. glide.stax.whitelist_enabled A propriedade do sistema não existe na tabela Propriedades do sistema [sys_properties] ou não está definida com o valor recomendado de verdadeiro todas as entidades externas são permitidas quando glide.stax.allow_entity_resolution a propriedade do sistema é definida com o valor de verdadeiro . Se as personalizações não exigirem expansão de entidade, use glide.stax.allow_entity_resolution propriedade do sistema para desabilitar a expansão de entidade externa. O XML conclui a análise, mas não inclui entidades internas ou externas.

• Se você definir glide.stax.allow_entity_resolution . verdadeiro , todas as entidades externas tentam resolver ou expandir entidades de assunto, sujeitas à configuração de glide.stax.whitelist_enabled propriedade.
• Se você definir glide.stax.allow_entity_resolution . falso todas as resoluções e expansões da entidade estão bloqueadas. Para saber mais sobre esta propriedade, consulte Como desativar a expansão de entidade no Analisador de fluxo de XMLDocument2 [Atualizado na Central de segurança 1.5].

Quando glide.stax.whitelist_enabled está definido como verdadeiro Defina uma lista de FQDN delimitada por vírgulas no glide.xml.entity.whitelist , que são os únicos URLs que podem ser acessados usando a propriedade Processamento de entidade XML. Para saber mais, consulte . Os invasores podem usar essa vulnerabilidade para expandir dados exponencialmente em um ataque de Expansão de entidades externas (XXE), consumindo rapidamente todos os recursos do sistema.

Proteja-se contra ataques XXE usando uma lista de permissões para impedir que invasores incluam solicitações HTTP arbitrárias que o servidor possa executar. Isso pode levar a ataques adicionais usando o relacionamento de confiança do servidor com outras entidades.

Adicionar http://java.sun.com/j2ee/dtds/ para o valor de glide.xml.entity.whitelist propriedade do sistema e defina entidade.lista de permissões.glide.xml.habilitado propriedade do sistema para verdadeiro .

Valores diferentes de http://java.sun.com/j2ee/dtds/ pode ser incluído no em glide.xml.entity.whitelist , mas são desnecessárias para o estado da plataforma pronta para uso. Revise todos os valores adicionais para determinar se eles são seguros.

Certifique-se de que os MIME-types sejam validados para anexos para impedir que arquivos perigosos sejam carregados em sua instância usando extensões de arquivo incorretas.

Defina glide.attachment.enforce_security_validation propriedade do sistema para verdadeiro . Quando definido como verdadeiro os arquivos são carregados com a extensão de tipo de arquivo correta.

Validar carregamentos de arquivos pelo menos com validação de tipo MIME é uma prática recomendada de segurança.

Descrição (Novo) Impede a exposição desnecessária do acesso à instância a um grupo mais amplo de pessoas que usam o. glide.ip.authenticate.strict e. glide.ip.authenticate.allow.secured propriedades do sistema.

. glide.ip.authenticate.strict a propriedade do sistema está definida como verdadeiro , interno ServiceNow A equipe e os sistemas só podem fazer conexões de entrada com sua instância a partir de intervalos de IP essenciais. Limites ServiceNow da visibilidade de para a infraestrutura interna essencial em sua instância e impede o acesso por mais amplo ServiceNow pessoal, como suporte e equipe de vendas por meio de redes corporativas. . glide.ip.authenticate.allow.secured concessões internas de propriedade do sistema ServiceNow conexões de entrada, incluindo acesso autenticado regular e páginas de diagnóstico não autenticadas.

Se não estiver definido como verdadeiro , em seguida, um mais amplo ServiceNow Intervalo de IPs interno definido em glide.ip.authenticate.allow a propriedade é usada para conceder esses internos ServiceNow conexões de entrada.

Certifique-se de glide.ip.authenticate.allow.secured a propriedade do sistema contém somente valores confiáveis e que a propriedade glide.ip.authenticate.strict está definido como verdadeiro .

Descrição (antiga): Se "glide.ip.authenticate.strict" estiver definido como "verdadeiro", os sistemas e a equipe interna da ServiceNow só poderão fazer conexões de entrada com a instância a partir de intervalos de IP essenciais. Isso limita a visibilidade da ServiceNow na instância para a infraestrutura interna essencial e impede o acesso por personelle mais amplo da ServiceNow, como equipe de suporte e vendas por meio de redes corporativas.

Quando definida como "verdadeiro", a propriedade "glide.ip.authenticate.allow" é usada para conceder conexões de entrada internas da ServiceNow. Se não estiver definido como "verdadeiro", um intervalo de IPs interno da ServiceNow mais amplo, conforme definido em "glide.ip.authenticate.allow", será usado para conceder conexões de entrada internas da ServiceNow.

Desabilite a expansão de entidade em sua instância para proteger sua instância contra ataques, como capacidade de ler arquivos do sistema e negação de serviço. Use a propriedade do sistema para proibir que entidades XML sejam expandidas durante a análise pelo analisador de fluxo (XMLDocument2).

Defina glide.stax.allow_entity_resolution propriedade do sistema para falso para desabilitar a expansão de entidade em sua instância. Se esta propriedade não aparecer na tabela Propriedades do sistema [sys_properties], o valor padrão será verdadeiro . Crie o registro de propriedade e defina o valor como falso para mudar seu valor.

Impedir que o gerenciador de segurança legado da sua instância permita o acesso a recursos quando não houver ACLs definidas para esse recurso ou se houver apenas ACLs curinga no nível de tabela (por exemplo, incidente.* ). Quando o acesso permitido por padrão, qualquer coisa que não tenha ACLs explícitas definidas é suscetível a manipulação.

