Strenge Sicherheitseinstellungen erkunden

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 7 Minuten Lesedauer

    • Strenge Sicherheitseinstellungen schließen mehrere Sicherheitsoptionen ein, die in Ihrer Instanz verfügbar sind.

    Das Modul „Strenge Sicherheitseinstellungen“ wird mit dem Plugin „Strenge Sicherheitseinstellungen“ aktiviert, das standardmäßig in neuen Instanzen aktiv ist. Wenn die strengen Sicherheitseinstellungen in Ihrer Instanz nicht aktiv sind, lesen Sie die Aktivierung von strengen Sicherheitseinstellungen anfordern. Weitere Informationen zu diesem Plugin finden Sie unter Hochsicherheits-Plugin in den Härtungseinstellungen für die Instanzsicherheit. Eigenschaften für die folgenden Arten von Hochsicherheitseinstellungen sind verfügbar:

    • Standardeigenschaftswerte: Zur Erhöhung der Sicherheit auf Ihrer Plattform durch Zentralisierung aller kritischen Sicherheitseinstellungen an einem Ort für Verwaltung und Überwachung.
    • Standardverweigerungseigenschaft: Stellt eine Sicherheitsmanagereigenschaft bereit, um das Standardsicherheitsverhalten für den Tabellenzugriff zu steuern.
    • Rolle „Sicherheitsadministrator“: Stellt eine Rolle bereit, um die Änderung wichtiger Sicherheitseinstellungen und -ressourcen zu verhindern. Die Sicherheitsadministratorrolle wird nicht von der Administratorrolle geerbt und muss explizit zugewiesen werden.
    • Erweiterte Berechtigungen: Ermöglicht Benutzern mit der Sicherheitsadministratorrolle, im Kontext eines normalen Benutzers zu agieren und bei Bedarf auf eine höhere Sicherheitsrolle aufzusteigen.
    • Zugriffskontrollen für Eigenschaften: Ermöglicht Sicherheitsadministratoren das Festlegen der Rollen, die zum Lesen und Schreiben von Eigenschaften erforderlich sind.
    • Systemprotokolle: Sind schreibgeschützt.
    • Zugriffskontrollregeln: Steuern Sie, auf welche Daten Benutzer zugreifen können und wie sie darauf zugreifen können.
    Hinweis:
    • Strenge Sicherheitseinstellungen aktivieren auch automatisch das Plugin „Contextual Security“, wenn es nicht bereits aktiv ist. Darüber hinaus bietet Platform Security Settings - High Einstellungen und Funktionen im Zusammenhang mit der Erhöhung der Sicherheit Ihrer Instanz.
    • Der Inhalt „Härtungseinstellungen für Instanzsicherheit“ enthält detaillierte Beschreibungen und Compliance-Werte für die sicherheitsbezogenen Systemeigenschaften und Plugins im Now Platform. Weitere Informationen zu diesen Eigenschaften finden Sie unter Härtungseinstellungen für die Instanzsicherheit.
    • Weitere Informationen zu diesen Eigenschaften finden Sie unter Härtungseinstellungen für die Instanzsicherheit.
    Es gibt zwei Möglichkeiten, die Eigenschaften von „Strenge Sicherheitseinstellungen“ festzulegen oder zu ändern.
    • Navigieren zu Systemsicherheit > Strenge Sicherheitseinstellungen.

      Optionen auf der Seite „Strenge Sicherheitseigenschaften“ sind Ja oder Nein.

    • Navigieren Sie zu sys_properties.list, und suchen Sie nach der Eigenschaft, die Sie festlegen oder ändern möchten.

      Optionen in der Tabelle „Systemeigenschaften“ [sys_properties.list] lauten true oder false.

    Zugriffssteuerung für Eigenschaften

    Zwei zusätzliche Spalten werden in der Tabelle „Eigenschaften“ [sys_properties] erstellt, wenn die Einstellungen für hohe Sicherheit aktiv sind:

    • read_roles: Eine durch Kommas getrennte Liste von Rollennamen, die alle Felder dieser Eigenschaft lesen dürfen.
    • write_roles: Eine durch Kommas getrennte Liste von Rollennamen, die alle Felder dieser Eigenschaft schreiben/ändern dürfen.

    Eigenschaften, die in der Tabelle „Eigenschaften“ aufgeführt sind, haben „read_roles“ von „admin“ und „write_roles“ von „security_admin“. Benutzer mit der Administratorrolle können die Eigenschaftswerte anzeigen und lesen, müssen jedoch auf die Rolle security_admin hochstufen, um sie zu ändern.

