您在此处:
会话设置
通过将用户的会话 ID 仅在从首次建立会话 ID 的特定 IP 地址访问时保持有效,将会话锁定到发起 IP 地址以防止会话劫持。
控件名称
会话设置
推荐配置
- 启用将会话锁定到发起会话的 IP 地址
- 启用在管理员重置用户密码时终止所有用户会话
- 启用将会话锁定到首次使用的域
设置>会话设置>将会话锁定到发起会话的 IP 地址|在管理员重置用户密码时终止所有用户会话|将会话锁定到首次使用的域。
控制概览
将会话锁定到发起 IP 地址。
此控制通过确保用户的会话 ID 仅在从首次建立的特定 IP 地址访问时保持有效来防止会话劫持。如果攻击者尝试从不同的网络位置重放会话令牌,Salesforce 将自动拒绝访问并终止连接。在密码重置时终止会话 为确保即时帐户安全,此设置会在管理员执行手动密码重置时自动使用户的所有活动会话无效。这可防止潜在受损用户在更新凭据后通过现有会话保持访问权限。将会话锁定到初始域 此设置会将会话的有效性限制到用户最初进行身份验证的特定 Salesforce 域(例如 Lightning、Visualforce 或 Experience Cloud)。它通过防止会话 Cookie 在平台内的不同功能域之间重复使用来防御跨站点脚本 (XSS) 和会话固定攻击。
安全风险(如果未配置)
如果不启用这些会话安全控制,就会增加会话劫持和未授权数据持久性的漏洞,因为攻击者可以跨不同的网络或不可信的域利用盗窃的令牌。此外,如果在密码重置时没有会话终止,即使经过管理补救,被盗用帐户也可以保持活动状态,从而导致对敏感信息的长期未经授权的访问。
威胁场景
拦截会话令牌的攻击者可以绕过网络边界,从任何位置或子域访问敏感数据,而不会被发现。此外,即使发现漏洞并更改用户的密码,攻击者也会保留“所有访问权限通行证”,因为他们的现有会话仍处于活动状态,并且未受到挑战。
估计的 CVSS 得分范围
关键 (9.0–10.0)。
风险影响注意事项
对于拥有许多远程用户、集成用户、API 用户或敏感业务流程访问权限的组织,风险会增加。
高风险
由于缺乏登录 IP 范围和实时 Event Monitoring,使组织不知道来自未授权地理位置的会话劫持,这大大放大了风险。如果没有多重身份验证 (MFA) 来验证登录,被盗会话就变成了一种访问路径,即使在发现安全漏洞并重置密码后,它仍然有效,没有受到质疑。
低风险或无风险
为了降低未实施这些特定会话控制时的风险,您可以使用以下替代和补偿控制部署“深度防御”策略:
- 对于 IP 锁定:在简档级别实施严格的登录 IP 范围,并启用“在每次请求时强制执行登录 IP 范围”,以确保用户仅从受信任的公司网络访问系统,而不管他们的会话 ID。
- 对于密码重置终止:使用 Salesforce Shield 事务安全策略根据可疑事件自动终止会话,或强制实施单点登录 (SSO),以便在身份提供商 (IdP) 级别禁用用户会立即终止所有下游应用程序访问权限。
- 对于域锁定:为每个登录和敏感操作强制实施多重身份验证 (MFA),并使用 CORS(跨来源资源共享)允许列表,以严格控制允许哪些外部域与您的 Salesforce 数据和 API 交互。
- 常规监控:定期审核“设置”中的“会话管理”页面,以手动终止异常活动会话,并使用实时 Event Monitoring 提醒管理员任何会话劫持或“重放”尝试。
业务和集成注意事项
实施这些控制会大大加强安全性,但它们会给移动用户带来摩擦,并破坏某些自动化集成。
建议的补救措施
启用会话设置,以保护来自原始域/IP 地址的会话,并在密码重置时终止会话。
安全健康审查指导
安全运行状况检查识别平台配置相关会话,确保启用原始 IP 或域,并在重置密码时终止所有会话,以确保会话的安全性。
