Explorer les paramètres de haute sécurité
Les paramètres de sécurité élevée font référence à plusieurs options de sécurité disponibles dans votre instance.
Le module Paramètres de sécurité élevée est activé avec le module d’extension Paramètres de sécurité élevée, qui est actif par défaut sur les nouvelles instances. Si les paramètres de sécurité élevée ne sont pas actifs sur votre instance, consultez Demander l’activation des paramètres de sécurité élevée. Pour en savoir plus sur ce module d’extension, consultez Activer le module d'extension de haute sécurité Paramètres de renforcement de la sécurité de l’instance. Les propriétés de ces types de paramètres de sécurité élevée sont disponibles :
- Valeurs de propriété par défaut : pour renforcer la sécurité sur votre plateforme en centralisant tous les paramètres de sécurité critiques en un seul endroit pour la gestion et l’audit.
- Propriété de refus par défaut : fournit une propriété de gestionnaire de sécurité pour contrôler le comportement de sécurité par défaut pour l’accès à la table.
- Rôle d’administrateur de sécurité : fournit un rôle permettant d’empêcher la modification des paramètres et des ressources de sécurité clés. Le rôle d’administrateur de sécurité n’est pas hérité du rôle d’administrateur et doit être explicitement affecté.
- Privilèges élevés : permet aux utilisateurs ayant le rôle d’administrateur de sécurité d’opérer dans le contexte d’un utilisateur normal et de s’élever à un rôle de sécurité plus élevé si nécessaire.
- Contrôles d’accès aux propriétés : permet aux administrateurs de sécurité de définir les rôles requis pour lire et écrire les propriétés.
- Journaux système : sont en lecture seule.
- Règles de contrôle d’accès : contrôlez les données auxquelles les utilisateurs peuvent accéder et comment ils peuvent y accéder.
- Paramètres de sécurité élevée active également automatiquement le module d’extension de sécurité contextuelle s’il n’est pas déjà activé. En outre, Paramètres de sécurité de la plateforme : élevé fournit des paramètres et des fonctionnalités dans le contexte du renforcement de la sécurité de votre instance.
- Le contenu des paramètres de renforcement de la sécurité de l’instance contient des descriptions détaillées et des valeurs de conformité pour les propriétés système et les modules d’extension liés à la sécurité dans le ServiceNow AI Platform.
- Pour en savoir plus sur chacune de ces propriétés, reportez-vous à la section Paramètres de sécurisation renforcée.
- Accédez à la .
Les options de la page Propriétés de haute sécurité sont Oui ou Non.
- Accédez à sys_properties.list et recherchez la propriété que vous souhaitez définir ou modifier.
Les options de la table Propriétés système [sys_properties.list] sont true ou false.
Contrôle d’accès à la propriété
Deux colonnes supplémentaires sont créées dans la table Propriétés [sys_properties] lorsque les paramètres de sécurité élevée sont actifs :
- read_roles : une liste de noms de rôles séparés par des virgules qui sont autorisés à lire tous les champs de cette propriété.
- write_roles : une liste de noms de rôles séparés par des virgules qui sont autorisés à écrire/modifier tous les champs de cette propriété.
Les propriétés répertoriées dans la table Propriétés ont read_roles d’administrateur et write_roles de security_admin. Les utilisateurs disposant du rôle administrateur peuvent afficher et lire les valeurs de propriété, mais doivent accéder au rôle security_admin pour les modifier.
Notifications
L’activation des paramètres de sécurité élevée active également les messages d’avertissement de sécurité. Voici un exemple de message qui s’affiche après une approbation.
