Explorar configurações de alta segurança

  • Versão de lançamento: Yokohama
  • Atualizado 30 de jan. de 2025
  • 10 min. de leitura

    • As Configurações de alta segurança se referem a várias opções de segurança disponíveis em sua instância.

    O módulo Configurações de alta segurança é ativado com o plug-in High Security Settings, que está ativo por padrão em novas instâncias. Se as Configurações de alta segurança não estiverem ativas em sua instância, consulte Como solicitar a ativação das Configurações de alta segurança. Para saber mais sobre este plug-in, consulte Habilitar plug-in de alta segurança [Atualizado na Central de segurança 1.3] nas Configurações de proteção de segurança da instância. Propriedades para estes tipos de configurações de alta segurança estão disponíveis:

    • Valores de propriedade padrão: para fortalecer a segurança em sua plataforma, centralizando todas as configurações de segurança críticas em um local para gestão e auditoria.
    • Propriedade de negação padrão: fornece uma propriedade de gerenciador de segurança para controlar o comportamento de segurança padrão para acesso à tabela.
    • Função de administrador de segurança: fornece uma função para impedir a modificação das principais configurações e recursos de segurança. A função de administrador de segurança não é herdada pela função de administrador e deve ser atribuída explicitamente.
    • Privilégios elevados: permite que usuários com a função de administrador de segurança operem no contexto de um usuário normal e elevem para função de segurança superior quando necessário.
    • Controles de acesso à propriedade: permite que os administradores de segurança definam as funções necessárias para ler e gravar propriedades.
    • Logs do sistema: são somente leitura.
    • Regras de controle de acesso: controle quais dados os usuários podem acessar e como eles podem acessá-los.
    Nota:
    • As configurações de alta segurança também ativam automaticamente o plug-in de segurança contextual, se ainda não estiver ativo. Além disso, as configurações de segurança da plataforma - Alta fornecem configurações e recursos no contexto de aumentar a segurança da sua instância.
    • O conteúdo das Configurações de proteção da segurança da instância contém descrições detalhadas e valores de conformidade para as propriedades do sistema relacionadas à segurança e plug-ins em Now Platform.
    • Para saber mais sobre cada uma dessas propriedades, consulte Configurações de proteção.
    Existem duas maneiras de definir ou alterar as propriedades de Configurações de alta segurança.
    • Navegar até Segurança do sistema > Configurações de Alta Segurança.

      As opções na página Propriedades de alta segurança são Sim ou Não.

    • Navegue até sys_properties.list e pesquise a propriedade que você deseja definir ou mudar.

      As opções na tabela Propriedades do sistema [sys_properties.list] são verdadeiras ou falsas.

    Controle de acesso à propriedade

    Duas colunas adicionais são criadas na tabela Propriedades [sys_properties] quando as configurações de alta segurança estão ativas:

    • read_roles: uma lista separada por vírgulas de nomes de função que têm permissão para ler todos os campos desta propriedade.
    • write_roles: uma lista separada por vírgulas de nomes de função que têm permissão para gravar/modificar todos os campos dessa propriedade.

    As propriedades listadas na tabela Propriedades têm read_roles de administrador e write_roles de security_admin. Usuários com a função de administrador podem exibir e ler os valores da propriedade, mas devem ser elevados à função security_admin para modificá-los.

    Notificações

    A ativação de configurações de alta segurança também ativa mensagens de aviso de segurança. A seguir está um exemplo de uma mensagem que aparece após uma aprovação.

    Figura 1. Notificação de Aviso de Segurança
    Notificação de Aviso de Segurança

    Propriedades de Configurações de alta segurança

    Propriedade Descrição Valor Padrão Configurações de proteção de segurança da instância
    glide.ui.escape_text

    Valores XML de escape no nível do analisador para a interface do usuário. Impede ataques de script entre sites refletidos e armazenados. Esta propriedade não é aplicável no portal de serviços.

