Управление политиками уровня безопасности сеанса

Управление именем

Уровень безопасности сеанса - Высоконадежная безопасность сеанса

Рекомендованная конфигурация

Включите параметры высокой надежности посредством параметра «Настройка>Проверка подлинности» для следующих элементов:

• Отчеты и панели мониторинга: Управление доступом к отчетам и панелям мониторинга. Этот параметр также доступен на странице политик доступа к отчетам и панелям мониторинга. Изменить этот параметр можно в любой из этих областей.
• Управление ключами шифрования: Управление доступом на страницу платформы шифрования, страницу настройки сертификата и управления ключами и к объекту TenantSecret.
• Управление поставщиками проверки подлинности: Управление доступом на страницу поставщиков проверки подлинности, страницу настройки сведений о пользователе и к объекту AuthProvider.
• Управление сертификатами - Данный параметр определяет доступ к страницам "Управление сертификатами и ключами" и "Параметры единой регистрации" в меню "Настройка", а также к объекту "Сертификат".
• Управление связанными приложениями - Данный параметр определяет доступ к странице «Связанные приложения» в меню «Настройка», а также к странице «Менеджер приложений» в меню «Настройка».
• Управление экспортом данных— Данный параметр определяет доступ к странице "Экспорт данных" в меню "Настройка".
• Управление IP-адресами: Управление доступом на страницу настройки доступа к сети.
• Управление политиками полномочий входа: Управление доступом к на страницу настройки политик полномочий входа.
• Управление политиками паролей: Управление доступом к странице настроек политик пароля и сведениям о профиле.
• Управление наборами полномочий и профилями—Данный параметр определяет доступ к страницам "Наборы полномочий" и "Профиль" в меню "Настройка" и связанным объектам.
• Управление ролями: Управление доступом на страницу настроек ролей, к объекту UserRole и к объекту «Роль» в Metadata API.
• Управление общим доступом: Управление доступом на страницу настроек параметров общего доступа, к объекту SharingRules и к полю sharingModel CustomObject в Metadata API.
• Управление многофакторной проверкой подлинности в API - Данный параметр определяет доступ к объектам VerificationHistory, TwoFactorInfo и TwoFactorTempCode.
• Управление многофакторной проверкой подлинности в пользовательском интерфейсе - Данный параметр определяет доступ к странице «Журнал проверки подлинности» в меню «Настройка», а также к объектам VerificationHistory, TwoFactorInfo и TwoFactorTempCode.
• Управление пользователями: Управление доступом на страницу настройки пользователей.
• Разблокировка пользователей и восстановление паролей—Данный параметр определяет полномочие на сброс паролей и разблокировку пользователей на странице "Пользователи" в меню "Настройка".
• Просмотр проверки состояния: управляет доступом к странице настройки проверки состояния

Общие сведения о контроле

Цель управления безопасностью высоконадежного сеанса - внедрение «Ускоренной проверки подлинности» для операций высокого риска, обеспечивая, что конфиденциальные действия, например, экспорт данных или административные изменения, требуют дополнительной многофакторной проблемы даже в активном сеансе. Этот детальный контроль доступа предотвращает предоставление безусловной энергии одним успешным входом, эффективно нейтрализуя угрозы от перехвата сеанса или несанкционированного физического доступа к незаблокированной рабочей станции.

Риск безопасности, если он не настроен

Без высоконадежной безопасности сеанса один успешный вход, даже с надежного устройства, предоставляет пользователю доступ к конфиденциальным операциям, например, экспорт отчетов или управление шифрованием.

Сценарии угроз

Злоумышленник, перехвативший активный сеанс пользователя или вредоносного инсайдера в разблокированном терминале, может негласно выполнить важные действия, например, экспорт пакетных данных или изменение полномочий, поскольку для этих определенных операций не требуется дополнительная проверка подлинности.

Примерный диапазон оценки CVSS

Высокий (7,0-8,9).

Рекомендации по влиянию риска

Тяжесть риска зависит от уровней полномочий пользователя, правил общего доступа и используемых механизмов проверки подлинности.

Повышенный риск при

Отсутствие безопасной проверки подлинности для проверки подлинности Salesforce используется со слабыми стандартами пароля, MFA не применяется, диапазоны надежных IP-адресов не настроены.

Низкий риск при

Этот элемент управления можно считать малорисковым при внедрении одного или нескольких компенсирующих элементов управления, включая:

• Многофакторная проверка подлинности: MFA внедряется в IdP или посредством политик высоконадежной проверки подлинности Salesforce.
• Список разрешенных IP-адресов входа: Ограничьте IP-адрес профиля пользователя, чтобы убедиться, что он из надежной сети.
• Единый выход: Завершайте все сеансы при выходе пользователя.

Рекомендации по бизнесу и интеграции

Клиенты должны учитывать свои бизнес-процессы и политики и стандарты конфиденциальных операций в своих компаниях.

Рекомендованное исправление

При необходимости внедрите параметры «Высоконадежный» для обеспечения безопасности конфиденциальных операций и соответствия политикам и стандартам безопасности предприятия.

Руководство по проверке состояния безопасности

При необходимости внедрите высоконадежные параметры.