Propriétés des paramètres de sécurité élevée
| Propriété | Description | Valeur par défaut | Paramètres de la sécurisation pour la sécurité de l'instance |
|---|---|---|---|
| glide.ui.escape_text | Valeurs XML d’échappement au niveau de l’analyseur de l’interface utilisateur. Prévient les attaques de script de site à site réfléchies et stockées. Cette propriété n’est pas applicable dans Portail de services. Remarque : Cette propriété est définie sur vrai par défaut dans les Vancouver versions ultérieures et ne peut pas être modifiée par les administrateurs. Si la propriété doit être modifiée, contactez l’assistance clientèle. |
Oui | Balisage XML d’échappement |
| glide.ui.escape_all_script | Force l’échappement par défaut de toutes les expressions dans Jelly JavaScript |
Oui dans les nouvelles instances | Script Jelly d’échappement [mis à jour dans Centre de sécurité 1.3 et 1.5] |
| glide.ui.rotate_sessions | Effectuez une rotation des identificateurs de session HTTP pour réduire les vulnérabilités de sécurité. Voir : http://www.owasp.org/index.php/Session_Management#Rotate_Session_Identifiers. |
Oui Remarque : Si vous utilisez le module d’extension SAML 2.0 pour l’authentification unique, définissez cette propriété sur Non. Sinon, cela interfère avec le partage d’informations de session qui a lieu entre l’instance et le fournisseur d’identité. |
Rotation des identificateurs de session HTTP |
| glide.ui.secure_cookies | Activez les cookies de session sécurisés : Activez une sécurité par cookie supplémentaire. Si oui, la validation stricte des cookies de session s’applique. |
Oui | Appliquer la sécurité stricte des cookies de session |
| glide.security.password_reset.uri | Pour mobile Réinitialisation du mot de passe, URL vers laquelle l’utilisateur est redirigé lorsqu’il clique sur le bouton Mot de passe oublié ? . |
Aucun | |
| glide.security.strict.updates | Revérifiez la sécurité des transactions entrantes durant la soumission du formulaire (les droits sont toujours vérifiés lors de la création d’un formulaire). Remarque : Cette propriété est définie sur vrai par défaut dans les Vancouver versions ultérieures et ne peut pas être modifiée par les administrateurs. Si la propriété doit être modifiée, contactez l’assistance clientèle. |
Oui | Double vérification des transactions entrantes |
| glide.security.strict.actions | Vérifiez les conditions des actions d’interface utilisateur avant l’exécution. Normalement, les conditions sont vérifiées uniquement pendant le rendu du formulaire. |
Oui | Vérifier les conditions de l’action d’interface utilisateur avant son exécution |
| glide.security.use_csrf_token | Activez l’utilisation d’un jeton de sécurité pour identifier et valider les demandes entrantes. Ce jeton est utilisé pour éviter les attaques de contrefaçon de requête de site à site. |
Oui | Activer le jeton anti-CSRF [nouveau dans Centre de sécurité 1.3, mis à jour dans la version 1.5 et supprimé dans la version 2.0] |
| glide.ui.escape_html_list_field | HTML d’échappement pour les champs HTML d’une vue de liste. |
Oui | HTML d’échappement dans les vues de listes [Mis à jour dans Centre de sécurité 1.3 et 1.5] |
| glide.html.escape_script | Balises JavaScript d’échappement dans les champs HTML. |
Oui | Échapper à JavaScript [mis à jour dans le centre de sécurité 1.3] |
| glide.ui.forgetme | Supprimez la case à cocher Se souvenir de moi de la page de connexion. |
Oui | Supprimer Se souvenir de moi |
| glide.smtp.auth | Authentifiez-vous auprès du serveur SMTP à l’aide des propriétés de nom d’utilisateur et de mot de passe. Remarque : Cette propriété est obsolète. |
Oui | |
| glide.soap.strict_security | Appliquez une sécurité stricte sur les demandes SOAP entrantes. Exige que les demandes SOAP entrantes passent par le gestionnaire de sécurité pour l’accès à la table et au champ et vérifie que les utilisateurs SOAP possèdent les rôles appropriés pour utiliser le service Web. |
Oui | Appliquer la sécurité stricte des requêtes SOAP |
| glide.basicauth.required.wsdl | Demandez une autorisation pour les demandes WSDL entrantes. Remarque : Si vous choisissez de ne pas exiger d’autorisation pour les demandes WSDL entrantes, vous devez modifier les règles de contrôle d’accès (ACL) pour permettre aux utilisateurs invités d’accéder au contenu WSDL. |
Oui | Exiger une autorisation pour la demande WSDL |
| glide.basicauth.required.csv | Exiger une autorisation de base pour les demandes CSV entrantes . |
Oui | Exiger une autorisation pour les demandes CSV [Mis à jour dans le Centre de sécurité 1.3] |
| glide.basicauth.required.excel | Demandez une autorisation de base pour les demandes Excel entrantes. |
Oui | Exiger une autorisation pour les demandes Excel |
| glide.basicauth.required.importprocessor | Demandez l’autorisation de base pour les demandes d’importation entrantes. |
Oui | Exiger une autorisation pour les demandes d’importation |
| glide.basicauth.required.pdf | Demandez une autorisation de base pour les demandes PDF entrantes. |
Oui | Exiger une autorisation pour les demandes PDF |
| glide.basicauth.required.rss | Demandez l’autorisation de base pour les demandes RSS entrantes. | Oui | Exiger une autorisation pour les demandes RSS |
| glide.basicauth.required.scriptedprocessor | Demandez l’autorisation de base pour les demandes de script entrantes. |
