Explorer les paramètres de haute sécurité
Les paramètres de sécurité élevée désignent plusieurs options de sécurité disponibles dans votre instance.
Le module Paramètres de sécurité élevée est activé avec le module d’extension Paramètres de sécurité élevée, qui est actif par défaut sur les nouvelles instances. Si les paramètres de sécurité élevée ne sont pas actifs sur votre instance, consultez Demande d’activation des paramètres de sécurité élevée. Pour en savoir plus sur ce module d’extension, consultez Activer le module d’extension de haute sécurité [mis à jour dans Centre de sécurité 1.3] Paramètres de la sécurisation renforcée de la sécurité de l’instance. Les propriétés de ces types de paramètres de haute sécurité sont disponibles :
- Valeurs de propriété par défaut : pour renforcer la sécurité sur votre plateforme en centralisant tous les paramètres de sécurité critiques en un seul endroit pour la gestion et l’audit.
- Propriété de refus par défaut : fournit une propriété de gestionnaire de sécurité pour contrôler le comportement de sécurité par défaut pour l’accès aux tables.
- Rôle d’administrateur de sécurité : fournit un rôle permettant d’empêcher la modification des paramètres et ressources de sécurité clés. Le rôle d’administrateur de sécurité n’est pas hérité par le rôle d’administrateur et doit être explicitement attribué.
- Privilèges élevés : permet aux utilisateurs ayant le rôle d’administrateur de sécurité d’opérer dans le contexte d’un utilisateur normal et de s’élever à un rôle de sécurité plus élevé si nécessaire.
- Contrôles d’accès aux propriétés : permet aux administrateurs de sécurité de définir les rôles requis pour lire et écrire les propriétés.
- Journaux système : sont en lecture seule.
- Règles de contrôle d’accès : contrôlez les données auxquelles les utilisateurs peuvent accéder et la façon dont ils peuvent y accéder.
- Les paramètres de sécurité élevée activent également automatiquement le module d’extension Sécurité contextuelle, s’il n’est pas déjà activé. En outre, Paramètres de sécurité de la plateforme : élevé fournit des paramètres et des fonctionnalités dans le contexte du renforcement de la sécurité de votre instance.
- Le contenu Paramètres de la sécurisation renforcée pour la sécurité de l’instance contient des descriptions détaillées et des valeurs de conformité relatives aux propriétés système et aux modules d’extension liés à la sécurité dans le Now Platform.
- Pour en savoir plus sur chacune de ces propriétés, reportez-vous à la section Paramètres de sécurisation renforcée.
- Accédez à la .
Les options de la page Propriétés de sécurité élevée sont Oui ou Non.
- Accédez à sys_properties.list et recherchez la propriété que vous souhaitez définir ou modifier.
Les options de la table Propriétés système [sys_properties.list] sont définies sur vrai ou faux.
Contrôle d’accès à la propriété
Deux colonnes supplémentaires sont créées dans la table Propriétés [sys_properties] lorsque les paramètres de sécurité élevée sont actifs :
- read_roles : une liste de noms de rôles séparés par des virgules qui sont autorisés à lire tous les champs de cette propriété.
- write_roles : une liste de noms de rôles, séparés par des virgules, qui sont autorisés à écrire/modifier tous les champs de cette propriété.
Les propriétés répertoriées dans la table Propriétés ont des read_roles d’administrateur et des write_roles de security_admin. Les utilisateurs disposant du rôle administrateur peuvent afficher et lire les valeurs de propriété, mais ils doivent accéder au rôle security_admin pour les modifier.
Notifications
L’activation des paramètres de sécurité élevée active également les messages d’avertissement de sécurité. Voici un exemple de message qui s’affiche après une approbation.
