Exploration des paramètres de sécurité élevée

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 9 minutes de lecture

    • Les paramètres de sécurité élevée désignent plusieurs options de sécurité disponibles dans votre instance.

    Le module Paramètres de haute sécurité est activé avec le module d’extension Paramètres de haute sécurité, qui est actif par défaut sur les nouvelles instances. Si les paramètres de sécurité élevée ne sont pas actifs sur votre instance, consultez Demande d’activation des paramètres de sécurité élevée. Pour en savoir plus sur ce module d’extension, consultez Module d’extension de haute sécurité Paramètres de renforcement de la sécurité de l’instance. Les propriétés des types de paramètres de sécurité élevée suivants sont disponibles :

    • Valeurs de propriété par défaut : pour renforcer la sécurité sur votre plateforme en centralisant tous les paramètres de sécurité critiques en un seul emplacement pour la gestion et l’audit.
    • Propriété de refus par défaut : fournit une propriété de gestionnaire de sécurité pour contrôler le comportement de sécurité par défaut pour l’accès à la table.
    • Rôle d’administrateur de sécurité : permet d’empêcher la modification des paramètres et des ressources de sécurité clés. Le rôle d’administrateur de sécurité n’est pas hérité du rôle administrateur et doit être explicitement affecté.
    • Privilèges élevés : permet aux utilisateurs ayant le rôle d’administrateur de sécurité d’opérer dans le contexte d’un utilisateur normal et de s’élever à un rôle de sécurité plus élevé si nécessaire.
    • Contrôles d’accès aux propriétés : permet aux administrateurs de sécurité de définir les rôles requis pour lire et écrire les propriétés.
    • Journaux système : sont en lecture seule.
    • Règles de contrôle d’accès : contrôlez les données auxquelles les utilisateurs peuvent accéder et la manière dont ils peuvent y accéder.
    Remarque :
    • Les paramètres de sécurité élevée activent également automatiquement le module d’extension Contextual Security, s’il n’est pas déjà activé. En outre, Paramètres de sécurité de la plateforme - Élevé fournit des paramètres et des fonctionnalités dans le contexte du renforcement de la sécurité de votre instance.
    • Le contenu des paramètres de renforcement de la sécurité de l’instance contient des descriptions détaillées et des valeurs de conformité pour les propriétés système et les modules d’extension liés à la sécurité dans le Now Platform. Pour en savoir plus sur chacune de ces propriétés, reportez-vous à Paramètres de la sécurisation pour la sécurité de l'instance.
    • Pour en savoir plus sur chacune de ces propriétés, reportez-vous à Paramètres de la sécurisation pour la sécurité de l'instance.
    Il existe deux façons de définir ou de modifier les propriétés des paramètres de sécurité élevée.
    • Accédez à la Sécurité de système > Paramètres de sécurité élevée.

      Les options de la page Propriétés de sécurité élevée sont Oui ou Non.

    • Accédez à la liste sys_properties.list et recherchez la propriété que vous souhaitez définir ou modifier.

      Les options de la table Propriétés système [sys_properties.list] sont vrai ou faux.

    Contrôle d’accès à la propriété

    Deux colonnes supplémentaires sont créées dans la table Propriétés [sys_properties] lorsque les paramètres de sécurité élevée sont activés :

    • read_roles liste de rôles séparés par des virgules autorisés à lire tous les champs de cette propriété.
    • write_roles : liste de rôles séparés par des virgules autorisés à écrire/modifier tous les champs de cette propriété.

    Les propriétés répertoriées dans la table Propriétés ont read_roles d’administrateur et write_roles de security_admin. Les utilisateurs dotés du rôle administrateur peuvent afficher et lire les valeurs des propriétés, mais doivent s’élever au rôle security_admin pour les modifier.

    Notifications

    L’activation des paramètres de sécurité élevée active également les messages d’avertissement de sécurité. Voici un exemple de message qui s’affiche après une approbation.

