Sessiebeveiligingsniveaubeleidsvormen

Controlenaam

Sessiebeveiligingsniveau - Sessiebeveiliging met grote zekerheid

Aanbevolen configuratie

Schakel Instellingen voor grote zekerheid in via Set-up>Identiteitsverificatie voor deze:

• Rapporten en dashboards: bepaalt toegang tot rapporten en dashboards. Deze instelling is ook beschikbaar op de pagina Toegangsbeleidvormen voor rapporten en dashboards. U kunt deze instelling op beide locaties wijzigen.
• Encryptiesleutels beheren: bepaalt toegang tot de pagina Platform Encryption, de pagina Certificaat- en sleutelbeheer en het object TenantSecret.
• Auth.-leveranciers beheren: bepaalt toegang tot de pagina Auth.-leveranciers, de pagina Set-up van gebruikersdetails en het object AuthProvider.
• Certificaten beheren: bepaalt toegang tot de pagina Set-up van certificaat- en sleutelbeheer, de pagina Set-up van instellingen voor Single Sign-On en het object Certificaat.
• Verbonden apps beheren: bepaalt toegang tot de Set-uppagina's van verbonden apps en de Set-uppagina van Appbeheer.
• Gegevensexport beheren: biedt controle over de toegang tot de pagina Set-up van gegevens exporteren.
• IP-adressen beheren: bepaalt toegang tot de set-uppagina Netwerktoegang.
• Inlogtoegangsbeleidsvormen beheren: bepaalt toegang tot de set-uppagina Inlogtoegangsbeleid.
• Wachtwoordbeleidsvormen beheren: bepaalt toegang tot de set-uppagina Wachtwoordbeleid en Profieldetails.
• Machtigingensets en profielen beheren: biedt controle over de toegang tot de pagina's Machtigingssets en Set-up van profiel en gerelateerde objecten.
• Rollen beheren: bepaalt toegang tot de set-uppagina Rollen, het object UserRole en het object Rol in de API voor metagegevens.
• Delen beheren: bepaalt toegang tot de set-uppagina van Instellingen voor delen, het object SharingRules en het veld sharingModel van CustomObject in de API voor metagegevens.
• Multi-factorenauthenticatie beheren in API: bepaalt toegang tot de objecten VerificationHistory, TwoFactorInfo en TwoFactorTempCode.
• Multi-factorenauthenticatie beheren in gebruikersinterface: bepaalt toegang tot de pagina Set-up van Historie van identiteitsverificatie en de objecten VerificationHistory, TwoFactorInfo en TwoFactorTempCode.
• Gebruikers beheren: bepaalt de toegang tot de pagina Set-up van gebruikers.
• Gebruikers ontgrendelen en wachtwoorden opnieuw instellen: biedt controle over de machtiging voor het opnieuw instellen van wachtwoorden en het ontgrendelen van gebruikers op de pagina Set-up van gebruikers.
• Controle van toestand weergeven—Bepaalt toegang tot de set-uppagina van Controle van toestand

Overzicht van besturingselementen

Het doel van Sessiebeveiliging met grote zekerheid is het afdwingen van "Step-up Authentication" voor bewerkingen met hoog risico, zodat gevoelige acties zoals gegevensexports of administratieve wijzigingen een secundaire multi-factorenuitdaging vereisen, zelfs binnen een actieve sessie. Deze fijnmazige toegangscontrole voorkomt dat één geslaagde inlogpoging onvoorwaardelijke kracht verleent, waardoor bedreigingen van sessie-overname of ongeoorloofde fysieke toegang tot een ontgrendeld werkstation effectief worden geneutraliseerd.

Beveiligingsrisico indien niet geconfigureerd

Zonder sessiebeveiliging met grote zekerheid verleent één geslaagde inlogpoging—zelfs vanaf een vertrouwd apparaat—een gebruiker toegangsmachtigingen tot gevoelige bewerkingen zoals rapporten exporteren of encryptie beheren.

Dreigingsscenario's

Een aanvaller die een actieve gebruikerssessie kaapt—of een kwaadwillende insider op een ontgrendelde terminal—kan in stilte acties met grote impact uitvoeren, zoals bulkgegevensexports of machtigingswijzigingen, omdat er geen secundaire authenticatie vereist is voor deze specifieke bewerkingen.

Geschatte CVSS-scorebereik

Hoog (7,0–8,9).

Overwegingen bij risico-impact

De ernst van het risico is afhankelijk van de niveaus van gebruikersmachtigingen, regels voor delen en de gebruikte authenticatiemechanismen.

Hoger risico wanneer

Gebrek aan veilige authenticatie voor Salesforce-authenticatie wordt gebruikt met zwakke wachtwoordstandaarden, MFA wordt niet afgedwongen en vertrouwde IP-bereiken worden niet ingesteld.

Laag risico wanneer

Deze controle kan als laag risico worden beschouwd wanneer een of meer compenserende controles worden geïmplementeerd, waaronder:

• Multi-factorenauthenticatie: MFA wordt afgedwongen op de IdP of via Salesforce-authenticatiebeleidsvormen met grote zekerheid.
• Toegestane lijst voor inlog-IP: Beperk het IP-adres van het gebruikersprofiel om ervoor te zorgen dat het afkomstig is van een vertrouwd netwerk.
• Enkelvoudig uitloggen: Beëindig alle sessies wanneer een gebruiker uitlogt.

Overwegingen bij bedrijf en integratie

Klanten moeten rekening houden met hun bedrijfsproces en beleid en normen voor gevoelige bedrijfsvoering binnen hun bedrijf.

Aanbevolen oplossing

Implementeer indien nodig de instellingen voor Grote zekerheid om gevoelige bewerkingen te beveiligen en om te voldoen aan het beveiligingsbeleid en de standaarden van de onderneming.

Begeleiding bij beoordeling van beveiligingstoestand

Implementeer naar behoefte de instellingen voor Grote zekerheid.