Wenn Glide.stax.Whitelist_enabled Systemeigenschaft ist in der Tabelle „Systemeigenschaften“ [sys_properties] nicht vorhanden oder nicht auf den empfohlenen Wert festgelegt Wahr , Dann sind alle externen Entitäten zulässig, wenn Glide.stax.allow_Entity_Resolution Systemeigenschaft ist auf den Wert von festgelegt Wahr . Wenn Anpassungen keine Entitätserweiterung erfordern, verwenden Sie Glide.stax.allow_Entity_Resolution Systemeigenschaft zum Deaktivieren der Erweiterung externer Entitäten. Die XML-Datei schließt die Analyse ab, enthält jedoch keine internen oder externen Entitäten.

• Wenn Sie festgelegt haben Glide.stax.allow_Entity_Resolution Bis Wahr , Alle externen Entitäten versuchen, Betreffentitäten aufzulösen oder zu erweitern, abhängig von der Einstellung von Glide.stax.Whitelist_enabled Eigenschaft.
• Wenn Sie festgelegt haben Glide.stax.allow_Entity_Resolution Bis Falsch , Alle Entitätsauflösungen und -Erweiterungen sind blockiert. Weitere Informationen zu dieser Eigenschaft finden Sie unter Deaktivieren Sie die Entitätserweiterung im XMLDocument2-Streaming-Parser [Aktualisiert in Security Center 1,5].

Wenn Glide.stax.Whitelist_enabled Ist auf festgelegt Wahr , Definieren Sie eine Liste von durch Kommas getrennten FQDN in Glide.xml.Entität.Whitelist Eigenschaft, die die einzigen URLs sind, die mit der Verarbeitungseigenschaft der XML-Entität erreicht werden können. Weitere Informationen finden Sie unter Externe XML-Entitäten beschränken [aktualisiert in Security Center 1,3 und 2,0]. Angreifer können diese Schwachstelle verwenden, um Daten bei einem XXE-Angriff (External Entities Expansion) exponentiell zu erweitern und schnell alle Systemressourcen zu verbrauchen.

Schützen Sie sich vor XXE-Angriffen, indem Sie eine Allow-Liste verwenden, um zu verhindern, dass Angreifer beliebige HTTP-Anforderungen aufnehmen, die der Server ausführen kann. Dies kann zu zusätzlichen Angriffen führen, die die Vertrauensbeziehung des Servers mit anderen Entitäten verwenden.

Hinzufügen http://java.sun.com/j2ee/dtds/ Auf den Wert von Glide.xml.Entität.Whitelist Systemeigenschaft, legen Sie dann fest Glide.xml.Entität.Whitelist.aktiviert Systemeigenschaft zu Wahr .

Andere Werte als http://java.sun.com/j2ee/dtds/ Kann in der enthalten sein Glide.xml.Entität.Whitelist Eigenschaft, sind jedoch für den sofort einsatzbereiten Plattformstatus unnötig. Überprüfen Sie alle zusätzlichen Werte, um festzustellen, ob sie sicher sind.

Stellen Sie sicher, dass MIME-Typen für Anhänge validiert werden, um zu verhindern, dass gefährliche Dateien mit falschen Dateierweiterungen in Ihre Instanz hochgeladen werden.

Legen Sie fest Glide.attachment.enforce_Security_validation Systemeigenschaft zu Wahr . Wenn auf festgelegt Wahr , Dateien werden mit der richtigen Dateityperweiterung hochgeladen.

Es ist eine Best Practice für Sicherheit, Dateien-Uploads mindestens mit der MIME-Typvalidierung zu validieren.

Beschreibung (Neu) verhindern, dass Instanzzugriff für eine größere Gruppe von Personen, die verwenden, unnötig gefährdet ist glide.ip.authenticate.strict Und glide.ip.authenticate.allow.secured Systemeigenschaften.

Wenn glide.ip.authenticate.strict Systemeigenschaft ist auf festgelegt Wahr , Intern ServiceNow Mitarbeiter und Systeme können eingehende Verbindungen zu Ihrer Instanz nur aus wichtigen IP-Bereichen herstellen. Diese Grenzen ServiceNow Transparenz von für wichtige interne Infrastruktur in Ihrer Instanz und verhindert den Zugriff von breiter ServiceNow Mitarbeiter wie Support- und Vertriebsmitarbeiter über Unternehmensnetzwerke. Die glide.ip.authenticate.allow.secured Systemeigenschaft gewährt intern ServiceNow Eingehende Verbindungen, einschließlich regulärem authentifiziertem Zugriff und nicht authentifizierten Diagnoseseiten.

Wenn nicht auf festgelegt Wahr , Dann breiter ServiceNow Interner IP-Bereich, der in definiert ist glide.ip.authenticate.allow Die Eigenschaft wird verwendet, um diese intern zu gewähren ServiceNow Eingehende Verbindungen.

