• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "glide.jquery.legacy" não estiver definido com o valor recomendado de "falso", versões mais antigas do jQuery pré-corrigidas serão usadas, o que introduzirá vulnerabilidades não corrigidas na biblioteca. Quando falso, integra os patches de segurança do jQuery 1.12.3 e 2.2.3. A propriedade do sistema é à prova de falhas caso alguma organização dependa das versões sem patch do angularJS para executar suas implementações personalizadas.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Isso pode levar a riscos de segurança decorrentes de ataques a vulnerabilidades descobertas em versões desatualizadas da biblioteca jQuery.

Script de regra atualizado para melhorar a precisão da detecção.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "com.glide.snap.enable_scan" não estiver definido com o valor recomendado de "verdadeiro", a verificação antivírus será desabilitada.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Os usuários podem baixar arquivos maliciosos, levando ao comprometimento da área de trabalho e da sessão.

• Descrição
  • (Antigo)

    Controle o tempo limite da sessão inativa para usuários não autenticados com a propriedade do sistema "glide.guest.session_timeout". Aumente o valor desta propriedade para estender o período de tempo em que sua instância persiste nas sessões além do padrão de 30 minutos. Evite valores de tempo limite excessivamente grandes, o que pode aumentar o número de sessões persistentes pela instância e causar preocupações menores de disponibilidade.

  • (Novo)

    Use a propriedade do sistema glide.guest.session_timeout para controlar o tempo limite da sessão inativa para usuários não autenticados. Por padrão, o valor desta propriedade é 30 minutos. Se houver preocupações de disponibilidade ao persistir muitas sessões na memória, o valor desta propriedade poderá ser reduzido para 5. Evite definir esta propriedade como maior que 30, pois valores de tempo limite grandes aumentam o número de sessões persistentes pela instância e podem causar problemas menores de disponibilidade.

• Correção
  • (Antigo)

    Certifique-se de que a propriedade Glide "glide.guest.session_timeout' esteja definida com um valor padrão de 30. Pode ser desejável reduzir esse valor para 5 em casos raros de problemas de disponibilidade na instância.

  • (Novo)

    Certifique-se de que a propriedade Glide "glide.guest.session_timeout' esteja configurada com o valor padrão de 30. No raro caso de haver preocupações de disponibilidade de persistir muitas sessões na memória, o valor desta propriedade pode ser diminuído para 5.

• Risco à Segurança
  • (Antigo)

    Valores de tempo limite grandes podem aumentar o número de sessões simultâneas na instância, causando preocupações menores de disponibilidade.

  • (Novo)

    Evite definir esta propriedade como maior que 30. Valores de tempo limite grandes aumentam o número de sessões persistentes pela instância e podem causar problemas menores de disponibilidade.

• Impacto funcional
  • (Antigo)

    Valores de tempo limite pequenos podem resultar em uma experiência indesejável do usuário, pois as sessões expiram muito rapidamente.

  • (Novo)

    Valores de tempo limite pequenos podem resultar em uma experiência indesejável do usuário, pois as sessões expiram muito rapidamente. Se houver preocupações de disponibilidade ao persistir muitas sessões na memória, o valor desta propriedade poderá ser reduzido para 5.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "glide.basicauth.required.databrokerrestapiprocessor" não estiver definido com o valor recomendado de "verdadeiro", a autorização básica não será necessária para todas as solicitações de API REST do agente de dados de entrada.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Isso pode levar à divulgação de informações não autenticadas da instância.

• Descrição Resumida
  • (Antigo)

    Configure funções de administrador do grupo de atribuição de gestão de eventos

  • (Novo)

    Configurar funções de administrador do grupo de atribuição da gestão de eventos

• Descrição
  • (Antigo) <blank>
  • (Novo)

    A propriedade Glide "evt_mgmt.connector_assignment_group_admin_roles" contém uma cadeia de caracteres separada por vírgulas que significa os nomes das funções que têm acesso de administrador no campo do grupo de atribuição nas instâncias do conector.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    A mudança das funções padrão nesta lista pode fazer com que usuários não autorizados alterem integrações de eventos na instância.

• Impacto funcional
  • (Antigo) <blank>
  • (Novo)

    A mudança das funções padrão nesta lista pode impedir que usuários autorizados anteriormente alterem integrações de eventos na instância.

• Pré-requisitos e dependências
  • (Antigo) <blank>
  • (Novo)

    Aplicação - Gestão de eventos

• Tipo de dados
  • (Antigo) <blank>
  • (Novo)

    Cadeia de caracteres

• Valor pronto para uso
  • (Antigo) <blank>
  • (Novo)

    admin, evt_mgmt_admin, sn_sow_srm.srm_admin

• Descrição
  • (Antigo) <blank>
  • (Novo)

    A propriedade a seguir é responsável por implementar uma verificação de ACLs report_view para relatórios publicados. Se "glide.report.report_view.check_published" não estiver definido com o valor recomendado de "verdadeiro", a verificação de ACLs de report_view para relatórios publicados será desabilitada.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Isso pode potencialmente vazar dados confidenciais para usuários não autenticados.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    O processador do AjaxEvaluator executa esses scripts no sandbox, no entanto, há várias propriedades adicionais que podem permitir que o escopo das atividades no sandbox se expanda ou seja totalmente desativado. No pior cenário, um usuário pode executar scripts facilmente como um privilégio de administrador.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Se "glide.script.allow.ajaxevaluate" não estiver definido com o valor recomendado de "falso", a API do sistema poderá estar vulnerável à execução do script do cliente por meio de chamadas AJAX.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "password_reset.verification.delay" não estiver definido com o valor recomendado de "1000" ou mais, os códigos de verificação de redefinição de senha serão suscetíveis a ataques de força bruta.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    O atraso em milissegundos limita a capacidade de um agente malicioso tentar adivinhar detalhes de identificação ou verificação de usuários usando ferramentas de automação ("bots").

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Quando a propriedade Glide "glide.authenticate.only.allow.active.user.login' não está definida como "verdadeiro", os usuários na tabela sys_user marcada como inativa ainda podem fazer login na instância. Os usuários podem ser marcados como inativos se não tiverem mais permissão para fazer login (como durante a rescisão de uma empresa).

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Os usuários inativos ainda podem acessar a instância e todos os dados que podiam acessar anteriormente.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    O plug-in Alta segurança, ativado por padrão, cria mais de 900 configurações diferentes para controlar o nível de segurança na sua instância. Essas configurações permitem controle de acesso estrito, validação de entrada e codificação de saída. Ele separa a funcionalidade do usuário da funcionalidade de gestão de controle de acesso, exigindo que os administradores aumentem explicitamente para uma função "security_admin" antes de fazer mudanças no controle de acesso.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Partes críticas da instância podem ser expostas a acesso ou manipulação não autorizada.

• Descrição Resumida
  • (Antigo)

    Plug-in Limitar sessões simultâneas

  • (Novo)

    Ativar plug-in Limitar sessões simultâneas

• Descrição
  • (Antigo) <blank>
  • (Novo)

    O plug-in Limitar sessões simultâneas (com.glide.limit.concurrent.sessions) permite que um administrador limite o número de sessões ativas por usuário/função. É recomendável habilitar e configurar este plug-in para reduzir a probabilidade de sequestro de sessão. Se este plug-in estiver habilitado e configurado, haverá um limite para o número de sessões abertas que podem ser sequestradas.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Um número maior de sessões simultâneas ativas cria risco de segurança, aumentando a superfície de ataque para comprometimento de conta, dificultando a detecção de acesso não autorizado e a imposição da responsabilidade de sessão em todos os dispositivos e locais.

• Aplicabilidade do plug-in
  • (Antigo)

    Plug-in Limitar sessões simultâneas

  • (Novo) <blank>

• Descrição Resumida
  • (Antigo)

    Invalidar sessões inativas proativamente

  • (Novo)

    Invalidar sessões proativamente após durações definidas

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Quando glide.active.session.timeout.invalidate.session não está definido como verdadeiro, há um pequeno intervalo de tempo em que uma sessão expirada não é invalidada proativamente antes que o contêiner Tomcat invalide a sessão. A duração desse intervalo de tempo depende de propriedades adicionais que representam diferentes casos de uso. glide.ui.active.session.life_span: O valor desta propriedade define o tempo, em minutos, antes que uma sessão de IU seja invalidada. glide.guest.active.session.life_span: O valor desta propriedade define o tempo, em minutos, antes que uma sessão de convidado seja invalidada. glide.integrations.active.session.life_span: O valor desta propriedade define o tempo, em minutos, antes que uma sessão de integrações seja invalidada.

• Correção
  • (Antigo)

    Certifique-se de que a propriedade Glide "glide.active.session.timeout.invalidate.session' exista e esteja definida com o valor "verdadeiro". Se a propriedade não aparecer na tabela sys_properties, adicione um novo registro.

  • (Novo)

    Certifique-se de que a propriedade "glide.active.session.timeout.invalidate.session" esteja definida como verdadeira.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Se uma sessão for sequestrada, um invasor poderá usar uma sessão durante esse pequeno período.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    O plug-in Zero Trust - Acesso de sessão baseado em política permite que os administradores de segurança reduzam o acesso do usuário em uma sessão com base em IP, local, atributos do provedor de identidade e atributos do usuário usando políticas de autenticação adaptativa. Quando esta propriedade estiver habilitada (definida como "verdadeiro"), os usuários que fizerem login por dispositivo móvel terão suas funções restritas conforme configurado pelas políticas de plug-in.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Os administradores da instância podem querer restringir o acesso de alto privilégio quando os usuários fazem login por dispositivo móvel, o que pode indicar um ambiente inseguro para operações confidenciais.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Quando definido como "verdadeiro", as regras/filtros da tabela sn_query_rule serão usados para determinar o acesso de leitura às tabelas relacionadas à Gestão de serviços de campo (Ordem de serviço e Tarefa de ordem de serviço) para o usuário conectado por meio de regras de negócios de consulta e ACLs de leitura. Quando "falso", os registros não serão filtrados com base nas regras de consulta. Negócio de consulta

    as regras adicionam validações de segurança adicionais. De modo especial, essa propriedade filtra os agentes, qualificadores e expedidores dos registros, com base no território que lhes tenha sido atribuído ou nos membros dos territórios. Seguir o princípio de privilégio mínimo para a leitura de registros é uma prática recomendada.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Pode haver maior risco de exposição de dados das tabelas da Gestão de serviços de campo.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "glide.db.loguser" não estiver definido com o valor recomendado de "falso", mensagens de erro confidenciais do lado do servidor poderão ser exibidas aos usuários finais. Essas mensagens de erro podem incluir rastreamentos de pilha e informações sobre a estrutura do banco de dados que podem fornecer a um invasor o conhecimento necessário para executar uma injeção de SQL bem-sucedida, caso as pré-condições existam.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    As mensagens podem incluir rastreamentos de pilha e detalhes da estrutura do banco de dados, que os invasores podem aproveitar para criar ataques direcionados de injeção de SQL se existirem outras vulnerabilidades. Expor informações de erro interno aumenta o risco de exploração.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Use a propriedade glide com.glide.soap.guest_user glide para controlar o nível de acesso de solicitações de SOAP não autenticadas. Se esta propriedade não estiver definida com o valor recomendado de soap.guest ou estiver definida como um usuário com privilégios limitados, as solicitações de SOAP serão executadas em nome deste usuário.

• Correção
  • (Antigo)

    Certifique-se de que a propriedade "com.glide.soap.guest_user" esteja definida como "convidado.soap".

  • (Novo)

    Certifique-se de que a propriedade esteja definida como SOAP.guest para garantir um nível apropriado de acesso para solicitações SOAP não autenticadas.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    As solicitações de SOAP não autenticadas podem permitir o acesso não autorizado se não forem restritas corretamente. Avaliar essas solicitações em relação a um usuário minimamente privilegiado ajuda a reduzir o risco de expor operações confidenciais. A não imposição desse controle pode resultar em acesso elevado e comprometer a integridade do sistema.

• Impacto funcional
  • (Antigo) <blank>
  • (Novo)

    As solicitações SOAP são restritas às permissões do usuário SOAP.guest. Se uma integração depender de um recurso que não tem as ACLs apropriadas para soap.guest, essas solicitações resultarão em negações de permissão.

• Tipo de dados
  • (Antigo) <blank>
  • (Novo)

    ID do usuário (user_name) de um usuário na tabela sys_user

• Valor pronto para uso
  • (Antigo) <blank>
  • (Novo)

    soap.guest

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade controla as fábricas de conexão do Java Messaging Service (JMS) que o MID Server pode usar. Ela é destinada a algumas fábricas selecionadas exigidas pelos plug-ins para atividade ou ação do JMS. A inclusão de fábricas adicionais pode ser uma etapa em uma cadeia de ataques para vulnerabilidades, como inserção de JNDI, que dependem de capacidades que um invasor pode aproveitar em fábricas permitidas. Para evitar qualquer possível aproveitamento de vulnerabilidade, não inclua fábricas além dos padrões necessários.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Expandir o conjunto de fábricas de conexão do Java Messaging Service (JMS) além dos padrões necessários introduz um risco significativo porque aumenta a superfície de ataque para técnicas de exploração, como injeção de JNDI. Permitir fábricas adicionais pode permitir que invasores aproveitem configurações inseguras ou vulnerabilidades em componentes de mensagens como parte de uma cadeia de ataque mais ampla, potencialmente levando à execução remota de código ou ao comprometimento do sistema. Restringir as fábricas somente às exigidas pela funcionalidade principal é essencial para manter uma postura segura.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "glide.sg.blur_ui_when_backgrounded" não estiver definido com o valor recomendado de "verdadeiro", a IU do app para celular ficará visível quando exibida no alternador de apps depois que o app tiver sido colocado em segundo plano.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    O desfoque de capturas de tela móveis fornece um nível mais alto de confidencialidade e privacidade no dispositivo local ao desfocar essa exibição quando há backgrounding.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Quando a propriedade Glide "glide.sg.device_encryption_enabled'" estiver definida como verdadeira, o aplicativo móvel ServiceNow verificará se a criptografia do dispositivo está habilitada e se a senha do dispositivo está habilitada. Se a criptografia ou senha não estiver habilitada, o usuário não poderá fazer login na instância no celular. Esta propriedade impõe a criptografia FIPS 140-2. A criptografia de dispositivo móvel e a senha são recursos de segurança importantes para garantir que um usuário não autorizado não possa acessar o conteúdo do dispositivo, mesmo que o dispositivo seja obtido fisicamente.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Isso cria um risco de que os dados confidenciais armazenados ou acessados por meio do app para celular possam ser expostos se o dispositivo for perdido, roubado ou comprometido. Sem criptografia e imposição de senha, usuários não autorizados podem obter acesso físico a informações confidenciais, prejudicando a conformidade com FIPS 140-2 e enfraquecendo a proteção geral de dados.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Quando a propriedade Glide "com.glide.security.protected_table.enabled'" estiver definida como "verdadeiro", o plug-in Tabelas protegidas será utilizado para impedir que usuários com privilégios mais altos em uma instância adulterem tabelas de log. As seguintes tabelas de registro em log terão proteções especiais quando esta propriedade estiver definida como "verdadeiro": SYSLOG (configuração não modificável) SYSLOG_transaction sys_outbound_http_log sys_audit sys_push_notification protected_table_configuration (configuração não modificável) SYSLOG_app_scope

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    A integridade do log deve ser mantida para permitir a descoberta de atividades mal-intencionadas.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    A propriedade "glide.report.report_view.read_acl", quando definida como "impor", impõe a ACL de LEITURA (nível de tabela) nas funções de relatório quando não há ACL de exibição de relatório na tabela/campo.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    As ACLs podem ser ignoradas, levando à possível divulgação de informações confidenciais.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Os métodos "gs.addErrorMessageNoSanitizationMessaging()" e "gs.addInfoMessageNoSanitization()" são usados no ambiente de script para registro em log e notificações. Ambos estarão disponíveis na sandbox se esta propriedade não estiver definida com o valor recomendado de "falso". A área restrita é um ambiente de script com poucos privilégios, disponível para usuários não autenticados e sem função. Esses dois métodos podem ser usados para exibir entradas não limpas para um usuário.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Exibir entrada não limpa para o usuário é perigoso, pois a entrada não limpa pode conter algum código perigoso que seja executado no navegador do usuário. Isso pode ser utilizado para tradicionais ataques XSS refletidos. Os ataques XSS refletidos podem ser usados em vários cenários, incluindo sequestro de sessão.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade "password_reset.sms.use_notify" controla a notificação de código SMS de uso para inscrição e verificação. Se "password_reset.sms.use_notify" estiver definido com o valor recomendado "verdadeiro", o usuário será notificado para redefinir a senha para o método de verificação por SMS e a inscrição do novo dispositivo. Usando

    A notificação de código SMS para inscrição e verificação é mais segura do que a notificação por e-mail padrão.

• Correção
  • (Antigo)

    Certifique-se de que a propriedade "password_reset.sms.expiry" esteja definida como "verdadeiro".

  • (Novo)

    Certifique-se de que a propriedade "password_reset.sms.use_notify" esteja definida como "verdadeiro".

