Configurações de proteção atualizadas para linha de base versão 5.0

Segurança da Plataforma Yokohama

Release

yokohama

ft:locale

pt-BR

ft:publication_title

Segurança da Plataforma Yokohama

ft:clusterId

psec

bundleId

psec

workflow

Platform

Configurações de proteção atualizadas para linha de base versão 5.0

Versão de lançamento: Yokohama

Atualizado 30 de jan. de 2025

16 min. de leitura

Algumas configurações de proteção foram atualizadas com a versão 5.0 da linha de base da Central de segurança.

A versão de linha de base 5 inclui várias atualizações nas descrições resumidas de estilo e consistência entre registros. Além disso, muitos scripts relacionados à propriedade foram atualizados para melhorar a precisão dos valores padrão nos casos em que a propriedade foi removida da tabela sys_property.


Documentação	Atualizações
Exigir autorização para solicitações SOAP [Atualizado na Central de segurança 1.3, 1.5 e 2.0]	Nova correção: certifique-se de que a propriedade do Glide glide.basicauth.required.soap exista e esteja definida com o valor verdadeiro. Como alternativa, configure a instância para segurança de WS definindo a propriedade glide.soap.require_ws_security como verdadeira e seguindo a documentação do produto para configurar os perfis de segurança de WS. Se a propriedade não aparecer na tabela sys_properties, adicione um novo registro. Correção antiga: certifique-se de que a propriedade glide.basicauth.required.soap esteja definida com o valor verdadeiro. Como alternativa, configure a instância da segurança WS definindo a propriedade glide.soap.require_ws_security como verdadeira e seguindo a documentação do produto para configurar os perfis de segurança WS.
Impor verificação de OCSP em caso de erro de rede [Novo na Central de segurança 1.3 e atualizado na 2.0]	Nova correção: certifique-se de que a propriedade com.glide.communications.httpclient.ocsp_allow_network_error exista e esteja definida como falsa. Se a propriedade não aparecer na tabela sys_properties, adicione um novo registro. Correção antiga: certifique-se de que a propriedade com.glide.communications.httpclient.ocsp_allow_network_error esteja definida como falsa.
Desabilitar URL de conteúdo externo [Atualizado na Central de segurança 2.0]	Nova correção: certifique-se de que a propriedade do Glide glide.ui.url.external.content exista e esteja definida com o valor falso. Se a propriedade não aparecer na tabela sys_properties, adicione um novo registro. Correção antiga: certifique-se de que a propriedade glide.ui.url.external.content esteja definida como falsa. Nova pontuação do CVSS: 7,2 Pontuação antiga do CVSS: 8,1 Script de regra: o script foi atualizado para melhorar a precisão da detecção.
Restringir entidades XML externas [Atualizado na Central de segurança 1.3 e 2.0]	Nova correção: certifique-se de que a propriedade do Glide glide.xml.entity.whitelist exista e esteja definida como "http://java.sun.com/j2ee/dtds/" e a propriedade do Glide glide.xml.entity.whitelist.enabled exista e esteja definida com o valor verdadeiro. Se as propriedades não forem exibidas na tabela sys_properties, adicione novos registros. Correção antiga: certifique-se de que a propriedade glide.xml.entity.whitelist esteja definida como "http://java.sun.com/j2ee/dtds/" e a propriedade glide.xml.entity.whitelist.enabled esteja definida como verdadeira.
Desabilitar relatórios publicados não autenticados [Atualizado na Central de segurança 2.0]	Nova correção: certifique-se de que a propriedade do Glide glide.report.published_reports.enabled exista e esteja definida com o valor falso. Se a propriedade não aparecer na tabela sys_properties, adicione um novo registro. Correção antiga: certifique-se de que a propriedade glide.report.published_reports.enabled esteja definida como falsa.
Habilitar verificações da política de redefinição de senha [Atualizado na Central de segurança 2.0]	Nova correção: certifique-se de que a propriedade do Glide glide.enable.password_policy exista e esteja definida com o valor verdadeiro. Se a propriedade não aparecer na tabela sys_properties, adicione um novo registro. Correção antiga: certifique-se de que a propriedade glide.enable.password_policy esteja definida como verdadeira.
