Sie befinden sich hier:
Verwalten von Sitzungsrichtlinien für eine verbundene Anwendung: Sitzungs-Timeout
Dieses Steuerelement definiert die maximale Dauer, die eine Anwendungssitzung inaktiv bleiben kann, bevor das Zugriffstoken abläuft und der Benutzer oder das System sich erneut authentifizieren oder ein Aktualisierungstoken verwenden muss.
Steuerelementname
Verbundene Anwendungen: Verwalten von Sitzungsrichtlinien für eine verbundene Anwendung: Sitzungs-Timeout
Empfohlene Konfiguration
Timeout-Wert: Wählen Sie "1 Stunde" aus.
Steuerelementübersicht
Dieses Steuerelement definiert die maximale Dauer, die eine Anwendungssitzung inaktiv bleiben kann, bevor das Zugriffstoken abläuft und der Benutzer oder das System sich erneut authentifizieren oder ein Aktualisierungstoken verwenden muss.
Sicherheitsrisiko, wenn nicht konfiguriert
Lange oder unbestimmte Zeitüberschreitungswerte verlassen aktive Sitzungen auf Geräten oder Servern, wodurch sich das Zeitfenster für einen nicht autorisierten Benutzer, einen unbeaufsichtigten Arbeitsplatz oder ein kompromittiertes Mobilgerät zu kapern, erheblich erhöht.
Bedrohungsszenarien
Ein Mitarbeiter verlässt sein Tablet in einem öffentlichen Bereich oder eine Sitzung wird über einen browserbasierten Angriff abgefangen, wodurch ein Gegner stunden- oder tagelang weiterhin auf sensible Daten zugreifen kann, da die Sitzung nie unterbrochen wurde.
Geschätzter CVSS-Bewertungsbereich
Kritisch (9.0–10.0).
Überlegungen zu Risikoauswirkungen
Übermäßige Sitzungslaufzeiten erleichtern eine längere Offenlegung nicht autorisierter Daten und erschweren die Reaktion auf Vorfälle, da ein gestohlenes Token für einen längeren Zeitraum ein "live"-Schlüssel für die Umgebung bleibt.
Höheres Risiko, wenn
"Abmeldung bei Sitzungs-Timeout erzwingen" ist deaktiviert oder wenn die Anwendung auf freigegebenen, öffentlichen oder nicht verwalteten Geräten verwendet wird, auf denen die physische Sicherheit nicht gewährleistet ist.
Geringes Risiko, wenn
Die Anwendung ist mit MFA-Anforderungen mit hoher Sicherung und IP-beschränkten Anmelderichtlinien gekoppelt, die verhindern, dass eine entführte Sitzung in ein anderes Netzwerk verschoben wird.
Überlegungen zu Unternehmen und Integration
Die Festlegung einer einstündigen Zeitüberschreitung kann sich auf die Benutzererfahrung auswirken, da sie häufiger zu Sitzungsunterbrechungen führt und Entwickler sicherstellen müssen, dass die Anwendung Hintergrundtokenaktualisierungen nahtlos verarbeiten kann, ohne den Benutzer zu belästigen.
Empfohlene Sanierung
Navigieren Sie zu den OAuth-Richtlinien der verbundenen Anwendung, suchen Sie nach dem Dropdown-Menü "Timeout-Wert" und wählen Sie "1 Stunde" aus, um eine strengere Sitzungsbeendigung zu erzwingen.
Anleitung zur Sicherheitsintegritätsprüfung
Bei der Sicherheitsintegritätsüberprüfung wird eine einstündige Sitzungs-Timeout als Grundlage für die "Beharrlichkeit der geringsten Berechtigungen" angegeben, sodass der Zugriff häufig erneut validiert wird, um einen hohen Sicherheitsstatus beizubehalten.