Propriétés des paramètres de sécurité élevée
| Propriété | Description | Valeur par défaut | Paramètres de la sécurisation pour la sécurité de l'instance |
|---|---|---|---|
| glide.ui.escape_text | Valeurs XML d’échappement au niveau de l’analyseur de l’interface utilisateur. Prévient les attaques de script de site à site réfléchies et stockées. Cette propriété n’est pas applicable dans Portail de services. Remarque : Cette propriété est définie sur vrai par défaut dans les Vancouver versions ultérieures et ne peut pas être modifiée par les administrateurs. Pour un cas d’utilisation où la propriété doit être modifiée, contactez l’assistance clientèle. |
Oui | Balisage XML d’échappement [Mis à jour dans Centre de sécurité 1.3] |
| glide.ui.escape_all_script | Force l’échappement par défaut de toutes les expressions dans les balises Jelly JavaScript |
Oui, dans les nouvelles instances | Script Jelly d’échappement [Mis à jour dans Centre de sécurité 1.3 et 1.5] |
| glide.ui.rotate_sessions | Effectuez une rotation des identificateurs de session HTTP pour réduire les vulnérabilités de sécurité. Voir : http://www.owasp.org/index.php/Session_Management#Rotate_Session_Identifiers. |
Oui Remarque : Si vous utilisez le module d’extension SAML 2.0 pour l’authentification unique, définissez cette propriété sur Non. Sinon, cela interfère avec le partage d’informations de session qui a lieu entre l’instance et le fournisseur d’identité. |
Rotation des identificateurs de session HTTP |
| glide.ui.secure_cookies | Activer les cookies de session sécurisés : Activer une sécurité supplémentaire par les cookies. Si oui, la validation stricte des cookies de session s’applique. |
Oui | Appliquer la sécurité stricte des cookies de session [Mis à jour dans Centre de sécurité 1.3] |
| glide.security.password_reset.uri | Pour mobile Réinitialisation du mot de passe, URL vers laquelle l’utilisateur est redirigé lorsqu’il clique sur le bouton Mot de passe oublié ? . |
Néant | |
| glide.security.strict.updates | Vérifiez à deux reprises la sécurité des transactions entrantes lors de la soumission d’un formulaire (les droits sont toujours vérifiés lors de la création d’un formulaire). Remarque : Cette propriété est définie sur vrai par défaut dans les Vancouver versions ultérieures et ne peut pas être modifiée par les administrateurs. Pour un cas d’utilisation où la propriété doit être modifiée, contactez l’assistance clientèle. |
Oui | Double vérification des transactions entrantes [Mis à jour dans Centre de sécurité 1.3] |
| glide.security.strict.actions | Vérifiez les conditions des actions d’interface utilisateur avant leur exécution. Normalement, les conditions sont vérifiées uniquement lors du rendu du formulaire. |
Oui | Vérifier les conditions de l’action de l’interface utilisateur avant son exécution |
| glide.security.use_csrf_token | Activez l’utilisation d’un jeton de sécurité pour identifier et valider les demandes entrantes. Ce jeton est utilisé pour éviter les attaques de contrefaçon de requête de site à site. |
Oui | Activer le jeton anti-CSRF [nouveau dans Security Center 1.3, mis à jour dans la version 1.5 et supprimé dans la version 2.0] |
| glide.ui.escape_html_list_field | HTML d’échappement pour les champs HTML d’une vue de liste. |
Oui | HTML d’échappement dans les vues de listes [Mis à jour dans Centre de sécurité 1.3 et 1.5] |
| glide.html.escape_script | Balises JavaScript d’échappement dans les champs HTML. |
Oui | Échapper à JavaScript [mis à jour dans Centre de sécurité 1.3] |
| glide.ui.forgetme | Décochez la case Se souvenir de moi de la page de connexion. |
Oui | Supprimer Se souvenir de moi |
| glide.smtp.auth | Authentifiez-vous auprès du serveur SMTP à l’aide des propriétés du nom d’utilisateur et du mot de passe. Remarque : Cette propriété est obsolète. |
Oui | |
| glide.script.use.sandbox | Exécutez les scripts générés par le client (AJAXEvaluate et conditions de requête) à l’intérieur d’un bac à sable à droits réduits. Si oui, seules les règles métier et les includes de script pour lesquels la case Client joignable est définie sur Oui sont disponibles, et certains appels d’API back-end sont interdits. Pour plus d'informations, consultez Configuration de la propriété de bac à sable de script. |
