新使用者歡迎電子郵件設定

控制名稱

新增使用者啟用

建議組態

• 新的使用者歡迎電子郵件設定到期設定為 1 天

設定>工作階段設定>新使用者歡迎電子郵件設定>連結在 1 天後到期。

控制概觀

歡迎電子郵件的 Salesforce「連結到期」設定是可定義新使用者啟用連結保持啟用時間範圍的安全性控制項。透過限制此視窗,管理員可確保在短時間後將未使用或遭到截斷的連結呈現為無效,進而將未經授權帳戶存取已過時認證的風險降到最低。

未設定安全性風險

若使用者啟用電子郵件的到期沒有嚴格限制,如果「歡迎」連結在電子郵件 Inbox 遭到入侵後遭到攔截或存取,則組織會面臨未經授權接管帳戶的增加風險。此擴充的機會視窗允許威脅執行動作使用者啟用帳戶並設定自己的認證,並略過預期的安全性視窗,並可能取得 Salesforce 環境的未偵測的存取權。

威脅情況

威脅執行動作使用者 Inbox 的存取權取得,並因為缺少嚴格的到期限制,發現前幾天或前幾週傳送的未到期啟用連結。他們成功使用連結來設定自己的認證並劫持帳戶,在實際使用者或您的安全小組發現發生問題之前,在您的 Salesforce 環境中取得合法的留言。

估計 CVSS 分數範圍

嚴重 (9.0–10.0)。

風險影響考量事項

根據使用者存取範圍而增加的風險。

風險愈高時機

長期啟用連結的風險會因初始登入缺乏多因素驗證 (MFA) 強制執行而大幅增加,這可讓攔截連結的攻擊者只使用單一因素來取得完整存取權。

此外,新使用者缺少「登入 IP 範圍」或受信任的網路限制,會建立更廣泛的攻擊面,因為沒有地理或以網路為基礎的阻礙,可防止遠端威脅執行動作使用未經授權的位置啟用連結。

低風險或無風險的時機

為了儘量減少長期啟用連結的風險,組織應為所有新使用者強制執行多因素驗證 (MFA),確保只有一個截斷的連結不足以在沒有第二個驗證因素的情況下取得存取權。

此外,在設定檔或組織層級實作「登入 IP 範圍」會將啟用程序限制為信任的公司網路,有效封鎖遠端威脅執行動作使用未經授權位置的竊取連結。

業務與整合考量事項

管理員應考量存取平台之公司內使用者的使用者數量和環境。

建議的補救措施

定義使用者啟用電子郵件的連結到期。

安全性健康檢閱指南

「安全健康檢閱」會確認「新使用者歡迎電子郵件到期」設定設定為 1 天。