Defina glide.sm.default_mode valor da propriedade do sistema para negar Proibir o acesso quando não há regras de ACL definidas ou há somente ACLs curinga no nível de tabela.

Proteja as imagens em sua instância para evitar o vazamento de informações confidenciais. As imagens em sua instância podem ser acessadas por meio de urls que terminam em .iix .

Defina glide.image_provider.security_enabled propriedade do sistema para verdadeiro Para impedir o acesso às suas imagens por meio desses URLs.

Desabilitar o suporte para exibir código HTML incorporado usando [código] marcador. Este marcador permite que HTML renderizado seja exibido em campos de diário e pode levar a ataques de script entre sites (XSS). Esses ataques podem permitir que scripts externos sejam executados em uma sessão do usuário no contexto do navegador conectado. Os invasores podem usar esses scripts para roubar informações da sessão e dados confidenciais. A linguagem HTML não foi projetada para separar o script da formatação, portanto, permitir HTML controlado pelo usuário em qualquer sistema tem risco inerente.

Definindo o. glide.ui.security.codetag.allow_script . falso está em conformidade e reduz significativamente esse risco, no entanto, alguns pequenos riscos permanecem. Desabilita somente a parte de script de um código E depende da limpeza de todas as convenções conhecidas de script no HTML.

Defina glide.ui.security.allow_codetag propriedade do sistema para falso Proibir completamente campos de registro e formulários de exibição de HTML renderizado.

Evite que fórmulas potencialmente mal-intencionadas em programas como o Excel sejam executadas após exportar e abrir o arquivo, escapando fórmulas nesses arquivos. A injeção do Excel ocorre quando os sites incorporam entradas não confiáveis em arquivos do Excel. Quando você usa um aplicativo de planilha, como o Microsoft Excel ou LibreOffice Call, para abrir um arquivo, todas as células que começam com Fórmulas mal-intencionadas representam um risco mesmo quando a planilha não contém informações confidenciais, pois podem ser usadas para comprometer o computador do visualizador por meio da execução de código.

Defina glide.export.escape_formulas propriedade do sistema para verdadeiro para fazer com que essas fórmulas evitem a execução.

Aumente a segurança em sua instância garantindo que somente URLs confiáveis para o serviço AngularJS HTTP possam permitir/rejeitar solicitações JSONP. As solicitações JSONP serão permitidas para qualquer URL se essas propriedades não estiverem configuradas e habilitadas.

Use o valor de angular.jsonp.inclusion_list.urls Propriedade do sistema para definir uma lista de URLs confiáveis e que permitem essa finalidade. Defina o valor de angular.jsonp.inclusion_list.enabled propriedade do sistema para verdadeiro Para limitar o JSONP permitido somente aos URLs listados em angular.jsonp.inclusion_list.urls .

Impedir ServiceNow Atendimento ao cliente e equipe de suporte para acessar as instâncias sem sua permissão expressa habilitando o plug-in SNC Access Control (com.snc.snc_access_control). Embora todo o acesso à sua instância seja auditado, você pode preferir controlar esse acesso. Este método de acesso é totalmente auditável e rastreado.

Habilite o plug-in SNC Access Control (com.snc.snc_access_control) para restringir o acesso à sua instância sem sua permissão expressa. Para obter mais detalhes sobre o recurso, consulte ServiceNow controle de acesso. Para obter informações de ativação, consulte Ativar ServiceNow controle de acesso

Ajude a proteger sua instância contra ataques de força bruta definindo um período de tempo durante o qual um usuário não pode tentar fazer login depois de ser bloqueado. . glide.user.unlock_timeout_in_mins a propriedade do sistema desbloqueia a conta do usuário após o período especificado em seu valor. Se nenhum valor for especificado, sua instância desbloqueará a conta do usuário após o período padrão de 15 minutos.

Defina glide.user.unlock_timeout_in_mins valor da propriedade do sistema para um mínimo de 15 . Se glide.user.unlock_timeout_in_mins não existe, o tempo de bloqueio padrão é definido como 15 minutos.

Certifique-se de que Verificação de bloqueio do usuário SNC com desbloqueio automático A ação de script (encontrada na tabela Ação de script [sysevent_script_action]) está presente e ativa. . Verificação de bloqueio do usuário SNC com desbloqueio automático A ação de script é instalada com o plug-in Configurações de alta segurança (com.glide.high_security).

Se o plug-in Multi SSO estiver habilitado em uma instância, reduza as vulnerabilidades de segurança confirmando que a versão v2 está habilitada. A versão mais recente aprimora a segurança e tem mais recursos, como suporte à criptografia de asserção e Logout único iniciado por IdP (SLO). Se a versão mais recente não estiver habilitada, os novos recursos de segurança não poderão ser usados e a instância corre o risco de usar um plug-in descontinuado.

Siga as etapas em KB0756504 para fazer upgrade para a versão mais recente. Este processo inclui verificar e migrar quaisquer mudanças relacionadas à personalização e, em seguida, atualizar a versão. Ao concluir, o. glide.authenticate.multissov2_feature.enabled a propriedade do sistema é definida automaticamente verdadeiro .

Impedir OutOfMemoryExceptions isso pode resultar de um corpo de resposta da solicitação ser muito grande usando glide.http.response.get_body.limit.enabled e. glide.http.response.get_body.limit propriedades do sistema. Essas exceções podem causar ataques de negação de serviço (DOS), bem como outros problemas que podem ajudar os invasores a comprometer uma instância. Não definir essas propriedades com os valores recomendados pode tornar sua instância vulnerável a OutOfMemoryExceptions e ataques de negação de serviço.