Olet tässä:
Uuden käyttäjän tervetulosähköpostiasetusten hallinta
Tervetuloa-sähköpostien Salesforcen "Linkin vanheneminen" -asetus on suojausasetus, joka määrittää ajanjakson, jonka aikana uuden käyttäjän aktivointilinkki pysyy aktiivisena.
Ohjaimen nimi
Uuden käyttäjän aktivointi
Suositeltu kokoonpano
- Uusien käyttäjien tervetulosähköpostiasetuksen vanhenemiseksi on määritetty 1 päivä
Määritykset>Istuntoasetukset>Uusi käyttäjän tervetulosähköpostiasetukset>Link vanhenee 1 päivän kuluttua.
Ohjauksen yleiskatsaus
Tervetuloa-sähköpostien Salesforcen "Linkin vanheneminen" -asetus on suojausasetus, joka määrittää ajanjakson, jonka aikana uuden käyttäjän aktivointilinkki pysyy aktiivisena. Rajoittamalla tätä ikkunaa pääkäyttäjät varmistavat, että käyttämättömät tai kaapatut linkit muuttuvat tarpeettomiksi lyhyen ajan kuluttua, mikä minimoi tilien valtuuttamattoman käytön riskin vanhentuneiden tunnusten kautta.
Tietoturvariski, jos ei määritetty
Jos käyttäjien aktivointisähköpostien vanhenemiselle ei ole tiukkaa rajoitusta, organisaatiolla on suurempi riski tilien valtuuttamattomalle kaappaukselle, jos tervetulolinkki havaitaan tai sitä käytetään vaarantuneessa sähköpostin Inboxissa pitkään sen lähettämisen jälkeen. Tämä laajennettu mahdollisuuksien ikkuna sallii uhkien toimijoiden aktivoida tilin ja määrittää omat tunnuksensa, ohittaen tarkoitetun suojausikkunan ja mahdollisesti saamaan havaitsemattoman pääsyn Salesforce-ympäristöön.
Uhkien skenaariot
Uhkakumppani saa pääsyn käyttäjän Inboxiin ja löytää vanhentumattoman aktivointilinkin, joka lähetettiin päivinä tai viikkoina aiemmin, koska vanhentumisen rajoituksia ei ole tiukasti. He käyttävät linkkiä määrittääkseen omat tunnuksensa ja kaappaakseen tilin, jolloin he saavat oikeutetun tukensa Salesforce-ympäristössäsi ennen kuin todellinen käyttäjä — tai tietoturvatiimisi — huomaa ongelman.
Arvioitu CVSS-pistealue
Kriittinen (9.0–10.0).
Riskien vaikutuksissa huomioitavia asioita
Lisääntynyt riski, riippuen käyttäjän käyttöoikeusalueesta.
Korkeampi riski, kun
Pitkäaikaisten aktivointilinkkien riski lisääntyy merkittävästi, koska alustavien sisäänkirjautumisten monimenetelmäinen todennus (MFA) ei ole käytössä, mikä sallii linkin kaappaavan hyökkääjän saada täyden käyttöoikeuden vain yhdellä tekijällä.
Lisäksi uusien käyttäjien sisäänkirjautumisen IP-alueiden tai luotettujen verkkorajoitusten puuttuminen luo laajemman hyökkäysalueen, koska ei ole maantieteellisiä tai verkkoihin perustuvia esteitä, jotka estäisivät etäuhkien toimintaa käyttämästä aktivointilinkkiä valtuuttamattomasta sijainnista.
Matala riski tai ei riskiä, kun
Organisaatioiden tulisi noudattaa monimenetelmäistä todennusta (MFA) kaikille uusille käyttäjille varmistaakseen, että vain kaapattu linkki ei riitä käyttämään sitä ilman toista vahvistuskerrointa.
Lisäksi sisäänkirjautumisen IP-alueiden toteuttaminen profiili- tai organisaatiotasolla rajoittaa aktivointiprosessin luotettuihin yritysverkostoihin, mikä estää tehokkaasti etähyökkäysten tekijöitä käyttämästä varastettuja linkkejä valtuuttamattomista sijainneista.
Liiketoiminnassa ja integraatiossa huomioitavia asioita
Pääkäyttäjän tulisi ottaa huomioon alustaa käyttävien yhtiön käyttäjien määrä ja ympäristö.
Suositeltu korjaus
Määritä linkin vanhenemisaika käyttäjän aktivointisähköpostille.
Tietoturvan terveystarkastuksen ohjeet
Suojauksen terveystarkastus vahvistaa, että Uusi käyttäjän tervetulosähköposti vanhenee -asetukseksi on määritetty 1 päivä.
