Politikker for sessionssikkerhedsniveau

Kontrolnavn

Sessionssikkerhedsniveau - Sessionssikkerhed med høj sikring

Anbefalet konfiguration

Aktiver Indstillinger for høj sikring gennem Opsætning>Identitetsbekræftelse for disse:

• Rapporter og dashboards – Kontrollerer adgang til rapporter og dashboards. Denne indstilling er også tilgængelig på siden Adgangspolitikker for rapporter og dashboards. Du kan ændre denne indstilling begge steder.
• Administrer krypteringsnøgler – Kontrollerer adgang til Platformskrypterings- og Certifikat- og nøglestyringssider samt TenantSecret-objektet.
• Administrer godkendelsesudbydere – Kontrollerer adgang til siden Godkendelsesudbydere, opsætningssiden Brugerdetaljer og AuthProvider-objektet.
• Administrer certifikater – Kontrollerer adgang til opsætningssiden Certifikat- og nøglestyring, Indstillinger for Single Sign-On og certifikatobjektet.
• Administrer tilsluttede apps – Kontrollerer adgang til opsætningssiderne Tilsluttede apps og til opsætningssiden Appstyring.
• Administrer dataeksport – Kontrollerer adgang til opsætningssiden Dataeksport.
• Administrer IP-adresser – Kontrollerer adgang til opsætningssiden Netværksadgang.
• Administrer politikker for loginadgang – Kontrollerer adgang til opsætningssiden Politikker for loginadgang.
• Administrer adgangskodepolitikker – Kontrollerer adgang til opsætningssiden Adgangskodepolitikker og profildetaljer.
• Administrer tilladelsessæt og profiler – Kontrollerer adgang til siden Tilladelsessæt og profiler og relaterede objekter.
• Administrer roller – Kontrollerer adgang til siden Rolleopsætning, UserRole-objektet og rolleobjektet i Metadata API.
• Administrer deling – Kontrollerer adgang til opsætningssiden Delingsindstillinger, SharingRules-objektet og feltet CustomObject’s sharingModel i Metadata API.
• Administrer godkendelse med flere faktorer i API – Kontrollerer adgang til objekterne VerificationHistory, TwoFactorInfo og TwoFactorTempCode.
• Administrer godkendelse med flere faktorer i brugergrænsefladen – Kontrollerer adgang til opsætningssiden Historik for identitetsbekræftelse og objekterne VerificationHistory, TwoFactorInfo og TwoFactorTempCode.
• Administrer brugere – Kontrollerer adgang til opsætningssiden Brugere.
• Lås brugere op, og nulstil adgangskoder – Kontrollerer tilladelse til at nulstille adgangskoder og låse brugere op på siden Brugeropsætning.
• Vis tilstandscheck – Kontrollerer adgang til opsætningssiden Tilstandscheck

Kontroller oversigt

Kontrolmålsætningen for Sessionssikkerhed med høj sikring er at håndhæve "Step-up-godkendelse" for handlinger med høj risiko, så du sikrer, at følsomme handlinger som dataeksport eller administrative ændringer kræver en sekundær flerfaktorudfordring, selv inden for en aktiv session. Denne detaljerede adgangskontrol forhindrer et enkelt vellykket login i at tildele ubetinget styrke og neutraliserer effektivt trusler fra sessionsovertagelse eller uautoriseret fysisk adgang til en ulåst arbejdsstation.

Sikkerhedsrisiko, hvis den ikke er konfigureret

Uden sessionssikkerhed med høj sikring giver et enkelt vellykket login – selv fra en betroet enhed – en bruger adgangsrettigheder til følsomme handlinger som eksport af rapporter eller administration af kryptering.

Trusselscenarier

En angriber, der overtager en aktiv brugersession – eller en ondsindet insider på en ulåst terminal – kan udføre handlinger med stor påvirkning som massedataeksport eller tilladelsesændringer, da der ikke kræves nogen sekundær godkendelse for disse specifikke handlinger.

Estimeret CVSS-scoringsinterval

Høj (7,0-8,9).

Overvejelser i forbindelse med risikopåvirkning

Risikostyring afhænger af brugerrettighedsniveauer, delingsregler og de anvendte godkendelsesmekanismer.

Højere risiko når

Manglende sikker godkendelse for Salesforce-godkendelse bruges med svage adgangskodestandarder, MFA håndhæves ikke, betroede IP-områder opsættes ikke.

Lav risiko når

Denne kontrol kan betragtes som lav risiko, når der implementeres en eller flere kompenserende kontroller, herunder:

• Godkendelse med flere faktorer: MFA håndhæves ved IdP eller via Salesforce-godkendelsespolitikker med høj sikring.
• IP-logintilladelsesliste: Begræns IP-adressen på brugerprofilen for at sikre, at den er fra et betroet netværk.
• Enkelt logout: Afslut alle sessioner, når en bruger logger ud.

Overvejelser i forbindelse med forretning og integration

Kunder bør overveje deres forretningsproces og følsomme driftspolitikker og standarder i deres firmaer.

Anbefalet rettelse

Implementer indstillingerne for Høj sikring efter behov for at sikre følsomme handlinger og tilpasse dem til virksomhedssikkerhedspolitikker og standarder.

Vejledning til sikkerhedstilstandsgennemgang

Implementer indstillingerne for Høj sikring efter behov.