breadcrumbDescription
Login-adgang
Salesforce tillader Salesforce-administratorer at opsætte din organisation til at tillade Salesforce-supportbrugere, partnersupportbrugere eller abonnenter at logge på en Salesforce-organisation som en anden bruger.
Kontrolnavn
Politikker for loginadgang
Anbefalet konfiguration
Aktiver Godkendelse med flere faktorer for login som. Kræv administratorlogin for at advisere kunden: Opsætning>Loginadgangspolitikker>Inaktiver administratorer kan logge ind som enhver bruger. Forhindr brugere i at tildele adgang til et handlingsområde: Opsætning>Loginadgangspolitikker - Kun tilgængelige for administratorer.
Kontroller oversigt
Salesforce tillader Salesforce-administratorer at opsætte din organisation til at tillade Salesforce-supportbrugere, partnersupportbrugere eller abonnenter at logge på en Salesforce-organisation som en anden bruger. Streng kontrol af denne funktion for loginadgang hjælper med til at kontrollere uautoriseret handling, der udføres ved brug af loginadgangssessioner.
Sikkerhedsrisiko, hvis den ikke er konfigureret
Forkert opsætning af Salesforce-loginadgang fører til risikoen for tilladelsesomgåelse eller vinduet Indsendertrussel, hvor der kan fås adgang til følsomme data uden eksplicit brugersamtykke eller en gyldig forretningsjustering af support- eller partnersupportbrugere.
Trusselscenarier
En trusselaktør, der har kompromitteret en administratorkonto – udspiller sig i stilhed som en leder på højt niveau for at få adgang til følsomme økonomiske data eller fortrolige HR-registreringer uden lederens Knowledge. Da fortrolighedssessionen overtager målbrugerens fulde tilladelser og muligvis ikke kræver en genudfordring for MFA, kan angriberen udfiltrere de beskyttede oplysninger.
Estimeret CVSS-scoringsinterval
Høj (7,0-8,9).
Overvejelser i forbindelse med risikopåvirkning
Risikostyring afhænger af brugerpopulationens størrelse og adgangsrettigheder, der tildeles ved login.
Højere risiko når
Brugeridentitetsbekræftelse er ikke på plads (MFA eller andre), der er ingen begivenhedsovervågning på plads.
Lav eller ingen risiko når
Denne kontrol kan betragtes som lav risiko, når et eller flere af følgende implementeres:
- MFA-håndhævelse eller identitetsbekræftelse er i kraft: MFA håndhæves for Salesforce-brugere, eller når du logger ind, som det bruges
- IP-loginbegrænsning på netværkslaget: Begrænsning af IP-login for brugere med rettigheder til at redigere opsætningen
- Login-timeout: Log automatisk brugere ud af serviceudbyderen, når de logger ud af Salesforce eller logger ind som afsluttet.
Overvejelser i forbindelse med forretning og integration
Kunder bør evaluere deres forretningsproces vedrørende brugerloginadgang.
Anbefalet rettelse
Hvis du vil aktivere brugersamtykke for administratorlogin som bruger og begrænse handlingsområdeadgang til at tildele funktionalitet af bruger uden administratorbekræftelse.
Vejledning til sikkerhedstilstandsgennemgang
Sikkerhedstilstandscheck identificerer platformskonfigurationen, der er relateret til loginadgang. Som en del af basislinjesikkerheden evaluerer Sikkerhedstilstandscheck loginadgangskontroller, herunder advisering og samtykke, når der åbnes en brugerkonto, for at sikre, at funktionen er i overensstemmelse med de bedste fremgangsmåder for generel fortrolighed og overholdelse.
