Sie befinden sich hier:
OAuth-Flow-Aktivierung: Flow zum Deaktivieren von Client-Anmeldeinformationen
Durch diese Sicherheitseinstellung wird der OAuth 2.0-Gewährungstyp deaktiviert, mit dem eine Anwendung sich authentifizieren und nur mit ihren eigenen Anmeldeinformationen auf Daten zugreifen kann, ohne dass ein Benutzer eingreift oder anwesend ist.
Steuerelementname
Externe Client-Anwendungen: OAuth-Flow-Aktivierung: Flow zum Deaktivieren von Client-Anmeldeinformationen
Empfohlene Konfiguration
Flow für Client-Anmeldeinformationen deaktivieren.
Steuerelementübersicht
Durch diese Sicherheitseinstellung wird der OAuth 2.0-Gewährungstyp deaktiviert, mit dem eine Anwendung sich authentifizieren und nur mit ihren eigenen Anmeldeinformationen auf Daten zugreifen kann, ohne dass ein Benutzer eingreift oder anwesend ist.
Sicherheitsrisiko, wenn nicht konfiguriert
Wenn dieser Flow aktiviert ist, gewährt die Kompromittierung eines einzelnen Satzes von Client-Anmeldeinformationen einem Angreifer persistenten, autonomen Zugriff auf die Daten der gesamten Organisation auf einer hohen Berechtigungsebene, wodurch die Multi-Faktor-Authentifizierung vollständig umgangen wird.
Bedrohungsszenarien
Ein böswilliger Akteur erhält Zugriff auf ein in einer Konfigurationsdatei gespeichertes Nur-Text-Client-Geheimnis und verwendet es, um sensible Datensätze durch einen Hintergrundprozess, der nie abläuft, programmgesteuert zu exfiltrieren.
Geschätzter CVSS-Bewertungsbereich
Hoch (7,0–8,9).
Überlegungen zu Risikoauswirkungen
Durch das Zulassen der unbeaufsichtigten Maschine-zu-Maschine-Authentifizierung erhöht sich die Wahrscheinlichkeit langfristiger Datenschutzverletzungen, da der Zugriff aktiv bleibt, selbst wenn einzelne Benutzerkennwörter geändert oder Accounts deaktiviert werden.
Höheres Risiko, wenn
Wenn dem zugeordneten Integrationsbenutzer administrative Berechtigungen erteilt wurden oder alle Daten über mehrere Objekte hinweg geändert werden können.
Geringes Risiko, wenn
Wenn das Unternehmen eine strenge IP-Adressfilterung für die spezifische Integration erzwingt und Zertifikate anstelle freigegebener Geheimnisse für den Authentifizierungs-Handshake verwendet.
Überlegungen zu Unternehmen und Integration
Wenn Sie diesen Flow deaktivieren, werden alle automatisierten Backend-Integrationen, geplanten Datensynchronisierungen oder serverseitigen Anwendungen, die keinen benutzergesteuerten Autorisierungsprozess unterstützen, sofort unterbrochen.
Empfohlene Sanierung
Wechseln Sie zu den OAuth-Einstellungen der externen Client-Anwendung und stellen Sie sicher, dass das Kontrollkästchen für den Flow für Client-Anmeldeinformationen deaktiviert ist.
Anleitung zur Sicherheitsintegritätsprüfung
Die Sicherheitsintegritätsprüfung identifiziert die Beseitigung statischer, unbeaufsichtigter Anmeldeinformationen als obligatorischen Schritt in einer tiefgreifenden Verteidigungsstrategie und bevorzugt interaktive oder zertifikatsbasierte Authentifizierungsmethoden, die eine hervorragende Sichtbarkeit und kontinuierliche Überprüfung bieten.
