您位於此處:
針對連線的應用程式管理工作階段原則:工作階段逾時
此控制項定義在存取權杖到期前應用程式工作階段可以保持閒置的持續時間上限,且使用者或系統需要重新驗證或使用重新整理權杖。
控制名稱
連線的應用程式:針對連線的應用程式管理工作階段原則:工作階段逾時
建議組態
逾時值 - 選取「1hour」。
控制概觀
此控制項定義在存取權杖到期前應用程式工作階段可以保持閒置的持續時間上限,且使用者或系統需要重新驗證或使用重新整理權杖。
未設定安全性風險
長或無限逾時值會在裝置或伺服器上保留啟用的工作階段,進而大幅增加未經授權使用者劫持未受監視工作站或入侵行動裝置的機會時段。
威脅情況
員工在公用區域中離開其平板電腦,或透過瀏覽器式攻擊攔截工作階段,進而允許對手持續存取數小時或數天的敏感資料,因為工作階段從未逾時。
估計 CVSS 分數範圍
嚴重 (9.0–10.0)。
風險影響考量事項
過度的工作階段留存時間有助於延長未經授權的資料曝光並複雜事件回應,因為竊取的權杖在延長期間仍是環境的「即時」金鑰。
風險愈高時機
「強制登出工作階段逾時」已停用,或當應用程式用於未保證實體安全性的共用、公用或未受管理裝置時。
低度風險時機
此應用程式搭配高度保證 MFA 需求和 IP 限制登入原則,可防止劫持的工作階段移至不同的網路。
業務與整合考量事項
設定 1 小時逾時會造成更頻繁的工作階段中斷,進而影響使用者體驗,進而要求開發人員確保應用程式可以順暢處理背景權杖重新整理,而不會讓使用者感到困惑。
建議的補救措施
前往連線的應用程式的 OAuth 原則,找到「逾時值」下拉式清單,然後選取「1 小時」以強制執行更嚴格的工作階段終止。
安全性健康檢閱指南
「安全性健康審查」會將 1 小時工作階段逾時識別為「最低權限持續性」的基準,因此會經常重新驗證存取權以維持高度安全性狀態。
另請參照:
此文章是否解決您的問題?
請讓我們知道,以便我們改進!