Oui | Exiger une autorisation pour les demandes de script |
| glide.basicauth.required.soap | Demandez l’autorisation de base pour les demandes SOAP entrantes. |
Oui | Exiger une autorisation pour les demandes SOAP |
| glide.basicauth.required.unl | Demandez l’autorisation de base pour les demandes de déchargement entrantes. |
Oui | Exiger une autorisation pour les demandes de déchargement |
| glide.basicauth.required.xml | Demandez l’autorisation de base pour les demandes XML entrantes. |
Oui | Exiger une autorisation pour les demandes XML |
| glide.basicauth.required.xsd | Demandez l’autorisation de base pour les demandes XSD entrantes. |
Oui | Exiger une autorisation pour les demandes XSD |
| glide.cms.catalog_uri_relative | Appliquez des liens relatifs depuis le paramètre URI on /ess/catalog.do. Si oui, seules les URL relatives sont autorisées via la page /ess/catalog.do en utilisant le uri paramètre. Si non, toutes les URL sont autorisées, ce qui permet la liaison à un contenu externe non autorisé. |
Oui | Renforcer les liens relatifs |
| glide.set_x_frame_options | Activez cette propriété pour définir l’en-tête de réponse X-Frame-Options sur SAMEORIGIN pour toutes les pages de l’interface utilisateur. L’en-tête de réponse HTTP X-Frame-Options peut être utilisé pour indiquer si un navigateur doit être autorisé à afficher une page dans un ou <iframe>un <frame> . Les sites peuvent utiliser cette propriété pour éviter les attaques de détournement de clic, en vérifiant que leur contenu n’est pas incorporé dans d’autres sites. https://developer.mozilla.org/en/the_x-frame-options_response_header |
Oui | Implémenter x-frame-options : en-tête de sécurité SAMEORIGIN |
| glide.ui.attachment.download_mime_types | Une liste de types MIME de pièce jointe séparés par des virgules qui ne sont pas alignés dans le navigateur. Prévient les attaques de script de site à site. Par exemple, text/html force le téléchargement des fichiers HTML vers le client en tant que pièces jointes plutôt que leur affichage aligné dans le navigateur. |
text/html,image/svg,image/svg+xml | Restreindre les types MIME téléchargeables |
| glide.security.groupby_acl_check | Lorsque cette propriété est activée, les vérifications ACL des opérations GroupBy sont effectuées pour les noms de groupe en fonction des données réelles des groupes. |
Oui | Aucun |
| glide.security.diag_txns_acl | Si oui, seul l’utilisateur administrateur ou l’utilisateur disposant de l’adresse IP autorisée peut accéder à stats.do, threads.do et replication.do. | Non | Restreindre l’accès à la surveillance des performances |
| glide.ui.security.codetag.allow_script | Autorisez le HTML incorporé (utilisant des balises [code]) pour contenir les balises JavaScript. Remarque : Cette propriété est définie sur vrai par défaut dans les Vancouver versions ultérieures et ne peut pas être modifiée par les administrateurs. Si la propriété doit être modifiée, contactez l’assistance clientèle. |
Non | Désactiver le code HTML intégré [Mis à jour dans le Centre de sécurité 1.3] |
| glide.script.allow.ajaxevaluate | Activez le processeur AJAXEvaluate. L’appel d’API AJAXEvaluate permet au client d’envoyer et d’exécuter des scripts arbitraires sur le serveur. |
Non | Désactiver AJAXEvaluate |
Les propriétés suivantes sont définies dans la table sys_properties, mais ne sont pas visibles sur la page Paramètres de sécurité élevée.
| Propriété | Description | Valeur par défaut | Paramètres de la sécurisation pour la sécurité de l'instance |
|---|---|---|---|
| com.glide.communications.httpclient.verify_hostname | Vérifiez le nom d’hôte et la chaîne de certification présentés par les hôtes SSL distants. Protégez-vous contre les attaques de l’interception (MITM). Pour plus d’informations, consultez Configurer le spoke Kubernetes Remarque : Cette propriété remplace la propriété com.glide.communications.trustmanager_trust_all. |
VRAI | Aucun |
| glide.basicauth.required.schema | Demandez l’authentification de base pour les demandes de schéma de table entrantes. |
VRAI | Aucun |
| glide.security.csrf_previous.autoriser | Autorisez l’utilisation d’un jeton de sécurité expiré pour identifier et valider les demandes entrantes. Ce jeton est utilisé pour éviter les attaques de contrefaçon de requête de site à site. |
faux | Aucun |
| glide.security.csrf_previous.time_limit | Délai en secondes avant l’expiration d’un jeton de sécurité. Permet de contrôler la durée de validité du jeton CSRF précédent. Lorsque la session utilisateur expire, le jeton de sécurité expire avec elle, sauf si la glide.security.csrf_previous.allow propriété est activée et dans la période décrite dans cette propriété. Ce jeton est utilisé pour éviter les attaques de contrefaçon de requête de site à site. |
86400 Remarque : Valeur en secondes. Équivalent à 1 jour. |
Aucun |
| glide.security.csrf.strict.validation.mode | Applique une validation stricte sur les jetons CSRF afin que les utilisateurs ne puissent pas soumettre à nouveau une demande si le jeton CSRF ne correspond pas. |
faux | Empêcher les utilisateurs d’accepter l’avertissement pour contourner la validation CSRF [Mis à jour dans Centre de sécurité 1.3 et 1.5] |
| com.glide.security.check_unsanitized_html | Applique le comportement de nettoyage des champs de translated_html à un niveau global pour les affectations de champs. | Appliquer | Aucun |