Como minimizar o limite de expansão da entidade para GlideXMLUtil programável [Atualizado na Central de segurança 1.3, 1.5 e 2.0]	Nova correção: certifique-se de que a propriedade glide.xmlutil.max_entity_expansion esteja definida como 3000 ou menos. Se a instância estiver em Washington ou posterior, o valor implícito padrão será 3000 se o registro sys_properties não existir. Se a instância não estiver em Washington ou posterior, a recomendação é que o administrador da instância crie um registro sys_properties com o nome glide.xmlutil.max_entity_expansion e o valor 3000. Correção antiga: certifique-se de que a propriedade glide.xmlutil.max_entity_expansion esteja definida como 3000 ou menos.
Desabilitar conexões SSLv2/SSLv3 de saída [Atualizado na Central de segurança 1.3]	Nova correção: certifique-se de que a propriedade do Glide glide.outbound.sslv3.disabled exista e esteja definida com o valor verdadeiro. Se a propriedade não aparecer na tabela sys_properties, adicione um novo registro. Correção antiga: certifique-se de que a propriedade glide.outbound.sslv3.disabled esteja definida como verdadeira. Importante: O valor da propriedade glide.outbound.sslv3.disabled é uma substituição segura e não pode ser alterado depois de alterado.
Desativação do comportamento legado de limitação de escopo do GlideRecord [Novo na Central de segurança 1.3 e atualizado nas versões 1.5 e 2.0]	Nova descrição resumida: Desabilitar comportamento legado de limitação de escopo de GlideRecord Descrição resumida antiga: Habilitar comportamento legado de limitação de escopo do GlideRecord
Restringir tipos de MIME carregados [Atualizado na Central de segurança 1.3 e 2.0]	Nova correção: certifique-se de que a propriedade glide.security.file.mime_type.validation exista e esteja definida como verdadeira. Se a propriedade não aparecer na tabela sys_properties, adicione um novo registro. Correção antiga: certifique-se de que a propriedade glide.security.file.mime_type.validation esteja definida como verdadeira.
Habilitar a proteção de interpolação Jelly JS para expressões aninhadas [Atualizado na Central de segurança 2.0]	Nova correção: certifique-se de que a propriedade do Glide glide.ui.jelly.js_interpolation.protect_nested_expressions exista e esteja definida com o valor verdadeiro. Se a propriedade não aparecer na tabela sys_properties, adicione um novo registro. Correção antiga: certifique-se de que a propriedade glide.ui.jelly.js_interpolation.protect_nested_expressions esteja definida como verdadeira.
Habilitar SSL na autenticação LDAP [Atualizado na Central de segurança 1.5 e 2.0]	Script de regra: o script foi atualizado para melhorar a precisão da detecção.
Habilitar o CookieDoUsuário versão 3.1 [Atualizado na Central de segurança 2.0]	Nova descrição: o CookieDoUsuário v3 é gerado somente quando a propriedade glide.ui.secure.cookies.use_kmf is disabled. O CookieDoUsuário v3 não é seguro porque armazena a chave secreta do HMAC no código de origem e é idêntica para todos os clientes. Isso pode permitir que agentes mal-intencionados usem essa chave secreta para tentar sequestrar sessões do usuário. Ao definir a propriedade glide.ui.secure.cookies.use_kmf como verdadeira, o CookieDoUsuário v3.1 será usado e a chave secreta será armazenada no armazenamento de segurança, como KMF. Descrição antiga: o CookieDoUsuário v3 é gerado somente quando a propriedade glide.ui.secure.cookies.use_kmf está desabilitada. O CookieDoUsuário v3 não é seguro porque armazena a chave secreta do HMAC no código de origem e é idêntica para todos os clientes. Isso pode permitir que agentes mal-intencionados usem essa chave secreta para tentar sequestrar sessões do usuário. Nova correção: certifique-se de que a propriedade glide.ui.secure.cookies.use_kmf exista e esteja definida como verdadeira. Se a propriedade não aparecer na tabela sys_properties, adicione um novo registro. Correção antiga: certifique-se de que a propriedade glide.ui.secure.cookies.use_kmf esteja definida como verdadeira. O que significa que o CookieDoUsuário v3.1 será usado e a chave secreta será armazenada em armazenamento de segurança, como KMF.