Oui | Activer le bac à sable de script [Mis à jour dans Centre de sécurité 1.3] |
| glide.soap.strict_security | Appliquez une sécurité stricte sur les demandes SOAP entrantes. Exige que les demandes SOAP entrantes passent par le gestionnaire de sécurité pour l’accès à la table et au champ et vérifie que les utilisateurs SOAP possèdent les rôles appropriés pour utiliser le service Web. |
Oui | Appliquer la sécurité stricte des requêtes SOAP [Mis à jour dans Centre de sécurité 1.3] |
| glide.basicauth.required.wsdl | Demandez une autorisation pour les demandes WSDL entrantes. Remarque : Si vous choisissez de ne pas exiger d’autorisation pour les demandes WSDL entrantes, vous devez modifier les règles de contrôle d’accès (ACL) pour permettre aux utilisateurs invités d’accéder au contenu WSDL. |
Oui | Exiger une autorisation pour la demande WSDL [Mis à jour dans Centre de sécurité 1.3 et 1.5] |
| glide.basicauth.required.csv | Exiger une autorisation de base pour les demandes CSV entrantes . |
Oui | Exiger une autorisation pour les demandes CSV [Mis à jour dans Centre de sécurité 1.3] |
| glide.basicauth.required.excel | Demandez une autorisation de base pour les demandes Excel entrantes. |
Oui | Exiger une autorisation pour les demandes Excel [Mis à jour dans Centre de sécurité 1.3] |
| glide.basicauth.required.importprocessor | Demandez l’autorisation de base pour les demandes d’importation entrantes. |
Oui | Exiger une autorisation pour les demandes d’importation [Mis à jour dans Centre de sécurité 1.3] |
| glide.basicauth.required.pdf | Demandez une autorisation de base pour les demandes PDF entrantes. |
Oui | Exiger une autorisation pour les demandes PDF [Mis à jour dans Centre de sécurité 1.3] |
| glide.basicauth.required.rss | Demandez l’autorisation de base pour les demandes RSS entrantes. | Oui | Exiger une autorisation pour les demandes RSS [Mis à jour dans Centre de sécurité 1.3] |
| glide.basicauth.required.scriptedprocessor | Demandez une autorisation de base pour les demandes de script entrantes. |
Oui | Exiger une autorisation pour les demandes de script [Mis à jour dans Centre de sécurité 1.3] |
| glide.basicauth.required.soap | Demandez l'autorisation de base pour les demandes SOAP entrantes. |
Oui | Exiger une autorisation pour les demandes SOAP [Mis à jour dans Centre de sécurité 1.3, 1.5 et 2.0] |
| glide.basicauth.required.unl | Demandez une autorisation de base pour les demandes de déchargement entrantes. |
Oui | Exiger une autorisation pour les demandes de déchargement [Mis à jour dans Centre de sécurité 1.3] |
| glide.basicauth.required.xml | Demandez l’autorisation de base pour les demandes XML entrantes. |
Oui | Exiger une autorisation pour les demandes XML [Mis à jour dans Centre de sécurité 1.3] |
| glide.basicauth.required.xsd | Demandez l’autorisation de base pour les demandes XSD entrantes. |
Oui | Exiger une autorisation pour les demandes XSD [Mis à jour dans Centre de sécurité 1.3] |
| glide.cms.catalog_uri_relative | Appliquez des liens relatifs à partir du paramètre URI sur /ess/catalog.do. Si oui, seules les URL relatives sont autorisées via la page /ess/catalog.do à l’aide du uri paramètre. Si non, toutes les URL sont autorisées, ce qui permet la liaison à un contenu externe non autorisé. |
Oui | Renforcer les liens relatifs [Mis à jour dans Centre de sécurité 1.3 et 1.5] |
| glide.set_x_frame_options | Activez cette propriété pour définir l’en-tête de réponse X-Frame-Options sur SAMEORIGIN pour toutes les pages de l’interface utilisateur. L’en-tête de réponse HTTP X-Frame-Options peut être utilisé pour indiquer si un navigateur doit être autorisé à afficher une page dans un ou <iframe>un <frame> . Les sites peuvent utiliser cette propriété pour éviter les attaques de détournement de clic, en s’assurant que leur contenu n’est pas incorporé dans d’autres sites. https://developer.mozilla.org/en/the_x-frame-options_response_header |