Stellen Sie sicher, dass glide.ip.authenticate.allow.secured Die Systemeigenschaft enthält nur vertrauenswürdige Werte und die Eigenschaft glide.ip.authenticate.strict Ist auf festgelegt Wahr .

Beschreibung (alt): Wenn „glide.ip.authenticate.strict" auf „wahr“ festgelegt ist, können interne ServiceNow-Personelle und -Systeme nur eingehende Verbindungen zur Instanz aus wichtigen IP-Bereichen herstellen. Dieses Limit bietet ServiceNow Einblick in die Instanz in wichtige interne Infrastruktur und verhindert den Zugriff von breiteren ServiceNow-Mitarbeitern wie Support- und Vertriebsmitarbeitern über Unternehmensnetzwerke.

Bei „wahr“ wird die Eigenschaft „glide.ip.authenticate.allow" verwendet, um interne eingehende ServiceNow-Verbindungen zu gewähren. Wenn nicht auf „wahr“ festgelegt, wird ein breiterer interner ServiceNow-IP-Bereich wie in „glide.ip.authenticate.allow" definiert verwendet, um interne eingehende ServiceNow-Verbindungen zu gewähren.

Deaktivieren Sie die Entitätserweiterung in Ihrer Instanz, um Ihre Instanz vor Angriffen wie der Fähigkeit, Systemdateien zu lesen, und Denial of Service zu schützen. Verwenden Sie die Systemeigenschaft, um zu verhindern, dass XML-Entitäten während der Analyse durch den Streaming-Parser (XMLDocument2) erweitert werden.

Legen Sie fest Glide.stax.allow_Entity_Resolution Systemeigenschaft zu Falsch Zum Deaktivieren der Entitätserweiterung in Ihrer Instanz. Wenn diese Eigenschaft nicht in der Tabelle „Systemeigenschaften“ [sys_properties] angezeigt wird, ist der Standardwert Wahr . Erstellen Sie den Eigenschaftsdatensatz, und legen Sie den Wert auf fest Falsch Um den Wert zu ändern.

Verhindern Sie, dass der veraltete Sicherheitsmanager Ihrer Instanz Zugriff auf Ressourcen zulässt, wenn für diese Ressource keine ACLs definiert sind oder wenn nur ACLs auf Tabellenebene mit Platzhaltern vorhanden sind (z. B. Incident.* ). Wenn der Zugriff standardmäßig zulässig ist, ist alles, für das keine expliziten ACLs festgelegt sind, anfällig für Manipulationen.

Legen Sie fest glide.sm.default_mode Systemeigenschaftswert bis Ablehnen Um den Zugriff zu verweigern, wenn keine ACL-Definierungsregeln oder nur ACLs auf Tabellenebene mit Platzhaltern vorhanden sind.

Sichern Sie die Images in Ihrer Instanz, um das Leck vertraulicher Informationen zu verhindern. Images in Ihrer Instanz sind über urls zugänglich, die auf enden .Iix .

Legen Sie fest glide.image_provider.security_enabled Systemeigenschaft zu Wahr Um den Zugriff auf Ihre Bilder über diese URLs zu verhindern.

Deaktivieren Sie die Unterstützung für die Anzeige von HTML-Code, der mit eingebettet wurde [Code] Tag. Dieses Tag ermöglicht die Anzeige von gerendertem HTML in Journalfeldern und kann zu Angriffen mit Cross-Site Scripting (XSS) führen. Diese Angriffe können die Ausführung fremder Skripts in einer Anwendersitzung im Kontext des angemeldeten Browsers ermöglichen. Angreifer können diese Skripts verwenden, um Sitzungsinformationen und vertrauliche Daten zu stehlen. Die HTML-Sprache wurde nicht so konzipiert, dass Skript von der Formatierung getrennt wird. Daher birgt das Zulassen von anwendergesteuertem HTML in jedem System ein inhärentes Risiko.

Wird festgelegt glide.ui.security.codetag.allow_script Bis Falsch Ist konform und reduziert dieses Risiko erheblich, jedoch bleibt ein geringfügiges Risiko bestehen. Dadurch wird nur der Skriptteil von deaktiviert Code Tag, und basiert auf der Bereinigung aller bekannten Konventionen des Skripts in HTML.

Legen Sie fest glide.ui.security.allow_codetag Systemeigenschaft zu Falsch Um zu verhindern, dass Journalfelder und -Formulare gerenderte HTML anzeigen.

Verhindern Sie, dass potenziell schädliche Formeln in Programmen wie Excel nach dem Exportieren und Öffnen der Datei ausgeführt werden, indem Sie Formeln in diesen Dateien mit Escape-Zeichen versehen. Excel-Injection tritt auf, wenn Websites nicht vertrauenswürdige Einträge in Excel-Dateien einbetten. Wenn Sie eine Tabellenkalkulationsanwendung wie Microsoft Excel oder LibreOffice-Aufruf verwenden, um eine Datei zu öffnen, werden alle Zellen, die mit +, -, = oder @ beginnen, als Formel interpretiert, sofern sie nicht ordnungsgemäß mit Escape versehen sind. Schädliche Formeln stellen ein Risiko dar, auch wenn die Tabelle keine vertraulichen Informationen enthält, da sie verwendet werden können, um den Computer des Betrachters durch Codeausführung zu gefährden.