    Nota:
    Essa propriedade é definida como true por padrão em Vancouver e versões posteriores, e não pode ser alterada pelos administradores. Para um caso de uso em que a propriedade precise ser alterada, entre em contato com o suporte ao cliente.
    		 Sim Como fazer escapes de marcação XML [Atualizado na Central de segurança 1.3]
    glide.ui.escape_all_script

    Força todas as expressões no Jelly JavaScript <![CDATA[<script type="text/javascript"> ]]> marcadores a serem escapados por padrão. Impõe o escape somente se o atributo de tipo no <![CDATA[<script> ]]> está vazio ou se o valor for text/javascript, text/ecmascript, application/javascript, application/ecmascriptou application/x-javascript.

    		 Sim em novas instâncias Escapar script Jelly [Atualizado na Central de segurança 1.3 e 1.5]
    glide.ui.rotate_sessions

    Rotaciona os identificadores de sessão HTTP para reduzir vulnerabilidades de segurança. Consulte: http://www.owasp.org/index.php/Session_Management#Rotate_Session_Identifiers.

    		 Sim
    Nota:

    Se você estiver usando o plug-in SAML 2.0 para autenticação de Single Sign-on, defina esta propriedade como Não. Caso contrário, isso interferirá no compartilhamento de informações da sessão que ocorre entre a instância e o Provedor de Identidade.

    		 Rotação de identificadores de sessão HTTP
    glide.ui.secure_cookies

    Habilitar cookies de sessão segura: habilite a segurança de cookie adicional. Se sim, a validação estrita de cookie da sessão é imposta.

    		 Sim Como impor a segurança estrita de cookies de sessão [Atualizado na Central de segurança 1.3]
    glide.security.password_reset.uri

    Para Redefinição de senha móvel, o URL para o qual o usuário é levado quando clica no botão Esqueceu a senha?.

    		 Nenhum
    glide.security.strict.updates

    Verifica novamente a segurança em transações de entrada durante o envio do formulário (sempre são verificados os direitos na geração do formulário).

    Nota:
    Essa propriedade é definida como true por padrão em Vancouver e versões posteriores, e não pode ser alterada pelos administradores. Para um caso de uso em que a propriedade precise ser alterada, entre em contato com o suporte ao cliente.
    		 Sim Verificar novamente as transações de entrada [Atualizado na Central de segurança 1.3]
    glide.security.strict.actions

    Verifique as condições nas ações de IU antes da execução. Normalmente, as condições são verificadas somente durante a renderização do formulário.

    		 Sim Verifique as condições da ação de IU antes da execução
    glide.security.use_csrf_token

    Habilite o uso de um token seguro para identificar e validar solicitações de entrada. Este token é usado para impedir ataques de falsificação de solicitação entre sites.

    		 Sim Habilitar token anti-CSRF [Novo na Central de segurança 1.3, atualizado na 1.5 e removido na 2.0]
    glide.ui.escape_html_list_field

    Escapa o HTML para campos HTML em uma exibição de lista.

    		 Sim Escapar HTML em exibições de lista [Atualizado na Central de segurança 1.3 e 1.5]
    glide.html.escape_script

    Escapa marcadores JavaScript em campos HTML.

    		 Sim Escapar JavaScript [Atualizado na Central de segurança 1.3]
    glide.ui.forgetme

    Remove a caixa de seleção Lembrar-me da página de login.

    		 Sim Remover Lembrar-me
    glide.smtp.auth Autentique com o servidor SMTP pelas propriedades de nome de usuário e senha.
    Nota:
    Essa propriedade foi descontinuada.
    		 Sim
    glide.script.use.sandbox

    Execute scripts gerados pelo cliente (condições AJAXEvaluate e consulta) dentro de uma área restrita de direitos reduzidos. Se Sim, somente as regras de negócio e inclusões de script com a caixa de seleção Cliente chamável selecionada para Sim ficarão disponíveis e algumas chamadas de API de back-end serão desabilitadas. Para obter mais informações, consulte Configurar propriedade da área restrita de script.