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    As notificações baseadas em e-mail geralmente são menos seguras porque são mais suscetíveis ao comprometimento da conta e a ataques de phishing. O uso de SMS para verificação fornece uma garantia mais forte da identidade do usuário e reduz o risco de redefinições de senha não autorizadas ou inscrições fraudulentas de dispositivos.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Os certificados de demonstração fornecidos pela ServiceNow não devem ser usados em configurações SAML de produção. Os certificados são comuns entre todas as instâncias com senha conhecida. Se uma das propriedades do SAML que utiliza um armazenamento de chaves de certificado estiver ativa (require_signed_authnrequest, require_signed_logoutrequest ou encrypt_assertion), os dados de demonstração não deverão ser usados. Como os dados de demonstração são compartilhados entre todas as instâncias, não há garantia de integridade das solicitações assinadas com certificados compartilhados.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    As mensagens criptografadas pelo IdP podem ser descriptografadas por qualquer ator, se interceptadas.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    A propriedade "glide.authenticate.multifactor.email.otp.enabled" controla se um token para o segundo fator de autenticação pode ser enviado por e-mail. O e-mail é considerado um fator de MFA fraco ao qual um invasor tem mais probabilidade de obter acesso para derrotar a MFA. Se a propriedade for falsa: 1. O usuário não verá a opção de senha de uso único de e-mail na tela de validação de MFA. Se a propriedade for verdadeira:

    2. O fator de e-mail é mostrado nos casos em que a política de fator de e-mail está inativa e nenhum outro 2fa registrado. 3. O fator de e-mail será mostrado se a política de fator de e-mail estiver ativa e avaliada como verdadeira. 4. O fator de e-mail não será mostrado se a política de fator de e-mail estiver ativa e avaliada como falsa.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Um invasor pode ignorar a MFA com sucesso quando tiver a senha do usuário.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    UserCookie v3 é gerado somente quando a propriedade glide.ui.secure.cookies.use_kmf está desabilitada. O UserCookie v3 não é seguro, porque armazena a chave secreta de HMAC em código seguro e idêntico para todos os clientes. Ao definir a propriedade "glide.ui.secure.cookies.use_kmf" como "verdadeiro", o UserCookie v3.1 será usado e a chave secreta será armazenada no armazenamento de segurança, como o KMF.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Isso cria um risco significativo de sequestro de sessão, pois os invasores que obtêm ou fazem engenharia reversa da chave podem forjar cookies de autenticação e representar usuários.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade permite que um cliente ative ou desative a proteção de interpolação especificamente para expressões Jelly aninhadas. A proteção de interpolação garante que, quando expressões Jelly são usadas em JavaScript, elas devem ser consideradas seguras por se enquadrarem em certas categorias OU serem marcadas como SEGURAS na própria expressão. Esta propriedade foi adicionada para proteger contra expressões potencialmente perigosas do Jelly que estão aninhadas em outra expressão Jelly.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    A expressão Jelly interpolada desprotegida pode resultar no envio de um ator malicioso DE um parâmetro GET criado para uma página Jelly e fazer com que o conteúdo desse parâmetro seja avaliado como JavaScript do lado do servidor com privilégios de administrador.

• Tipo de dados
  • (Antigo) <blank>
  • (Novo)

    Booliano

• Valor pronto para uso
  • (Antigo) <blank>
  • (Novo)

    verdadeiro

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade escapa valores XML no nível do analisador da interface do usuário. Ele impede ataques de script entre sites refletidos e armazenados. Esta propriedade não é aplicável no portal de serviços.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Se "glide.ui.escape_text" não estiver definido com o valor recomendado de "verdadeiro", os valores XML não serão escapados no nível do analisador da interface do usuário; isso deixará os modelos Jelly suscetíveis a ataques de script entre sites refletidos e armazenados.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    O GlideRecord fornecia acesso de criação e atualização de escopo cruzado a tabelas que não eram configuradas com esse nível de acesso. Para evitar que os clientes tenham aplicações interrompidas quando este comportamento de acesso com escopo foi corrigido, a propriedade glide.record.legacy_cross_scope_access_policy_in_script foi criada. Quando "verdadeiro", o acesso entre escopos retorna para o comportamento legado (inseguro). Esta propriedade desabilita a limitação de escopo, permitindo que as aplicações com escopo acessem interfaces de script global.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    É uma prática recomendada de segurança ter restrições de limitação de escopo em vigor. O escopo garante que as aplicações só possam acessar recursos com acesso explícito ou que estejam no escopo, seguindo o princípio do menor privilégio. Desabilitar este recurso pode causar impactos na confidencialidade, disponibilidade e integridade.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade controla a caixa de seleção Lembrar-me na página de login para impedir que as informações de login sejam armazenadas em cache quando definidas como verdadeiras. Se o valor estiver definido como falso, o cache de informações de autenticação será permitido e a caixa de seleção "Lembrar-me" será exibida.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Isso aumenta o risco de acesso não autorizado se o dispositivo for compartilhado, perdido ou comprometido, pois as credenciais em cache podem permitir que os invasores ignorem a autenticação.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade controla o protocolo de criptografia de transporte desejado. Se "glide.glide.outbound.sslv3.disabled" não estiver definido com o valor recomendado de "verdadeiro", as conexões do MID Server de saída, como solicitações REST e SOAP, usarão SSL como o protocolo de transporte. O SSL provou ser inseguro em 2014.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    O SSLv3 provou ser inseguro desde 2014 devido a vulnerabilidades como O POODLE, tornando-o suscetível a ataques man-in-the-middle e intercetação de dados. A permissão do SSLv3 prejudica a criptografia de transporte e expõe dados confidenciais em trânsito, violando os padrões de segurança modernos.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Um administrador pode definir uma propriedade de e-mail para criar usuários automaticamente a partir de e-mails de entrada. Se definir esta propriedade com o valor inseguro, a instância criará usuários automaticamente a partir do e-mail de entrada. Cada usuário criado terá a mesma senha padrão codificada, o que faz com que fique mais fácil ignorar a autenticação por força bruta.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    A criação automática de usuários sem controles de senha fortes prejudica a segurança da autenticação e aumenta a probabilidade de comprometimento do sistema.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade especifica o número máximo de destinatários que a instância pode listar na linha Para: Para uma única notificação por e-mail. As notificações que excederiam este limite, em vez disso, criarão notificações por e-mail duplicadas endereçadas a um subconjunto da lista de destinatários. Cada notificação por e-mail tem o mesmo número máximo de destinatários.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Isso pode levar ao esgotamento de recursos e potencialmente causar uma condição de negação de serviço (DoS) no subsistema de e-mail ou na própria instância. Limitar contagens de destinatários é essencial para evitar abuso e manter o desempenho e a disponibilidade do sistema.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Use a propriedade glide.enable.password_policy para personalizar as regras de validação de força da senha para o formulário de mudança de senha. Personalize os valores de comprimento e complexidade para corresponder à política de segurança da sua organização. Se "glide.enable.password_policy" não estiver definido com o valor recomendado de "verdadeiro", os padrões de senha não serão aplicados.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Impor a complexidade da senha é essencial para manter a autenticação forte e reduzir a exposição à apropriação indevida de contas.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    A propriedade "glide.sg.clear_pasteboard_when_backgrounded" controla se o texto copiado do app para celular da ServiceNow é mantido na área de transferência e na área de transferência depois que o app está no modo de segundo plano.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Isso cria um risco de divulgação de informações confidenciais, pois os dados da área de transferência podem ser acessados por outras aplicações no dispositivo, potencialmente expondo credenciais, PII ou dados comerciais confidenciais. A imposição desta propriedade ajuda a evitar vazamento de dados não intencional entre apps.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade é um controle de acesso adicional ao modelo do CMDB. Se "csm_cmdb_model.customer_visible_flag" não estiver definido com o valor recomendado de "verdadeiro", qualquer usuário com a função sn_esm_user e ACLs prontas para uso terá permissões para o modelo cmdb. Observe que esta função tende a ser concedida a usuários externos.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Usuários externos podem receber involuntariamente permissões para o modelo CMDB.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "glide.ui.security.codetag.allow_script" não estiver definido com o valor recomendado de "falso", essa propriedade permitirá HTML renderizado em campos de diário e formulários, o que abre espaço para ataques de XSS. HTML malicioso precisa ser colocado entre marcadores de código, por exemplo [code][/code].

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    O JavaScript não controlado arrisca ataques de script entre sites (XSS), permitindo que agentes mal-intencionados injetem e executem scripts prejudiciais no navegador do usuário. Tal

    os ataques podem levar ao sequestro de sessão, roubo de credenciais e comprometimento de dados confidenciais.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "glide.security.diag_txns_acl" não estiver definido com o valor recomendado de "verdadeiro", todos os usuários (autenticados ou não) terão acesso a páginas de diagnóstico, como stats.do, xmlstats.do, threads.do e replication.do. Esses endpoints devem ser usados para monitorar a integridade da instância.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    As informações expostas por endpoints de monitoramento de desempenho podem ser úteis para invasores.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    A propriedade Glide 'glide.service_portal.widget.table_allow_list' contém a lista de tabelas que podem ser acessadas por usuários não autenticados por meio de widgets do Portal de serviços que usam as verificações de segurança adicionais fornecidas na inclusão do script SNCACLWidgetUtil. Esta propriedade só será imposta se a propriedade Glide "glide.service_portal.widget.enforce_public_check' for "verdadeiro". Pode haver divulgação de informações não autenticadas se tabelas desnecessárias estiverem listadas nesta propriedade. As ACLs da tabela ainda serão avaliadas como ocorreu anteriormente.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Os usuários não autenticados podem obter acesso a dados confidenciais por meio de widgets do Portal de serviços, potencialmente levando à divulgação de informações, apesar das ACLs de tabela existentes.

• Valor de fallback
  • (Antigo) <blank>
  • (Novo)

    ''

• Descrição
  • (Antigo) <blank>
  • (Novo)

    As ACLs são avaliadas cumulativamente. Se houver um número de ACLs em um determinado campo e a opção Substituições do administrador for falsa (não selecionada) em um deles, as substituições efetivas do administrador para todas as ACLs serão consideradas falsas. Isso faz com que os administradores não consigam passar mesmo na ACL em que a substituição deva estar em vigor. Se "glide.security.admin.override.accessterm" não estiver definido com o valor recomendado de "verdadeiro", mesmo que um dos termos da ACL na regra de ACL seja "Substituições de administrador" falso, a regra inteira será avaliada como falso.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    As ACLs com configurações conflitantes de "Substituições do administrador" podem ser avaliadas cumulativamente como falsas, impedindo potencialmente que os administradores acessem os campos aos quais deveriam ter acesso e causando inadvertidamente a negação de acesso a dados críticos.

Descrição Resumida

• (Antigo)

  Exigir validação de entidade XMLdoc2 com expansão de entidade allowlistDisable

• (Novo)

  Requer validação de entidade XMLdoc2 com lista de permissões

• Descrição
  • (Antigo) <blank>
  • (Novo)

    A propriedade "glide.oauth.state.paramater.required system" habilita o parâmetro "State" a ser obrigatório em uma solicitação de OAuth para fluxo de código de autorização. A partir da versão Madrid, a propriedade do sistema "glide.oauth.state.parameter.required" adiciona um parâmetro "State" para uma solicitação OAuth. Para instâncias zbootadas, a propriedade é verdadeira. Para instâncias atualizadas, a propriedade não está presente, portanto o parâmetro "Estado" não está habilitado. O parâmetro "Estado" é um valor de cadeia de caracteres e não deve conter caracteres especiais. O parâmetro Estado não pode ficar vazio ou " ". Não habilitar o parâmetro "Estado" como "verdadeiro" garante que um invasor não possa executar ataques CSRF durante a autenticação pode permitir que um invasor execute operações como vítima.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Não habilitar a propriedade glide.oauth.state.parameter.Required no fluxo de código de autorização do OAuth aumenta o risco de ataques de falsificação de solicitação entre sites (CSRF), permitindo que invasores representem usuários e executem ações não autorizadas.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "sn_kb_social_qa.max_comments_per_user_daily" não estiver definido com o valor recomendado de "500" ou menos, então não haverá restrição no número de comentários de QA por dia.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Muitos comentários podem levar ao esgotamento de recursos.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "glide.cs.debug" não estiver definido com o valor recomendado de "falso", o log de mensagens do servidor de bate-papo será habilitado. Definir o valor da propriedade como verdadeiro habilita o registro de mensagens do servidor de bate-papo nos logs do sistema. Como muitas mensagens de log são geradas, é aconselhável habilitá-lo somente ao solucionar problemas do servidor de bate-papo. Após a solução de problemas, a propriedade deve ser desabilitada para evitar o entupimento dos logs do sistema. Definir a propriedade como falso, que também é o valor padrão não registra as mensagens do servidor de bate-papo nos logs do sistema.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Isso pode levar ao vazamento não intencional de informações confidenciais por meio de logs do sistema.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    A propriedade Glide 'glide.service_portal.widget.allow_list' determina a lista de widgets que têm permissão para tentar acessar qualquer tabela na instância. As ACLs dessas tabelas ainda serão impostas. Se houver ACLs vazias configuradas incorretamente nas tabelas na instância, os widgets nesta lista poderão permitir o acesso a essas tabelas, levando à divulgação de informações. Esta propriedade só será imposta se o widget usar SNCACLWidgetUtil e a propriedade Glide "glide.service_portal.widget.enforce_public_check' estiver definida como "verdadeiro".

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Os usuários não autenticados podem obter acesso não intencional a dados confidenciais da tabela por meio de widgets do Portal de serviços, resultando em possível divulgação de informações.

• Valor de fallback
  • (Antigo) <blank>
  • (Novo)

    ''

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "sn_ext_usr_reg.Reg_link_expiration_days" não estiver definido com o valor recomendado de "3", um link de registro poderá ser usado por alguém diferente do usuário pretendido caso seja descoberto posteriormente.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Janelas de expiração mais longas enfraquecem a segurança do provisionamento de conta e criam oportunidades para criação ou representação de conta não autorizada.

Descrição

• (Antigo)

  As duas propriedades glide.outbound_http_log.override e glide.outbound_http_log.override.level

  Trabalhar em conjunto para controlar o nível de registro em log para solicitações HTTP de saída. Quando glide.outbound_http_log.override estiver definido como "verdadeiro", o nível de log das solicitações e.

  as respostas são controladas por glide.outbound_http_log.override.level . Se o nível de substituição estiver definido como "Todos" ou "Elevado", os cabeçalhos de solicitação e resposta serão registrados em log

• (Novo)

  As duas propriedades glide.outbound_http_log.override e glide.outbound_http_log.override.level trabalham juntas para controlar o nível de registro em log das solicitações HTTP de saída. Quando glide.outbound_http_log.override é definido como "verdadeiro", o nível de log para solicitações e respostas é controlado por glide.outbound_http_log.override.level . Se o nível de substituição estiver definido como "Todos" ou "Elevado", os cabeçalhos de solicitação e resposta serão registrados em log

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "sn_ext_usr_reg.captchaEnabled" não estiver definido com o valor recomendado de "verdadeiro", o CAPTCHA não será validado para registro de usuário externo e poderá levar a ataques de criação automática de contas.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    A imposição do CAPTCHA é essencial para evitar ataques orientados por bot e manter a integridade da integração do usuário.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade controla se as consultas de junção recebem ou não condições separadas por domínio para garantir que apliquem a funcionalidade de separação de domínios para campos de referência com pontos.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Informações confidenciais podem ser divulgadas que não devem ser compartilhadas com um domínio específico.

• Impacto funcional
  • (Antigo) <blank>
  • (Novo)

    Pode haver um impacto funcional moderado na instância se os componentes dependerem das consultas entre domínios inseguras. As instâncias devem ser testadas em ambientes de não produção antes de serem habilitadas.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "glide.report.published_reports.enabled" não estiver definido com o valor recomendado de "falso", os relatórios armazenados na instância poderão se tornar visíveis sem autenticação.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Permitir o acesso não autenticado a dados confidenciais pode causar a divulgação inadvertida de informações a um agente mal-intencionado.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "glide.basicauth.required.jsonv2" não estiver definido com o valor recomendado de "verdadeiro", isso desabilitará a Autenticação básica para o processador de exportação do formato JSONv2. Isso também acontece quando combinado com uma função errada na propriedade relacionada guest_user (por exemplo, um usuário com alto privilégio, como administrador).

