Du är här:
Styra åtkomst med rollhierarkin
I rollhierarkin har användare åtkomst till poster som ägs av eller delas med användare i roller under dem. Roller inom hierarkin påverkar åtkomst till komponenter, som poster och rapporter.
Kontrollnamn
Styr åtkomst med rollhierarki, grupper och delningsregler
Rekommenderad konfiguration
Bevilja åtkomst med hierarkier - Väljs på sidan Delningsinställningar:
Inställningar>Delningsinställningar>Organisationsomfattande delningsstandarder Redigera>Valt objekt aktiverar "Bevilja åtkomst med hierarkier".
Kontrollöversikt
I rollhierarkin har användare åtkomst till poster som ägs av eller delas med användare i roller under dem. Roller inom hierarkin påverkar åtkomst till komponenter, som poster och rapporter.
Säkerhetsrisk om den inte är konfigurerad
Att inte aktivera inställningen "Bevilja åtkomst med hierarkier" för egna objekt förhindrar chefer och överordnade från att automatiskt ärva åtkomst till poster som ägs av deras underordnade, vilket leder till betydande datasilos och fragmenterad synlighet.
Denna brist på automatiserad åtkomst tvingar administratörer att förlita sig på komplexa, manuella delningsregler för att upprätthålla tillsyn, vilket ökar risken för konfigurationsfel och överprovisionering av behörigheterna "Visa alla" eller "Ändra alla" som en riskabel lösning för att återställa nödvändig synlighet.
Hotscenarier
En chef försöker skapa en brådskande efterlevnadsrapport men blockeras eftersom hierarkisk åtkomst är inaktiverad för ett eget objekt, vilket uppmanar en administratör att bevilja behörigheten "Visa alla" som en snabb lösning.
Detta överdrivna privilegium låter chefen — eller en hotaktör som äventyrar sitt konto — kringgå all säkerhet på radnivå och komma åt känsliga poster i hela företaget som de aldrig var avsedda att se.
Uppskattat CVSS-betygintervall
Kritisk (9,0-10,0).
Att tänka på vad gäller riskpåverkan
Ökade risker beroende på företagsstruktur, antal användare och roller och profiler i organisationerna.
Högre risk när
Risken att inaktivera hierarkisk åtkomst förvärras ytterligare av bristen på detaljerad behörighetsuppsättningsstyrning, vilket ofta driver administratörer att bevilja breda behörigheter för "Visa alla" eller "Ändra alla" till chefer som en snabb men osäker lösning för att kringgå synligheten.
Dessutom saknas en automatiserad delningsstrategi (som dynamiska delningsregler eller Apex) och det saknas regelbunden åtkomstgranskning för att säkerställa att manuella engångsdelningstilldelningar blir ohanterliga, vilket så småningom leder till betydande överexponering av behörigheter och data.
Låg eller ingen risk när
För att minimera risken för datasilos när hierarkisk åtkomst är inaktiverad kan företag implementera kriteriebaserade delningsregler eller manuell delning för att uttryckligen bevilja postsynlighet för specifika chefer eller offentliga grupper baserat på verksamhetsbehov.
Att använda Apex hanterad delning för komplexa scenarion eller använda offentliga grupper och team säkerställer dessutom att tillsyn upprätthålls genom detaljerade, dokumenterade undantag istället för att förlita sig på breda och riskfyllda administrativa behörigheter "Visa alla".
Att tänka på vad gäller affärer och integration
Användaråtkomst och behörighet baserat på roller.
Rekommenderad åtgärd
Implementera periodisk åtkomstgranskning och aktivera åtkomst med hjälp av hierarkier.
Vägledning för granskning av säkerhetshälsa
Ej tillämpligt – Inspekteras för närvarande inte av granskningsverktyget för säkerhetshälsa.
