Autorregistro

Nome do controle

Autorregistro

Configuração recomendada

Excluir/desabilitar o autorregistro para convidar novos visitantes para participar do site do Experience Cloud.

Configuração>Páginas do Visual Force>CommunitiesSelfReg - não deve ter perfil atribuído ou Página referenciada e Não disponível para o Lightning Experience, sites do Criador de experiências e aplicativo móvel (não marcado).

Visão geral de controle

Esse controle envolve desativar o recurso de autorregistro e seus componentes associados do Visualforce para garantir que novos membros do site só possam ser adicionados por meio de um processo de convite autorizado conduzido pelo administrador.

Risco de segurança, se não configurado

Quando o autorregistro é habilitado ou deixado ativo em segundo plano, qualquer pessoa (ou bot automatizado) na Internet pode criar uma conta de usuário válida em sua organização do Salesforce, ignorando seus procedimentos internos de verificação e verificação de identidade.

Cenários de ameaça

Um invasor usa um script para registrar em massa milhares de contas simuladas, que ele então usa para pesquisar vulnerabilidades no site interno, depurar diretórios de usuários ou iniciar um ataque de recusa de serviço (DoS) em sua contagem de licenças.

Intervalo de pontuação de CVSS estimado

Crítico (9.0 a 10.0).

Considerações sobre impacto de risco

A criação de conta não controlada leva ao esgotamento de licenças, à poluição de dados e a uma área de ataque expandida, pois cada novo "usuário" é um possível ponto de partida para explorar regras de compartilhamento no nível de objeto.

Risco maior quando

Se a página do Visualforce "CommunitiesSelfReg" ainda for atribuída a perfis, pois permanece uma "backdoor" funcional que pode ser acessada por meio de um URL direto mesmo que o botão "Registro" esteja oculto na interface do usuário.

Baixo risco quando

Se o site usar reCAPTCHA e um Manipulador de autorregistro (Apex) que exija a aprovação manual do administrador antes que qualquer conta recém-registrada seja ativada.

Considerações de negócios e integração

Desabilitar o autorregistro muda o fardo da integração do usuário à sua equipe interna ou a um sistema de convite automatizado conduzido por API, o que pode aumentar a sobrecarga administrativa, mas proporciona uma governança de segurança superior.

Remediação recomendada

Acesse Login e registro, desmarque "Permitir que clientes e parceiros façam autorregistro" e garanta que a página do Visualforce CommunitiesSelfReg não seja referenciada nem acessível a nenhum perfil.

Diretriz de revisão de saúde de segurança

A Análise de integridade de segurança identifica o acesso "somente convite" como a principal defesa contra a exploração automatizada do portal usando o autorregistro, exigindo que a janela "Autorregistro" seja aberta apenas se houver uma necessidade comercial verificada e uma estratégia robusta de detecção de bot em vigor.