Definir a vida útil de OTP para redefinição de senha como 12 horas ou menos [Atualizado na Central de segurança 2.0]	Script de regra: o script foi atualizado para melhorar a precisão da detecção.
Registrar representação de usuário [Atualizado na Central de segurança 1.3 e 2.0]	Nova correção: certifique-se de que a propriedade glide.sys.log_impersonation exista e esteja definida como verdadeira. Se a propriedade não aparecer na tabela sys_properties, adicione um novo registro. Correção antiga: certifique-se de que a propriedade glide.sys.log_impersonation esteja definida como verdadeira.
Fábricas de conexão jms necessárias [Novo na Central de segurança 1.3 e atualizado nas versões 1.5 e 2.0]	Script de regra: o script foi atualizado para melhorar a precisão da detecção.
Garantir que a criação/exclusão de painéis exijam verificação de acesso [Novo na Central de segurança 1.3 e atualizado na 2.0]	Nova correção: certifique-se de que a propriedade do Glide glide.processors.check_access_before_process exista e esteja definida com o valor verdadeiro. Se a propriedade não aparecer na tabela sys_properties, adicione um novo registro. Correção antiga: certifique-se de que o valor de glide.processors.check_access_before_process seja sempre verdadeiro.
Invalidação proativa de sessões inativas [Novo na Central de segurança 1.3 e atualizado nas versões 1.5 e 2.0]	Nova correção: certifique-se de que a propriedade do Glide glide.active.session.timeout.invalidate.session exista e esteja definida com o valor verdadeiro. Se a propriedade não aparecer na tabela sys_properties, adicione um novo registro. Correção antiga: defina a propriedade do Glide glide.active.session.timeout.invalidate.session como verdadeira.
Impor escopo de segurança para o Espaço do agente para Gestão de casos de RH [Novo na Central de segurança 1.5 e atualizado na 2.0]	Script de regra: o script foi atualizado para melhorar a precisão da detecção.
Impor playbook de licença e permissão do escopo de segurança [Novo na Central de segurança 1.5 e atualizado na 2.0]	Script de regra: o script foi atualizado para melhorar a precisão da detecção.
Restringir tipos MIME para download [Atualizado na Central de segurança 1.3 e 2.0]	Nova descrição: se a propriedade glide.ui.attachment.force_download_all_mime_types estiver definida como verdadeira, a propriedade glide.ui.attachment.download_mime_types será substituída para que todos os tipos MIME sejam baixados em vez de renderizados pelo navegador. Por exemplo, baixar texto/html força os arquivos HTML a serem baixados para o cliente como um arquivo, em vez de exibidos em linha no navegador, prevenindo um ataque XSS. O XSS pode levar à escalação de privilégios facilmente alcançada para funções superiores, como administrador, onde mais movimento lateral pode ser realizado. Descrição antiga: se a propriedade glide.ui.attachment.force_download_all_mime_types não estiver definida como verdadeira, a propriedade glide.ui.attachment.download_mime_types será substituída para que todos os tipos MIME sejam baixados em vez de renderizados pelo navegador. Por exemplo, baixar texto/html força os arquivos HTML a serem baixados para o cliente como um arquivo, em vez de exibidos em linha no navegador, prevenindo um ataque XSS. A capacidade de ter XSS pode levar à escalação de privilégios facilmente alcançada para funções superiores, como administrador, onde mais movimento lateral pode ser realizado. Nova correção: certifique-se de que a propriedade glide.ui.attachment.force_download_all_mime_types esteja definida como verdadeira. Se a propriedade não existir na tabela sys_properties, o valor padrão será falso. Correção antiga: certifique-se de que a propriedade glide.ui.attachment.force_download_all_mime_types esteja definida como verdadeira. Script de regra: o script foi atualizado para melhorar a precisão da detecção.
Definir tipos MIME para download restritos [Atualizado na Central de segurança 1.3, 1.5 e 2.0]	Script de regra: o script foi atualizado para melhorar a precisão da detecção.