    Figure 1. Notification d’avertissement de sécurité
    Notification d’avertissement de sécurité

    Propriétés des paramètres de sécurité élevée

    Propriété Description Valeur par défaut Paramètres de la sécurisation pour la sécurité de l'instance
    glide.ui.escape_text

    Valeurs XML d’échappement au niveau de l’analyseur pour l’interface utilisateur. Empêche les attaques de script de site à site réfléchies et stockées. Cette propriété n’est pas applicable dans Service Portal.

    Remarque :
    Cette propriété est définie sur true par défaut dans Vancouver la version et les versions ultérieures, et ne peut pas être modifiée par les administrateurs. Pour un cas d’utilisation où la propriété doit être modifiée, contactez l’assistance client.
    		 Oui XML
    glide.ui.escape_all_script

    Force l’échappement par défaut de toutes les expressions dans Jelly JavaScript <![CDATA[<script type="text/javascript">]]> . Applique l’échappement uniquement si l’attribut type de la <![CDATA[<script>balise ]]> est vide ou si la valeur est text/javascript, text/ecmascript, application/javascript, application/ecmascript ou application/x-javascript.

    		 Oui dans les nouvelles instances Échapper à Jelly
    glide.ui.rotate_sessions

    Effectuez une rotation des identificateurs de session HTTP pour réduire les failles de sécurité. Voir : http://www.owasp.org/index.php/Session_Management#Rotate_Session_Identifiers.

    		 Oui
    Remarque :

    Si vous utilisez le module d’extension SAML 2.0 pour l’authentification Single Sign-on, définissez cette propriété sur Non. Sinon, il interfère avec le partage d’informations de session qui a lieu entre l’instance et le fournisseur d’identité.

    		 Rotation des identificateurs de session HTTP
    glide.ui.secure_cookies

    Activer les cookies de session sécurisés : Activez une sécurité par cookie supplémentaire. Si oui, la validation stricte des cookies de session est appliquée.

    		 Oui Cookies de session sécurisés
    glide.security.password_reset.uri

    Pour mobile Réinitialisation du mot de passe, URL vers laquelle l’utilisateur est redirigé lorsqu’il clique sur le bouton Mot de passe oublié ? .

    		 Aucun
    glide.security.strict.updates

    Vérifiez la sécurité des transactions entrantes lors de la soumission du formulaire (les droits sont toujours vérifiés lors de la génération du formulaire).

    Remarque :
    Cette propriété est définie sur true par défaut dans Vancouver la version et les versions ultérieures, et ne peut pas être modifiée par les administrateurs. Pour un cas d’utilisation où la propriété doit être modifiée, contactez l’assistance client.
    		 Oui Double vérification des transactions entrantes
    glide.security.strict.actions

    Vérifiez les conditions des actions d’interface utilisateur avant leur exécution. Normalement, les conditions ne sont vérifiées que pendant le rendu du formulaire.

    		 Oui Vérifier l’action d’interface utilisateur avant son exécution
    glide.security.use_csrf_token

    Activez l’utilisation d’un jeton de sécurité pour identifier et valider les demandes entrantes. Ce jeton est utilisé pour éviter les attaques de contrefaçon de requête intersite.

    		 Oui Jeton anti-CSRF
    glide.ui.escape_html_list_field

    HTML d’échappement pour les champs HTML d’une vue de liste.

    		 Oui Échapper au HTML
    glide.html.escape_script

    Balises JavaScript d’échappement dans les champs HTML.

    		 Oui Javascript d’échappement
    glide.ui.forgetme

    Décochez la case Mémoriser mon nom de la page de connexion.