    		 Sim Habilitar a área restrita de script [Atualizado na Central de segurança 1.3]
    glide.soap.strict_security

    Imponha segurança estrita nas solicitações SOAP de entrada. Exige que as solicitações SOAP de entrada passem pelo gerenciador de segurança para acessar tabelas e campos, bem como verifica usuários SOAP no que diz respeito às funções corretas para usar o serviço Web.

    		 Sim Como impor a segurança estrita de solicitações SOAP [Atualizado na Central de segurança 1.3]
    glide.basicauth.required.wsdl

    Exige autorização para solicitações WSDL de entrada.

    Nota:
    Caso opte por não exigir autorização para as solicitações WSDL de entrada, você deve modificar as regras de Controle de acesso (ACL) para permitir que os usuários convidados acessem o conteúdo WSDL.
    		 Sim Exigir autorização para solicitação de WSDL [Atualizado na Central de segurança 1.3 e 1.5]
    glide.basicauth.required.csv

    Exige autorização básica para solicitações de CSV de entrada

    .    		 Sim Exigir autorização para solicitações de CSV [Atualizado na Central de segurança 1.3]
    glide.basicauth.required.excel

    Exige autorização básica para solicitações de entrada do Excel.

    		 Sim Exigir autorização para solicitações do Excel [Atualizado na Central de segurança 1.3]
    glide.basicauth.required.importprocessor

    Exige autorização básica para solicitações de importação de entrada.

    		 Sim Exigir autorização para solicitações de importação [Atualizado na Central de segurança 1.3]
    glide.basicauth.required.pdf

    Exige autorização básica para solicitações de PDF de entrada.

    		 Sim Exigência de autorização para solicitações de pdf [Atualizado na Central de segurança 1.3]
    glide.basicauth.required.rss Exige autorização básica para solicitações RSS de entrada. Sim Exigir autorização para solicitações de RSS [Atualizado na Central de segurança 1.3]
    glide.basicauth.required.scriptedprocessor

    Exige autorização básica para solicitações de script de entrada.

    		 Sim Exigir autorização para solicitações de script [Atualizado na Central de segurança 1.3]
    glide.basicauth.required.soap

    Exija autorização básica para solicitações SOAP de entrada.

    		 Sim Exigir autorização para solicitações SOAP [Atualizado na Central de segurança 1.3, 1.5 e 2.0]
    glide.basicauth.required.unl

    Exige autorização básica para solicitações de descarregamento de entrada.

    		 Sim Exigir autorização para solicitações de descarregamento [Atualizado na Central de segurança 1.3]
    glide.basicauth.required.xml

    Exige autorização básica para solicitações XML recebidas.

    		 Sim Exigência de autorização para solicitações XML [Atualizado na Central de segurança 1.3]
    glide.basicauth.required.xsd

    Exige autorização básica para solicitações XSD recebidas.

    		 Sim Exigir autorização para solicitações de XSD [Atualizado na Central de segurança 1.3]
    glide.cms.catalog_uri_relative

    Aplica links relativos do parâmetro URI em "/ess/catalog.do". Em caso afirmativo, somente URLs relativos serão permitidos por meio da página /ess/catalog.do usando o parâmetro uri. Se não, todos os URLs são permitidos, o que pode permitir vinculação a conteúdo externo não autorizado.

    		 Sim Impor links relativos [Atualizado na Central de segurança 1.3 e 1.5]
    glide.set_x_frame_options

    Habilita essa propriedade para definir o cabeçalho de resposta X-Frame-Options como SAMEORIGIN para todas as páginas de IU. O cabeçalho de resposta HTTP X-Frame-Options pode ser usado para indicar se um navegador deve ter permissão para renderizar uma página em <frame> ou <iframe>. Os sites podem usar esta propriedade para evitar ataques de clickjacking, garantindo que seu conteúdo não seja incorporado em outros sites. https://developer.mozilla.org/en/the_x-frame-options_response_header