Proibir download de arquivo infectado [Atualizado na Central de segurança 1.5 e 2.0]	Nova descrição: quando a propriedade com.glide.snap.infected_download_allowed é definida como verdadeira, os usuários ainda podem baixar anexos não verificados caso o serviço de antivírus esteja inativo ou inacessível. Isso significa que é possível que um usuário baixe um arquivo mal-intencionado e corra o risco de infectar a área de trabalho do usuário (caso não haja outra proteção de endpoint no dispositivo). Descrição antiga: se com.glide.snap.infected_download_allowed não estiver definido com o valor recomendado de falso, será possível baixar um arquivo mal-intencionado que não foi verificado, levando a um risco de infecção da área de trabalho do usuário. Nova correção: certifique-se de que a propriedade com.glide.snap.infected_download_allowed esteja definida como falsa. Correção antiga: certifique-se de que a propriedade com.glide.snap.infected_download_allowed esteja definida como falsa.
Restringir o acesso à API programável GlideSystemUserSession [Atualizado na Central de segurança 1.3 e 2.0]	Nova descrição: gs.addErrorMessageNoSanitizationMessaging() e gs.addInfoMessageNoSanitization() são usados no ambiente de script para registro em log e notificações. Ambos estarão disponíveis na área restrita se esta propriedade não estiver definida com o valor recomendado de falso. A área restrita é um ambiente de script com poucos privilégios disponível para usuários não autenticados e sem função. Esses dois métodos podem ser usados para exibir entradas não limpas para um usuário. Exibir entrada não limpa para o usuário é perigoso, pois a entrada não limpa pode conter código perigoso que é executado no navegador do usuário. Isso pode ser utilizado para ataques XSS refletidos tradicionais. Os ataques XSS refletidos podem ser usados em vários cenários, incluindo sequestro de sessão. Descrição antiga: o envio de mensagens na área restrita de script do glide é usado para fins de registro em log. Chamar esta função de erro não limpo expõe a plataforma a ataques XSS refletidos. Os ataques XSS podem facilitar a escalação de privilégios, roubando os cookies de sessão de alguém. Se glide.sandbox.usersession.allow_unsanitized_messages não estiver definido com o valor recomendado falso, as funções de mensagens de erro não sanitizadas addErrorMessageNoSanitization e addInfoMessageNoSanitization estarão disponíveis para script.
Habilitar regras de consulta de gestão de ordens de serviço para organizações de serviço [Novo na Central de segurança 1.5 e atualizado na 2.0]	Nova descrição: quando definido como verdadeiro, as regras/filtros da tabela sn_query_rule serão usadas para determinar o acesso de leitura às tabelas relacionadas à Gestão de serviços de campo (ordem de serviço e tarefa de ordem de serviço) para o usuário conectado por meio de regras de negócio de consulta e ACLs de leitura. Quando for definida como falsa, os registros não serão filtrados com base nas regras de consulta. As regras de negócio de consulta adicionam validações de segurança adicionais. Especificamente, esta propriedade filtrará registros de agentes, qualificadores e expedidores com base no território atribuído ou na associação de territórios. É prática recomendada seguir o princípio de privilégio mínimo ao ler registros. Quando esta propriedade não está definida como verdadeira, pode haver um risco maior de exposição de dados das tabelas da Gestão de serviços de campo. Descrição antiga: quando definido como verdadeiro, as regras/filtros da tabela sn_query_rule serão usadas para determinar o acesso de leitura às tabelas relacionadas à Gestão de serviços de campo (ordem de serviço e tarefa de ordem de serviço) para o usuário conectado por meio de regras de negócio de consulta e ACLs de leitura. Quando for definida como falsa, os registros não serão filtrados com base nas regras de consulta. As regras de negócio de consulta adicionam validações de segurança adicionais. Especificamente, esta propriedade filtrará registros de agentes, qualificadores e expedidores com base no território atribuído ou na associação de territórios. É prática recomendada seguir o princípio de privilégio mínimo ao ler registros.