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    O acesso não autenticado aos dados de exportação JSON, quando combinado com a função de usuário convidado configurada incorretamente, representa um risco significativo de exposição de dados não autorizados.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "glide.basicauth.required.xmloutputprocessor" não estiver definido com o valor recomendado de "verdadeiro", a autorização básica não será necessária para todas as solicitações de entrada XMLOutputProcessor. Isso pode levar à divulgação de informações não autenticadas da instância.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    O acesso não autenticado aos dados de exportação XML, quando combinado com a função de usuário convidado configurada incorretamente, representa um risco significativo de exposição de dados não autorizados.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    A propriedade "password_reset.sms.expiry" indica o número de minutos antes que o código SMS expire.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Se o valor for muito alto, um invasor poderá adivinhar o código SMS para redefinir a senha.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    A página de IU sn_va_web_client_app_embed , que é um cliente web incorporado para o Virtual Agent, contém a ACL marcada como "verdadeiro" na tabela sys_public pronta para uso. Foi confirmado que há casos de uso em que a acessibilidade pública é necessária, no entanto, essa não é uma prática recomendada de segurança para defini-la como padrão acessível publicamente.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Informações confidenciais podem ser expostas a usuários não autenticados.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "password_reset.sms.pause_window" não estiver definido com o valor recomendado de "2" Minutes ou superior, um usuário mal-intencionado poderá iniciar vários códigos SMS de redefinição de senha em um breve intervalo de tempo.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Isso aumenta a probabilidade de o invasor prever o código de redefinição por SMS.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    A propriedade "password_reset.request.retry_window" especifica o período de tempo antes que a contagem de tentativas de redefinição de senha seja atualizada.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Se o valor for muito baixo, isso tornará a força bruta contra ataques de processo de redefinição de senha muito mais rápida.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    A propriedade fornece uma camada extra de segurança no envio de formulário/atualizações de campo, garantindo que somente usuários com as permissões adequadas tenham permissão para atualizar um formulário. Se "glide.security.strict.updates" não estiver definido com o valor recomendado de "verdadeiro", as atualizações não serão rígidas, o que significa que elas podem modificar campos visíveis para elas, independentemente de terem as permissões apropriadas.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Os usuários podem atualizar campos de formulário simplesmente tendo visibilidade deles, independentemente de suas permissões reais, criando um risco de modificação de dados não autorizados e escalação de privilégios.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "password_reset.request.expiry" não estiver definido com o valor recomendado de "10" ou menos, isso aumentará a oportunidade de outra pessoa adivinhar e usar a solicitação e tentar redefinir a senha.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    As janelas de expiração curtas são essenciais para reduzir a oportunidade de redefinições de senha não autorizadas e manter a segurança da conta.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    A propriedade "password_reset.request.max_attempt" determina o número máximo de tentativas malsucedidas de redefinição de senha que podem ser realizadas antes que o usuário seja bloqueado do processo de redefinição de senha. O período de bloqueio é determinado pelo valor em "password_reset.request.max_attempt_window".

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Se o valor for muito alto, poderá ser possível executar um ataque de força bruta contra o processo de redefinição de senha.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "password_reset.captcha.ignore" não estiver definido com o valor recomendado de "falso", uma resposta de desafio CAPTCHA não será usada durante o processo de redefinição de senha. Os CAPTCHAs ajudam a impedir ataques de automação, solicitando ao usuário uma resposta de desafio que não é respondida facilmente por sistemas automatizados.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Se o CAPTCHA estiver desabilitado, um invasor poderá ser mais bem-sucedido durante ataques automatizados contra o recurso de redefinição de senha.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "glide.update_set.remote.check_host" não estiver definido com o valor recomendado de "verdadeiro", o recurso de teste de instância remota de desenvolvimento de equipe permitirá uma verificação de porta de rede interna fornecendo mensagens de erro positivas/negativas.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Um invasor pode enumerar todas as portas abertas em um determinado host ou extrair dados de resposta, levando a vazamento de informações ou acesso não autorizado a dados.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "glide.ui.rotate_sessions" não estiver definido com o valor recomendado de "verdadeiro", as informações de identificação em uma sessão serão mantidas e não giradas entre as aplicações.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Isso aumenta o risco de sequestro de sessão, pois os invasores podem reutilizar identificadores de sessão para obter acesso não autorizado.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "com.glide.cs.embed.xframe_options" não estiver definido com o valor recomendado de "DENY" ou "SAMEORIGIN", o conteúdo da aplicação web poderá ser incorporado em um site de terceiros usando um URI de PERMISSÃO.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Permitir sites de terceiros não confiáveis pode viabilizar ataques como clickjacking.

• Valor de fallback
  • (Antigo) <blank>
  • (Novo)

    ''

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "glide.installation.production" não estiver definido com o valor recomendado de "verdadeiro", a instância não será tratada como uma instância de produção, permitindo o zboot e outros scripts potencialmente perigosos.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Permitir que uma instância de produção seja avaliada como não produção pode levar à divulgação de informações ou negação de serviço.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Quando a propriedade Glide "glide.cms.dashboards.sharing_with_secure_search" não está definida como "verdadeiro", um usuário pode compartilhar um painel com grupos e funções aos quais não tem acesso pessoalmente. Esta propriedade impõe ACLs na pesquisa nas tabelas sys_user, sys_user_role e sys_user_group ao compartilhar um painel.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    O excesso de compartilhamento de um painel pode resultar em pequenos impactos de confidencialidade nos casos em que um usuário compartilha um painel com um usuário, grupo ou função que não deve acessar o painel.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    A propriedade a seguir controla a implementação do cabeçalho de segurança X-Frame-Options: SAMEORIGIN. Se "glide.set_x_frame_options" não estiver definido com o valor recomendado de "verdadeiro", uma instância poderá ser enquadrada em um iframe de outra página.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Isso pode levar a um ataque de ClickJacking.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "glide.cookies.http_only" não estiver definido com o valor recomendado de "verdadeiro", a instância não exigirá o atributo HttpOnly para cookies confidenciais.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    O atributo HttpOnly é usado para evitar ataques, como script entre sites, porque ele não permite o acesso ao cookie usando um script do lado do cliente, como JavaScript.

• Descrição Resumida
  • (Antigo)

    Impedir criação de ACL vazia

  • (Novo)

    Impedir criação de ACL vazia

• Descrição
  • (Antigo) <blank>
  • (Novo)

    A propriedade glide.security.empty_acl.popup_window.enabled controla se os usuários fazem edições baseadas em formulário nos registros ACL (sys_security_acl)

    Pode criar, atualizar ou salvar uma ACL inválida que tenha uma condição de dados inválida, script, atributo de segurança ou lista de funções ou que não tenha nenhuma configuração (uma "ACL vazia"). A partir da versão Xanadu, uma ACL vazia negará completamente o acesso. Em versões anteriores ao Xanadu, esvaziar uma ACL permitirá acesso incondicional. Quando a propriedade glide.security.empty_acl.popup_window.enabled é definida com um valor seguro "verdadeiro", as tentativas de criar, atualizar ou salvar uma ACL inválida ou vazia serão bloqueadas, e um modelo do cliente será fornecido para configurar uma função ou atributo de segurança para a ACL. Se a propriedade for definida de forma insegura para qualquer outro valor, essas tentativas serão permitidas e nenhum modelo do lado do cliente será exibido. Observação: Esta propriedade diferencia maiúsculas de minúsculas. Um valor de "verdadeiro" (T maiúsculo) será equivalente a "falso". Além disso, esta propriedade só funcionará quando o plug-in Alta segurança (com.glide.high_security) estiver instalado e ativo.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Listas de controle de acesso (ACLs) mal configuradas ou vazias podem conceder acesso irrestrito a dados confidenciais e funcionalidade do sistema sem intenção. Quando as ACLs não têm condições, funções ou atributos de segurança adequados, elas não impõem limites de autorização, permitindo que invasores ou usuários não autorizados ignorem os controles de segurança. Isso pode levar a violações de dados, escalação de privilégios e comprometimento da confidencialidade, integridade e disponibilidade em toda a plataforma.

• Valor de fallback
  • (Antigo) <blank>
  • (Novo)

    falso

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "glide.basicauth.required.xml" não estiver definido com o valor recomendado de "verdadeiro", isso desabilitará a Autenticação básica para o processador de exportação do formato XML. Isso também acontece quando combinado com uma função errada na propriedade relacionada guest_user (por exemplo, um usuário com alto privilégio, como administrador). Isso levará ao acesso não autenticado aos dados da instância.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    O acesso não autenticado aos dados de exportação XML, quando combinado com a função de usuário convidado configurada incorretamente, representa um risco significativo de exposição de dados não autorizados.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "glide.soap.strict_security" não estiver definido com o valor recomendado de "verdadeiro", os usuários não precisarão de uma função SOAP para fazer solicitações de páginas não públicas quando o plug-in de serviço web ou de alta segurança estiver instalado.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Um usuário não autorizado pode obter acesso a conteúdo/dados confidenciais na instância de destino.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "glide.ui.magellan.favorites.allow_public" não estiver definido com o valor recomendado de "falso", todos os usuários não autenticados poderão acessar os Favoritos do mesmo usuário "Convidado" no navegador.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Os usuários não autenticados têm permissão para acessar e potencialmente manipular os Favoritos do usuário "Convidado" compartilhado, aumentando o risco de personalização de IU não autorizada, exposição de dados e uso indevido da interface do usuário.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade controla as ações de e-mail de entrada para usuários ativos bloqueados. Se "glide.pop3.process_locked_out" estiver definido como "verdadeiro", pode haver uma divulgação de informações, pois os e-mails de entrada serão recebidos por usuários com contas bloqueadas.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Permite que usuários bloqueados continuem enviando e-mails de entrada que podem criar registros ou acionar fluxos de trabalho, representando um risco de segurança ao habilitar ações potencialmente não autorizadas.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Determina se as aplicações de administração de aplicações podem herdar regras de lista de controle de acesso (ACL) global. Útil quando não há ACLs de aplicação de administrador com escopo definidas para o escopo do registro.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Se "glide.security.scoped_administration.honor_global_acl" não estiver definido com o valor recomendado de "verdadeiro", um usuário de baixo privilégio com permissões para a aplicação poderá acessar registros confidenciais.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Quando a propriedade Glide "glide.authenticate.session_access.log_audit_event'" estiver definida como "verdadeiro", os eventos de auditoria de sessão serão criados na tabela sys_session_access_audit. As informações registradas em log incluirão usuário, ID de sessão (não confidencial), endereço IP, funções e políticas.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    As informações sobre quem acessou uma sessão não serão registradas para ajudar nas investigações de incidentes.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade determina o tempo limite da sessão do usuário. Isso determina por quanto tempo uma sessão do usuário permanece ativa. Se "glide.ui.session_timeout" não estiver definido com o valor recomendado de "60" Minutes or less, então a sessão pode permanecer válida por muito tempo, mesmo sem atividade. Isso pode fornecer uma janela de tempo muito grande para habilitar ataques de sequestro de sessão.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Um tempo limite de sessão longo permite que as sessões inativas permaneçam válidas por longos períodos, aumentando a chance de que um invasor possa sequestrar a sessão antes que ela expire.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "glide.sys.log_impersonation" não estiver definido com o valor recomendado de "verdadeiro", os eventos de representação de usuário não serão mais registrados em log.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    As detecções de segurança automatizadas e a eficácia das capacidades de investigação de segurança da ServiceNow serão reduzidas.

• Valor de fallback
  • (Antigo) <blank>
  • (Novo)

    falso

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade impõe o comportamento de higienização dos campos translated_html em um nível global para atribuições de campo.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Se "com.glide.security.check_unsanitized_html" não estiver definido com o valor recomendado de "enforce", um invasor poderá executar javascript arbitrário no navegador da vítima (ataques XSS).

Script de regra

(Novo) Script atualizado para melhorar a precisão da detecção.

Correção

• (Antigo)

  Configure a propriedade glide.active.session.timeout.exception.roles para funções que devem ser isentas de tempos limite de sessão ativos. Este valor de propriedade é uma lista separada por vírgulas de funções. O valor padrão é edge_encryption,mid_server,manut.

• (Novo)

  Configure a propriedade glide.active.session.timeout.exception.roles para funções que devem ser isentas de tempos limite de sessão ativos. Este valor de propriedade é uma lista separada por vírgulas de funções. O valor padrão é edge_encryption,mid_server,manut.

• Nome da configuração técnica
  • (Antigo)

    glide.integrations.active.session.life_span

  • (Novo)

    glide.integrations.active.session.life_span

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Esta configuração aplicará a vida útil máxima em sessões HTTP de convidado ativas, independentemente do tempo limite inativo. O valor é configurado em minutos, e o valor zero desabilitará o tempo limite das sessões ativas. Esta propriedade específica é limitada a integrações que têm acesso de baixo privilégio a uma instância.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Uma vida útil máxima maior pode permitir que um invasor persista em uma sessão roubada por mais tempo, aumentando o escopo de um incidente de segurança.

• Valor pronto para uso
  • (Antigo) <blank>
  • (Novo)

    0

• Valor de fallback
  • (Antigo) <blank>
  • (Novo)

    0

Script de regra

(Novo) Script atualizado para melhorar a precisão da detecção.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Esta configuração aplicará a vida útil máxima em sessões HTTP de convidado ativas, independentemente do tempo limite inativo. O valor é configurado em minutos, e o valor zero desabilitará o tempo limite das sessões ativas. Esta propriedade específica é limitada a usuários Convidados, que têm acesso de privilégio baixo a uma instância.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Uma duração máxima maior pode permitir que um invasor persista em uma sessão roubada por mais tempo, aumentando o escopo de um incidente de segurança.

• Valor pronto para uso
  • (Antigo) <blank>
  • (Novo)

    0

Script de regra

(Novo) Script atualizado para melhorar a precisão da detecção.

Descrição

• (Antigo)

  A propriedade "sn_customerservice.captchaEnabled" determina se a validação de CAPTCHA está habilitada ou desabilitada para o registro do cliente no Portal de gestão de atendimento ao cliente.

• (Novo)

  A propriedade "sn_customerservice.captchaEnabled" determina se a validação de CAPTCHA está habilitada ou desabilitada para o registro do cliente no Portal de gestão de atendimento ao cliente.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    As ações de script "Verificação de bloqueio de usuário SNC" ou "Verificação de bloqueio de usuário SNC com desbloqueio automático" permitem que o administrador gerencie o número de tentativas de login com falha de um usuário. Há duas ações de script disponíveis que permitem que um administrador do site gerencie o número de vezes que um usuário pode fornecer a senha correta antes de ser bloqueado na Now Platform. Além disso, a propriedade "glide.user.max_unlock_attempts" controla o número de tentativas de login com falha permitidas. Se o valor de "glide.user.max_unlock_attempts" for aumentado acima do valor recomendado de "5", isso aumentará o número de tentativas de login que um invasor pode fazer contra um determinado usuário.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Permitir mais tentativas oferece aos invasores oportunidades adicionais de adivinhar senhas, aumentando a probabilidade de acesso não autorizado e comprometimento de credenciais. A configuração de bloqueio adequada é essencial para manter a segurança de autenticação forte.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    A propriedade "glide.cms.catalog_uri_relative" impõe links relativos do parâmetro uri em /ess/catalog.do. Se "glide.cms.catalog_uri_relative" não estiver definido com o valor recomendado de "verdadeiro", o URL não será limpo com a função enforceRelativeURL(url). Esta propriedade afeta o sistema de gestão de conteúdo (CMS) legado, que foi substituído pelo portal de serviços.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    URLs absolutos podem representar um risco de segurança quando usados como parte de um parâmetro ou valor de campo, redirecionando assim a página de origem para um site controlado por um adversário.

• Descrição Resumida
  • (Antigo)

    Minimize a quantidade de sessões interativas simultâneas quando o plug-in Limitar sessões simultâneas estiver instalado

  • (Novo)

    Minimizar sessões interativas simultâneas com o plug-in Limitar sessões simultâneas

• Descrição
  • (Antigo) <blank>
  • (Novo)

    A propriedade "glide.authenticate.max.concurrent.interactive.sessions" controla o número de sessões ativas que podem ser abertas para um usuário quando o plug-in Limitar sessões simultâneas (com.glide.limit.concurrent.sessions) está habilitado. É recomendável que esse valor seja o padrão "1" para reduzir o número de sessões que podem ser deixadas em aberto para um usuário.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Um número maior de sessões abertas significa que há mais sessões que podem ser potencialmente sequestradas.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "glide.basicauth.required.schema" não estiver definido com o valor recomendado de "verdadeiro", a autorização básica não será necessária para todas as solicitações do Processador de esquema de tabela de entrada. O Processador de esquema de tabela de entrada manipula solicitações de esquema de entrada para a plataforma.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    A omissão da autenticação deste processador levará ao acesso não autenticado aos dados do esquema da instância.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade permite o uso de um token seguro expirado para identificar e validar solicitações de entrada. Esse token é usado para impedir ataques de falsificação de solicitação entre sites.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Permitir o uso de tokens CSRF anteriores ou expirados expõe a aplicação a ataques de repetição, permitindo que invasores reutilizem solicitações válidas e executem ações não autorizadas em nome de usuários legítimos.

• Tipo de dados
  • (Antigo) <blank>
  • (Novo)

    Booliano

• Valor pronto para uso
  • (Antigo) <blank>
  • (Novo)

    falso

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se a propriedade "com.snc.platform.security.token.auth.cleanup' estiver definida com o valor inseguro de "falso", as chaves de API expiradas e os segredos HMAC não serão excluídos. Isso cria um potencial para reutilização de token. Se o token expirou devido a vazamento ou comprometimento, a reutilização expõe a instância a qualquer pessoa que tenha o token vazado. Os tokens expirados são mantidos pelo número de dias definido por "com.snc.platform.security.token.auth.days.expired.hmac_secret.is.kept' e "com.snc.platform.security.token.auth.days.expired.api_key.is.kept'. Valores inteiros iguais ou superiores a 0 são valores válidos. Um valor de 0 faria com que os tokens expirados fossem excluídos no mesmo dia. O padrão de 7 dias ou menos é recomendado.

