger E-Mail-Domänen sein, z. B. domain1.com,domain2.com, in der E-Mails wie example@domain2.com akzeptiert werden. Wenn sn_ext_usr_reg.allowed_email_domainsIst nicht mit einer Liste zulässiger Domänen festgelegt, dann können Anwender mit einer beliebigen E-Mail-Adresse Accounts in den Instanzen registrieren. Wenn nicht definiert, können böswillige Akteure die Registrierung mithilfe von E-Mail-Adressen aus unerwünschten Domänen durchführen, um authentifizierten Zugriff auf die Instanz zu erhalten.
    • Alte Beschreibung: Die sn_ext_usr_reg.allowed_email_domainsDie Eigenschaft definiert, welche E-Mail-Adressen sich bei einer ServiceNow-Instanz selbst registrieren dürfen. Wenn sn_ext_usr_reg.allowed_email_domainsIst nicht mit einer Liste zulässiger Domänen festgelegt, dann können Anwender mit einer beliebigen E-Mail-Adresse Accounts in den Instanzen registrieren. Wenn nicht definiert, können böswillige Akteure die Registrierung mithilfe von E-Mail-Adressen aus unerwünschten Domänen durchführen, um authentifizierten Zugriff auf die Instanz zu erhalten.
    Domänentrennung auf Dot-Walking-Felder anwenden [aktualisiert in Security Center 1,3, 1,5 und 2,0]
    • Neue Beschreibung: Diese Eigenschaft steuert, ob Join-Abfragen domänengetrennte Bedingungen erhalten oder nicht, um sicherzustellen, dass sie Domänentrennungsfunktionen für Dot-Walking-Felder anwenden. Wenn glide.sys.domain.include_domain_condition_on_joinIst in einer Instanz mit Domänentrennung nicht auf den empfohlenen Wert „wahr“ festgelegt, können vertrauliche Informationen offengelegt werden, die nicht für eine bestimmte Domäne freigegeben werden sollen. Es kann moderate funktionale Auswirkungen auf die Instanz haben, wenn Komponenten von den unsicheren domänenübergreifenden Abfragen abhängig sind. Instanzen sollten vor der Aktivierung in Subproduktionsumgebungen getestet werden.
    • Alte Beschreibung: Diese Eigenschaft steuert, ob Join-Abfragen domänengetrennte Bedingungen erhalten oder nicht, um sicherzustellen, dass sie Domänentrennungsfunktionen für Dot-Walking-Felder anwenden. Wenn glide.sys.domain.include_domain_condition_on_joinIst in einer Instanz mit Domänentrennung nicht auf den empfohlenen Wert „wahr“ festgelegt, können vertrauliche Informationen offengelegt werden, die nicht für eine bestimmte Domäne freigegeben werden sollen.
    Prüfung der URL-Zulässigkeitsliste erzwingen [aktualisiert in Security Center 1,3, 1,5 und 2,0]
    • Neue Korrektur: Stellen Sie die Eigenschaft sicher glide.security.url.whitelist.strict_checkIst auf „wahr“ oder die Eigenschaft festgelegt glide.security.url.whitelistIst auf einen Wert festgelegt.
    • Alte Korrektur: Stellen Sie die Eigenschaft sicher glide.security.url.whitelist.strict_checkIst auf „wahr“ und die Eigenschaft festgelegt glide.security.url.whitelistIst auf einen Wert festgelegt.
    Gastanwender für SOAP-Anforderungen festlegen [aktualisiert in Security Center 1,3 und 2,0] Regelskript: Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Zugriff auf Hintergrundskript beschränken [aktualisiert in Security Center 1,3 und 2,0]
    • Neue Beschreibung: Diese Eigenschaft enthält die erforderliche Rolle für den Zugriff auf das Modul „Skripthintergrund“. Wenn glide.script_processor.adminIst nicht auf den empfohlenen Standardwert „Administrator“ festgelegt, können Anwender mit einer Rolle mit niedrigeren Berechtigungen Hintergrundskripts auf der Instanz ausführen. Dies führt zu einer vollständigen Umgehung des ACL-Systems, die vollständigen Zugriff auf Tabellen ermöglicht.
    • Alte Beschreibung: Diese Eigenschaft enthält die erforderliche Rolle für den Zugriff auf das Skript-Hintergrundmodul. Wenn glide.script_processor.adminIst nicht auf den empfohlenen Wert „admin“, „Security_admin“ oder „maint“ festgelegt, können Anwender mit einer Rolle mit niedrigeren Berechtigungen Hintergrundskripts auf der Instanz ausführen. Dies führt zu einer vollständigen Umgehung des ACL-Systems, die vollständigen Zugriff auf Tabellen ermöglicht.
