Du er her:
Kontroller tilgang ved bruk av rollehierarkiet
I rollehierarkiet har brukere tilgang til poster som eies av eller deles med brukere i roller under seg. Roller i hierarkiet påvirker tilgang til komponenter, som poster og rapporter.
Navn på kontroll
Kontrollere tilgang ved bruk av rollehierarkiet, grupper og delingsregler
Anbefalt konfigurasjon
Gi tilgang ved bruk av hierarkier – valgt på siden Innstillinger for deling:
Oppsett>Innstillinger for deling>Organisasjonsomfattende standardinnstillinger for deling Rediger>Valgede objekter aktiverer Gi tilgang ved bruk av hierarkier.
Oversikt over kontroll
I rollehierarkiet har brukere tilgang til poster som eies av eller deles med brukere i roller under seg. Roller i hierarkiet påvirker tilgang til komponenter, som poster og rapporter.
Sikkerhetsrisiko hvis ikke konfigurert
Hvis du ikke aktiverer innstillingen Gi tilgang ved bruk av hierarkier for tilpassede objekter, hindrer det at ledere og overordnede automatisk arver tilgang til poster som eies av deres underordnede, noe som fører til betydelige datasiloser og fragmentert synlighet.
Dette fraværet av automatisk tilgang tvinger administratorer til å bruke komplekse, manuelle delingsregler for å opprettholde oversikt, noe som øker risikoen for konfigurasjonsfeil og over-klargjøring av Vise alle- eller Endre alle-tillatelser som en risikabel løsning for å gjenopprette nødvendig synlighet.
Trusselscenarier
En leder forsøker å generere en rapport om hasteavtale, men blokkeres fordi hierarkitilgang er deaktivert for et tilpasset objekt, noe som ber en administrator om å gi Vise alle-tillatelser som en rask løsning.
Denne overdrevne rettigheten gir lederen – eller en trusselaktør som kompromitterer kontoen sin – mulighet til å omgå all sikkerhet på radnivå og få tilgang til sensitive poster i hele firmaet som de aldri var ment å se.
Beregnet CVSS Score-område
Kritisk (9.0–10.0).
Viktige punkter om risikoinnvirkning
Økte risikoer avhengig av firmaets struktur, antall brukere og roller og profiler i organisasjonene.
Høyere risiko når
Risikoen for å deaktivere hierarkisk tilgang forsterkes ytterligere av mangel på detaljert tillatelsessettstyring, noe som ofte fører til at administratorer gir ledere brede tillatelser for å vise alle eller endre alle som en rask, men usikker løsning på synlighet.
I tillegg mangler en automatisert delingsstrategi (som dynamiske delingsregler eller Apex) og fraværet av periodisk tilgangsvurdering for å sikre at manuelle engangs-delingstildelinger blir ikke-administrerbare, noe som til slutt fører til betydelig overtillatelse og dataovereksponering.
Lav eller ingen risiko når
For å redusere risikoen for datasiloser når hierarkisk tilgang er deaktivert, kan firmaer implementere kriteriebaserte delingsregler eller manuell deling for å eksplisitt gi postsynlighet til bestemte ledere eller felles grupper basert på forretningsbehov.
I tillegg sikrer bruk av Apex deling for komplekse scenarier eller bruk av felles grupper og team at oversikt opprettholdes gjennom detaljerte, dokumenterte unntak i stedet for å bruke omfattende og risikable "Vis alle"-administrative tillatelser.
Viktige punkter om virksomheten og integrasjonen
Brukertilgang og tillatelse basert på roller.
Anbefalt rettelse
Implementer periodisk tilgangsvurdering og aktiver tilgang ved bruk av hierarkier.
Veiledning for vurdering av sikkerhetstilstand
Ikke relevant - For øyeblikket ikke inspisert av verktøyet Sikkerhetstilstandsvurdering.