    Benachrichtigungen

    Durch die Aktivierung hoher Sicherheitseinstellungen werden auch Sicherheitswarnmeldungen aktiviert. Das Folgende ist ein Beispiel für eine Nachricht, die nach einer Genehmigung angezeigt wird.

    Abbildung : 1. Sicherheitswarnungsbenachrichtigung
    Sicherheitswarnungsbenachrichtigung

    Eigenschaften der strengen Sicherheitseinstellungen

    Eigenschaft Beschreibung Standardwert Härtungseinstellungen für die Instanzsicherheit
    glide.ui.escape_text

    XML-Werte auf Parser-Ebene für die Benutzeroberfläche mit Escape-Zeichen versehen. Verhindert reflektierte und gespeicherte websiteübergreifende Skripting-Angriffe. Diese Eigenschaft ist im Service Portal nicht anwendbar.

    Hinweis:
    Diese Eigenschaft ist in Vancouver und späteren Releases standardmäßig auf „ true “ festgelegt und kann von Administratoren nicht geändert werden. Wenden Sie sich für einen Anwendungsfall, bei dem die Eigenschaft geändert werden muss, an den Kundensupport.
    		 Ja XML
    glide.ui.escape_all_script

    Erzwingt alle Ausdrücke in Jelly-JavaScript <![CDATA[<script type="text/javascript"> ]]> -Tags, die standardmäßig mit Escape-Zeichen versehen werden sollen. Erzwingt Escaping nur, wenn das Typ-Attribut in der <![CDATA[<script> Das Tag ]]> ist leer oder der Wert ist text/javascript, text/ecmascript, application/javascript, application/ecmascriptoder application/x-javascript.

    		 Ja in neuen Instanzen Escape Jelly
    glide.ui.rotate_sessions

    Rotieren Sie HTTP-Sitzungsbezeichner, um Sicherheitsschwachstellen zu reduzieren. Siehe: http://www.owasp.org/index.php/Session_Management#Rotate_Session_Identifiers.

    		 Ja
    Hinweis:

    Wenn Sie das SAML 2.0-Plugin für die Single Sign-on-Authentifizierung verwenden, legen Sie diese Eigenschaft auf Nein fest. Andernfalls wird die gemeinsame Nutzung von Sitzungsinformationen zwischen der Instanz und dem Identitätsanbieter beeinträchtigt.

    		 HTTP-Sitzungsbezeichner rotieren
    glide.ui.secure_cookies

    Sichere Sitzungscookies aktivieren: Aktivieren Sie zusätzliche Cookie-Sicherheit. Wenn Ja, wird eine strikte Validierung des Sitzungscookies erzwungen.

    		 Ja Sichere Sitzungscookies
    glide.security.password_reset.uri

    Für Mobilgeräte Passwortzurücksetzung: URL, zu der der Benutzer weitergeleitet wird, wenn er auf Passwort vergessen? klickt. Schaltfläche.

    		 Keine
    glide.security.strict.updates

    Überprüfen Sie die Sicherheit eingehender Transaktionen während der Formularübermittlung noch einmal (Rechte werden immer bei der Formulargenerierung überprüft).

    Hinweis:
    Diese Eigenschaft ist in Vancouver und späteren Releases standardmäßig auf „ true “ festgelegt und kann von Administratoren nicht geändert werden. Wenden Sie sich für einen Anwendungsfall, bei dem die Eigenschaft geändert werden muss, an den Kundensupport.
    		 Ja Überprüfen Sie eingehende Transaktionen noch einmal
    glide.security.strict.actions

    Überprüfen Sie die Bedingungen für UI-Aktionen vor der Ausführung. Normalerweise werden Bedingungen nur beim Rendern des Formulars überprüft.

    		 Ja Überprüfen Sie die UI-Aktion vor der Ausführung
    glide.security.use_csrf_token

    Aktivieren Sie die Verwendung eines sicheren Tokens, um eingehende Anforderungen zu identifizieren und zu validieren. Dieses Token wird verwendet, um Site-übergreifende Angriffe durch gefälschte Anforderungen zu verhindern.

    		 Ja Anti-CSRF-Token
    glide.ui.escape_html_list_field

    Escape-HTML für HTML-Felder in einer Listenansicht.

    		 Ja Escape-Zeichen für HTML
    glide.html.escape_script

    JavaScript-Tags in HTML-Feldern mit Escape-Zeichen versehen.

    		 Ja Escape-Zeichen für Javascript
    glide.ui.forgetme

    Entfernen Sie das Kontrollkästchen Benutzernamen speichern von der Anmeldeseite.

