您位於此處:
在報告中停用公式
將 Excel 公式從報告匯出中去除的組織範圍設定,可在使用者將敏感資料下載為試算表時防止惡意公式插入攻擊。
控制名稱
報告管理 - 停用報告中的公式。
控制概觀
將 Excel 公式從報告匯出中去除的組織範圍設定,可在使用者將敏感資料下載為試算表時防止惡意公式插入攻擊。
描述
啟用時,Salesforce 只會將報告匯出為靜態值 (無 =FORMULATEXT()、無 VBA 巨集),進而阻止攻擊者將可執行程式碼內嵌在在 Excel/LibreOffice 中開啟時執行的自訂公式欄位中。
建議組態
在「報告/顯示面板設定」中啟用「停用報告中的公式以避免在報告輸出中插入公式」 - 設定。
安全性影響
透過合法的業務報告去除公式型惡意軟體散佈的主要向量。強制執行安全靜態匯出,以保護下游收件者免於自動執行程式碼。
業務影響
維護報告匯出功能,同時消除 Excel 巨集安全性風險。不需要使用者工作流程變更。支援安全資料共用的合規性需求。
未設定安全性風險
使用者報告在匯出至 Excel 時包含潛在的公式插入漏洞,可透過信任的業務文件來啟用惡意軟體傳送。
威脅情況
增加公式插入式攻擊和資訊揭露攻擊的風險;具有報告匯出權限的入侵使用者會在管理員和財務小組在 Excel 中開啟匯出 CSV 時,在公式欄位中內嵌惡意公式 (=CMD('net user hacker password!/add')、執行的 =HYPERLINK("javascript:malware()"))。
估計 CVSS 分數範圍
嚴重 (9.0–10.0)。
風險影響考量事項
每個報告匯出都會變成潛在的惡意軟體向量;會影響使用者計數與報告散佈頻率的刻度;必須將合法的複雜公式重新實作為靜態摘要欄位。
風險愈高時機
外部使用者匯出報告、自訂公式欄位包含動態計算、透過電子郵件/Experience Cloud 散佈報告,或透過 Excel 繁重的財務/銷售小組。
低度風險時機
僅在 Salesforce UI 中檢視的報告、沒有自訂公式欄位、僅限內部使用者、已建立 PDF 匯出偏好設定。
業務與整合考量事項
向重量報告的使用者傳達變更;在啟用前稽核現有公式欄位;在 Sandbox 匯出中測試重要報告。
安全性健康檢閱指南
必須。
受影響的人員
使用公式欄位的報告產生器、匯出至 Excel 的一般使用者、監視匯出模式的安全性小組、驗證安全資料共用控制項的合規主管。
