Loading
Настройка и обслуживание организации Salesforce
Содержание
Фильтровать по (0)Добавить
Выбрать фильтры

          Результаты отсутствуют
          Результаты отсутствуют
          Ниже приведены некоторые советы по поиску.

          Проверьте орфографию ключевых слов.
          Воспользуйтесь более общим поисковым запросом.
          Выберите несколько фильтров для расширения области поиска.

            Выполните поиск по всей справке Salesforce.
            Выполните поиск по всей справке Salesforce.
            Параметры времени ожидания сеанса

            Вы находитесь здесь:

            1. Справка Salesforce
            2. Документы
            3. Настройка и обслуживание организации Salesforce

            Параметры времени ожидания сеанса

            Контроль времени ожидания сеанса Salesforce - это мера безопасности, предназначенная для защиты от несанкционированного доступа путем автоматического завершения сеансов пользователя после указанного периода неактивности.

            Управление именем

            Время ожидания сеанса

            Рекомендованная конфигурация

            • Задайте значение времени ожидания сеанса не более 15 минут
            • Отключить всплывающее предупреждение об истечении времени сеанса
            • Включить принудительный выход по истечении времени ожидания сеанса

            Настройка>Параметры сеанса>Время ожидания сеанса.

            Общие сведения о контроле

            Контроль времени ожидания сеанса Salesforce - это мера безопасности, предназначенная для защиты от несанкционированного доступа путем автоматического завершения сеансов пользователя после указанного периода неактивности.

            Риск безопасности, если он не настроен

            Если не настроено соответствующее время ожидания сеанса в Salesforce, повышается риск несанкционированного доступа к конфиденциальным данным, когда пользователь оставляет рабочее место без присмотра или устройство теряется. Этот пробел в безопасности может привести к перехвату сеансов и извлечению данных, а также к несоответствию отраслевым нормативным стандартам, требующим ограниченного по времени контроля доступа.

            Сценарии угроз

            Злоумышленник использует оставленный без присмотра активный сеанс или украденный маркер сеанса для получения постоянного несанкционированного доступа к конфиденциальным данным.

            Примерный диапазон оценки CVSS

            Критические (9,0-10,0).

            Рекомендации по влиянию риска

            Рассмотрите поведение пользователя и среду доступа пользователя к платформе.

            Повышенный риск при

            Если время ожидания сеанса не настроено (или настроено некорректно), следующее отсутствие элементов управления может еще больше повысить риск безопасности:

            • Отсутствие многофакторной проверки подлинности (MFA): Без MFA сеанс защищен только одним набором регистрационных данных. Если сеанс остается активным в течение неопределенного времени, злоумышленнику, получившему доступ к устройству, не нужно обходить дополнительные уровни безопасности.
            • Отсутствие параметра «Принудительный выход по истечении времени ожидания сеанса»: Если данный параметр отключен, то система Salesforce не может завершить сеанс по истечении срока его действия, что позволяет обозревателю поддерживать сеанс до тех пор, пока он остается открытым.
            • Отсутствие ограничений IP-адресов: Если сеансы не заблокированы на исходном IP-адресе или ограничены корпоративными диапазонами, «постоянный» маркер сеанса может быть украден и использован из любого расположения по всему миру без проблем.
            • Отсутствие рабочей станции или автоматической блокировки устройства: При отсутствии организационной политики или технического контроля (например, GPO или MDM) для блокировки компьютера или мобильного устройства пользователя после периода неактивности, открытый сеанс Salesforce остается полностью открытым для всех пользователей с физическим доступом.
            • Отсутствие переопределений на уровне профиля: Использование только широких параметров организации, а не более строгих, более коротких сроков ожидания для профилей с высокими полномочиями (например, системные администраторы) увеличивает «радиус взрыва», если сеанс администратора перехвачен.
            • Отсутствие мониторинга сеансов в реальном времени: Без таких инструментов, как Salesforce Event Monitoring или политики безопасности транзакций, организация не может обнаружить или автоматически убить подозрительные сеансы, которые были аномально длительными.
            • Отсутствие параметра «Блокировка сеансов в домене»: Если сеансы не будут ограничены определенным доменом, где они начались, это может повысить риск межсайтового скриптинга (XSS) или атак фиксации сеанса.

            Низкий или нулевой риск при

            Чтобы снизить риск, если строгое время ожидания сеанса неосуществимо или настроено, можно внедрить стратегию «углубленной защиты» посредством следующих элементов управления: 1. Собственные средства управления безопасностью Salesforce

            • Внедрение многофакторной проверки подлинности (MFA): Требуйте второй фактор для всех входов. Даже если сеанс остается активным, взломщику нужно сначала обойти MFA, чтобы установить этот сеанс.
            • Принудительный выход по истечении времени ожидания сеанса: Убедитесь, что этот параметр включен в параметрах сеанса. Без этого некоторые обозреватели могут поддерживать сеанс «время ожидания» в фоновом режиме.
            • Блокировка сеансов на IP-адрес: Это предотвращает «перехват сеанса», обеспечивая возможность использования сеанса только с определенного IP-адреса, с которого он был инициирован.
            • Диапазоны IP-адресов входа (уровень профиля): Ограничьте доступ к определенным надежным сетям (например, корпоративный VPN). Это гарантирует бесполезность даже активного сеанса при перемещении устройства в ненадежную сеть.
            • Часы входа: Определите определенные окна (например, 8:00–18:00), в которых пользователи могут получить доступ к Salesforce. Это автоматически предотвращает сохранение сеанса в нерабочее время.

            2. Расширенный мониторинг и автоматизация (щит)

            • Политики безопасности транзакций (Salesforce Shield): Создайте политики в реальном времени, запускающие подозрительное поведение. Например, можно автоматически заблокировать или оспорить сеанс с MFA, если пользователь пытается экспортировать большие данные или открывает конфиденциальные записи после длительного периода «бездействия».
            • Отслеживание событий: Используйте мониторинг событий в реальном времени для отслеживания LoginEvent и SessionHijackingEvent для определения и программного завершения аномалий сеансов.

            3. Элементы управления идентификацией и конечной точкой

            • Единая регистрация (SSO): Делегируйте управление сеансами центральному поставщику удостоверений (IdP), например, Okta или Azure AD. Потом можно применить более строгие политики глобальных сеансов или «убить» все активные сеансы приложения из одной панели мониторинга, если устройство повреждено.
            • Управление конечной точкой (MDM/GPO): Внедрите корпоративную политику, которая автоматически блокирует физическое рабочее место или мобильное устройство через 5-10 минут бездействия. Это уменьшает риск появления "рабочего места без присмотра", которое является главной угрозой длительных сеансов.

            Рекомендации по бизнесу и интеграции

            Клиенты должны оценить точки входа конечных точек пользователей и данные, доступные каждому профилю пользователя.

            Рекомендованное исправление

            Внедрите время ожидания сеанса на уровне конечной точки, а также на уровне платформы.

            Руководство по проверке состояния безопасности

            Проверка состояния безопасности определяет конфигурацию платформы, связанную с истечением времени ожидания сеанса, проверяя время ожидания сеанса относительно рекомендаций отрасли (15 минут).

            См. также:

             
            Загрузка
            Salesforce Help | Article