• Correção
  • (Antigo)

    Certifique-se de que a propriedade "com.snc.platform.security.token.auth.cleanup' não exista na tabela sys_properties ou esteja definida como "verdadeiro". Certifique-se de que as propriedades "com.snc.platform.security.token.auth.days.expired.api_key.is.kept' e "com.snc.platform.security.token.auth.days.expired.hmac_secret.is.kept' não existam na tabela sys_properties ou estejam definidas como 7 ou menos, em que 7 corresponde ao número de dias.

  • (Novo)

    Certifique-se de que a propriedade "com.snc.platform.security.token.auth.cleanup' não exista na tabela sys_properties ou esteja definida como "verdadeiro". Certifique-se de que as propriedades "com.snc.platform.security.token.auth.days.expired.api_key.is.kept' e "com.snc.platform.security.token.auth.days.expired.hmac_secret.is.kept' não existam na tabela sys_properties ou estejam definidas como 7 ou menos, em que 7 corresponde ao número de dias.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Um número alto de dias aumenta o período de exposição para reutilização de token.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade controla se o HtmlSanitizerService está habilitado. Se "com.glide.cs.html.sanitizer.enabled" não estiver definido como "verdadeiro", um ataque de script entre sites armazenado (XSS) será possível no cliente web do VA.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Uma vulnerabilidade de XSS pode facilitar a escalação de privilégios para funções de nível superior, como administrador, permitindo um movimento lateral mais amplo no sistema.

Descrição

• (Antigo)

  Reduza o risco de sequestro relacionado a cookies/sessões de apps da Web usando uma propriedade do sistema. Se glide.http.headers_config.enabled não estiver definido como verdadeiro, as configurações do cabeçalho de resposta definidas na tabela Cabeçalhos de resposta HTTP [sys_response_header] não serão usadas. Os cabeçalhos de resposta HTTP relacionados à segurança incluem a Política de segurança de conteúdo, que ajuda nas proteções relacionadas ao XSS. Para obter detalhes sobre cabeçalhos de resposta HTTP, consulte Cabeçalhos de resposta HTTP (https://www.servicenow.com/docs/csh?topicname=http-response-header.html&version=latest).

• (Novo)

  Reduza o risco de sequestro relacionado a cookies/sessões de apps da Web usando uma propriedade do sistema. Se glide.http.headers_config.enabled não estiver definido como verdadeiro, as configurações do cabeçalho de resposta definidas na tabela Cabeçalhos de resposta HTTP [sys_response_header] não serão usadas. Os cabeçalhos de resposta HTTP relacionados à segurança incluem a Política de segurança de conteúdo, que ajuda nas proteções relacionadas ao XSS. Para obter detalhes sobre cabeçalhos de resposta HTTP, consulte Cabeçalhos de resposta HTTP (https://www.servicenow.com/docs/csh?topicname=http-response-header.html&version=latest).

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade evita que os usuários aceitem um aviso que permite que uma solicitação potencialmente mal-intencionada seja enviada à instância. Esse aviso aparece quando uma solicitação POST falha devido a um token anti-CSRF incompatível pertencente a uma das outras sessões ativas da vítima. Se "glide.security.csrf.strict.validation.mode" não estiver definido com o valor recomendado de "verdadeiro", um invasor poderá formular um ataque CSRF utilizando um token anti-CSRF vazado de uma sessão ativa diferente pertencente à vítima. Uma solicitação POST para uma instância contém um token anti-CSRF em "sysparm_ck" ou "XUserToken" que corresponde à sessão atual do usuário. Se o token anti-CSRF estiver vinculado a uma das outras sessões ativas do usuário, a solicitação POST retornará um redirecionamento 302 para security_intercetor.Faça com um botão "Continuar" disponível para o usuário quando esta propriedade estiver definida como "falso". Clicar nesse botão reenviará a solicitação para a instância, mas agora ela terá um token anti-CSRF válido. Quando esta propriedade estiver definida como "verdadeiro", o redirecionamento 302 para a página security_intercetor.do não exibirá um botão "Continuar" e o usuário não poderá reenviar a solicitação.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Um ataque de CSRF bem-sucedido permitirá que um invasor execute efetivamente qualquer operação que a vítima seja capaz de executar.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade determina se um desenvolvedor delegado pode atribuir funções aos usuários por meio de scripts. Se "com.glide.sys.security.delegateddev.block_grant_roles" não estiver definido como Recomendado

    "verdadeiro", então um desenvolvedor delegado pode atribuir funções a qualquer usuário. Isso pode levar à escalação de privilégio não aprovada.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Os desenvolvedores delegados podem atribuir funções a qualquer usuário por meio de scripts, o que representa um risco de segurança significativo de escalação de privilégio não autorizado.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    A propriedade do glide "glide.basicauth.required.xsd" controla se a autenticação é necessária para fazer uma solicitação XSD para uma instância. Se "glide.basicauth.required.xsd" não estiver definido com o valor recomendado de "verdadeiro", a autenticação será desabilitada para solicitações XSD na instância.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade permite acesso não autenticado ao processador XSD vazando informações confidenciais.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se esta propriedade for falsa, uma mensagem de erro SQL detalhada será retornada, podendo causar a divulgação de informações confidenciais.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Se mensagens de erro SQL detalhadas forem retornadas, informações confidenciais, como estrutura do banco de dados, nomes de tabela ou detalhes da consulta, poderão ser expostas. Essas informações podem ser aproveitadas por invasores para criar ataques direcionados de injeção de SQL ou explorar outras vulnerabilidades, aumentando o risco de violações de dados e comprometimento do sistema. Limitar os detalhes do erro é essencial para evitar a divulgação de informações que ajudam em atividades mal-intencionadas.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    O bloco de anotações é uma maneira fácil de definir informações no servidor que podem ser acessadas no navegador. Um administrador pode criar scripts para qualquer coisa, inclusive dados arbitrários de registros arbitrários.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Se "glide.ui.escape_scratchpad" não estiver definido com o valor recomendado de "verdadeiro", será possível executar script mal-intencionado, como uma vulnerabilidade de script entre sites.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "glide.basicauth.required.pdf" não estiver definido com o valor recomendado de "verdadeiro", isso desabilitará a Autenticação básica para o processador de exportação do formato PDF. Isso também acontece quando combinado com uma função errada na propriedade relacionada guest_user (por exemplo, um usuário com alto privilégio, como administrador). Isso levará ao acesso não autenticado aos dados da instância.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    O acesso não autenticado aos dados de exportação em PDF, quando combinado com a função de usuário convidado configurada incorretamente, representa um risco significativo de exposição de dados não autorizados.

Correção

• (Antigo)

  Certifique-se de que o plug-in "controle_de_acesso_snc.snc.com" esteja ativado. Leia a documentação sobre ativação em https://www.servicenow.com/docs/csh? T_ActivateSNCCCCESControl.html&version: Mais recente.

• (Novo)

  Certifique-se de que o plug-in "controle_de_acesso_snc.snc.com" esteja ativado.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade deve ser usada com o plug-in "Limitar sessões simultâneas". Quando este plug-in é instalado e configurado, o número de sessões abertas pode ser limitado por usuário. Quando esta propriedade é definida, o número de sessões será rastreado em todos os nós, em vez de um único nós de aplicação.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Se esta propriedade não estiver definida como verdadeira, várias sessões poderão ser abertas em vários nós, aumentando a probabilidade de um sequestro de sessão bem-sucedido.

• Aplicabilidade do plug-in
  • (Antigo) <blank>
  • (Novo)

    com.glide.limit.concurrent.sessions

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Cria várias ACLs importantes que validam os controles de acesso em algumas das principais tabelas do sistema na Now Platform. Essas regras fornecem um salto na proteção de muitas tabelas do sistema, facilitando para uma organização colocar uma instância em produção. O plug-in Security Jump Start (regras de ACL) é instalado automaticamente em todas as novas instâncias.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    As lacunas no controle de acesso podem permitir que usuários não autorizados exibam, modifiquem ou excluam dados confidenciais, prejudicando a integridade dos dados, a confidencialidade e a conformidade com as políticas de segurança organizacional.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    "glide.security.enable_archive_table_acls' controla se as ACLs adicionadas às tabelas de arquivamento são avaliadas (verdadeiro) ou se somente as ACLs da tabela original (ou seja, a tabela da qual a tabela de arquivamento foi criada) são avaliadas (falso). Não há motivo para que essa propriedade não seja verdadeira, pois as ACLs da tabela original serão avaliadas independentemente de seu valor e já que um cliente pode simplesmente evitar ACLs adicionais para uma tabela de arquivamento, não adicionando-as.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Se a propriedade for definida como falsa, as ACLs adicionadas às tabelas arquivadas serão ignoradas, uma ação que é contraintuitiva e pode levar ao desvio da autorização.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "glide.stax.allow_entity_resolution" não estiver definido com o valor recomendado de "falso", esta propriedade permitirá que entidades XML sejam expandidas durante a análise pelo analisador de fluxo (XMLDocument2).

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    A expansão da entidade XML pode levar a ataques como a capacidade de ler arquivos do sistema e negação de serviço.

• Tipo de dados
  • (Antigo) <blank>
  • (Novo)

    Booliano

• Valor pronto para uso
  • (Antigo) <blank>
  • (Novo)

    falso

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Quando a propriedade Glide 'com.snc.process_flow.reporting.require_flow_access' é definida com um valor verdadeiro, há uma verificação de acesso adicional para um usuário que está tentando ler um contexto de fluxo. Um usuário deve ter acesso ao fluxo primário para poder ler o contexto do fluxo.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Pode haver divulgação de informações secundárias se esta propriedade não estiver definida com segurança.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se a propriedade "glide.ui.attachment.force_download_all_mime_types" estiver definida como verdadeira, a propriedade "glide.ui.attachment.download_mime_types" será substituída para que todos os tipos de mime sejam baixados em vez de renderizados pelo navegador. Por exemplo, baixar texto/html força os arquivos HTML a serem baixados para o cliente como um arquivo, em vez de exibidos em linha no navegador, prevenindo um ataque XSS.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    O XSS pode levar a uma facilidade de conseguir escalação de privilégios a funções superiores, como a de um administrador, em situações em que uma movimentação mais lateral possa ser realizada.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade controla a quantidade máxima de expansão de entidade em um analisador de XML. Se "glide.xmlutil.max_entity_expansion" não estiver definido com o valor recomendado de 3000 ou menos, a análise de GlideXMLUtil programável pode estar vulnerável a ataques de negação de serviço.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Uma vulnerabilidade de negação de serviço (DoS) representa um risco de segurança, permitindo que invasores sobrecarregem ou travem um sistema, tornando-o indisponível para usuários legítimos e potencialmente interrompendo operações críticas.

• Descrição Resumida
  • (Antigo)

    Restringir o desenvolvimento de apps global por função

  • (Novo)

    Restringir o desenvolvimento de apps global por função

• Descrição
  • (Antigo) <blank>
  • (Novo)

    A propriedade "sn_g_app_creator.allow_global" controla quais usuários podem criar aplicações no escopo global usando o Criador de aplicações guiado. Se "sn_g_app_creator.allow_global" estiver definido com o valor recomendado de "falso", os usuários precisarão da função "sn_g_app_creator.global" para criar uma aplicação no escopo global usando o Criador de aplicações guiado. Se "sn_g_app_creator.allow_global" estiver definido com o valor inseguro de "verdadeiro", todos os usuários com apenas a função de base "sn_g_app_creator.app_creator" poderão criar uma aplicação no escopo global usando o Criador de aplicações guiado. As aplicações no escopo global não contêm proteções de escopo que permitem que um desenvolvedor acesse mais recursos e funções além de um escopo específico.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    A limitação do desenvolvimento de aplicações globais a usuários com a função adicional segue o princípio do privilégio mínimo.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Use a propriedade glide.live_profile.details para designar se um usuário deve ser capaz de exibir todos os campos de detalhes, como nome da empresa e números de telefone, em um perfil dinâmico no recurso de feed dinâmico. Se "glide.live_profile.details" estiver definido com o valor de "Ocultar", nenhuma informação de perfil dinâmico ficará visível para o usuário. Se estiver definido para mostrar, todas as informações estarão visíveis. Quando glide.live_profile.details" é definido com o valor de "ACL", as informações ficam visíveis com base nas ACLs do perfil do usuário.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    A exposição de informações confidenciais do usuário, como afiliação da empresa e detalhes de contato, a usuários não autorizados aumenta o risco de vazamento de dados e violação de controles de privacidade se as ACLs não forem impostas.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade adiciona "script-src none" ao cabeçalho ContentSecurity-Policy quando SVGs são acessados por meio da extensão de arquivo ".iix", o que impede a exploração de XSS armazenados a partir de anexos de arquivo criados armazenados na instância.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Sem essa política, um agente mal-intencionado poderia enganar um usuário para executar código JavaScript arbitrário em seu navegador da Web, levando a consequências como exfiltração de dados ou apropriação indevida de sessão.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade permite que um cliente ative ou desative a proteção de interpolação. A proteção de interpolação garante que, quando expressões Jelly são usadas em JavaScript, elas devem ser consideradas seguras por se enquadrarem em certas categorias OU serem marcadas como SEGURAS na própria expressão. Sem essa mitigação habilitada, um agente malicioso pode enviar um parâmetro GET criado para uma página do Jelly e fazer com que o conteúdo desse parâmetro seja avaliado como JavaScript do lado do servidor com privilégios de administrador.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Se "glide.ui.jelly.js_interpolation.protect" não estiver definido com o valor recomendado de "verdadeiro", expressões gelatinosas perigosas interpoladas em JavaScript serão permitidas e o usuário poderá executar código usando o modelo jelly.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade alterna a validação de ACL para chamadas de API GlideAjax. Se "glide.script.secure.ajaxgliderecord" não estiver definido com o valor recomendado de "verdadeiro", a validação de ACL não será concluída para solicitações GlideAjax.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Isso pode fazer com que os recursos do lado do servidor sejam acessados por usuários sem a devida autorização.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se a propriedade "com.glide.communications.httpclient.ocsp_allow_network_error" do glide não estiver explicitamente definida com o valor recomendado falso e a verificação de OCSP (Protocolo de status de certificado on-line) encontrar um problema relacionado à rede, como tempo limite ou falha ao recuperar dados de revogação, o sistema tratará a validação de OCSP como bem-sucedida por padrão.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Um invasor que usa um certificado revogado pode explorar isso simplesmente omitindo a resposta OCSP durante uma tentativa de conexão. Em tais casos, o cliente aceitaria incorretamente o certificado revogado como válido, prejudicando assim a integridade da Infraestrutura de chave pública (PKI) e o modelo de confiança que sustenta as comunicações seguras da web. O uso de certificados revogados geralmente é indicativo de atividade mal-intencionada, a menos que seja atribuível a problemas temporários de sincronização entre autoridades de certificação e respondentes do OCSP.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "glide.basicauth.required.excel" não estiver definido com o valor recomendado de "verdadeiro", isso desabilitará a Autenticação básica para o processador de exportação do formato EXCEL. Isso também acontece quando combinado com uma função errada na propriedade relacionada guest_user (por exemplo, um usuário com alto privilégio, como administrador).

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    O acesso não autenticado aos dados de exportação do Excel, quando combinado com a função de usuário convidado configurada incorretamente, representa um risco significativo de exposição de dados não autorizados.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade controla se o GlideRecordSecure ou GlideRecord é usado para a operação Inserir múltiplo na API de conjunto de importação. Se esta propriedade estiver definida como "falso", o GlideRecordSecure será usado para inserir registros e as ACLs de nível de tabela serão avaliadas. Se esta propriedade estiver definida como "verdadeiro", o GlideRecord será usado para inserir registros e as ACLs de nível de tabela não serão avaliadas.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Se esta propriedade não estiver definida com o valor recomendado de "falso", um usuário de baixo privilégio poderá inserir dados em tabelas fora do escopo de suas funções privilegiadas.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "glide.ui.user_cookie.max_life_span_in_days" não estiver definido com o valor recomendado de "30" ou outro valor apropriado, a sessão terá uma vida muito longa, ficando mais vulnerável a ataques de sequestro de sessão.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Uma longa vida útil da sessão estende a janela de oportunidade para invasores sequestrar sessões ativas, aumentando a probabilidade de acesso não autorizado se credenciais ou tokens de sessão forem comprometidos.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "glide.security.explain.write.locks" não estiver definido com o valor recomendado de "Falso", as informações de depuração adicionais serão exibidas nos elementos de formulário bloqueados.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    A exibição de informações de depuração em elementos de formulário bloqueados pode levar à divulgação de informações.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade define um comportamento padrão para a API "retrieveAddress". Quando não há funções fornecidas na propriedade "glide.sc.req_for.roles", o script chamável do cliente inclui "ScriptServiceCatalogGetLocation" pode ser chamado por qualquer usuário conectado sem privilégios e pode recuperar o endereço de qualquer outro usuário no sistema.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Se "glide.sc.req_for.roles.default" não estiver definido com o valor recomendado de "Negar" (permitir) e o valor de glide.sc.req_for.roles estiver vazio, qualquer usuário poderá solicitar itens para outros usuários que permitam o acesso não autorizado a recursos.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "glide.security.strict.actions" não estiver definido com o valor recomendado de "verdadeiro", não haverá validação na IU da tabela antes da execução. Definir esta propriedade como valor seguro adicionará uma camada extra de validação de segurança.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Os usuários podem executar operações para as quais podem não estar autorizados, o que pode levar à manipulação de dados não autorizados, escalação de privilégios e ignorar controles de acesso projetados para proteger registros confidenciais.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Quando a propriedade Glide "glide.translated_html.sanitize_all_fields" estiver definida com o valor "verdadeiro", todos os elementos translated_html serão limpos usando um higienizador de HTML. Quando a propriedade é definida como "falso", um elemento só será limpo se um atributo de dicionário, html_sanitize, for definido como verdadeiro.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    A limpeza de elementos HTML é uma prática recomendada para garantir que um invasor não possa incorporar conteúdo mal-intencionado que possa levar a ataques de script entre sites (XSS).

