您在此处:
管理连接的应用程序的会话策略:会话超时
此控制定义了应用程序会话在访问令牌过期之前可以保持空闲的最长时间,用户或系统需要重新验证或使用刷新令牌。
控件名称
连接的应用程序:管理连接的应用程序的会话策略:会话超时
推荐配置
超时值 - 选择“1 小时”。
控制概览
此控制定义了应用程序会话在访问令牌过期之前可以保持空闲的最长时间,用户或系统需要重新验证或使用刷新令牌。
安全风险(如果未配置)
长时间或无限期的超时值会在设备或服务器上保留活动会话,从而显著增加未授权用户劫持无人参与的工作站或受威胁的移动设备的机会窗口。
威胁场景
员工将平板电脑放在公共区域,或者会话通过基于浏览器的攻击被拦截,这使得对手能够继续访问敏感数据数小时或数天,因为会话从未超时。
估计的 CVSS 得分范围
关键 (9.0–10.0)。
风险影响注意事项
会话生命周期过长会延长未经授权的数据泄露,并使事件响应复杂化,因为被盗令牌在很长一段时间内仍然是环境的“实时”密钥。
高风险
禁用“在会话超时时强制注销”或在共享、公共或非受管设备上使用应用程序时,这些设备的物理安全性得不到保证。
低风险
该应用程序具有高保证 MFA 要求和 IP 限制的登录策略,可防止被劫持的会话移动到不同的网络。
业务和集成注意事项
设置 1 小时超时可能会导致更频繁的会话中断,从而影响用户体验,这需要开发人员确保应用程序可以无缝处理后台令牌刷新,而不会干扰用户。
建议的补救措施
转到连接的应用程序的 OAuth 策略,找到超时值下拉列表,并选择“1 小时”以强制执行更严格的会话终止。
安全健康审查指导
安全运行状况审查将 1 小时的会话超时识别为“最低权限持久性”的基准,以便经常重新验证访问权限,以保持高安全状况。
另请参阅:
本文章是否解决您的问题?
请与我们共享您的想法,以便我们进行改进!
