U bent hier:
Toegang beheren met behulp van de rollenhiërarchie
In de rollenhiërarchie hebben gebruikers toegang tot records die eigendom zijn van of worden gedeeld met gebruikers in rollen onder hen. Rollen binnen de hiërarchie hebben invloed op de toegang tot componenten, zoals records en rapporten.
Controlenaam
Toegang bepalen met behulp van de rollenhiërarchie, groepen en regels voor delen
Aanbevolen configuratie
Toegang verlenen met behulp van hiërarchieën - Geselecteerd op de pagina Instellingen voor delen:
Set-up>Instellingen voor delen>Standaardinstellingen voor delen voor de hele organisatie Bewerken>Geselecteerd object schakelt "Toegang verlenen met behulp van hiërarchieën" in.
Overzicht van besturingselementen
In de rollenhiërarchie hebben gebruikers toegang tot records die eigendom zijn van of worden gedeeld met gebruikers in rollen onder hen. Rollen binnen de hiërarchie hebben invloed op de toegang tot componenten, zoals records en rapporten.
Beveiligingsrisico indien niet geconfigureerd
Het niet inschakelen van de instelling "Toegang verlenen met behulp van hiërarchieën" voor aangepaste objecten voorkomt dat managers en meerderen automatisch toegang overnemen tot records die eigendom zijn van hun ondergeschikten, wat leidt tot aanzienlijke gegevenssilo's en gefragmenteerde zichtbaarheid.
Dit gebrek aan geautomatiseerde toegang dwingt beheerders om te vertrouwen op complexe, handmatige regels voor delen om overzicht te houden, wat het risico vergroot op configuratiefouten en te veel machtigingen "Alles weergeven" of "Alles wijzigen" als een riskante oplossing om de noodzakelijke zichtbaarheid te herstellen.
Dreigingsscenario's
Een beheerder probeert een urgent nalevingsrapport te genereren, maar wordt geblokkeerd omdat hiërarchische toegang is uitgeschakeld voor een aangepast object, waardoor een beheerder wordt gevraagd om de machtiging "Alles weergeven" te verlenen als een snelle oplossing.
Met deze buitensporige machtiging kan de manager, of een bedreigingsactoren die hun account compromitteren, alle beveiliging op rijniveau omzeilen en toegang krijgen tot gevoelige records binnen het hele bedrijf die ze nooit hadden mogen zien.
Geschatte CVSS-scorebereik
Kritiek (9,0–10,0).
Overwegingen bij risico-impact
Verhoogde risico's afhankelijk van de bedrijfsstructuur, het aantal gebruikers en rollen en profielen in de organisaties.
Hoger risico wanneer
Het risico van het uitschakelen van hiërarchische toegang wordt verder verergerd door een gebrek aan fijnmazige governance van machtigingensets, waardoor beheerders vaak brede machtigingen "Alles weergeven" of "Alles wijzigen" aan managers verlenen als een snelle maar onzekere oplossing voor zichtbaarheid.
Verder ontbreken van een geautomatiseerde strategie voor delen (zoals dynamische regels voor delen of Apex delen) en het ontbreken van periodieke toegangscontrole om ervoor te zorgen dat handmatige "eenmalige" toewijzingen voor delen onbeheersbaar worden, wat uiteindelijk leidt tot aanzienlijke overmatige machtigingen en overmatige blootstelling van gegevens.
Laag of geen risico wanneer
Om het risico van gegevenssilo's te minimaliseren wanneer hiërarchische toegang is uitgeschakeld, kunnen bedrijven op criteria gebaseerde regels voor delen of handmatig delen implementeren om expliciet recordzichtbaarheid te verlenen aan specifieke managers of openbare groepen op basis van bedrijfsbehoeften.
Daarnaast zorgt het gebruik van Apex Managed Sharing voor complexe scenario's of het gebruik van Openbare groepen en teams ervoor dat het overzicht behouden blijft via gedetailleerde, gedocumenteerde uitzonderingen in plaats van te vertrouwen op brede en riskante beheermachtigingen "Alles weergeven".
Overwegingen bij bedrijf en integratie
Gebruikerstoegang en machtiging op basis van rollen.
Aanbevolen oplossing
Implementeer periodieke toegangsbeoordeling en schakel toegang in met behulp van hiërarchieën.
Begeleiding bij beoordeling van beveiligingstoestand
N.v.t. - Momenteel niet geïnspecteerd door de tool Beoordeling van beveiligingstoestand.