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Quando a propriedade Glide "glide.sc.request.add_item_write_access" não está definida como "verdadeiro", qualquer usuário conectado pode acessar a página Adicionar item do catálogo. Isso pode resultar na execução de operações não autorizadas em itens do catálogo.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Isso cria um risco de modificações ou adições não autorizadas aos itens do catálogo, potencialmente levando à interrupção do serviço, solicitações fraudulentas ou exposição de dados confidenciais. Controles de acesso mal configurados na gestão de catálogos podem prejudicar a integridade do sistema.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade está sendo usada na funcionalidade de segurança de critérios do usuário do registro de conhecimento. Se "glide.knowman.block_access_with_no_user_criteria" não estiver definido com o valor recomendado de "verdadeiro", as bases de conhecimento sem critérios de usuário Pode ler ou Pode contribuir se tornarão legíveis e graváveis por todos os usuários.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    As bases de conhecimento sem critérios de usuário explícitos "Pode ler" ou "Pode contribuir" podem se tornar acessíveis e editáveis por todos os usuários, levando potencialmente ao acesso não autorizado e à modificação de conteúdo de conhecimento confidencial.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade impõe a autenticação multifator com base nas funções atribuídas ao usuário. Se esta propriedade estiver definida como verdadeira, ela aplicará a autenticação multifator baseada em função para todos os usuários descritos na tabela MULTI_FACTOR_CRITERIA. Esta tabela impõe a autenticação multifator com base nas funções atribuídas ao usuário. Se um usuário tiver sido atribuído à função "admin", "security_admin" ou "user_admin" na lista de funções multifator, a MFA será aplicada

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    A imposição da MFA com base em funções fortalece a segurança da autenticação e se alinha às práticas recomendadas para proteger contas privilegiadas.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Quando a propriedade Glide "com.glide.communications.httpclient.verify_hostname" não está definida com o valor seguro "verdadeiro", o nome de host e a cadeia de certificação apresentados por hosts remotos durante uma conexão TLS iniciada na instância da ServiceNow não são validados.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Isso poderá prejudicar a segurança na conexão TLS e viabilizar ataques de intermediários, em que as comunicações entre duas partes são interceptadas, podendo resultar na divulgação de dados confidenciais.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade é usada para ativar a verificação de tipo MIME para uploads.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Se "glide.security.file.mime_type.validation" não estiver definido com o valor recomendado de verdadeiro, a validação do tipo MIME para anexos de arquivo não ocorrerá, o que pode permitir que tipos de arquivo mal-intencionados sejam carregados.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "glide.soapfault.display_stack_trace" não estiver definido com o valor recomendado de "Falso", um rastreamento de pilha em um elemento de detalhe de falha SOAP será exibido.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    A exibição de rastreamentos de pilha para os usuários pode levar à divulgação de informações confidenciais.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "glide.soap.require_content_type_xml" não estiver definido com o valor recomendado de "verdadeiro", não haverá validação para a solicitação SOAP.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Essa falta de validação pode habilitar ataques de falsificação de solicitação entre sites (CSRF), permitindo que agentes mal-intencionados induzam usuários autenticados a enviar solicitações de SOAP não autorizadas.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Quando a propriedade Glide "glide.service_portal.enable_acls_for_encoded_query_in_list" não está definida como "verdadeiro", um usuário pode ignorar a avaliação de ACLs em uma condição de consulta no widget de lista simples.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    É uma prática recomendada avaliar ACLs nas consultas para garantir que um usuário tenha acesso aos campos que estão sendo consultados para evitar vazamento de dados não autorizados.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Quando a propriedade Glide glide.sys.permissive.impersonate está definida com um valor falso , somente usuários com a função de administrador podem representar. Quando este valor é definido como verdadeiro , os usuários podem conseguir criar

    Uso de componentes da aplicação que expõem APIs de representação para representar um usuário com maior privilégio.

• Correção
  • (Antigo)

    Certifique-se de que a propriedade Glide glide.sys.permissive.impersonate esteja definida com um valor falso . Se esta propriedade não existir, o valor padrão será falso . Este valor pode ser substituído com segurança. Se a propriedade estiver definida como falso , ela não poderá ser alterada daqui para frente.

  • (Novo)

    Certifique-se de que a propriedade Glide glide.sys.permissive.impersonate esteja definida com um valor falso . Se esta propriedade não existir, o valor padrão será falso . Este valor pode ser substituído com segurança. Se a propriedade estiver definida como falso , ela não poderá ser alterada daqui para frente.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Pode resultar em acesso não autorizado a recursos se esses componentes da aplicação estiverem configurados incorretamente.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "glide.basicauth.required.wsdl" não estiver definido com o valor recomendado de "verdadeiro", isso desabilitará a Autenticação básica para solicitações de WSDL. O WSDL é um protocolo usado para descrever serviços da Web, como esquemas de tabelas de instância, e não é um mecanismo para compartilhar dados dentro de tabelas. Definir esta propriedade como "verdadeiro" permite a divulgação de esquemas de tabela para usuários não autenticados.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    O acesso não autenticado a solicitações de WSDL, quando combinado com a função de usuário convidado configurada incorretamente, representa um risco de exposição não autorizada do esquema de tabela.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Quando a propriedade Glide "n_hr_core.restrict_guest_email" não estiver definida como "verdadeiro", um usuário poderá enviar um e-mail de uma conta pessoal referenciando o caso de RH a ser incluído nas anotações de trabalho. Isso pode resultar em pequenos problemas de confidencialidade ou integridade se o e-mail pessoal for comprometido ou se comunicar de forma insegura. Um administrador pode querer restringir a capacidade dos usuários de responder a casos de RH por meio de seu e-mail pessoal, já que eles não podem ter certeza de que o usuário está acessando a conta de e-mail pessoal.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Isso cria um risco de problemas menores de confidencialidade e integridade porque as contas de e-mail pessoais podem ser inseguras ou comprometidas, e os administradores não podem verificar a identidade ou a postura de segurança dessas contas. Permitir esse comportamento enfraquece o controle sobre comunicações confidenciais de RH e aumenta a exposição ao vazamento de dados.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Tempo em segundos para um token seguro expirar. Quando a sessão do usuário expira, o token seguro expira com ele, a menos que a propriedade "Permitir reutilização de tokens expirados é permitida" esteja habilitada e dentro do intervalo de tempo descrito por esta propriedade. Este token é usado para impedir ataques de falsificação de solicitação entre sites. (o padrão é 86400 segundos ou 1 dia)

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    O limite de tempo para que um token CSRF expire define por quanto tempo o token permanece válido para verificar solicitações de usuário legítimas; se definido por muito tempo, aumenta o risco de que um invasor possa reutilizar um token roubado para executar ações não autorizadas, enquanto uma janela de expiração mais curta reduz esse risco restringindo a janela de ataque.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    A propriedade do glide "glide.basicauth.required.soap" controla se a autenticação básica é necessária para fazer uma solicitação de SOAP para uma instância. Se "glide.basicauth.required.soap" não estiver definido com o valor recomendado de "verdadeiro", os usuários não autenticados que executam operações SOAP serão mapeados para o usuário SOAP.guest. Com isso, um usuário não autenticado pode executar operações na instância como se estivesse conectado a ela. Pode haver impacto adicional se o usuário definido em "com.glide.soap.guest_user" receber funções adicionais atribuídas.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    O acesso não autenticado aos dados de exportação SOAP, quando combinado com a função de usuário convidado configurada incorretamente, representa um risco significativo de exposição de dados não autorizados.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Quando a propriedade Glide "glide.knowman.show_user_feedback" não estiver definida como "Nunca", os comentários de feedback ficarão visíveis nos artigos de conhecimento para usuários com as funções definidas na propriedade Glide "glide.knowman.show_user_feedback.roles". Devido às informações potencialmente confidenciais em um comentário de feedback, um administrador de instância pode não querer que o feedback fique visível.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Se esta propriedade não estiver definida como "Nunca", poderá haver impactos na confidencialidade se informações confidenciais forem divulgadas no feedback.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "glide.security.strict.user_image_upload" não estiver definido com o valor recomendado de "verdadeiro", as ACLs não serão impostas nos carregamentos de imagens para o campo Foto. Quando a propriedade é definida como verdadeiro, as ACLs da tabela são impostas ao carregar fotos, permitindo que usuários autorizados carreguem uma imagem.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Um usuário não autorizado pode carregar uma imagem para o perfil de outro usuário.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade afeta a expiração do cookie. Após cada autenticação bem-sucedida, o cookie expirará após o número de dias especificado como o valor da propriedade. Se "glide.ui.user_cookie.life_span_in_days" não estiver definido com o valor recomendado de 15 ou menos, existe um risco maior de que o cookie, se roubado, possa ser usado por mais tempo.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Uma vida útil mais longa aumenta a janela de tempo em que um cookie roubado será usado.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "glide.basicauth.required.api" não estiver definido com o valor recomendado de "verdadeiro", desabilitará a Autenticação básica na solicitação de API e permitirá acesso não autenticado aos dados da instância.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    O acesso não autenticado aos dados da API, quando combinado com a função de usuário convidado configurada incorretamente, representa um risco significativo de exposição de dados não autorizados.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "glide.ui.url.external.content" não estiver definido com o valor recomendado de "falso", o bate-papo do Connect recuperará metadados de link externo para renderizar conteúdo mais rico em mensagens com links para o Youtube, artigos de notícias, imagens etc.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Isso pode resultar em ataques de SSRF (falsificação de solicitações do lado do servidor).

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Quando esta propriedade é definida como "verdadeiro", as funções marcadas como "Privilegiadas" devem sempre ser elevadas manualmente por um usuário administrador após a criação de uma nova sessão para que o usuário receba as capacidades da função. Quando "falso", as funções marcadas como "Privilegiadas" são elevadas automaticamente em uma nova sessão de usuário administrador e não precisam ser elevadas manualmente (com exceção de "security_admin"). Definir esta propriedade como valor seguro adicionará uma camada extra de validação de segurança à elevação de função por usuário privilegiado.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Isso arrisca o possível uso indevido de privilégios ou execução acidental de ações de alto impacto. A exigência de elevação manual adiciona um ponto de verificação de segurança deliberado que ajuda a impedir o acesso não autorizado ou não intencional a capacidades confidenciais.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade controla o log de depuração para multiSSO.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Os recursos de depuração do MultiSSO podem levar ao vazamento não intencional de informações confidenciais.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "glide.ui.secure_cookies" não estiver definido com o valor recomendado de "verdadeiro", a segurança adicional de cookies e a validação estrita de cookies não serão realizadas.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Isso pode permitir que um invasor ignore a validação de cookies, levando ao acesso não autorizado a recursos.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade contém o nome de classe Java do gerenciador de segurança Java atual. A ServiceNow padronizou o Gerenciador de segurança contextual. Se "glide.security.manager" não estiver definido com o valor recomendado de "com.glide.sys.security.ContextualSecurityManager", a instância pode estar usando um gerenciador de segurança Java obsoleto que não tem as políticas de proteção esperadas.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Sem essa proteção, pode ser possível que um agente mal-intencionado com acesso à execução de script consiga a execução remota de código na instância.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Quando este plug-in é definido como True, ele restringe o acesso a intervalos de IP específicos. A menos que o acesso público seja adequado na instância, os administradores devem limitar o acesso aos blocos de rede de IP atribuídos. É possível criar uma lista de exclusões (Negar) ou uma lista de inclusões (Permitir) de endereços IP por meio do controle de acesso a endereços IP (ip_access_list.do).

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Permitir acesso público irrestrito a uma instância da ServiceNow sem configurar corretamente o plug-in de Controle de acesso de endereço IP expõe o sistema a acesso não autorizado e possível exploração de qualquer endereço IP, prejudicando a segurança no nível da rede e aumentando a superfície de ataque.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade executa autenticação ao recuperar dados de tabelas/páginas na forma de dados de descarregamento na instância. Se "glide.basicauth.required.unl" não estiver definido com o valor recomendado de "verdadeiro", isso desabilitará a Autenticação básica para o processador de exportação do formato UNL. Isso também pode ser combinado com uma função incorreta na propriedade relacionada guest_user, o que levará ao acesso não autenticado aos dados da instância.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade pode permitir acesso não autenticado para descarregar exportações de dados, especialmente quando combinada com funções de usuário convidado configuradas incorretamente, criando um sério risco de exposição não autorizada de configuração e dados da instância.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade executa esta autenticação ao importar fontes de dados para as tabelas/páginas da instância. Ela restringe todos os usuários convidados que estão acessando esses dados. Se "glide.basicauth.required.importprocessor" não estiver definido com o valor recomendado de "verdadeiro", os usuários não autenticados poderão acessar o processador de importação. Controles de acesso adicionais, ou seja, ACLs, ainda são impostos, mas esse valor permite que uma solicitação de importação de usuário convidado seja processada e não negada resumidamente.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade pode permitir que usuários não autenticados iniciem solicitações de importação por meio do processador de importação, possivelmente ignorando as verificações de autenticação iniciais e aumentando o risco de manipulação de dados não autorizados, apesar das ACLs impostas.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade determina se a autenticação básica é necessária para invocar um processador com script. Todos os registros acessados pelo processador com script ainda usarão outros controles de acesso, ou seja, ACLs, antes de retornar dados. Se "glide.basicauth.required.scriptedprocessor" não estiver definido com o valor recomendado de "verdadeiro", um invasor poderá acessar informações confidenciais, como um usuário não autenticado (convidado) tentando acessar um e-mail por meio do sys_processor do EmailDisplay.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade pode permitir que usuários não autenticados invoquem processadores com script, potencialmente expondo informações confidenciais, apesar das ACLs existentes.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    O plug-in "Segurança contextual: Gestão de funções" ajuda a gerenciar grupos de usuários e funções para proteger informações por meio de controles de acesso baseados em função. O plug-in consolida com eficiência entradas duplicadas para funções herdadas e protege um registro/informações usando a funcionalidade de criação, leitura, gravação e exclusão. Depois que ele é instalado e ativado, as funções de dicionário (criadas pelo gerenciador de segurança simples) não são mais testadas. Em vez disso, a Now Platform procura regras de ACL em campos e tabelas. Ele protege os dados com a ajuda de regras de ACL em vez das regras de dicionário tradicionais baseadas em funções implementadas pelo gerenciador de segurança simples. Mesmo se você configurar o formulário de dicionário e adicionar funções a uma entrada de dicionário, não ocorrerá nenhuma mudança nos direitos.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    A falha na transição total para controles baseados em ACL pode deixar dados confidenciais expostos devido a configurações de função de dicionário ignoradas ou desatualizadas.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Quando um usuário é marcado como "A senha precisa ser redefinida", ele deve fornecer uma nova senha na próxima tentativa de autenticação. Esta propriedade controla se a redefinição de senha é obrigatória antes de fazer chamadas de API. Se "glide.authenticate.api.user.reset_password.mandatory" não estiver definido com o valor recomendado de "verdadeiro", as contas de usuário marcadas como "A senha precisa ser redefinida" ainda poderão executar as operações mais comuns consultando a API da tabela por meio da autenticação básica.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Isso pode permitir a divulgação de informações caso contas obsoletas sejam comprometidas.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "glide.security.sandbox_no_logging" estiver definido como "falso", o registro em log estará disponível para usuários com poucos privilégios usando scripts em área restrita. Esta propriedade controla a capacidade do Glide System de registrar scripts que estão sendo executados no ambiente de sandbox.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Um usuário com baixo privilégio pode injetar logs, permitindo que o usuário mal-intencionado ofusque potencialmente um ataque.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade garante que as inclusões de script chamável pelo cliente, também conhecidas como inclusões de script Ajax, não sejam disponibilizadas automaticamente para usuários não autenticados. Se "glide.script.ccsi.ispublic" não estiver definido com o valor recomendado de "Falso", isso permitirá que as inclusões de script sejam executadas como scripts públicos e permitirá que usuários não autenticados acessem os dados da instância.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    A lógica ou os dados de negócios confidenciais estão potencialmente expostos, aumentando o risco de acesso não autorizado aos recursos da instância.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se a propriedade "glide.export.query.enforce_field_acl" estiver definida como "verdadeiro", as ACLs de campo serão verificadas em relação à consulta de entrada e rejeitarão a consulta se o usuário não estiver autorizado. Se a propriedade for falsa, as ACLs NÃO serão verificadas em relação à consulta de entrada e continuarão a ser executadas.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Isso pode resultar na divulgação de informações a partes não autorizadas.

