Olet tässä:
Istuntoasetukset
Lukitse istunnot alkuperäiseen IP-osoitteeseen estääksesi istunnon kaappauksen varmistamalla, että käyttäjän istuntotunnus pysyy voimassa vain, kun sitä käytetään tietystä IP-osoitteesta, jossa se luotiin ensimmäistä kertaa.
Ohjaimen nimi
Istuntoasetukset
Suositeltu kokoonpano
- Salli istuntojen lukitseminen IP-osoitteeseen, josta ne aloitettiin
- Ota käyttöön Käyttäjän kaikkien istuntojen lopettaminen, kun pääkäyttäjä nollaa käyttäjän salasanan
- Salli istuntojen lukitseminen toimialueelle, jossa niitä käytettiin ensimmäistä kertaa
Asetukset>Istuntoasetukset>Lukitse istunnot IP-osoitteeseen, josta ne aloitettiin | Lopeta kaikki käyttäjän istunnot, kun pääkäyttäjä nollaa käyttäjän salasanan |Lukitse istunnot toimialueeseen, jossa niitä käytettiin ensimmäistä kertaa.
Ohjauksen yleiskatsaus
Lukitse istunnot alkuperäiseen IP-osoitteeseen.
Tämä ohjaus estää istunnon kaappauksen varmistamalla, että käyttäjän istuntotunnus pysyy voimassa vain, kun sitä käytetään tietystä IP-osoitteesta, jossa se määritettiin ensimmäistä kertaa. Jos hyökkääjä yrittää toistaa istuntovaltuuden toisesta verkkosijainnista, Salesforce estää käyttöoikeuden ja katkaisee yhteyden automaattisesti. Istuntojen lopettaminen salasanan nollauksesta Tämä asetus mitätöi käyttäjän kaikki aktiiviset istunnot automaattisesti, kun pääkäyttäjä suorittaa salasanan nollauksen manuaalisesti. Tämä estää mahdollisesti vaarantunutta käyttäjää säilyttämästä käyttöoikeuksia olemassa olevan istunnon kautta, kun hänen tunnuksensa on päivitetty. Istuntojen lukitseminen alkuperäiselle toimialueelle Tämä asetus rajoittaa istunnon voimassaoloa tiettyyn Salesforce-toimialueeseen (kuten Lightning, Visualforce tai Experience Cloud), johon käyttäjä todensi itsensä alunperin. Se toimii puolustuksena sivustojen välisiltä komentosarjoilta (XSS) ja istuntojen kiinnityshyökkäyksiltä estämällä istuntoevästeen uudelleenkäytön eri toiminnallisissa toimialueissa alustassa.
Tietoturvariski, jos ei määritetty
Jos näiden istunnon suojausasetusten ottaminen käyttöön epäonnistuu, istunnon kaappaus ja valtuuttamattoman datan säilytys ovat haavoittuvampia, koska hyökkääjät voivat hyödyntää varastettuja tokeneita eri verkostoissa tai epäluotetuissa toimialueissa. Lisäksi ilman istunnon lopettamista salasanan nollauksen yhteydessä, vaarantunut tili voi pysyä aktiivisena myös hallinnallisen korjauksen jälkeen, mikä johtaa luottamuksellisten tietojen pitkäaikaisiin valtuuttamattomiin käyttöoikeuksiin.
Uhkien skenaariot
Istuntovaltuuden kaappaava hyökkääjä voi ohittaa verkon rajat käyttääkseen luottamuksellisia tietoja mistä tahansa sijainnista tai alatoimialueesta. Lisäksi, vaikka rikkomus havaittaisiin ja käyttäjän salasanaa muutettaisiin, hyökkääjä säilyttää "kaikkien käyttöoikeuksien pääsyn", koska hänen nykyinen istuntonsa pysyy aktiivisena ja ilman haasteita.
Arvioitu CVSS-pistealue
Kriittinen (9.0–10.0).
Riskien vaikutuksissa huomioitavia asioita
Riskit kasvavat organisaatioille, joilla on paljon etäkäyttäjiä, integraatiokäyttäjiä, API-käyttäjiä tai luottamuksellisten liiketoimintaprosessien käyttöoikeuksia.
Korkeampi riski, kun
Riskit lisääntyvät merkittävästi, kun sisäänkirjautumisen IP-alueita ja reaaliaikaista tapahtumien valvontaa ei ole, mikä jättää organisaation tietämättä istunnon kaappausta valtuuttamattomista maantieteellisistä sijainneista. Ilman monimenetelmäistä todennusta (MFA) sisäänkirjautumisen vahvistamiseksi varastetusta istunnosta tulee käyttöoikeuspolku, joka pysyy voimassa ja kyseenalaisena, vaikka tietoturvarikkomus olisi havaittu ja salasana olisi nollattu.
Matala riski tai ei riskiä, kun
Voit vähentää riskiä, kun näitä tiettyjä istuntojen ohjaimia ei ole otettu käyttöön, ottamalla käyttöön syvällisen puolustuksen strategian käyttämällä seuraavia vaihtoehtoisia ja korvaavia ohjaimia:
- IP-lukitseminen: Ota tiukat IP-kirjautumisalueet käyttöön profiilitasolla ja ota käyttöön "Käytä IP-kirjautumisalueita jokaiselle pyynnölle" varmistaaksesi, että käyttäjät käyttävät järjestelmää vain luotetuista yritysverkostoista, riippumatta heidän istuntotunnuksestaan.
- Salasanan nollauksen lopettaminen: Käytä Salesforce Shield -transaktioiden suojauskäytäntöjä poistaaksesi istunnot automaattisesti epäilyttävien tapahtumien perusteella tai määrätäksesi kertakirjautumisen (SSO), jotta henkilöllisyydentarjoajan (IdP) tason käyttäjän poistaminen käytöstä lopettaa välittömästi kaikki sovelluksen käyttöoikeudet.
- Toimialueen lukitus: Käytä monimenetelmäistä todennusta (MFA) jokaiselle sisäänkirjautumiselle ja luottamukselliselle toiminnolle ja käytä CORS-luetteloa (Cross-Origin Resource Sharing) hallitaksesi tarkasti, mitkä ulkoiset toimialueet voivat käyttää Salesforce-dataasi ja API-rajapintojasi.
- Yleinen valvonta: Tarkasta Määritykset-valikon Istunnon hallinta -sivu säännöllisesti lopettaaksesi poikkeavat aktiiviset istunnot manuaalisesti ja käytä reaaliaikaista Event Monitoring -ominaisuutta varoittaaksesi pääkäyttäjiä istunnon kaappauksesta tai toistohyökkäyksistä.
Liiketoiminnassa ja integraatiossa huomioitavia asioita
Näiden ohjaimien käyttöönotto tiukentaa tietoturvaa merkittävästi, mutta ne voivat aiheuttaa murtumia mobiilikäyttäjille ja rikkoa tietyt automatisoidut integraatiot.
Suositeltu korjaus
Ota istuntoasetukset käyttöön suojellaksesi istunnon alkuperäisestä toimialueesta/IP-osoitteesta ja lopettaaksesi istunnon salasanojen nollauksissa.
Tietoturvan terveystarkastuksen ohjeet
Suojauksen terveystarkastus tunnistaa sovellusalustan kokoonpanoon liittyvät istunnot varmistaakseen, että alkuperän IP-osoite tai toimialue on käytössä ja lopettaakseen kaikki istunnot, kun salasana nollataan istuntojen tietoturvan varmistamiseksi.