Legen Sie fest glide.export.escape_formulas Systemeigenschaft zu Wahr Um die Ausführung dieser Formeln zu verhindern.

Erhöhen Sie die Sicherheit in Ihrer Instanz, indem Sie sicherstellen, dass nur vertrauenswürdige URLs für den Service AngularJS $http JSONP-Anforderungen zulassen/ablehnen können. JSONP-Anforderungen sind an jede URL zulässig, wenn diese Eigenschaften nicht konfiguriert und aktiviert sind.

Verwenden Sie den Wert von angular.jsonp.inclusion_list.urls Systemeigenschaft zum Definieren einer Liste von URLs, die vertrauenswürdig sind und diesen Zweck zulassen. Legen Sie den Wert von fest angular.jsonp.inclusion_list.enabled Systemeigenschaft zu Wahr Zum Einschränken des zulässigen JSONP auf die in aufgeführten URLs angular.jsonp.inclusion_list.urls .

Verhindern ServiceNow Kundenservice- und Supportmitarbeiter können ohne Ihre ausdrückliche Berechtigung auf die Instanzen zugreifen, indem das Plugin „SNC Access Control“ (com.snc.snc_Access_Control) aktiviert wird. Obwohl der gesamte Zugriff auf Ihre Instanz geprüft wird, möchten Sie diesen Zugriff möglicherweise steuern. Diese Zugriffsmethode ist vollständig auditierbar und wird nachverfolgt.

Aktivieren Sie das Plugin „SNC Access Control“ (com.snc.snc_Access_Control), um den Zugriff auf Ihre Instanz ohne Ihre ausdrückliche Berechtigung zu beschränken. Weitere Informationen zu dieser Funktion finden Sie unter ServiceNow-Zugriffssteuerung. Informationen zur Aktivierung finden Sie unter Aktivieren ServiceNow Zugriffssteuerung

Helfen Sie, Ihre Instanz vor Brute-Force-Angriffen zu schützen, indem Sie einen Zeitraum definieren, in dem ein Anwender nicht versuchen kann, sich anzumelden, nachdem er gesperrt wurde. Die glide.user.unlock_timeout_in_mins Die Systemeigenschaft entsperrt den Anwenderaccount nach dem im Wert angegebenen Zeitraum. Wenn kein Wert angegeben ist, entsperrt Ihre Instanz den Anwenderaccount nach dem Standardzeitraum von 15 Minuten.

Legen Sie fest glide.user.unlock_timeout_in_mins Systemeigenschaftswert auf mindestens 15 . Wenn glide.user.unlock_timeout_in_mins Ist nicht vorhanden, die standardmäßige Sperrzeit ist auf 15 Minuten festgelegt.

Stellen Sie sicher, dass SNC-Anwendersperrprüfung mit automatischer Entsperrung Skriptaktion (in der Tabelle „Skriptaktion“ [sysevent_script_action] gefunden) ist vorhanden und aktiv. Die SNC-Anwendersperrprüfung mit automatischer Entsperrung Die Skriptaktion wird mit dem Plugin „Einstellungen für hohe Sicherheit“ (com.Glide.High_Security) installiert.

Wenn das Multi SSO-Plugin auf einer Instanz aktiviert ist, reduzieren Sie Sicherheitsschwachstellen, indem Sie bestätigen, dass die v2-Version aktiviert ist. Die neueste Version verbessert die Sicherheit und verfügt über weitere Funktionen, z. B. Unterstützung für Assertion Encryption und IDP-initiierte Single Logout (SLO). Wenn die neueste Version nicht aktiviert ist, können die neuen Sicherheitsfunktionen nicht verwendet werden, und die Instanz läuft Gefahr, ein veraltetes Plugin zu verwenden.

Befolgen Sie die Schritte in KB0756504 Um ein Upgrade auf die neueste Version durchzuführen. Dieser Prozess umfasst das Überprüfen und Migrieren von anpassungsbezogenen Changes und das anschließende Upgrade der Version. Wenn abgeschlossen, wird glide.authenticate.multissov2_feature.enabled Systemeigenschaft wird automatisch festgelegt Wahr .

Verhindern Außerhalb des Arbeitsspeichers Dies kann dazu führen, dass ein Anforderungsantworttext mit zu groß ist Glide.http.response.get_body.limit.enabled Und Glide.http.response.get_body.limit Systemeigenschaften. Diese Ausnahmen können Denial of Service (DOS)-Angriffe sowie andere Probleme verursachen, die Angreifern helfen können, eine Instanz zu gefährden. Wenn Sie diese Eigenschaften nicht auf die empfohlenen Werte festlegen, kann Ihre Instanz angreifbar für OutOfMemoryExceptions und Denial of Service-Angriffe werden.