breadcrumbDescription
Kontrol af adgang ved brug af rollehierarkiet
I rollehierarkiet har brugere adgang til registreringer, der ejes af eller deles med brugere i roller under dem. Roller i hierarkiet påvirker adgang til komponenter, f.eks. registreringer og rapporter.
Kontrolnavn
Kontrol af adgang ved brug af rollehierarkiet, grupper og delingsregler
Anbefalet konfiguration
Tildel adgang vha. hierarkier - Valgt på siden Delingsindstillinger:
Opsætning>Delingsindstillinger>Delingsstandarder for hele organisationen Rediger>Valgt objekt aktiverer "Tildel adgang vha. hierarkier".
Kontroller oversigt
I rollehierarkiet har brugere adgang til registreringer, der ejes af eller deles med brugere i roller under dem. Roller i hierarkiet påvirker adgang på komponenter, f.eks. registreringer og rapporter.
Sikkerhedsrisiko, hvis den ikke er konfigureret
Ikke at aktivere indstillingen "Tildel adgang vha. hierarkier" for tilpassede objekter forhindrer managers og overordnede i automatisk at overtage adgang til registreringer, der ejes af deres underordnede, hvilket fører til betydelige datasiloer og fragmenteret synlighed.
Dette mangel på automatiseret adgang tvinger administratorer til at være afhængige af komplekse, manuelle delingsregler for at vedligeholde overvågningen, hvilket øger risikoen for konfigurationsfejl og overprovisionering af tilladelserne "Vis alle" eller "Rediger alle" som en risikabel løsning for at gendanne den nødvendige synlighed.
Trusselscenarier
En manager forsøger at generere en vigtig overholdelsesrapport, men blokeres, fordi hierarkisk adgang er inaktiveret for et tilpasset objekt, hvilket beder en administrator om at tildele tilladelserne "Vis alle" som en hurtig løsning.
Denne overdrevne rettighed giver manageren – eller en trusselaktør, der kompromitterer deres konto – mulighed for at tilsidesætte al sikkerhed på rækkeniveau og få adgang til følsomme registreringer på tværs af hele firmaet, som de aldrig skulle se.
Estimeret CVSS-scoringsinterval
Kritisk (9,0-10,0).
Overvejelser i forbindelse med risikopåvirkning
Øgede risici afhængigt af firmastrukturen, antallet af brugere og roller og profiler i organisationerne.
Højere risiko når
Risikoen for at inaktivere hierarkisk adgang forværres yderligere af manglen på detaljeret tilladelsessætstyring, hvilket ofte får administratorer til at tildele brede "Vis alle"- eller "Rediger alle"-tilladelser til managers som en hurtig men usikker løsning på synligheden.
Desuden er manglen på en automatiseret delingsstrategi (f.eks. dynamiske delingsregler eller Apex) og manglen på periodisk adgangsgennemgang for at sikre, at manuelle "enkelt" delingstildelinger bliver ikke administrerbare, hvilket i sidste ende fører til væsentlig overtilladelse og dataovereksponering.
Lav eller ingen risiko når
For at minimere risikoen for datasiloer, når hierarkisk adgang er inaktiveret, kan firmaer implementere kriteriebaserede delingsregler eller manuel deling for eksplicit at tildele registreringssynlighed til specifikke managers eller offentlige grupper baseret på forretningsbehov.
Derudover sikrer brug af Apex Managed Sharing til komplekse scenarier eller brug af offentlige grupper og teams, at tilsynet opretholdes gennem detaljerede, dokumenterede undtagelser i stedet for at stole på omfattende og risikable "Vis alle"-administrative tilladelser.
Overvejelser i forbindelse med forretning og integration
Brugeradgang og tilladelse baseret på roller.
Anbefalet rettelse
Implementer periodisk adgangsgennemgang, og aktiver adgang ved brug af hierarkier.
Vejledning til sikkerhedstilstandsgennemgang
N/A – I øjeblikket ikke undersøgt af værktøjet Sikkerhedstilstandsgennemgang.