Oui | Implémenter x-frame-options : en-tête de sécurité SAMEORIGIN [Mis à jour dans Centre de sécurité 1.3] |
| glide.ui.attachment.download_mime_types | Une liste de types MIME de pièce jointe séparés par des virgules qui ne sont pas alignés dans le navigateur. Prévient les attaques de script de site à site. Par exemple, text/html force le téléchargement des fichiers HTML sur le client en tant que pièces jointes plutôt que leur affichage aligné dans le navigateur. |
text/html,image/svg,image/svg+xml | Restreindre les types MIME téléchargeables [Mis à jour dans Centre de sécurité 1.3 et 2.0] |
| glide.security.groupby_acl_check | Lorsque cette propriété est activée, les vérifications d’ACL pour les opérations Grouper par sont effectuées pour les noms de groupe en fonction des données réelles des groupes. |
Oui | Néant |
| glide.security.diag_txns_acl | Si oui, seul l’utilisateur administrateur ou l’utilisateur de l’adresse IP autorisée peut accéder à stats.do, threads.do et replication.do. | Non | Restreindre l’accès à la surveillance des performances [Mis à jour dans Centre de sécurité 1.3] |
| glide.ui.security.codetag.allow_script | Autorisez le HTML incorporé (utilisant des balises [code]) pour contenir les balises JavaScript. Remarque : Cette propriété est définie sur vrai par défaut dans les Vancouver versions ultérieures et ne peut pas être modifiée par les administrateurs. Pour un cas d’utilisation où la propriété doit être modifiée, contactez l’assistance clientèle. |
Non | Désactiver le code HTML intégré [Mis à jour dans Centre de sécurité 1.3] |
| glide.script.allow.ajaxevaluate | Activez le processeur AJAXEvaluate. L’appel d’API AJAXEvaluate permet au client d’envoyer et d’exécuter des scripts arbitraires sur le serveur. |
Non | Désactiver AJAXEvaluate |
| glide.login.autocomplete | Autorisez les navigateurs à utiliser la saisie semi-automatique sur les champs de mot de passe des formulaires de connexion |
Non |
Les propriétés suivantes sont définies dans la table sys_properties, mais ne sont pas visibles sur la page Paramètres de sécurité élevée.
| Propriété | Description | Valeur par défaut | Paramètres de la sécurisation pour la sécurité de l'instance |
|---|---|---|---|
| com.glide.communications.httpclient.verify_hostname | Vérifiez le nom d’hôte et la chaîne de certification présentés par les hôtes SSL distants. Protégez-vous contre les attaques de l’homme du milieu (MITM). Pour plus d’informations, consultez la section Configuration du spoke Kubernetes Remarque : Cette propriété remplace la propriété com.glide.communications.trustmanager_trust_all. |
VRAI | Néant |
| glide.basicauth.required.schema | Demandez l’authentification de base pour les demandes de schéma de table entrantes. |
VRAI | Néant |
| glide.security.csrf_previous.autoriser | Autorisez l’utilisation d’un jeton de sécurité expiré pour identifier et valider les demandes entrantes. Ce jeton est utilisé pour éviter les attaques de contrefaçon de requête de site à site. |
faux | Néant |
| glide.security.csrf_previous.time_limit | Délai en secondes avant l’expiration d’un jeton de sécurité. Permet de contrôler la durée de validité du jeton CSRF précédent. Lorsque la session utilisateur expire, le jeton de sécurité expire avec elle, sauf si la glide.security.csrf_previous.allow propriété est activée et dans la période décrite dans cette propriété. Ce jeton est utilisé pour éviter les attaques de contrefaçon de requête de site à site. |
86400 Remarque : Valeur en secondes. Équivalent à 1 jour. |
Néant |
| glide.security.csrf.strict.validation.mode | Applique une validation stricte sur les jetons CSRF afin que les utilisateurs ne puissent pas soumettre à nouveau une demande si le jeton CSRF ne correspond pas. |
faux | Empêcher les utilisateurs d’accepter l’avertissement pour contourner la validation CSRF [Mis à jour dans Centre de sécurité 1.3 et 1.5] |
| com.glide.security.check_unsanitized_html | Applique le comportement de nettoyage des champs de translated_html à un niveau global pour les affectations de champs. | appliquer | Néant |