Standardmäßig mit leeren ACLs verweigern [Aktualisiert in Security Center 1.3]

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 1 Minute Lesedauer

    • Verwenden Sie die Eigenschaft glide.sm.default_mode, um das Standardverhalten des Sicherheitsmanagers zu steuern, wenn festgestellt wird, dass vorhandene ACL-Regeln Teil von ACL-Regeln der Platzhaltertabelle sind.

    Wenn das Plugin „Strenge Sicherheitseinstellungen“ (com.glide.high_security) während der Erstinstallation der Instanz aktiviert wird, erstellt es diese Eigenschaft, und es werden Platzhalter-ACL-Regeln aktiviert. Um rollenbasierten Zugriff auf Systemtabellen bereitzustellen, steuern diese Regeln eine erhebliche Anzahl von ACLs und die meisten gängigen datensatzbasierten Vorgänge:
    • Lesen
    • Schreiben
    • Erstellen
    • Löschen

    Wenn Sie das Plugin „Hohe Sicherheit“ mit aktivierter standardmäßiger Ablehnungsoption nicht verwenden, sind viele Tabellen nicht geschützt. Now Platform verwendet ein standardmäßiges Deny-Sicherheitsmodell, das verhindert, dass Benutzer ohne Administratorrechte auf Objekte zugreifen, wenn sie eine übereinstimmende ACL-Regel erfüllen. Mit diesem Modell werden viele Angriffsvektoren entfernt, z. B. unsichere Skripts.

    Warnung:
    Dies ist eine Safe-Harbor-Eigenschaft. Das bedeutet, dass der Wert nicht geändert werden kann, nachdem er geändert wurde. Er kann nicht rückgängig gemacht werden.

    Weitere Informationen

    Attribut Beschreibung
    Eigenschaftsname glide.sm.default_mode
    Konfigurationstyp Systemeigenschaften (/sys_properties_list.do)
    Kategorie Architektur, Design und Bedrohungsmodellierung
    Zweck Die beste Sicherheitsmethode besteht darin, den Zugriff auf die Tabellen durch einen nicht autorisierten Benutzer einzuschränken.
    • Wenn für Tabellen keine ACL-Regeln vorhanden sind, stellt diese Eigenschaft sicher, dass mindestens Platzhalter-ACLs für jeden CRUD-Vorgang validiert werden, der für die Tabelle/das Feld ausgeführt wird.
    • Diese Regeln schränken die Lese-, Schreib-, Erstellungs- und Löschvorgänge für alle Tabellen ein, es sei denn, der Benutzer verfügt über die Administratorrolle oder erfüllt die Anforderungen einer anderen Tabellen-ACL-Regel.
    Empfohlener Wert verweigern
    Funktionale Auswirkung (Hoch) Wenn Sie diese Eigenschaft auf Allowfestlegen, erlauben die ACL-Regeln der Platzhaltertabelle CRUD-Vorgänge für alle Tabellen, es sei denn, es sind bestimmte ACL-Regeln für Tabellen vorhanden, um solche Vorgänge einzuschränken.
    Hinweis:
    Dieses Plugin ist nicht für vorhandene Instanzen vorgesehen, da es den Sicherheitszugriff auf Tabellen ändern könnte, die bereits in einer Produktionsumgebung verwendet werden.
    Sicherheitsrisiko 8.8
    Referenzen Standardmäßige Verweigerungseigenschaft

    Weitere Informationen zum Hinzufügen oder Erstellen von Systemeigenschaften finden Sie unter Add a system property.