Restringir domínios de e-mail para registro de usuário externo [Atualizado na Central de segurança 1.3, 1.5 e 2.0]	Nova descrição: a propriedade sn_ext_usr_reg.allowed_email_domains define quais endereços de e-mail têm permissão para se registrar automaticamente em uma instância da ServiceNow. O formato deve ser uma lista separada por vírgulas de domínios de e-mail aceitáveis, como domínio1.com, domínio2.com, em que e-mails como exemplo@domínio2.com serão aceitos. Se sn_ext_usr_reg.allowed_email_domains não estiver definido com uma lista de domínios aceitáveis, os usuários com qualquer endereço de e-mail terão permissão para registrar contas nas instâncias. Se não for definido, os agentes mal-intencionados poderão executar o registro usando endereços de e-mail de domínios indesejados para obter acesso autenticado à instância. Descrição antiga: a propriedade sn_ext_usr_reg.allowed_email_domains define quais endereços de e-mail têm permissão para se registrar automaticamente em uma instância da ServiceNow. Se sn_ext_usr_reg.allowed_email_domains não estiver definido com uma lista de domínios aceitáveis, os usuários com qualquer endereço de e-mail terão permissão para registrar contas nas instâncias. Se não for definido, os agentes mal-intencionados poderão executar o registro usando endereços de e-mail de domínios indesejados para obter acesso autenticado à instância.
Aplicar separação de domínio em campos de referência com pontos [Atualizado na Central de segurança 1.3, 1.5 e 2.0]	Nova descrição: esta propriedade controla se as consultas de junção recebem condições separadas por domínio ou não, para garantir que elas apliquem a funcionalidade de separação de domínio para campos de referência com pontos. Se glide.sys.domain.include_domain_condition_on_join não estiver definido com o valor recomendado de verdadeiro em uma instância usando separação de domínios, poderão ser divulgadas informações confidenciais que não devem ser compartilhadas com um domínio específico. Pode haver um impacto funcional moderado na instância se os componentes dependerem das consultas entre domínios inseguras. As instâncias devem ser testadas em ambientes de subprodução antes da habilitação. Descrição antiga: esta propriedade controla se as consultas de junção recebem condições separadas por domínio ou não, para garantir que elas apliquem a funcionalidade de separação de domínio para campos de referência com pontos. Se glide.sys.domain.include_domain_condition_on_join não estiver definido com o valor recomendado de verdadeiro em uma instância usando separação de domínios, poderão ser divulgadas informações confidenciais que não devem ser compartilhadas com um domínio específico.
Impor verificação da lista de permissões de URL [Atualizado na Central de segurança 1.3, 1.5 e 2.0]	Nova correção: certifique-se de que a propriedade glide.security.url.whitelist.strict_check esteja definida como verdadeira ou que a propriedade glide.security.url.whitelist esteja definida como um valor. Correção antiga: certifique-se de que a propriedade glide.security.url.whitelist.strict_check esteja definida como "verdadeiro" e a propriedade glide.security.url.whitelist esteja definida como um valor.
Definir usuário convidado para solicitações soap [Atualizado na Central de segurança 1.3 e 2.0]	Script de regra: o script foi atualizado para melhorar a precisão da detecção.
