Istunnon suojaustason käytäntöjen hallinta

Ohjaimen nimi

Istunnon suojaustaso - Korkea vahvistus Istunnon suojaus

Suositeltu kokoonpano

Ota Korkea vahvistus -asetukset käyttöön kohdasta Määritykset>Henkilöllisyydenvahvistus näille:

• Raportit ja mittaristot — Hallitsee raporttien ja mittaristojen käyttöoikeuksia. Tämä asetus on käytettävissä myös raporttien ja mittaristojen käyttöoikeuskäytäntöjen sivulta. Voit muuttaa tätä asetusta kummalta tahansa sivulta.
• Hallinnoi salausavaimia — Hallitsee Määritykset-valikon Sovellusalustan salaus- ja Sertifikaattien ja avainten hallinta -sivujen sekä TenantSecret-objektin käyttöoikeuksia.
• Valtuutuksen tarjoajien hallinta — Hallitsee Määritykset-valikon Valtuutuksen tarjoajat- ja Käyttäjän tiedot -sivujen sekä AuthProvider-objektin käyttöoikeuksia.
• Hallitse sertifikaatteja — Hallitsee Määritykset-valikon Sertifikaattien ja avainten hallinta- ja Kertakirjautumisasetukset-sivujen sekä Sertifikaatti-objektin käyttöoikeuksia.
• Hallitse yhdistettyjä sovelluksia — Hallitsee Yhdistetyt sovellusasetukset -sivun käyttöoikeuksia ja Sovellusten hallinta -sivua.
• Hallinnoi tietojen vientiä — Hallitsee Määritykset-valikon Tietojen vienti -sivun käyttöoikeuksia.
• Hallinnoi IP-osoitteita — Hallitsee Määritykset-valikon Verkon käyttö -sivun käyttöoikeuksia.
• Hallinnoi kirjautumisoikeuskäytäntöjä — Hallitsee Määritykset-valikon Kirjautumisoikeus-sivun käyttöoikeuksia.
• Hallinnoi salasanakäytäntöjä — Hallitsee Määritykset-valikon Salasanakäytännöt-sivun ja profiilien lisätietojen käyttöoikeuksia.
• Hallinnoi profiileja ja käyttöoikeusjoukkoja — Hallitsee Määritykset-valikon Lupajoukot- ja Profiilit-sivujen ja niihin liittyvien objektien käyttöoikeuksia.
• Hallinnoi rooleja — Hallitsee Määritykset-valikon Roolit-sivun, UserRole-objektin ja Role-objektin käyttöoikeuksia Metadata API:ssa.
• Hallinnoi jakamista — Hallitsee Määritykset-valikon Jakoasetukset-sivun, SharingRules-objektin ja mukautetun objektin sharingModel-kentän käyttöoikeuksia Metadata API:ssa.
• Hallitse monimenetelmäistä todennusta API:ssa — Hallitsee VerificationHistory-, TwoFactorInfo- ja TwoFactorTempCode-objektien käyttöoikeuksia.
• Monimenetelmäisen todennuksen hallinta käyttöliittymässä — Hallitsee henkilöllisyydenvahvistuksen historia -sivun ja VerificationHistory-, TwoFactorInfo- ja TwoFactorTempCode-objektien käyttöoikeuksia.
• Hallitse käyttäjiä — Hallitsee Määritykset-valikon Käyttäjät-sivun käyttöoikeuksia.
• Palauta käyttäjän salasanat ja poista käyttäjien lukitus — Hallitsee oikeuksia nollata salasanoja ja poistaa käyttäjien lukituksia Määritykset-valikon Käyttäjät-sivulla.
• Näytä terveystarkastus — Hallitsee Määritykset-valikon terveystarkastussivun käyttöoikeuksia

Ohjauksen yleiskatsaus

Korkean vahvistuksen istunnon suojauksen hallinnan tavoite on noudattaa "vaiheittaista todennusta" korkean riskin toiminnoille, jotta luottamukselliset toiminnot, kuten tietojen viennit tai hallinnalliset muutokset, vaativat toissijaisen monimenetelmäisen haasteen aktiivisessa istunnossa. Tämä tarkka käyttöoikeuksien hallinta estää yhtä onnistunutta sisäänkirjautumista myöntämästä ehdotonta tehoa, mikä estää tehokkaasti istunnon kaappauksen tai lukitsemattoman työpisteen valtuuttamattoman fyysisen käytön.

Tietoturvariski, jos ei määritetty

Ilman Korkea vahvistus -istunnon suojausta yksi onnistunut sisäänkirjautuminen — jopa luotetulta laitteelta — myöntää käyttäjälle käyttöoikeudet luottamuksellisiin toimintoihin, kuten raporttien viemiseen tai salauksen hallintaan.

Uhkien skenaariot

Hyökkääjä, joka kaappaa aktiivisen käyttäjäistunnon — tai pahantahtoisen sisällön lukitsemattomaan päätepisteeseen — voi suorittaa hiljaa tehokkaita toimintoja, kuten joukkodatan vientiä tai käyttöoikeuksien muutoksia, koska toissijaista todennusta ei vaadita näille tietyille toiminnoille.

Arvioitu CVSS-pistealue

Korkea (7.0–8,9).

Riskien vaikutuksissa huomioitavia asioita

Riskien vakavuus riippuu käyttäjien käyttöoikeustasoista, jakosäännöistä ja käytetyistä todennusmekanismeista.

Korkeampi riski, kun

Salesforce-todennuksen suojauksen puutetta käytetään heikkojen salasanojen standardeilla, MFA-todennusta ei noudateta eikä luotettuja IP-alueita ole määritetty.

Matalan riskin milloin

Tätä ohjainta voidaan pitää vähäriskisenä, kun yksi tai useampi korvaava ohjaus on käytössä, mukaan lukien:

• Monimenetelmäinen todennus: MFA noudatetaan henkilöllisyydentarjoajassa tai Salesforcen korkean vahvistuksen todennuskäytäntöjen kautta.
• Kirjautumisen IP-sallittujen luettelo: Rajoita käyttäjäprofiilin IP-osoitetta varmistaaksesi, että se on peräisin luotetusta verkostosta.
• Kertakirjautuminen: Lopeta kaikki istunnot, kun käyttäjä kirjautuu ulos.

Liiketoiminnassa ja integraatiossa huomioitavia asioita

Asiakkaiden tulisi huomioida liiketoimintaprosessinsa ja yrityksensä luottamukselliset toimintakäytännöt ja standardit.

Suositeltu korjaus

Käytä Korkea vahvistus -asetuksia tarvittaessa suojellaksesi luottamuksellisia toimintoja ja noudattaaksesi yrityksen tietoturvakäytäntöjä ja -standardeja.

Tietoturvan terveystarkastuksen ohjeet

Ota Korkea vahvistus -asetukset käyttöön tarvittaessa.