    		 Oui Supprimer Se souvenir de moi
    glide.smtp.auth Authentifiez-vous auprès du serveur SMTP à l’aide des propriétés nom d’utilisateur et mot de passe.
    Remarque :
    Cette propriété est obsolète.
    		 Oui Authentification SMTP (obsolète)
    glide.script.use.sandbox

    Exécutez des scripts générés par le client (AJAXEvaluate et conditions de requête) dans un bac à sable à droits réduits. Si oui, seules les règles métier et les includes de script lorsque la case Client joignable est définie sur Oui sont disponibles, et certains appels d’API back-end sont interdits. Pour plus d'informations, consultez Configuration de la propriété de bac à sable de script.

    		 Oui Bac à sable pour les scripts générés par le client
    glide.soap.strict_security

    Appliquez une sécurité stricte sur les demandes SOAP entrantes. Exige que les demandes SOAP entrantes passent par le gestionnaire de sécurité pour l’accès aux tables et aux champs, et vérifie que les utilisateurs SOAP possèdent les rôles appropriés pour utiliser le service Web.

    		 Oui Sécurité stricte des requêtes SOAP
    glide.basicauth.required.wsdl

    Demandez une autorisation pour les demandes WSDL entrantes.

    Remarque :
    Si vous choisissez de ne pas exiger d’autorisation pour les demandes WSDL entrantes, vous devez modifier les règles Access Control (ACL) pour permettre aux utilisateurs invités d’accéder au contenu WSDL.
    		 Oui Autorisation de demande WSDL
    glide.basicauth.required.csv

    Exiger une autorisation de base pour les demandes CSV entrantes

    .    		 Oui Autorisation des demandes de CSV
    glide.basicauth.required.excel

    Demandez une autorisation de base pour les demandes Excel entrantes.

    		 Oui Autorisation des demandes d’Excel
    glide.basicauth.required.importprocessor

    Demandez l’autorisation de base pour les demandes d’importation entrantes.

    		 Oui Autorisation des demandes d’importation
    glide.basicauth.required.pdf

    Demandez une autorisation de base pour les demandes PDF entrantes.

    		 Oui Autorisation de demande de PDF
    glide.basicauth.required.rss Demandez l’autorisation de base pour les demandes RSS entrantes. Oui Autorisation de demande de RSS
    glide.basicauth.required.scriptedprocessor

    Demandez une autorisation de base pour les demandes de script entrantes.

    		 Oui Autorisation de demande de script
    glide.basicauth.required.soap

    Demandez l'autorisation de base pour les demandes SOAP entrantes.

    		 Oui Authentification de base : demandes SOAP
    glide.basicauth.required.unl

    Demandez l’autorisation de base pour les demandes de déchargement entrantes.

    		 Oui Autorisation de la demande de déchargement
    glide.basicauth.required.xml

    Demandez une autorisation de base pour les demandes XML entrantes.

    		 Oui Autorisation de demande XML
    glide.basicauth.required.xsd

    Demandez l’autorisation de base pour les demandes XSD entrantes.

    		 Oui Autorisation de la demande XSD
    glide.cms.catalog_uri_relative

    Appliquez des liens relatifs à partir du paramètre URI sur /ess/catalog.do. Si oui, seules les URL relatives sont autorisées via la page /ess/catalog.do à l’aide du uri paramètre. Si ce n’est pas le cas, toutes les URL sont autorisées, ce qui peut permettre la liaison à du contenu externe non autorisé.

    		 Oui Renforcer les liens relatifs
    glide.set_x_frame_options

    Activez cette propriété pour définir l’en-tête de réponse X-Frame-Options sur SAMEORIGIN pour toutes les pages de l’interface utilisateur. L’en-tête de réponse HTTP X-Frame-Options peut être utilisé pour indiquer si un navigateur doit être autorisé à rendre une page dans un <frame> ou <iframe>. Les sites peuvent utiliser cette propriété pour éviter les attaques de détournement de clic en s’assurant que leur contenu n’est pas intégré dans d’autres sites. https://developer.mozilla.org/en/the_x-frame-options_response_header