Impacto funcional

• (Antigo)

  Impõe a duração máxima das sessões HTTP ativas autenticadas, independentemente do tempo limite de inatividade. O valor configurado está em minutos. O valor zero desabilitará o tempo limite das sessões ativas. A duração máxima deve ser maior do que o tempo limite de inatividade glide.ui.session_timeout (o padrão é 30 minutos).

• (Novo)

  Impõe a duração máxima das sessões HTTP ativas autenticadas, independentemente do tempo limite de inatividade. O valor configurado está em minutos. O valor zero desabilitará o tempo limite das sessões ativas. O tempo de vida máximo deve ser maior que o tempo limite inativo glide.ui.session_timeout (padrão de 30 minutos).

Script de regra

(Novo) Script atualizado para melhorar a precisão da detecção.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "glide.email.email_with_no_target_visible_to_all" não estiver definido com o valor recomendado de falso, os usuários de baixo nível terão acesso a e-mails que não são seus.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Os e-mails que não têm um registro de destino específico podem se tornar visíveis para todos os usuários, resultando em acesso não autorizado a comunicações potencialmente confidenciais e violando os princípios de menor privilégio e confidencialidade de dados.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade controla o recurso de recuperação de conta que vincula a capacidade de ignorar o login único a administradores especificamente designados. Se "glide.sso.acr.enabled" não estiver definido com o valor recomendado de "verdadeiro", os logins interativos locais (baseados em nome de usuário ou senha) permanecerão habilitados quando o single signon for habilitado na instância.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    A eliminação de logins interativos locais reduz o potencial de acesso não autorizado à instância.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade controla a autorização básica para solicitações de RSS de entrada. Se "glide.basicauth.required.rss" não estiver definido com o valor recomendado de "verdadeiro", isso desabilitará a Autenticação básica para o processador de exportação do formato RSS. Isso também pode ser combinado com uma função incorreta na propriedade relacionada guest_user, o que levará ao acesso não autenticado aos dados da instância.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    O acesso não autenticado aos dados de exportação de RSS, quando combinado com a função de usuário convidado configurada incorretamente, representa um risco significativo de exposição de dados não autorizados.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "glide.basicauth.required.csv" não estiver definido com o valor recomendado de "verdadeiro", isso desabilitará a Autenticação básica para o processador de exportação no formato CSV. Isso também acontece quando combinado com uma função errada na propriedade relacionada guest_user (por exemplo: Função privilegiada alta). Isso levará ao acesso não autenticado aos dados da instância.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    O acesso não autenticado aos dados de exportação CSV, quando combinado com a função de usuário convidado configurada incorretamente, representa um risco significativo de exposição de dados não autorizados.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    A propriedade password_reset.request.max_attempt_window define o número de minutos que um usuário deve aguardar para redefinir ou mudar sua senha depois de exceder o número máximo de tentativas malsucedidas definido com a propriedade password_reset.reset.request.max_attempt.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Um valor muito baixo aumenta o risco de forçar brutalmente uma senha com sucesso, pois um número maior de tentativas de redefinição de senha pode ser feito.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "password_reset.sms.default_complexity" não estiver definido com o valor recomendado de "6" ou maior, um token de validação de SMS fraco será usado.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Isso aumenta a possibilidade de adivinhação de token, o que pode levar à aquisição de conta.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    A propriedade "password_reset.sms.max_per_day" denota o número máximo de códigos SMS enviados para verificação por dia para um usuário.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Se o valor for muito alto, será mais fácil para os invasores forçar brutalmente o código SMS.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    O captcha para Walk-up experience de convidado impede que usuários convidados não autenticados criem reservas, pois exige que os usuários concluam uma verificação de captcha. Se o captcha não estiver habilitado, isso pode levar à criação automatizada de spam

    Compromissos para sobrecarregar o sistema ou preencher todos os pontos de agendamento disponíveis, criando um ataque de negação de serviço.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Isso expõe o sistema a compromissos de spam e ataques de esgotamento de recursos, potencialmente preenchendo todos os slots de reservas disponíveis e causando uma negação de serviço (DoS). Sem o CAPTCHA, a plataforma não tem um controle crítico para evitar abuso automatizado e manter a disponibilidade do serviço.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "password_reset.request.success_window" não estiver definido com o valor recomendado de "1440" ou menos, será maior a oportunidade de alguém aproveitar a funcionalidade de redefinição de senha para obter acesso a uma conta de usuário sem a devida autorização.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Limitar a janela de sucesso reduz a oportunidade de abuso e fortalece a segurança de recuperação de conta.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    O log de auditoria de comando do MID Server rastreia detalhes como o nome do comando, hash do comando, nome da credencial usada e status de execução. Quando habilitado, os usuários com a função agent_security_admin podem exibir esses logs na tabela Logs de auditoria de comando do MID Server [ecc_agent_command_audit_log]. Navegue até Todos > MID Server > Logs de auditoria > Logs de auditoria de comando para ver esta tabela.

• Correção
  • (Antigo)

    Defina mid.log.command_audit.enable como "verdadeiro" na tabela ecc_agent_property para ativar a auditoria de comandos executados pelo MID Server. Consulte a documentação a seguir para editar esta propriedade do MID Server: https://docs.servicenow.com/csh?topicname=mid-audit-log.html&version=latest

  • (Novo)

    Defina a propriedade mid.log.command_audit.enable como verdadeira na tabela Propriedades do MID Server [ecc_agent_property] para cada MID Server para ativar a auditoria de comandos executados pelo MID Server. Para obter mais detalhes sobre como definir esta propriedade, consulte https://docs.servicenow.com/csh?topicname=midaudit-log.html&version=latest

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Em caso de investigação de segurança, esta tabela pode ser usada pelas equipes de resposta a incidentes para auditar os comandos executados no MID Server. Sem este log, pode não haver detalhes suficientes para responder a situações como uso não autorizado de conta.

• Impacto funcional
  • (Antigo) <blank>
  • (Novo)

    Nenhum(a)

• Pontuação de CVSS
  • (Antigo)

    2,2

  • (Novo)

    4,4

• Pré-requisitos e dependências
  • (Antigo) <blank>
  • (Novo)

    Esta configuração se aplica somente a instâncias que usam um MID (Management, Instrumentation and Discovery) ativo. Um MID Server permite a comunicação e a movimentação de dados entre uma instância da ServiceNow e aplicações externas, fontes de dados e serviços. A configuração de um MID Server requer o download do pacote do MID Server em um host Linux ou Windows, a configuração da conexão com a instância da ServiceNow fornecida e a definição de configurações adicionais. Informações e referências podem ser encontradas em https://www.servicenow.com/docs/csh?topicname=mid-serverlanding.html&version=latest. Após a configuração, um MID Server aparece como um registro na tabela MID Servers [ecc_agent] na instância de conexão.

• Tipo de dados
  • (Antigo) <blank>
  • (Novo)

    Booliano

• Valor pronto para uso
  • (Antigo) <blank>
  • (Novo)

    falso

Script de regra

(Novo) Script atualizado para melhorar a precisão da detecção.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "glide.security.url.whitelist.strict_check" não estiver definido com o valor recomendado de "verdadeiro", todos os URLs externos serão permitidos para redirecionamento quando "glide.security.url.whitelist" estiver vazio. Se "glide.security.url.whitelist" não estiver vazio, somente URLs externos na lista de permissões serão permitidos. Assim, definir "glide.security.url.whitelist.strict_check" como verdadeiro OU garantir que "glide.security.url.whitelist" esteja definido como um valor não vazio com os URLs externos permitidos deixa a instância em um estado seguro.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Se todos os URLs externos forem permitidos para redirecionamento, isso poderá permitir que um invasor redirecione um usuário para um site mal-intencionado.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "glide.secure_cookie.debug" não estiver definido com o valor padrão "falso", as mensagens de depuração nas classes SecureUserCookie e Cookie serão registradas no log do localhost.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Registrar mensagens de depuração da classe SecureUserCookie e Cookie pode levar à divulgação de informações confidenciais.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade "com.glide.attachment.max_size" controla o tamanho máximo do anexo carregado. Observação: Um tamanho de anexo real é calculado por meio da multiplicação 10241024valor da propriedade "com.glide.attachment.max_size". Se o valor da propriedade "com.glide.attachment.max_size" for 1024, o tamanho máximo permitido do anexo será de 1 GB.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    A plataforma pode aceitar arquivos grandes que podem preencher o armazenamento ou causar uma negação de serviço.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    O plug-in Filtro de e-mail (com.glide.email_filter) instala a filtragem de e-mail na instância. Essa filtragem identifica cabeçalhos existentes, o que permite que o administrador decida o que fazer com o e-mail com base no cabeçalho associado. Este plug-in adiciona um cabeçalho a cada mensagem. O cabeçalho pode ser usado para filtrar na instância. Este recurso é muito útil para filtrar spam. Observação: Certifique-se de que as propriedades de pré-requisito "glide.email.read.active" estejam definidas como verdadeiras, pois este controle se aplica somente quando o e-mail de entrada está habilitado.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Habilitar e configurar a filtragem de e-mail é essencial para reduzir a exposição a spam e manter a integridade do sistema.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Quando a propriedade "com.glide.snap.infected_download_allowed" está definida como "verdadeiro", os usuários ainda podem baixar anexos não verificados, caso o serviço antivírus esteja inativo ou inacessível.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Um usuário pode baixar um arquivo malicioso para a área de trabalho.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "glide.sg.allow_rooted_jailbroken_device" não estiver definido com o valor recomendado de "falso", o app para celular permitirá que os usuários usem o app a partir de dispositivos móveis jailbroken ou enraizados. Dispositivos móveis com jailbreak ou enraizados executam código não confiável no nível do sistema que pode ignorar o modelo de segurança da plataforma no qual nossas aplicações móveis dependem. Definir "allow_rooted_jailbroken_device" como "falso" permite que uma verificação limitada do lado do cliente exiba uma mensagem de erro para o usuário se tentar usar o app de um desses dispositivos. Esta configuração é mapeada para o requisito 8,1 do MASVS v1.4.2 no nível R.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Permitir dispositivos móveis com root ou jailbreak aumenta significativamente o risco de roubo de credenciais, vazamento de dados e execução de código malicioso.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Quando um token de acesso OAuth é emitido, a resposta inclui um cookie. Os usuários podem usar este cookie para continuar usando uma sessão mesmo depois que o token OAuth usado para criar essa sessão expirar. Use a propriedade do sistema glide.authenticate.oauth.post.token.expiration.cookie_auth.disabled para evitar isso.

• Correção
  • (Antigo)

    Certifique-se de que a propriedade Glide glide.authenticate.oauth.post.token.expiration.cookie_auth.disabled esteja definida como A.

    valor de verdadeiro. Quando o registro não existe na tabela sys_properties, o padrão é falso. Um registro é criado para instâncias recém-provisionadas.

  • (Novo)

    Certifique-se de que a propriedade do sistema glide.authenticate.oauth.post.token.expiration.cookie_auth.disabled exista na tabela Propriedades do sistema [sys_properties] e esteja definida com um valor verdadeiro.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Se um token OAuth for vazado ou comprometido, a falta de expiração permitirá que um invasor use e estenda a sessão por meio do cookie criado. Usuários mal-intencionados podem usar sessões para acessar recursos não autorizados e executar ações não autorizadas. Defina esta propriedade como o valor seguro para eliminar este mecanismo de extensão de sessão oculto e reduzir o risco de reprodução impondo a expiração do token.

• Impacto funcional
  • (Antigo) <blank>
  • (Novo)

    Impacto quando definido como verdadeiro: As sessões terminam imediatamente quando o token de acesso expira. Os cookies não atualizam mais a validade da sessão. Os clientes devem usar tokens de atualização ou autenticar novamente para obter um novo token de acesso. Possível quebra: Os clientes legados ou integrações personalizadas que dependem da extensão de sessão baseada em cookie falham após a expiração do token. Os trabalhos de execução longa sem lógica de renovação de token podem encontrar erros 401. O que continua a funcionar: Fluxos de OAuth padrão com tokens de atualização. Integrações projetadas corretamente que renovam tokens proativamente

• Pontuação de CVSS
  • (Antigo)

    5,4

  • (Novo)

    6,8

• Tipo de dados
  • (Antigo) <blank>
  • (Novo)

    Booliano

• Valor pronto para uso
  • (Antigo) <blank>
  • (Novo)

    verdadeiro

Script de regra

(Novo) Script atualizado para melhorar a precisão da detecção.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Use as propriedades do sistema glide.xml.entity.whitelist.enabled e glide.xml.entity.whitelist para impedir que sua instância processe entidades externas XML de fontes não confiáveis. Os ataques de entidade externa XML (XXE) ocorrem quando um agente mal-intencionado modifica o XML de entrada para acessar dados ou interagir com sistemas restritos. Um invasor pode usar a Definição de tipo de documento (DTD) para incluir solicitações HTTP arbitrárias que o servidor pode executar. Isso pode levar a ataques adicionais usando o relacionamento de confiança do servidor com outras entidades. Para ajudar a evitar esses ataques, a propriedade do sistema glide.xml.entity.whitelist.enabled limita as origens

    A partir do qual sua instância executa XML. Use a propriedade glide.xml.entity.whitelist para definir um conjunto de fontes confiáveis. O valor de "glide.xml.entity.whitelist" definido como "http://java.sun.com/j2ee/dtds/" é uma referência às DTDs (Definições de Tipo de Documento) fornecidas pelo Java EE (anteriormente conhecido como J2EE). Este URL atua como um ponto central onde os DTDs padrão para documentos XML estão localizados, que definem a estrutura e os elementos jurídicos e atributos dos documentos XML. OBSERVAÇÃO: Valores diferentes de http://java.sun.com/j2ee/dtds/ podem ser incluídos na propriedade glide.xml.entity.whitelist, mas são desnecessários para o estado da plataforma pronto para uso. Revise todos os valores adicionais para determinar se são seguros.

• Correção
  • (Antigo)

    Certifique-se de que a propriedade Glide "glide.xml.entity.whitelist" exista e esteja definida como "http://java.sun.com/j2ee/dtds/" e que a propriedade Glide "glide.xml.entity.whitelist.enabled" exista e esteja definida com o valor "verdadeiro". Se as propriedades não forem exibidas na tabela sys_properties, adicione novos registros.

  • (Novo)

    Certifique-se de que a propriedade do sistema glide.xml.entity.whitelist exista na tabela Propriedades do sistema [sys_properties] e esteja definida como http://java.sun.com/j2ee/dtds/. Certifique-se de que a propriedade do sistema glide.xml.entity.whitelist.enabled exista na tabela Propriedades do sistema [sys_properties] e esteja definida com o valor verdadeiro.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Um ataque de entidade eterna XML (XEE) pode permitir que invasores exfiltrem dados ou executem ações não autorizadas por meio de cargas XML criadas.

• Impacto funcional
  • (Antigo) <blank>
  • (Novo)

    As entidades externas XML de origens fora da lista branca não serão processadas.

• Tipo de dados
  • (Antigo) <blank>
  • (Novo)

    Lista separada por vírgulas, booliana

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se "sn_kb_social_qa.max_subscriptions_per_user_daily" não estiver definido com o valor recomendado de "500" ou menos, então não haverá restrição sobre o número máximo de perguntas de Perguntas e Respostas sociais que um usuário pode assinar em um dia.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Muitas assinaturas podem levar ao esgotamento de recursos.

• Descrição Resumida
  • (Antigo)

    Limitar sessões interativas simultâneas quando o plug-in Limitar sessões simultâneas estiver instalado

  • (Novo)

    Limitar sessões interativas simultâneas com o plug-in Limitar sessões simultâneas

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Esta propriedade deve ser usada com o plug-in Limitar sessões simultâneas (com.glide.limit.concurrent.sessions). Quando o plug-in está ativo e a propriedade está definida como "falso", um usuário pode ter qualquer número de sessões interativas simultâneas em uma instância.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Uma quantidade maior de sessões abertas significa que haverá maior possibilidade de ocorrer sequestro da sessão.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    A propriedade "password_reset.request.unlock_window" controla o número de minutos que um usuário deve aguardar para iniciar uma solicitação de redefinição após o último desbloqueio bem-sucedido da conta.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Se o valor for muito baixo, isso aumentará a oportunidade de um agente mal-intencionado forçar brutalmente a senha do usuário usando ferramentas automatizadas.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    A propriedade "glide.authenticate.session_access.mobile.refresh_token_interval' rege o período após o qual um usuário de dispositivo móvel será forçado a autenticar novamente. Isso se aplica somente se o administrador tiver configurado os atributos do provedor de identidade (que podem variar para cada login) em

    A política de acesso à sessão e o usuário autentica por meio do login único. O valor da propriedade é um número inteiro em segundos. O valor recomendado é 1800 (30 minutos).

