Sie befinden sich hier:
Formel in der Berichtssteuerung deaktivieren
Organisationsweite Einstellung, die Excel-Formeln von Berichtexporten befreit und Angriffe auf bösartige Formeln verhindert, wenn Benutzer sensible Daten als Tabellenblätter herunterladen.
Steuerelementname
Berichtsverwaltung: Formel im Bericht deaktivieren.
Steuerelementübersicht
Organisationsweite Einstellung, die Excel-Formeln von Berichtexporten befreit und Angriffe auf bösartige Formeln verhindert, wenn Benutzer sensible Daten als Tabellenblätter herunterladen.
Beschreibung
Wenn diese Option aktiviert ist, exportiert Salesforce Berichte nur als statische Werte (kein =FORMULATEXT(), keine VBA-Makros), wodurch Angreifer daran gehindert werden, ausführbaren Code in benutzerdefinierte Formelfelder einzubetten, die beim Öffnen in Excel/LibreOffice ausgeführt werden.
Empfohlene Konfiguration
Aktivieren Sie die Option "Formel in Bericht deaktivieren, um die Formelinjektion in der Berichtsausgabe zu vermeiden" – Setup in der Berichts-/Dashboard-Einstellung.
Sicherheitsauswirkung
Eliminiert den primären Vektor für die formelbasierte Malware-Verteilung durch legitime Geschäftsberichte. Erzwingt sichere statische Exporte, die nachgelagerte Empfänger vor der Ausführung automatischen Codes schützen.
Geschäftsauswirkungen
Behält die Berichtexportfunktion bei und beseitigt gleichzeitig die Sicherheitsrisiken für Excel-Makros. Keine Änderungen am Benutzer-Workflow erforderlich. Unterstützt Compliance-Anforderungen für die sichere Datenfreigabe.
Sicherheitsrisiko, wenn nicht konfiguriert
Benutzerberichte enthalten eine potenzielle Schwachstelle bei der Formelinjektion, wenn sie in Excel exportiert werden. Dadurch wird die Malware-Zustellung über vertrauenswürdige Geschäftsdokumente ermöglicht.
Bedrohungsszenarien
Erhöhtes Risiko von Angriffen auf Formelinjektionen und Offenlegung von Informationen. Kompromittierte Benutzer mit Berichtexportberechtigungen betten bösartige Formel-(=CMD('net user hacker password!/add') und -=HYPERLINK("javascript:malware()")) in Formelfelder ein, die ausgeführt werden, wenn Führungskräfte und Finanzteams exportierte CSVs in Excel öffnen.
Geschätzter CVSS-Bewertungsbereich
Kritisch (9.0–10.0).
Überlegungen zu Risikoauswirkungen
Jeder Berichtexport wird zu einem potenziellen Malware-Vektor. Auswirkungsskalen mit Benutzeranzahl und Berichtsverteilungshäufigkeit; legitime komplexe Formeln müssen als statische Zusammenfassungsfelder neu implementiert werden.
Höheres Risiko, wenn
Externe Benutzer exportieren Berichte, benutzerdefinierte Formelfelder enthalten dynamische Berechnungen, Berichte, die über E-Mail/Experience Cloud verteilt werden, oder Excel-lastige Finanz-/Vertriebsteams.
Geringes Risiko, wenn
Berichte nur auf der Salesforce-Benutzeroberfläche angezeigt, keine benutzerdefinierten Formelfelder, nur interne Benutzer, Voreinstellung für den PDF-Export eingerichtet.
Überlegungen zu Unternehmen und Integration
Kommunizieren Sie Änderungen an berichtsintensive Benutzer; überprüfen Sie vorhandene Formelfelder vor der Aktivierung; testen Sie wichtige Berichte in Sandbox-Exporten.
Anleitung zur Sicherheitsintegritätsprüfung
Muss es.
Wer ist betroffen?
Berichtsgeneratoren, die Formelfelder verwenden, Endbenutzer, die nach Excel exportieren, Sicherheitsteams, die Exportmuster überwachen, Compliance-Beauftragte, die Steuerelemente für die sichere Datenfreigabe überprüfen.