    		 Oui X-Frame-Options: SAMEORIGIN
    glide.ui.attachment.download_mime_types

    Une liste de types MIME de pièces jointes séparés par des virgules qui ne sont pas alignés dans le navigateur. Prévient les attaques de script de site à site. Par exemple, text/html force les fichiers HTML à être téléchargés sur le client en tant que pièces jointes plutôt que d’être affichés dans le navigateur.

    		 texte/html,image/svg,image/svg+xml Forcer les types MIME de téléchargement
    glide.security.groupby_acl_check

    Lorsque cette propriété est activée, les vérifications d’ACL pour les opérations Grouper par sont effectuées pour les noms de groupes en fonction des données réelles des groupes.

    		 Oui Aucun
    glide.security.diag_txns_acl Si oui, seuls l’utilisateur administrateur ou l’utilisateur dont l’adresse IP est autorisée peuvent accéder à stats.do, threads.do et replication.do. Non Surveillance des performances (ACL)
    glide.ui.security.codetag.allow_script

    Autorisez le HTML incorporé (utilisant des balises [code]) à contenir des balises JavaScript.

    Remarque :
    Cette propriété est définie sur true par défaut dans Vancouver la version et les versions ultérieures, et ne peut pas être modifiée par les administrateurs. Pour un cas d’utilisation où la propriété doit être modifiée, contactez l’assistance client.
    		 Non Autoriser le code HTML intégré
    glide.script.allow.ajaxevaluate

    Activez le processeur AJAXEvaluate. L’appel d’API AJAXEvaluate permet au client d’envoyer et d’exécuter des scripts arbitraires sur le serveur.

    		 Non Activer AJAXEvaluate
    glide.login.autocomplete

    Autorisez les navigateurs à utiliser la saisie semi-automatique sur les champs de mot de passe des formulaires de connexion.

    		 Non Saisie semi-automatique du champ Mot de passe

    Les propriétés suivantes sont définies dans la table sys_properties, mais ne sont pas visibles sur la page Paramètres de sécurité élevée.

    Propriété Description Valeur par défaut Paramètres de la sécurisation pour la sécurité de l'instance
    com.glide.communications.httpclient.verify_hostname

    Vérifiez le nom d’hôte et la chaîne de certification présentés par les hôtes SSL distants. Protégez-vous contre les attaques de l’homme du milieu (MITM).

    Pour plus de détails, consultez Configurer le spoke Kubernetes

    Remarque :
    Cette propriété remplace la propriété com.glide.communications.trustmanager_trust_all.
    		 VRAI Aucun
    glide.basicauth.required.schema

    Demandez l’authentification de base pour les demandes de schéma de table entrantes.

    		 VRAI Aucun
    glide.security.csrf_previous.autoriser

    Autorisez l’utilisation d’un jeton de sécurité expiré pour identifier et valider les demandes entrantes. Ce jeton est utilisé pour éviter les attaques de contrefaçon de requête intersite.

    		 faux Aucun
    glide.security.csrf_previous.time_limit

    Délai en secondes avant l’expiration d’un jeton de sécurité. Permet de contrôler la durée de validité du jeton CSRF précédent. Lorsque la session utilisateur expire, le jeton de sécurité expire avec elle, sauf si la glide.security.csrf_previous.allow propriété est activée et si elle est comprise dans la période décrite par cette propriété. Ce jeton est utilisé pour éviter les attaques de contrefaçon de requête intersite.

    		 86400
    Remarque :
    Valeur en secondes. Équivalent à 1 jour.
    		 Aucun
    glide.security.csrf.strict.validation.mode

    Applique une validation stricte aux jetons CSRF afin que les utilisateurs ne puissent pas soumettre à nouveau une demande si le jeton CSRF ne correspond pas.

    		 faux Validation stricte du CSRF
    com.glide.security.check_unsanitized_html Applique le comportement de nettoyage des champs de translated_html à un niveau global pour les affectations de champs. Appliquer Aucun