    		 Ja „Benutzernamen speichern“ entfernen
    glide.smtp.auth Authentifizieren Sie sich beim SMTP-Server anhand der Eigenschaften Benutzername und Passwort.
    Hinweis:
    Diese Eigenschaft ist veraltet.
    		 Ja SMTP-Authentifizierung (veraltet)
    glide.script.verwenden.sandbox

    Führen Sie vom Client generierte Skripts (AJAXEvaluate und Abfragebedingungen) in einer Sandbox mit eingeschränkten Rechten aus. Wenn Ja, sind nur die Business Rules und Skripteinbindungen verfügbar, bei denen das Kontrollkästchen Vom Client aufrufbar auf Ja festgelegt ist, und bestimmte Backend-API-Aufrufe werden nicht zugelassen. Weitere Informationen finden Sie unter Konfigurieren der Skript-Sandbox-Eigenschaft.

    		 Ja Vom Client generierte Skripts in der Sandbox
    glide.soap.strict_security

    Erzwingen Sie strikte Sicherheit für eingehende SOAP-Anforderungen. Erfordert, dass eingehende SOAP-Anforderungen den Sicherheitsmanager für Tabellen- und Feldzugriff durchlaufen, und überprüft SOAP-Benutzer auf die richtigen Rollen für die Verwendung des Webservices.

    		 Ja Strikte Sicherheit für SOAP-Anforderungen
    glide.basisauth.erforderlich.wsdl

    Berechtigung für eingehende WSDL-Anforderungen anfordern.

    Hinweis:
    Wenn Sie keine Autorisierung für eingehende WSDL-Anforderungen anfordern möchten, müssen Sie die Zugriffskontrollregeln (ACL) ändern, damit Gastbenutzer auf den WSDL-Inhalt zugreifen können.
    		 Ja WSDL-Anforderungsautorisierung
    glide.basisauth.erforderlich.csv

    Standardautorisierung für eingehende CSV-Anforderungen anfordern

    .    		 Ja CSV-Anforderungsautorisierung
    glide.basisauth.erforderlich.excel

    Basic Authorization für eingehende Excel-Anforderungen anfordern.

    		 Ja Autorisierung von Excel-Anforderungen
    glide.basisauth.erforderlich.importprozessor

    Standardautorisierung für eingehende Importanforderungen anfordern.

    		 Ja Autorisierung der Importanforderung
    glide.basisauth.erforderlich.pdf

    Standardautorisierung für eingehende PDF-Anforderungen anfordern.

    		 Ja Autorisierung von PDF-Anforderungen
    glide.basisauth.erforderlich.rss Standardautorisierung für eingehende RSS-Anforderungen anfordern. Ja Autorisierung von RSS-Anforderungen
    glide.basicauth.required.scriptedprocessor

    Standardautorisierung für eingehende Skriptanforderungen anfordern.

    		 Ja Autorisierung von Skriptanforderungen
    glide.basisauth.erforderlich.soap

    Standard-Berechtigung für eingehende SOAP-Requests anfordern.

    		 Ja Standardauthentifizierung: SOAP-Anforderungen
    glide.basisauth.erforderlich.unl

    Basic Authorization für eingehende Entladeanforderungen anfordern.

    		 Ja Autorisierung der Entladeanforderung
    glide.basisauth.erforderlich.xml

    Standardautorisierung für eingehende XML-Anforderungen anfordern.

    		 Ja XML-Anforderungsautorisierung
    glide.basisauth.erforderlich.xsd

    Basic Authorization für eingehende XSD-Anforderungen anfordern.

    		 Ja Autorisierung von XSD-Anforderungen
    glide.cms.catalog_uri_relative

    Erzwingen Sie relative Links über den URI-Parameter in /ess/catalog.do. Bei Jawerden nur relative URLs über die Seite /ess/catalog.do mit dem Parameter uri zugelassen. Wenn Nein, sind alle URLs zulässig, was die Verknüpfung mit externen, nicht autorisierten Inhalten ermöglichen kann.

