Selvregistrering

Kontrolnavn

Selvregistrering

Anbefalet konfiguration

Slet/inaktiver selvregistrering for at invitere nye besøgende til at deltage på Experience Cloud-lokaliteten.

Opsætning>Visual Force-sider>FællesskaberSelfReg - skal ikke have profil tildelt eller side henvist til og ikke tilgængelig for Lightning Experience, Oplevelseskonstruktør-lokaliteter og mobilapp (ikke markeret).

Kontroller oversigt

Denne kontrol involverer deaktivering af selvregistreringsfunktionen og dens tilknyttede Visualforce for at sikre, at nye lokalitetsmedlemmer kun kan tilføjes gennem en autoriseret, administratorstyret invitationsproces.

Sikkerhedsrisiko, hvis den ikke er konfigureret

Når selvregistrering er aktiveret eller efterlades aktiv i baggrunden, kan enhver person (eller automatiseret bot) på internettet oprette en gyldig brugerkonto i din Salesforce-organisation og tilsidesætte dine interne gennemgang og identitetsbekræftelsesprocedurer.

Trusselscenarier

En angriber bruger et script til at masseregistrere tusindvis af dummy-konti, som vedkommende derefter bruger til at undersøge den interne lokalitet for sårbarheder, scrape brugermapper eller starte et DoS-angreb (denial-of-service) på dit licensantal.

Estimeret CVSS-scoringsinterval

Kritisk (9,0-10,0).

Overvejelser i forbindelse med risikopåvirkning

Ukontrolleret kontooprettelse fører til udtømning af licenser, dataforurening og en udvidet angrebsområde, da hver ny "bruger" er et potentielt udgangspunkt for udnyttelse af delingsregler på objektniveau.

Højere risiko når

Hvis siden "CommunitiesSelfReg" Visualforce stadig er tildelt til profiler, da det forbliver en funktionel "bagdør", der kan nås via en direkte URL, selvom knappen "Registrer" er skjult på brugergrænsefladen.

Lav risiko når

Hvis lokaliteten bruger reCAPTCHA og en selvregistreringshandler (Apex), der kræver manuel administratorgodkendelse, før en nyregistreret konto faktisk aktiveres.

Overvejelser i forbindelse med forretning og integration

Inaktivering af selvregistrering viderestiller byrden ved brugerintroduktion til dit interne team eller et automatiseret API-styret invitationssystem, hvilket kan øge det administrative overhead, men giver overlegen sikkerhedsstyring.

Anbefalet rettelse

Gå til Login og registrering, fjern markeringen af "Tillad kunder og partnere at registrere sig selv", og sørg for, at siden CommunitiesSelfReg Visualforce ikke refereres til eller er tilgængelig for nogen profiler.

Vejledning til sikkerhedstilstandsgennemgang

Sikkerhedstilstandsgennemgang identificerer "kun-invitations"-adgang som det primære forsvar mod automatiseret portaludnyttelse ved brug af selvregistrering, hvilket kræver, at vinduet "Selvregistrering" kun åbnes, hvis der er en bekræftet forretningsnødvendighed og en robust botregistreringsstrategi på plads.