Sie befinden sich hier:
Steuerung der Willkommens-E-Mail-Einstellungen für neue Benutzer
Die Salesforce-Einstellung "Link-Ablauf" für Willkommens-E-Mails ist ein Sicherheitssteuerelement, das den Zeitraum definiert, in dem der Aktivierungslink eines neuen Benutzers aktiv bleibt.
Steuerelementname
Neue Benutzeraktivierung
Empfohlene Konfiguration
- Ablauf der Willkommens-E-Mail-Einstellung für neue Benutzer auf 1 Tag festgelegt
"Setup"> "Sitzungseinstellungen"> "Einstellungen für Willkommens-E-Mail für neue Benutzer"> "Link läuft in 1 Tag ab".
Steuerelementübersicht
Die Salesforce-Einstellung "Link-Ablauf" für Willkommens-E-Mails ist ein Sicherheitssteuerelement, das den Zeitraum definiert, in dem der Aktivierungslink eines neuen Benutzers aktiv bleibt. Durch die Einschränkung dieses Fensters stellen Administratoren sicher, dass nicht verwendete oder abgefangene Links nach kurzer Zeit unbrauchbar werden, wodurch das Risiko eines nicht autorisierten Accountzugriffs durch veraltete Anmeldeinformationen minimiert wird.
Sicherheitsrisiko, wenn nicht konfiguriert
Ohne eine strenge Obergrenze für den Ablauf von Benutzeraktivierungs-E-Mails besteht für die Organisation ein erhöhtes Risiko einer nicht autorisierten Accountübernahme, wenn ein Willkommenslink lange nach dem Senden in einer kompromittierten Inbox abgefangen oder aufgerufen wird. Dieses erweiterte Opportunity-Fenster ermöglicht es Bedrohungsakteuren, den Account zu aktivieren und ihre eigenen Anmeldeinformationen festzulegen, wodurch das vorgesehene Sicherheitsfenster umgangen und potenziell unentdeckter Eintritt in die Salesforce-Umgebung erlangt wird.
Bedrohungsszenarien
Ein Bedrohungsakteur erhält Zugriff auf die Inbox eines Benutzers und findet einen Aktivierungslink, der Tage oder Wochen zuvor gesendet wurde, da strenge Ablaufbeschränkungen fehlen. Sie verwenden den Link erfolgreich, um ihre eigenen Anmeldeinformationen festzulegen und den Account zu kapern, um in Ihrer Salesforce-Umgebung legitim Fuß zu fassen, bevor der tatsächliche Benutzer oder Ihr Sicherheitsteam ein Problem feststellt.
Geschätzter CVSS-Bewertungsbereich
Kritisch (9.0–10.0).
Überlegungen zu Risikoauswirkungen
Erhöhtes Risiko je nach Umfang des Benutzerzugriffs.
Höheres Risiko, wenn
Das Risiko langlebiger Aktivierungslinks wird durch das Fehlen der Multi-Faktor-Authentifizierung (MFA) für die Erstanmeldungen erheblich erhöht, wodurch ein Angreifer, der den Link abfängt, mit nur einem einzigen Faktor vollen Zugriff erhält.
Darüber hinaus führt das Fehlen von IP-Anmeldebereichen oder vertrauenswürdigen Netzwerkeinschränkungen für neue Benutzer zu einer breiteren Angriffsfläche, da keine geografischen oder netzwerkbasierten Barrieren vorhanden sind, die verhindern, dass ein Remote-Bedrohungsakteur den Aktivierungslink von einem nicht autorisierten Standort aus verwendet.
Geringes oder kein Risiko, wenn
Um das Risiko langlebiger Aktivierungslinks zu minimieren, sollten Organisationen die Multi-Faktor-Authentifizierung (MFA) für alle neuen Benutzer erzwingen und sicherstellen, dass ein abgefangener Link allein nicht ausreicht, um Zugriff ohne einen zweiten Überprüfungsfaktor zu erhalten.
Darüber hinaus schränkt die Implementierung von IP-Bereichen für Anmeldungen auf Profil- oder Organisationsebene den Aktivierungsprozess auf vertrauenswürdige Unternehmensnetzwerke ein, wodurch Remote-Bedrohungsakteure effektiv daran gehindert werden, gestohlene Links von nicht autorisierten Standorten zu verwenden.
Überlegungen zu Unternehmen und Integration
Der Administrator sollte die Anzahl der Benutzer und die Umgebung der Benutzer in ihrem Unternehmen berücksichtigen, die auf die Plattform zugreifen.
Empfohlene Sanierung
Definieren Sie den Linkablauf für E-Mails zur Benutzeraktivierung.
Anleitung zur Sicherheitsintegritätsprüfung
Die Sicherheitsintegritätsprüfung bestätigt, dass die Einstellung "Neuer Benutzer – Willkommens-E-Mail-Ablauf" auf 1 Tag festgelegt ist.
