自助注册控制

控件名称

自注册

推荐配置

删除/禁用自助注册，以邀请新访问者加入 Experience Cloud 站点。

设置>Visual Force 页面>CommunitiesSelfReg - 不应分配简档或引用页面，且不适用于 Lightning Experience、体验生成器站点和移动应用程序（未选中）。

控制概览

此控制包括取消激活自助注册功能及其相关 Visualforce 组件，以确保新站点成员只能通过授权、管理员领导的邀请流程添加。

安全风险（如果未配置）

当自助注册在后台启用或保持活动状态时，互联网上的任何人（或自动机器人）都可以绕过您的内部审查和身份验证程序在您的 Salesforce 组织中创建有效的用户帐户。

威胁场景

攻击者使用脚本批量注册数千个虚拟帐户，然后利用这些帐户来探测内部站点的漏洞、搜索用户目录或对许可证计数发起拒绝服务 (DoS) 攻击。

估计的 CVSS 得分范围

关键 (9.0–10.0)。

风险影响注意事项

不受控制的客户创建会导致许可证耗尽、数据污染和攻击面扩大，因为每个新“用户”都是利用对象级共享规则的潜在起点。

高风险

如果 "CommunitiesSelfReg" Visualforce 页面仍被分配给简档，因为它仍是一个功能"后门 " ， 即使 "Register" 按钮在 UI 上隐藏，也可以通过直接 URL 访问。

低风险

如果站点使用 reCAPTCHA 和自助注册处理器 (Apex)，在实际激活任何新注册的帐户之前需要手动管理员批准。

业务和集成注意事项

禁用自助注册会将用户加入的负担转移到内部团队或自动化 API 驱动的邀请系统，这可能会增加管理开销，但提供卓越的安全治理。

建议的补救措施

转到登录和注册，取消选中“允许客户和合作伙伴自助注册”，并确保任何简档均未引用或无法访问 CommunitiesSelfReg Visualforce 页面。

安全健康审查指导

安全运行状况审查将“仅邀请”访问确定为使用自助注册抵御自动化入口网站利用的主要防御手段，并强制规定“自助注册”窗口仅在存在可验证的业务必要性和强大的机器人检测策略时打开。