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Um valor grande pode conceder um prazo maior para que o acesso à sessão seja sequestrado por um invasor.

Tipo de dados

• (Antigo)

  Booliano

• (Novo)

  Cadeia de caracteres

• Descrição
  • (Antigo)

    Use as propriedades do sistema para impedir que um usuário de representação visualize dados da aplicação. Impeça o nível de administrador de acessar os dados específicos da aplicação que pertencem a esse usuário ao representar uma conta. Esta permissão pode ser definida no nível da aplicação criando uma propriedade do sistema específica para a aplicação. Essas propriedades do sistema usam o formato de nomenclatura .impersonateCheck (por exemplo sn_hr_core.impersonateCheck). Crie uma propriedade do sistema com um valor de verdadeiro impedir que os usuários acessem os dados específicos da aplicação que pertencem a outro usuário ao representar uma conta. OBSERVAÇÃO: Nem todas as aplicações foram projetadas para funcionar nesta configuração ou têm um registro de Propriedades do sistema [sys_properties] para essa finalidade. Os escopos a seguir estão configurados para funcionar com esta propriedade. sn_opp_market sn_jny sn_imt_vaccine sn_imt_health_test sn_hr_core sn_egd_goals sn_egd_core sn_egd_act sn_em sn_talent_aia

  • (Novo)

    Use as propriedades do sistema para impedir que um usuário de representação visualize dados da aplicação. Impeça o nível de administrador de acessar os dados específicos da aplicação que pertencem a esse usuário ao representar uma conta. Esta permissão pode ser definida no nível da aplicação criando uma propriedade do sistema específica para a aplicação. Essas propriedades do sistema usam o formato de nomenclatura .impersonateCheck (por exemplo sn_hr_core.impersonateCheck). Crie uma propriedade do sistema com um valor de verdadeiro impedir que os usuários acessem os dados específicos da aplicação que pertencem a outro usuário ao representar uma conta. OBSERVAÇÃO: Nem todas as aplicações foram projetadas para funcionar nesta configuração ou têm um registro de Propriedades do sistema [sys_properties] para essa finalidade. Os escopos a seguir estão configurados para funcionar com esta propriedade. sn_opp_market sn_jny sn_imt_vaccine sn_imt_health_test sn_hr_core sn_egd_goals sn_egd_core sn_egd_act

    sn_em sn_talent_aia sn_ecn

• Correção
  • (Antigo)

    Para cada aplicação com a propriedade .impersonateCheck na tabela Propriedades do sistema [sys_properties], certifique-se de que o valor da propriedade esteja definido como verdadeiro. Essas propriedades só podem ser modificadas pelo administrador com escopo da aplicação específica. Use este script para descobrir quais propriedades precisam ser atualizadas ou criadas na instância:

    Propriedades de var: ['n_opp_market.impersonateCheck', 'n_jny.impersonateCheck', 'n_imt_vaccine.impersonateCheck', 'n_imt_health_test.impersonateCheck', 'n_hr_core.impersonateCheck', "n_egd_goals.impersonateCheck", "n_egd_core.impersonateCheck",]

    [Sn_egd_act.impersonateCheck', 'sn_em.impersonateCheck', 'sn_talent_aia.impersonateCheck' ]; var pm: New GlidePluginManager(); for (var i: 0; i 0

  • (Novo)

    Para cada aplicação com a propriedade .impersonateCheck na tabela Propriedades do sistema [sys_properties], certifique-se de que o valor da propriedade esteja definido como verdadeiro. Essas propriedades só podem ser modificadas pelo administrador com escopo da aplicação específica. Use este script para descobrir quais propriedades precisam ser atualizadas ou criadas na instância:

    Propriedades de var: ['n_opp_market.impersonateCheck', 'n_jny.impersonateCheck', 'n_imt_vaccine.impersonateCheck', 'n_imt_health_test.impersonateCheck', 'n_hr_core.impersonateCheck', "n_egd_goals.impersonateCheck", "n_egd_core.impersonateCheck", "n_egd_act.impersonateCheck", "n_em.impersonateCheck", "n_talent_aia.impersonateCheck", "n_ecn.impersonateCheck" ]; var pm é um novo GlidePluginManager(); para (var i: 0; i: property.split('.')[0]; var propertyValue: gs.getty(property, 'false'); if (pm.isActive(true)

• Impacto funcional
  • (Antigo)

    Os usuários de nível administrador não poderão representar outro usuário e exibir os dados dele em um contexto específico de aplicação.

  • (Novo)

    Os usuários de nível administrador não podem representar outro usuário e exibir os dados desse usuário em um contexto de aplicação específico.

Script de regra

(Novo) Script atualizado para melhorar a precisão da detecção.

• Descrição
  • (Antigo)

    Proteja as imagens em sua instância para evitar o vazamento de informações confidenciais. As imagens em sua instância podem ser acessadas por meio de URLs que terminam em .iix. Defina a propriedade do sistema glide.image_provider.security_enabled como true para impedir o acesso às suas imagens por meio dessas URLs. [Observação] Esta propriedade não será respeitada para imagens da tabela de anexo se a tabela de origem for uma das seguintes seções da página de boas-vindas [sys_home] Propriedades do sistema [sys_properties]

  • (Novo)

    Use a propriedade glide.image_provider.security_enabled Restringir o acesso não autenticado a anexos de imagem. Se definido como verdadeiro, as imagens ficarão visíveis para qualquer usuário autenticado, mas nenhum usuário não autenticado. Se definida como falsa, as imagens ficarão visíveis para qualquer pessoa com um URL para o anexo. As miniaturas de uma imagem anexada mantêm a mesma política da imagem anexada original e podem ser acessadas pelo mesmo conjunto de usuários que a imagem anexada original. Quando esta propriedade está habilitada, um controle de acesso mais refinado para usuários não autenticados é obtido por meio de entradas na tabela Entidades da lista de permissões/proibições de segurança [sys_security_restricted_list] e por meio da declaração de artigos públicos da base de conhecimento para essas imagens anexadas a artigos da base de conhecimento. Essas exceções à política padrão para usuários não autenticados quando esta propriedade é verdadeira são aplicadas na seguinte ordem. Observação Nessas exceções, "tabela primária" se refere à tabela do anexo de imagem original a partir da qual uma miniatura é gerada. 1. Se a tabela de uma imagem anexada ou tabela primária de uma imagem em miniatura estiver listada como Negar na tabela Entidades da lista de permissões/proibições de segurança [sys_security_restricted_list], o acesso à imagem/miniatura será negado. 2. Se a tabela de uma imagem anexada ou tabela primária de uma imagem em miniatura estiver listada como permitida na tabela Entidades da lista de permissões/proibições de segurança [sys_security_restricted_list], o acesso será concedido à imagem/miniatura. 3. Se a tabela de uma imagem anexada ou tabela primária de uma imagem em miniatura for incluída em um artigo público da base de conhecimento, o acesso à imagem/miniatura será concedido.

• Correção
  • (Antigo)

    Certifique-se de que a propriedade "glide.image_provider.security_enabled" esteja definida como "verdadeiro".

  • (Novo)

    Certifique-se de que a propriedade "glide.image_provider.security_enabled" esteja definida como "verdadeiro". Se a propriedade não existir na tabela "sys_properties", o valor padrão será

    "falso".

• Risco à Segurança
  • (Antigo)

    A restrição deve ser aplicada a usuários não autenticados, pois alguns anexos podem conter informações confidenciais.

  • (Novo)

    Se a propriedade estiver definida como falsa, os anexos de imagem ficarão visíveis para qualquer pessoa autenticada ou não autenticada com uma URL para o anexo. Isso pode levar a vazamentos de informações confidenciais. Para evitar isso, defina a propriedade como verdadeira e certifique-se de que todas as exceções à política padrão quando a propriedade for verdadeira sejam configuradas corretamente.

• Impacto funcional
  • (Antigo)

    Nenhum impacto significativo na funcionalidade. A experiência do usuário pode ser afetada porque o usuário que anteriormente acessou diretamente .iix deve passar pela autenticação.

  • (Novo)

    Se a propriedade era anteriormente falsa e, em seguida, estiver definida como verdadeira, os usuários não autenticados não poderão mais acessar anexos de imagem, a menos que explicitamente permitido usando um dos procedimentos de exclusão.

• Nome da configuração técnica
  • (Antigo)

    glide.enable.blacklist_password

  • (Novo)

    glide.enable.blacklist_password, blacklist_password

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Use a propriedade glide.enable.blacklist_password para monitorar senhas da lista de negação. Quando a propriedade é definida como verdadeira, a senha do usuário é verificada em relação a uma lista específica de senhas negadas. Essa negação impede que os usuários usem uma senha de um conjunto de senhas violadas. Você pode manter a lista inserindo senhas na tabela Senha excluída [blacklisted_password]. A ServiceNow fornece uma lista de senhas pequena, média ou grande que pode ser inserida na tabela de senhas excluídas por meio da página de IU encontrada em Todos > Política de senha > Gestão de lista de exclusões. A ServiceNow instala a pequena lista de 5 000 senhas em novas instâncias.

• Correção
  • (Antigo)

    Certifique-se de que a propriedade "glide.enable.blacklist_password" esteja definida como "verdadeiro".

  • (Novo)

    Certifique-se de que a propriedade do sistema glide.enable.blacklist_password esteja definida como verdadeira e que a tabela Senha excluída [blacklisted_password] contenha um mínimo de 5 000 registros.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Os invasores geralmente visam senhas usadas com frequência ou expostas anteriormente. Isso pode levar ao comprometimento da conta por meio de preenchimento de credenciais ou ataques de força bruta. A imposição de verificações de senhas listadas em negação fortalece a segurança da autenticação e reduz a exposição a ataques baseados em credenciais.

• Impacto funcional
  • (Antigo) <blank>
  • (Novo)

    Alguns usuários podem ter dificuldade para selecionar uma senha.

• Tipo de dados
  • (Antigo) <blank>
  • (Novo)

    Booliano

• Valor pronto para uso
  • (Antigo) <blank>
  • (Novo)

    verdadeiro

Script de regra

(Novo) Script atualizado para melhorar a precisão da detecção.

• Descrição
  • (Antigo)

    Controle o comportamento dos dados da aplicação que residem em tabelas primárias fora da aplicação. Quando essas propriedades têm um valor de verdadeiro , Somente as ACLs específicas da aplicação são avaliadas quanto ao acesso aos dados da aplicação que residem nessas tabelas. Nem todas as aplicações foram projetadas para funcionar nesta configuração ou usam um registro de propriedade do sistema [sys_properties] para essa finalidade. Essas propriedades do sistema usam o formato de nomenclatura glide.enforce_security_scope. Por exemplo, use a propriedade glide.enforce_security_scope.sn_hr_sp para o escopo do Core da Central do funcionário (sn_hr_sp). Os escopos da aplicação a seguir contêm esta propriedade: sn_doc sn_egd_act sn_egd_core sn_egd_goals sn_em sn_gsm sn_gsm_info_req sn_gsm_lic_prmt sn_gsm_lic_prmt_ex sn

    sn_hr_core sn_hr_ef sn_hr_er sn_hr_gen_ai sn_hr_hc sn_hr_le sn_hr_le_ent sn_hr_mii_base sn_hr_na_galileu sn_hr_pad sn_hr_pj

  • (Novo)

    Controle o comportamento dos dados da aplicação que residem em tabelas primárias fora da aplicação. Quando essas propriedades têm um valor de verdadeiro , Somente as ACLs específicas da aplicação são avaliadas quanto ao acesso aos dados da aplicação que residem nessas tabelas. Nem todas as aplicações foram projetadas para funcionar nesta configuração ou usam um registro de propriedade do sistema [sys_properties] para essa finalidade.

    Essas propriedades do sistema usam o formato de nomenclatura glide.enforce_security_scope. Por exemplo, use a propriedade glide.enforce_security_scope.sn_hr_sp para o escopo do Core da Central do funcionário (sn_hr_sp). Os seguintes escopos da aplicação contêm esta propriedade: sn_doc sn_egd_act sn_egd_core sn_egd_goals sn_em sn_gsm_gsm_info_req sn_gsm_lic_prmt sn_gsm_lic_prmt sn_prmt_ex sn_sn_snn_hc_hr_sn_hr_sn_hr_sn_sn_hr_sn_hr_sn_sn_hr_sn_sn_sn_sp_hr_sn_hr_shr_sn_sn_sp_shr_shr_shr_shr_sp_shr_sn_sp_sp_shr_mt_gs_gs_gs_sn_shr_sn_sn_galileu_sn_galileu

    sn_lg_contracts sn_lg_matter sn_lg_ops sn_opp_market sn_professional sn_svc_appl_info sn_svc_appl_pgm_mg sn_talent_aia sn_uni_task sn_egd_lh sn_ecn_ni_core sn_hr_aia

• Correção
  • (Antigo)

    Para cada aplicação instalada com a propriedade glide.enforce_security_scope na tabela Propriedades do sistema [sys_properties] (por exemplo, glide.enforce_security_scope.sn_hr_core), certifique-se de que o valor da propriedade esteja definido como verdadeiro. Essas propriedades só podem ser modificadas pelo administrador com escopo da aplicação específica. Se um registro sys_properties não existir para a aplicação fornecida e a respectiva propriedade, ele deverá ser criado. Use este script CAN para descobrir quais propriedades precisam ser atualizadas ou criadas na instância: Propriedades de var: [ 'Glide.enforce_security_scope.sn_uni_task', 'glide.enforce_security_scope.sn_uni_req', 'glide.enforce_security_scope.sn_sn_appl_info', 'glide.enforce_security_scope', 'sn_security_scope_sn_profission', 'glide.sn_security_sn_profission', "glide.enforce_security_scope.sn_lg_ops", "glide.enforce_security_scope.sn_lg_matter", "glide.enforce_security_scope.sn_lg_contracts", "glide.enforce_security_scope.sn_jny", "glide.enforce_security_scope.sn_imt_vaccine", 'glide.enforce_security_scope.sn_imt_tracing', 'glide.enforce_security_scope.sn_imt_health_test', 'glide.enforce_security_scope.sn_hr_va', "glide.enforce_security_scope.sn_hr_sp", 'glide.enforce_security_scope.sn_hr_pj', 'glide.enforce_security_scope.sn_hr_pad', 'glide.enforce_security_scope.sn_hr_mii_base', 'glide "glide.enforce_security_scope.sn_hr_hc", 'glide.enforce_security_scope.sn_hr_gen_ai', 'glide.enforce_security_scope.sn_hr_er', 'glide.enforce_security_scope.sn_hr_ef', 'glide.enforce_security_scope.sn_hr_core', "glide.enforce_security_scope.sn_hr_awa", "glide.enforce_security_scope.sn_hr_agent_ws", "glide.enforce_security_scope.sn_hc_professional", "glide.enforce_security_scope.sn_gsm_soc_bnfts", "glide.enforce_security_scope.sn_gsm_lic_prmt", 'glide.enforce_security_scope.sn_gsm_info_req', 'glide.enforce_security_scope.sn_gsm', 'glide.enforce_security_scope.sn_em', 'glide.enforce_security_scope.sn_goals', "glide.enforce_security_scope.sn_egd_core", "glide.enforce_security_scope.sn_egd_act", "glide.enforce_security_scope.sn_doc", "glide.enforce_security_scope.sn_talent_aia", "glide.enforce_security_scope.sn_na_galileu", "glide.enforce_security_scope.sn_svc_appl_pgm_mg", "glide.enforce_security_scope.sn_hr_ai_agents", "glide.enforce_security_scope.sn_hr_mii_base" ]; var 0 pm: New GlidePluginManager( 2); for (var i); property(); properperperperperperfy()

  • (Novo)

    Para cada aplicação instalada com a propriedade glide.enforce_security_scope na tabela Propriedades do sistema [sys_properties] (por exemplo, glide.enforce_security_scope.sn_hr_core), certifique-se de que o valor da propriedade esteja definido como verdadeiro. Essas propriedades só podem ser modificadas pelo administrador com escopo da aplicação específica. Se um registro sys_properties não existir para a aplicação fornecida e a respectiva propriedade, ele deverá ser criado. Use este script CAN para descobrir quais propriedades precisam ser atualizadas ou criadas na instância:

    "glide.enforce_security_scope.sn_uni_task",'glide.enforce_security_scope.sn_uni_req', 'glide.enforce_security_scope.sn_svc_appl_info', 'glide.enforce_security_scope.sn_profission', 'glide.sfix_security_scope_sp_sfix', "glide.enforce_security_scope.sn_lg_matter", "glide.enforce_security_scope.sn_lg_contracts", "glide.enforce_security_scope.sn_jny", "glide.enforce_security_scope.sn_ja", "glide.enforce_security_scope.sn_imt_tracing", "glide.enforce_security_scope.sn_imt_health_test", "glide.enforce_security_scope.sn_hr_ws", "glide.enforce_security_scope.sn_hr_va", "glide.enforce_security_scope.sn_hr_pj", 'glide.enforce_security_scope.sn_hr_pad', 'glide.enforce_security_scope.sn_hr_mii_base', 'glide.enforce_security_scope.sn_hr_le', "glide.enforce_security_scope.sn_hr_hc", 'glide.enforce_security_scope.sn_hr_gen_ai', 'glide.enforce_security_scope.sn_hr_er', 'glide.enforce_security_scope.sn_hr_ef', 'glide.enforce_security_scope.sn_hr_core', "glide.enforce_security_scope.sn_hr_awa", "glide.enforce_security_scope.sn_hr_agent_ws", "glide.enforce_security_scope.sn_hc_professional", "glide.enforce_security_scope.sn_gsm_soc_bnfts", "glide.enforce_security_scope.sn_gsm_lic_prmt", 'glide.enforce_security_scope.sn_gsm_info_req', 'glide.enforce_security_scope.sn_gsm', 'glide.enforce_security_scope.sn_em', 'glide.enforce_security_scope.sn_goals', "glide.enforce_security_scope.sn_egd_core", "glide.enforce_security_scope.sn_egd_act", "glide.enforce_security_scope.sn_doc", "glide.enforce_security_scope.sn_talent_aia", "glide.enforce_security_scope.sn_na_galileu", "glide.enforce_security_scope.sn_svc_appl_pgm_mg", "glide.enforce_security_scope.sn_hr_ai_agents", "glide.enforce_security_scope.sn_egd_lh", "glide.enforce_security_scope.sn_ecn", "glide.enforce_security_scope.sn_hr_voice_aia", ];

    Var pm é um novo GlidePluginManager(); for (var i: 0; i: Propriedades[i]; var aplicação: Property.split('.')[2]; var propertyValue: Gs.getProperty(property, 'false'); if (pm.isActive(application) e properperperperperperperperperperperperty(')(

Script de regra

(Novo) Script atualizado para melhorar a precisão da detecção.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Use a propriedade do sistema glide.script_processor.admin para definir uma função necessária para acessar o módulo Scripts - Segundo plano. Se esta propriedade não estiver definida com o valor recomendado de background_script_admin ou outra função de alto privilégio, os usuários com funções com privilégios mais baixos poderão executar scripts em segundo plano na sua instância.

