Erfahren Sie mehr über die Prüfungen, die in den standardmäßigen Auditor-Suites für Zugriffssteuerungen verfügbar sind, welche Kriterien sie auswerten und wie sie zur Verbesserung der Sicherheit Ihrer Instanz verwendet werden können.

Regeln für Zugriffssteuerungslisten (Access Control List Rules, ACLs) schränken den Zugriff auf Daten ein, indem sie von Anwendern die Erfüllung einer Reihe von Anforderungen verlangen, bevor sie mit der Interaktion beginnen können. Auditor-Prüfungen für Zugriffssteuerungen bewerten Ihre Instanz anhand der acht Kriterien, die in der folgenden Tabelle aufgeführt sind. Verwenden Sie die Ergebnisse dieser Prüfungen, um die Sicherheit Ihrer Instanz zu verbessern.

Tabelle : 1. Auditor-Prüfungen für Zugriffssteuerungen

Name überprüfen	Prüfkriterien	Beschreibung
Alle Prozessoren vom Typ „- SCRIPT“ müssen mit CSRF-Token geschützt werden.	Sucht nach Prozessoren vom Typ SCRIPT, die nicht mit einem CSRF-Token geschützt sind.	Alle Prozessoren mit dem Typ „SKRIPT“ sollten mit einem CSRF-Token (Cross-Site Request Forgery) geschützt werden. Für diese Prozessoren muss die CSRF-Option aktiviert sein, die die Ausführung des Prozessors verhindert, es sei denn, die Instanz verwendet ein CSRF-Token.
Anwenderkriterien „Kann beitragen“/„Kann nicht beitragen“ sind für jedes Wissen zu definieren.	Sucht nach Knowledge Base-Datensätzen, für die die Anwenderkriterien „Kann beitragen“ oder „Kann nicht beitragen“ nicht definiert sind.	Für jede Knowledge Base müssen die Anwenderkriterien „ Kann beitragen“ oder „Kann nicht beitragen“ definiert sein. Andernfalls kann jeder Anwender Inhalte zu einer Knowledge Base beitragen, für die keine Mitwirkkriterien definiert sind.
Leere ACLs	Sucht nach Zugriffssteuerungslisten-Datensätzen (ACL), die kein Sicherheitsattribut, keine Rolle oder die öffentliche Rolle aufweisen.	Wenn Sie ACLs leer lassen oder die öffentliche Rolle verwenden, erhalten Sie offenen Zugriff auf alle Inhalte, die von dieser ACL geschützt werden.
Zugriffssteuerungen für vom Client aufrufbare Skripteinbindungen	Prüft auf vom Client aufrufbare Skripteinbindungen, die nicht durch ACLs gesichert sind.	Alle vom Client aufrufbaren Skripteinbindungen sollten mit einer ACL gesichert werden, die die erforderlichen Rollen verwendet.
Zugriffssteuerungen für UI-Seiten	Sucht nach UI-Seiten, die nicht durch ACLs gesichert sind	Ohne eine ACL, die den Zugriff auf eine UI-Seite sichert, ist diese UI-Seite für alle angemeldeten internen Benutzer zugänglich. Ohne Einschränkungen können angemeldete Benutzer möglicherweise nicht autorisierte Änderungen vornehmen.
Zugriffssteuerungen für Tabellen	Sucht nach Tabellen ohne ACLs	Tabellen müssen mit ACLs gesichert werden. Der Zugriff auf in Tabellen gespeicherte Daten sollte auf Benutzer beschränkt werden, die ihn benötigen.
Der Anwenderaccount darf nicht sowohl interne als auch externe Rollen aufweisen	Sucht nach Anwenderdatensätzen mit zugewiesenen internen und externen Rollen	Interne Anwenderrollen sind für Anwender in Ihrem Unternehmen vorgesehen. Externe Anwenderrollen sind für externe Mitarbeiter wie Kunden und Partner vorgesehen.
Öffentlich zugängliche Knowledge Base und Artikel	Prüft auf öffentlich zugängliche Knowledge Bases und Knowledge Base-Artikel	Öffentlich zugängliche Knowledge Bases und Artikel sind für alle Benutzer in der Instanz sichtbar. Erhöhen Sie die Sicherheit, indem Sie Knowledge Bases und Artikel auf die Zielgruppe beschränken, die sie benötigt.