    		 Ja Erzwingen Sie relative Links
    glide.set_x_frame_options

    Aktivieren Sie diese Eigenschaft, um den X-Frame-Options-Antwortheader für alle UI-Seiten auf SAMEORIGIN festzulegen. Der X-Frame-Options HTTP Response Header kann verwendet werden, um anzugeben, ob der Browser eine Seite in einem <frame> oder <iframe> rendern kann. Websites können diese Eigenschaft verwenden, um Clickjacking-Angriffe zu vermeiden, indem sichergestellt wird, dass ihr Inhalt nicht in andere Websites eingebettet wird. https://developer.mozilla.org/en/the_x-frame-options_response_header

    		 Ja X-Frame-Options: SAMEORIGIN
    glide.ui.attachment.download_mime_types

    Eine Liste von durch Kommas getrennten MIME-Typen für Anhänge, die im Browser nicht inline dargestellt werden. Verhindert websiteübergreifende Skripting-Angriffe. Beispielsweise erzwingt text/html, dass HTML-Dateien als Anhänge auf den Client heruntergeladen und nicht inline im Browser angezeigt werden.

    		 text/html,image/svg,image/svg+xml Download von MIME-Typen erzwingen
    glide.security.groupby_acl_check

    Wenn diese Eigenschaft aktiviert ist, werden ACL-Prüfungen für GroupBy-Vorgänge für die Gruppennamen basierend auf den tatsächlichen Daten aus den Gruppen ausgeführt.

    		 Ja Keine
    glide.security.diag_txns_acl Bei Jakann nur der Administrator oder der Benutzer mit der zulässigen IP-Adresse auf stats.do, threads.dound replication.dozugreifen. Nein Leistungsüberwachung (ACL)
    glide.ui.security.codetag.allow_script

    Zulassen, dass eingebetteter HTML-Code (mit [code]-Tags) JavaScript-Tags enthält.

    Hinweis:
    Diese Eigenschaft ist in Vancouver und späteren Releases standardmäßig auf „ true “ festgelegt und kann von Administratoren nicht geändert werden. Wenden Sie sich für einen Anwendungsfall, bei dem die Eigenschaft geändert werden muss, an den Kundensupport.
    		 Nein Lassen Sie eingebetteten HTML-Code zu
    glide.script.allow.ajaxevaluieren

    Aktivieren Sie den AJAXEvaluate-Prozessor. Mit dem API-Aufruf AJAXEvaluate kann der Client beliebige Skripts senden und auf dem Server ausführen.

    		 Nein Aktivieren Sie AJAXEvaluate
    glide.login.autocomplete

    Browsern die Verwendung der automatischen Vervollständigung für Passwortfelder in Anmeldeformularen erlauben.

    		 Nein Automatisches Ausfüllen des Passwortfelds

    Die folgenden Eigenschaften werden in der Tabelle „sys_properties“ definiert, sind jedoch auf der Seite „Strenge Sicherheitseinstellungen“ nicht sichtbar.

    Eigenschaft Beschreibung Standardwert Härtungseinstellungen für die Instanzsicherheit
    com.glide.communications.httpclient.verify_hostname

    Überprüfen Sie den Hostnamen und die Zertifikatkette, die von Remote-SSL-Hosts angegeben werden. Schützen Sie sich vor MITM-Angriffen (Man-In-The-Middle).

    Weitere Informationen finden Sie unter Kubernetes-Spoke einrichten

    Hinweis:
    Diese Eigenschaft überschreibt die Eigenschaft com.glide.communications.trustmanager_trust_all.
    		 Wahr Keine
    glide.basisauth.erforderlich.schema

    Basic Authentication für eingehende Tabellenschema-Anforderungen anfordern.

    		 Wahr Keine
    glide.security.csrf_ previous.allow

    Verwendung eines abgelaufenen sicheren Tokens zum Identifizieren und Validieren eingehender Anforderungen zulassen. Dieses Token wird verwendet, um Site-übergreifende Angriffe durch gefälschte Anforderungen zu verhindern.

    		 false Keine
    glide.security.csrf_ previous.time_limit

    Zeit in Sekunden, bis ein sicheres Token abläuft. Ermöglicht die Kontrolle über die Gültigkeitsdauer des vorherigen CSRF-Tokens. Wenn die Benutzersitzung abläuft, läuft das sichere Token ab, es sei denn, die Eigenschaft glide.security.csrf_previous.allow ist aktiviert und sie liegt innerhalb des von dieser Eigenschaft beschriebenen Zeitrahmens. Dieses Token wird verwendet, um Site-übergreifende Angriffe durch gefälschte Anforderungen zu verhindern.

    		 86400
    Hinweis:
    Wert in Sekunden. Entspricht 1 Tag.
    		 Keine
    glide.security.csrf.strict.validation.mode

    Erzwingt die strikte Überprüfung von CSRF-Token, wobei das erneute Übermitteln der Anforderung durch Benutzer nicht erlaubt ist, wenn das CSRF-Token nicht übereinstimmt.

    		 false Strenge CSRF-Validierung
    com.glide.security.check_unsanitized_html Erzwingt das Bereinigungsverhalten von „translated_html“-Feldern auf globaler Ebene für Feldzuweisungen. erzwingen Keine