breadcrumbDescription
Indstillinger for velkomstmail for ny bruger
Salesforce-indstillingen "Linkudløb" for velkomstmails er en sikkerhedskontrol, der definerer den tidsramme, som en ny brugers aktiveringslink forbliver aktiv i.
Kontrolnavn
Aktivering af ny bruger
Anbefalet konfiguration
- Indstillingen Ny bruger velkomstmail udløber indstillet til 1 dag
Opsætning>Sessionsindstillinger>Indstillinger for ny brugervelkomstmail>Link udløber om 1 dag.
Kontroller oversigt
Salesforce-indstillingen "Linkudløb" for velkomstmails er en sikkerhedskontrol, der definerer den tidsramme, som en ny brugers aktiveringslink forbliver aktiv i. Ved at begrænse dette vindue sikrer administratorer, at ubrugte eller opfangede links bliver gjort ubrugelige efter en kort periode, hvilket minimerer risikoen for uautoriseret kontoadgang gennem forældede legitimationsoplysninger.
Sikkerhedsrisiko, hvis den ikke er konfigureret
Uden en streng grænse for udløbsdatoen for brugeraktiveringsmails, står organisationen over for en øget risiko for uautoriseret kontoovertagelse, hvis et "velkomst"-link opfanges eller åbnes i en kompromitteret mail Inbox længe efter det blev sendt. Dette udvidede vindue af salgsmulighed giver trusselaktører mulighed for at aktivere kontoen og angive deres egne legitimationsoplysninger, hvilket tilsidesætter det tilsigtede sikkerhedsvindue og potentielt får ikke-registreret adgang til Salesforce-miljøet.
Trusselscenarier
En trusselaktør får adgang til en brugers Inbox og finder et udløbet aktiveringslink sendt dage eller uger tidligere på grund af manglende strenge udløbsgrænser. De bruger linket til at angive deres egne legitimationsoplysninger og overtage kontoen, hvilket giver dem et legitimt fodfæste i dit Salesforce-miljø, før den faktiske bruger – eller dit sikkerhedsteam – nogensinde opdager, at der er et problem.
Estimeret CVSS-scoringsinterval
Kritisk (9,0-10,0).
Overvejelser i forbindelse med risikopåvirkning
Øget risiko afhængigt af brugeradgangsomfanget.
Højere risiko når
Risikoen for aktiveringslinks med lang levetid forværres væsentligt af manglende håndhævelse af Godkendelse med flere faktorer (MFA) for indledende logins, hvilket tillader en angriber, der opfanger linket, at få fuld adgang med blot en enkelt faktor.
Endvidere skaber fraværet af IP-loginområder eller sikrede netværksbegrænsninger for nye brugere en bredere angrebsområde, da der ikke er nogen geografiske eller netværksbaserede hindringer for at forhindre en fjerntrusselaktør i at bruge aktiveringslinket fra en uautoriseret placering.
Lav eller ingen risiko når
Hvis du vil minimere risikoen for aktiveringslinks med lang levetid, skal organisationer håndhæve Godkendelse med flere faktorer (MFA) for alle nye brugere, så de sikrer, at et optaget link alene er utilstrækkeligt til at få adgang uden en anden bekræftelsesfaktor.
Endvidere begrænser implementering af IP-loginområder på profil- eller organisationsniveau aktiveringsprocessen til sikrede virksomhedsnetværk og blokerer effektivt fjerntrusselaktører mod at bruge stjålne links fra uautoriserede placeringer.
Overvejelser i forbindelse med forretning og integration
Administratorer bør overveje antallet af brugere og miljøet for de brugere i deres firma, der får adgang til platformen.
Anbefalet rettelse
Definer linkudløb for brugeraktiveringsmail.
Vejledning til sikkerhedstilstandsgennemgang
Sikkerhedstilstandscheck bekræfter, at indstillingen Ny bruger velkomstmail udløber er indstillet til 1 dag.