Restringir o acesso ao script em segundo plano [Atualizado na Central de segurança 1.3 e 2.0]	Nova descrição: esta propriedade contém a função necessária para acessar o módulo Script em segundo plano. Se glide.script_processor.admin não estiver definido com o valor recomendado e padrão de administrador, os usuários com uma função com privilégios inferiores poderão executar scripts em segundo plano na instância. Isso levará a um desvio completo do sistema de ACL, permitindo acesso total às tabelas. Descrição antiga: esta propriedade contém a função necessária para acessar o módulo Script em segundo plano. Se glide.script_processor.admin não estiver definido com o valor recomendado de admin, security_admin ou maint, os usuários com uma função de privilégios inferiores poderão executar scripts em segundo plano na instância. Isso levará a um desvio completo do sistema de ACL, permitindo acesso total às tabelas. Nova correção: certifique-se de que a propriedade glide.script_processor.admin esteja definida para o administrador. Este é o valor padrão em instâncias. Correção antiga: certifique-se de que a propriedade glide.script_processor.admin esteja definida com a função admin, security_admin ou maint.
Verificar a cadeia de certificados e o nome do host [Novo na Central de segurança 1.3 e atualizado na 2.0]	Nova descrição: quando a propriedade do Glide com.glide.communications.httpclient.verify_hostname não está definida com o valor seguro verdadeiro, o nome do host e a cadeia de certificados apresentados por hosts remotos durante uma conexão TLS iniciada na instância da ServiceNow não são validados. Isso pode comprometer a segurança da conexão TLS e permitir ataques de pessoa no meio, em que as comunicações entre duas partes são interceptadas. Isso pode levar à divulgação de dados confidenciais. Descrição antiga: se com.glide.communications.httpclient.verify_hostname não estiver definido como verdadeiro, isso poderá permitir ataques de pessoa no meio em que as comunicações entre duas partes são interceptadas. Definir essa propriedade com um valor inseguro desabilita o processo de verificação de certificados, o qual avalia todas as certificações na cadeia de certificados por meio da verificação do status de revogação. Defina esta propriedade como verdadeira para impedir que o cliente http se conecte a um nome de host potencialmente prejudicial.
Tempo de bloqueio de controle para tentativas de redefinição de senha inválidas [Atualizado na Central de segurança 1.3 e 2.0]	Nova descrição resumida: Control Lockout Time for Invalid Password Reset Attempts Descrição resumida antiga: Minimize Reset Password Request Max Attempts Window Duration Nova descrição: a propriedade password_reset.request.max_attempt_window define o número de minutos que um usuário deve esperar para redefinir ou mudar a senha depois de exceder o número máximo de tentativas malsucedidas definido com password_reset.request.max_attempt property. Um pequeno número de minutos para a propriedade password_reset.request.max_attempt_window aumenta o risco de forçamento bruto de uma senha, já que um número maior de tentativas de redefinição de senha pode ser feito. O padrão de 1440 minutos é recomendado. Descrição antiga: se password_reset.request.max_attempt_window não estiver definido com o valor recomendado de 1440 ou menos, será possível executar a conta de força bruta, já que a conta não será bloqueada após um número máximo de tentativas de autenticação incorretas. Nova correção: certifique-se de que a propriedade password_reset.request.max_attempt_window esteja definida como 1440 ou mais. Correção antiga: certifique-se de que a propriedade password_reset.request.max_attempt_window esteja definida como 1440 ou menos. Script de regra: o script foi atualizado para melhorar a precisão da detecção.
Desativação do comportamento legado de limitação de escopo do GlideRecord [Novo na Central de segurança 1.3 e atualizado nas versões 1.5 e 2.0]	Nova descrição resumida: Disable GlideRecord Scope Fencing Legacy Behavior Descrição resumida antiga: Enable GlideRecord Scope Fencing Legacy Behavior Nova correção: defina a propriedade do Glide glide.record.legacy_cross_scope_access_policy_in_script como falsa. Quando não está presente na tabela sys_properties, o valor padrão é verdadeiro. Correção antiga: defina a propriedade do Glide glide.record.legacy_cross_scope_access_policy_in_script como falsa.
Limitar tentativas de redefinição de senha inválidas [Atualizado na Central de segurança 1.3 e atualizado na 2.0]	Nova descrição resumida: Limit Invalid Password Reset Attempts Descrição resumida antiga: Minimize Reset Password Request Max Attempt Allowance