您在此处:
OAuth 流启用:禁用客户端凭据流控制
此安全设置禁用 OAuth 2.0 授权类型,该类型允许应用程序仅使用自己的凭据进行身份验证和访问数据,而无需任何用户干预或存在。
控件名称
外部客户端应用程序:OAuth 流启用:禁用客户端凭据流
推荐配置
禁用客户端凭据流。
控制概览
此安全设置禁用 OAuth 2.0 授权类型,该类型允许应用程序仅使用自己的凭据进行身份验证和访问数据,而无需任何用户干预或存在。
安全风险(如果未配置)
启用此流后,一组客户端凭据的妥协会授予攻击者以高权限级别对整个组织数据的持久自主访问权限,完全绕过多重身份验证。
威胁场景
恶意行为者获取对存储在配置文件中的纯文本客户端密码的访问权限,并将其用于通过永不过期的后台进程以编程方式泄露敏感记录。
估计的 CVSS 得分范围
高 (7.0–8.9)。
风险影响注意事项
允许无人参与的机器到机器身份验证会增加长期数据泄露的可能性,因为即使个人用户密码被更改或帐户被停用,访问仍然处于活动状态。
高风险
如果关联的集成用户被授予管理权限或跨多个对象修改所有数据的能力。
低风险
如果公司对特定集成实施严格的 IP 地址筛选,并使用证书而不是共享密码进行身份验证握手。
业务和集成注意事项
禁用此流将立即中断任何不支持用户驱动的授权过程的自动后端集成、计划的数据同步或服务器端应用程序。
建议的补救措施
转到外部客户端应用程序的 OAuth 设置,并确保取消选中客户端凭据流的复选框。
安全健康审查指导
安全运行状况审查将消除静态、无人参与的凭据确定为防御深度策略中的强制步骤,并赞成提供卓越可见性和持续验证的交互式或基于证书的身份验证方法。
本文章是否解决您的问题?
请与我们共享您的想法,以便我们进行改进!