• Correção
  • (Antigo)

    Certifique-se de que a propriedade "glide.script_processor.admin" esteja definida como "admin". Este é o valor padrão nas instâncias.

  • (Novo)

    Certifique-se de que a propriedade glide.script_processor.admin esteja definida como background_script_admin. Este também é o valor padrão.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Os scripts em segundo plano permitem um desvio completo do sistema ACL, permitindo acesso total às tabelas.

• Impacto funcional
  • (Antigo) <blank>
  • (Novo)

    Os usuários sem a função especificada na propriedade não podem acessar o módulo Scripts - Segundo plano, conforme pretendido.

• Tipo de dados
  • (Antigo) <blank>
  • (Novo)

    Cadeia de caracteres que contém uma função de usuário

• Valor pronto para uso
  • (Antigo) <blank>
  • (Novo)

    background_script_admin

• Valor de fallback
  • (Antigo)

    administrador

  • (Novo)

    background_script_admin

Script de regra

(Novo) Script atualizado para melhorar a precisão da detecção.

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Se a propriedade "com.glide.communications.httpclient.verify_revoked_certificate" não estiver configurada com o valor recomendado de verdadeiro, as verificações de revogação de certificado serão ignoradas durante o handshake de TLS.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Essa omissão prejudica um controle de segurança crítico, potencialmente permitindo que um invasor use um certificado revogado sem detecção. Como resultado, isso compromete a integridade da Infraestrutura de Chave Pública (PKI) e o modelo de confiança que sustenta as comunicações seguras da Web.

• Descrição Resumida
  • (Antigo)

    Definir endereços IP internos da ServiceNow permitidos

  • (Novo)

    Reduza o escopo da Lista de permissões de IP de uma instância

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Use a propriedade glide.ip.authenticate.strict para reduzir o escopo da lista de permissões de IP de uma instância e restringir os endereços IP que a equipe da ServiceNow pode usar para fazer conexões de entrada/saída com uma instância. Os intervalos de IP exatos removidos da lista de permissões de IP por esta propriedade podem ser ajustados ao longo do tempo como

    Mudanças de rede internas da ServiceNow. Quando definido como verdadeiro, glide.ip.authenticate.strict sempre garante uma lista de permissões de IP igual ou mais restritiva do que o padrão. Quando glide.ip.authenticate.strict é definido como verdadeiro: Uma lista estrita de intervalos de IP da ServiceNow substitui as listas de permissões de IP padrão para solicitações de entrada e saída. Esta lista de permissões de IPs, que começa com um conjunto predefinido mais restritivo de intervalos de IPs permitidos, é substituída pela propriedade glide.ip.authenticate.allow.secured.self_hosted_list se a instância for auto-hospedada. Quando glide.ip.authenticate.strict é definido como falso: A lista de permissões de IP padrão é usada, que contém um conjunto mais amplo de intervalos de IP da ServiceNow. A lista de permissões de IP padrão será substituída pelo conteúdo de glide.ip.authenticate.allow.self_hosted_list se a instância for auto-hospedada. Observação: Independentemente do valor de glide.ip.authenticate.strict ou se a instância for auto-hospedada, a lista de permissões incluirá endereços IP nas propriedades do sistema glide.custom.ip.authenticate.allow e glide.custom.ip.outbound.authenticate.allow, se definidas. Todas as propriedades da lista de IPs compartilham o mesmo formato, que é um intervalo separado por vírgulas de endereços IP no formato IPv4 ou IPv6. Os intervalos de IP são especificados usando um hífen (10,0.10,14-10,0.10,19), usando a notação CIDR (10,0.10,0/24) ou consistem em um único endereço IP (10,0.10,5). Em tempo de execução, você pode fazer adições à lista de permissões de IP adicionando entradas à tabela Controles de acesso de endereço IP [ip_access]. Esta tabela também pode ser usada para negar explicitamente o acesso a intervalos de IP a uma instância.

• Correção
  • (Antigo)

    Certifique-se de que a propriedade "glide.ip.authenticate.allow.secured" contenha somente valores confiáveis e que a propriedade "glide.ip.authenticate.strict" esteja definida como "verdadeiro".

  • (Novo)

    Certifique-se de que a propriedade glide.ip.authenticate.strict esteja definida como verdadeira. Se a propriedade não existir na tabela Propriedades do sistema [sys_properties], o valor padrão será falso.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    O acesso mais amplo aumenta o risco de acesso não autorizado ou desnecessário à instância por usuários internos não essenciais, como equipe de suporte ou vendas, e reduz o controle sobre o acesso privilegiado. A imposição de autenticação IP rígida limita a conectividade à infraestrutura essencial, fortalecendo a segurança e reduzindo a exposição a ameaças internas ou configurações incorretas.

• Impacto funcional
  • (Antigo) <blank>
  • (Novo)

    Isso não deve ter impacto funcional. Isso pode restringir o acesso não essencial da ServiceNow pessoal a uma instância. No entanto, esses são indivíduos que geralmente não exigem acesso a essas instâncias. Se o acesso for necessário, você poderá concedê-lo caso a caso usando a tabela Controles de acesso de endereço IP [ip_access].

• Tipo de dados
  • (Antigo) <blank>
  • (Novo)

    booliano

• Valor pronto para uso
  • (Antigo) <blank>
  • (Novo)

    falso

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Use a propriedade do sistema com.glide.security.referrerpolicy para controlar quais informações estão incluídas no cabeçalho HTTP do referenciador na Now Platform. Os dados incluídos no cabeçalho do solicitante, de acordo com a política desta propriedade, são a origem, o caminho e as cadeias de caracteres de consulta do URL do solicitante completo. Esses valores são os valores padronizados da Política de referência compatíveis com o protocolo HTTP com a adição de

    valor "padrão". Dependendo da política definida por esta propriedade, o cabeçalho do referenciador pode incluir informações confidenciais sobre ou da entidade que faz a solicitação.

• Correção
  • (Antigo)

    Certifique-se de que a propriedade do Glide “com.glide.security.referrerpolicy” esteja definida como “padrão”.

  • (Novo)

    Certifique-se de que a propriedade do sistema com.glide.security.referrerpolicy esteja definida como um dos seguintes: "Padrão", "same-origin", "origin-when-cross-origin" ou "strict-originwhen-cross-origin"

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Quando a propriedade do sistema com.glide.security.referrerpolicy é definida como no-referrer-when-downgrade ou unsafe-url, o cabeçalho do referenciador de uma solicitação para um site diferente da origem inclui o URL completo da página de referência que faz a solicitação. O URL de referência completo compartilhado com sites externos pode incluir informações confidenciais de ou sobre sua instância. Isso pode levar a vazamento de dados e violações de privacidade. Quando a propriedade é definida como não referenciador, origem ou origem estrita, o cabeçalho do referenciador não é incluído ou inclui apenas a parte de origem do URL do referenciador quando as solicitações são enviadas para a origem. Essa mudança pode impedir os esforços para rastrear caminhos de ataque nos logs quando ocorre um incidente de segurança, pois a origem exata de uma solicitação não pode ser determinada facilmente. A configuração adequada desta propriedade é essencial para ajudar a evitar a divulgação não autorizada de identificadores internos ou parâmetros confidenciais, permitindo investigações de incidentes de segurança.

• Impacto funcional
  • (Antigo) <blank>
  • (Novo)

    Quando a propriedade do sistema com.glide.security.referrerpolicy é definida como não referenciador, origem ou origem estrita, o cabeçalho do referenciador não é incluído ou inclui apenas a parte de origem do URL do referenciador quando as solicitações são enviadas para a origem. Esta mudança pode interromper a funcionalidade que requer estes dados. Alguns sites, como o YouTube, exigem que as solicitações de link incorporado incluam pelo menos a origem no cabeçalho do referenciador (por exemplo, a política "Origem-quando-origem-cruzada"). O valor apropriado desta propriedade depende do proprietário da instância e do caso de uso. Aqueles que recomendamos estão descritos aqui. Essas políticas são seguras e não quebram a funcionalidade básica do sistema. Mais informações sobre essas políticas e outras políticas padronizadas podem ser encontradas em https://developer.mozilla.org/en-US/docs/Web/HTTP/Reference/Headers/Referrer-Policy. Padrão: Funcionalmente igual a definir o valor como Mesma origem Mesma origem: Envia a origem, o caminho e a cadeia de caracteres de consulta para solicitações da mesma origem. Não envia o cabeçalho do solicitante para solicitações de origens cruzadas. Origem-quando-origem cruzada: Ao executar uma solicitação de mesma origem, envia a origem, o caminho e a cadeia de caracteres de consulta. Envia somente a origem de solicitações entre origens e solicitações para destinos menos seguros (de HTTPS para HTTP). Origem estrita-quando-cross-origin: Envia a origem, o caminho e a cadeia de caracteres de consulta ao executar uma solicitação de mesma origem. Para solicitações de origens cruzadas, envia a origem somente quando o nível de segurança do protocolo permanece o mesmo (de HTTPS para HTTPS). Não envia o cabeçalho do referenciador para destinos menos seguros (de HTTPS para HTTP).

• Tipo de dados
  • (Antigo) <blank>
  • (Novo)

    cadeia de caracteres

• Valor pronto para uso
  • (Antigo) <blank>
  • (Novo)

    padrão

Script de regra

(Novo) Script atualizado para melhorar a precisão da detecção.

• Descrição Resumida
  • (Antigo)

    Ativar lista de permissões de URL para comunicação com iframes entre origens

  • (Novo)

    Restringir domínios permitidos para comunicação de iframe entre origens

• Descrição
  • (Antigo) <blank>
  • (Novo)

    Use a propriedade glide.ui.concourse.onmessage_enforce_same_origin para impedir a comunicação entre origens de domínios não confiáveis. Se não estiver definido com o valor recomendado de verdadeiro, a validação não será realizada para mensagens de origem cruzada. Se definido como verdadeiro, os domínios listados na propriedade do sistema glide.ui.concourse.onmessage_enforce_same_origin_whitelist podem propagar mensagens na IU. Uso

    glide.ui.concourse.onmessage_enforce_same_origin_whitelist para controlar quais domínios são permitidos.

• Correção
  • (Antigo)

    Certifique-se de que a propriedade "glide.ui.concourse.onmessage_enforce_same_origin" esteja definida como "verdadeiro".

  • (Novo)

    Certifique-se de que a propriedade glide.ui.concourse.onmessage_enforce_same_origin exista na tabela Propriedades do sistema [sys_properties] e esteja definida como verdadeira.

• Risco à Segurança
  • (Antigo) <blank>
  • (Novo)

    Se os manipuladores de eventos de uma página da web não executarem a validação de origem adequada, outra página da web ou script de qualquer origem poderá se comunicar com ela. Essas páginas ou scripts também podem iniciar qualquer funcionalidade executada pelo manipulador de eventos. Esta propriedade permite que domínios externos potencialmente não confiáveis enviem mensagens para a instância da ServiceNow, aumentando o risco de ataques entre origens, como roubo de dados ou manipulação de IU.

• Impacto funcional
  • (Antigo) <blank>
  • (Novo)

    Se você não adicionar domínios pretendidos à lista de inclusão na propriedade do sistema glide.ui.concourse.onmessage_enforce_same_origin_whitelist, as mensagens de origem cruzada desse domínio não serão permitidas.

• Tipo de dados
  • (Antigo) <blank>
  • (Novo)

    Booliano

• Valor pronto para uso
  • (Antigo) <blank>
  • (Novo)

    verdadeiro

• Valor de fallback
  • (Antigo)

    verdadeiro

  • (Novo)

    falso

Script de regra

(Novo) Script atualizado para melhorar a precisão da detecção.

• Descrição Resumida
  • (Antigo)

    Definir comprimento mínimo da senha

  • (Novo)

    Tamanho mínimo e máximo da senha

• Descrição
  • (Antigo)

    Se as políticas de senha não estiverem habilitadas e impondo um comprimento mínimo de senha de pelo menos 12 caracteres, um usuário poderá criar uma senha com menos de 12 caracteres.

  • (Novo)

    As políticas de senha definem os requisitos para senhas que seus usuários criam na instância. O tamanho da senha deve estar dentro do intervalo aceito pelo documento NIST 800-63B.

• Correção
  • (Antigo)

    Para cada Armazenamento de credenciais de senha em uso na instância, certifique-se de que uma Política de senha esteja sendo imposta e que a Política de senha exija um comprimento mínimo de senha de pelo menos 12 caracteres. Para cada Armazenamento de credenciais de senha utilizado (a tabela pwd_cred_store), certifique-se de que "Habilitar política de senha" esteja marcado no registro. Em seguida, navegue até o registro Política de senha ( password_policy ) referenciado no campo "Política de senha" do registro do Armazenamento de credenciais de senha. Certifique-se de que o campo "Tamanho mínimo da senha" esteja definido como pelo menos 12. Mais instruções sobre como configurar uma política de senha podem ser encontradas na documentação: https://www.servicenow.com/docs/csh?topicname=enable-passwordpolicies.html&version=latest.

  • (Novo)

    1. Certifique-se de que uma política de senha esteja sendo imposta para cada armazenamento de credenciais de senha em uso em sua instância: a. Para cada registro de armazenamento de credenciais de senha na tabela Armazenamentos de credenciais de redefinição de senha [pwd_cred_store], certifique-se de que o campo Habilitar política de senha esteja ativado. 2. Certifique-se de que a política de senhas exija um comprimento mínimo de senha de pelo menos 15 caracteres e um comprimento máximo de senha de pelo menos 64 caracteres. a. Navegue até o registro Política de senha [password_policy] referenciado no campo Política de senha do registro. Certifique-se de que o campo Tamanho mínimo da senha esteja definido como pelo menos 15 e o campo Tamanho máximo da senha esteja definido como pelo menos 64. 3. Mais instruções sobre como configurar uma política de senha podem ser encontradas na documentação: https://www.servicenow.com/docs/csh?topicname=enable-passwordpolicies.html&version=latest.

• Risco à Segurança
  • (Antigo)

    Definir a propriedade como um valor menor que 12 pode levar a problemas de conformidade e aumentar o risco de um invasor forçar senhas brutalmente.

  • (Novo)

    Permitir senhas muito curtas ou não longas o suficiente pode levar a problemas de conformidade e aumentar o risco de um invasor forçar senhas brutalmente.

• Impacto funcional
  • (Antigo)

    Do ponto de vista técnico, a instância não sofrerá nenhum impacto com um tamanho mínimo de senha de 12.

  • (Novo)

    As instâncias não sofrem nenhum impacto de um comprimento mínimo de senha de 15 ou comprimento máximo de senha de 64.

• Tipo de dados
  • (Antigo)

    Inteiro

  • (Novo)

    Booliano e inteiro

• Valor pronto para uso
  • (Antigo)

    8

  • (Novo)

    - O tamanho mínimo da senha nos registros da Política de senha [password_policy] é 8 por padrão. O tamanho máximo da senha nos registros de Política de senha [password_policy] é 100 por padrão.

• Valor de fallback
  • (Antigo)

    8

  • (Novo)

    - O valor de fallback do Tamanho mínimo da senha nos registros da Política de senha [password_policy] é 8. O valor de fallback do Tamanho máximo da senha no registro de Política de senha [password_policy] é 100.

Script de regra

(Novo) Script atualizado para melhorar a precisão da detecção.