    		 Sim Implementação do cabeçalho de segurança x-frame-options: SAMEORIGIN [Atualizado na Central de segurança 1.3]
    glide.ui.attachment.download_mime_types

    Uma lista de tipos de mime de anexo separados por vírgula que não são renderizados em linha no navegador. Impede ataques de script entre sites. Por exemplo, text/html força os arquivos HTML a serem baixados para o cliente como anexos, em vez de exibidos em linha no navegador.

    		 texto/html, imagem/svg, imagem/svg + xml Restringir tipos MIME para download [Atualizado na Central de segurança 1.3 e 2.0]
    glide.security.groupby_acl_check

    Quando essa propriedade é habilitada, as verificações de ACL para as operações GroupBy são realizadas para os nomes do grupo com base nos dados reais dos grupos.

    		 Sim Nenhum
    glide.security.diag_txns_acl Se Sim, somente o usuário administrador ou os usuários com endereços IP permitidos poderão acessar stats.do, threads.do e replication.do. Não Como restringir o acesso ao monitoramento de desempenho [Atualizado na Central de segurança 1.3]
    glide.ui.security.codetag.allow_script

    Permite que o HTML incorporado (usando marcadores [code]) contenha marcadores JavaScript.

    Nota:
    Essa propriedade é definida como true por padrão em Vancouver e versões posteriores, e não pode ser alterada pelos administradores. Para um caso de uso em que a propriedade precise ser alterada, entre em contato com o suporte ao cliente.
    		 Não Como desabilitar o código HTML integrado [Atualizado na Central de segurança 1.3]
    glide.script.allow.ajaxevaluate

    Habilita o processador AJAXEvaluate. A chamada de API AJAXEvaluate permite que o cliente envie e execute scripts arbitrários no servidor.

    		 Não Desabilitar AJAXEvaluate
    glide.login.autocomplete

    Permite que navegadores usem o preenchimento automático em campos de senha de formulários de login.

    		 Não

    As propriedades a seguir são definidas na tabela sys_properties, mas não estão visíveis na página Configurações de alta segurança.

    Propriedade Descrição Valor padrão Configurações de proteção de segurança da instância
    com.glide.communications.httpclient.verify_hostname

    Verifique o nome do host e a cadeia de certificados apresentados pelos hosts SSL remotos. Protege contra ataques de intermediários (MITM).

    Para obter mais detalhes, consulte Configurar spoke do Kubernetes spoke.

    Nota:
    Esta propriedade substitui a propriedade "com.glide.communications.trustmanager_trust_all".
    		 verdadeiro Nenhum
    glide.basicauth.required.schema

    Requer autenticação básica para solicitações de esquema de tabela de entrada.

    		 verdadeiro Nenhum
    glide.security.csrf_previous.allow

    Permite o uso de um token expirado seguro para identificar e validar solicitações de entrada. Este token é usado para impedir ataques de falsificação de solicitação entre sites.

    		 falso Nenhum
    glide.security.csrf_previous.time_limit

    Tempo em segundos para um token seguro expirar. Permite controlar o período de tempo em que o token CSRF anterior é válido. Quando a sessão do usuário expira, o token de segurança expira com ela, a menos que a propriedade glide.security.csrf_previous.allow esteja habilitada e esteja dentro do intervalo de tempo descrito por esta propriedade. Esse token é usado para impedir ataques de falsificação de solicitação entre sites.

    		 86400
    Nota:
    Valor em segundos. Equivalente a 1 dia.
    		 Nenhum
    glide.security.csrf.strict.validation.mode

    Aplica a validação estrita em tokens CSRF para que os usuários não reenviem uma solicitação se o token CSRF não corresponder.

    		 falso Impedir que os usuários aceitem um aviso para ignorar a validação de CSRF [Atualizado na Central de segurança 1.3 e 1.5]
    com.glide.security.check_unsanitized_html Aplica o comportamento de sanitização de campos "translated_html" à nível global para atribuições de campo. impor Nenhum