    • Neue Korrektur: Stellen Sie die Eigenschaft sicher glide.script_processor.adminIst auf den Administrator festgelegt. Dies ist der Standardwert für Instanzen.
    • Alte Korrektur: Stellen Sie die Eigenschaft sicher glide.script_processor.adminIst auf die Rolle admin, Security_admin oder Maintenance festgelegt.
    Zertifikatkette und Hostname verifizieren [Neu in Security Center 1,3 und aktualisiert in 2,0]
    • Neue Beschreibung: Wenn die Glide-Eigenschaft com.glide.communications.httpclient.verify_hostnameIst nicht auf den sicheren Wert „wahr“ festgelegt, werden Hostname und Zertifikatkette, die von Remote-Hosts während einer von der ServiceNow-Instanz initiierten TLS-Verbindung angezeigt werden, nicht validiert. Dies könnte die Sicherheit der TLS-Verbindung gefährden und Personen-in-the-Middle-Angriffe ermöglichen, bei denen die Kommunikation zwischen zwei Parteien abgefangen wird. Dies kann zur Offenlegung vertraulicher Daten führen.
    • Alte Beschreibung: Wenn com.glide.communications.httpclient.verify_hostnameIst nicht auf „wahr“ festgelegt. Dies kann Personen-in-the-Middle-Angriffe ermöglichen, bei denen die Kommunikation zwischen zwei Parteien abgefangen wird. Wenn Sie diese Eigenschaft auf einen unsicheren Wert festlegen, wird der Zertifikatverifizierungsprozess deaktiviert, der alle Zertifizierungen in der Zertifikatkette durch Überprüfung des Widerrufsstatus bewertet. Legen Sie diese Eigenschaft auf „wahr“ fest, um zu verhindern, dass der HTTP-Client eine Verbindung zu einem potenziell schädlichen Hostnamen herstellt.
    Kontrollsperrzeit für ungültige Versuche zur Passwortzurücksetzung [aktualisiert in Security Center 1,3 und 2,0]
    • Neue Kurzbeschreibung: Control Lockout Time for Invalid Password Reset Attempts
    • Alte Kurzbeschreibung: Minimize Reset Password Request Max Attempts Window Duration
    • Neue Beschreibung: Die password_reset.request.max_attempt_windowDie Eigenschaft definiert die Anzahl der Minuten, die ein Anwender warten muss, um sein Passwort zurückzusetzen oder zu ändern, nachdem die maximale Anzahl nicht erfolgreicher Versuche überschritten wurde, die mit festgelegt wurde password_reset.request.max_attempt property. Eine kleine Anzahl von Minuten für password_reset.request.max_attempt_windowDie Eigenschaft erhöht das Risiko, dass ein Passwort erfolgreich durch Brute-Erzwingen erzwungen wird, da eine größere Anzahl von Versuchen zur Passwortzurücksetzung unternommen werden kann. Der Standardwert von 1440 Minuten wird empfohlen.
    • Alte Beschreibung: Wenn password_reset.request.max_attempt_windowIst nicht auf den empfohlenen Wert von 1440 oder weniger festgelegt, kann Account Bruteforce ausgeführt werden, da der Account nach einer maximalen Anzahl falscher Authentifizierungsversuche nicht gesperrt wird.
    • Neue Korrektur: Stellen Sie die Eigenschaft sicher password_reset.request.max_attempt_windowIst auf 1440 oder höher festgelegt.
    • Alte Korrektur: Stellen Sie die Eigenschaft sicher password_reset.request.max_attempt_windowIst auf maximal 1440 festgelegt.
    • Regelskript: Skript wurde aktualisiert, um die Erkennungsgenauigkeit zu verbessern.
    Legacy-Verhalten für GlideRecord-Umfangsabgrenzung deaktivieren [Neu in Security Center 1,3 und aktualisiert in 1,5 und 2,0]
    • Neue Kurzbeschreibung: Disable GlideRecord Scope Fencing Legacy Behavior
    • Alte Kurzbeschreibung: Enable GlideRecord Scope Fencing Legacy Behavior
    • Neue Korrektur: Legen Sie die Glide-Eigenschaft fest glide.record.legacy_cross_scope_access_policy_in_scriptAuf „falsch“. Wenn nicht in der Tabelle „sys_properties“ vorhanden, ist der Standardwert „wahr“.
    • Alte Korrektur: Legen Sie die Glide-Eigenschaft fest glide.record.legacy_cross_scope_access_policy_in_scriptAuf „falsch“.
    Ungültige Passwortzurücksetzungsversuche begrenzen [aktualisiert in Security Center 1,3 und aktualisiert in 2,0]
    • Neue Kurzbeschreibung: Limit Invalid Password Reset Attempts
    • Alte Kurzbeschreibung: Minimize Reset Password Request Max Attempt Allowance