会话超时设置

控件名称

会话超时

推荐配置

• 将会话超时值设置为 15 分钟或更短
• 禁用会话超时警告弹出窗口
• 在会话超时时启用强制注销

设置>会话设置>会话超时。

控制概览

Salesforce 会话超时控制是一种安全措施，旨在通过在指定的不活动时段后自动终止用户会话来防止未经授权的访问。

安全风险（如果未配置）

在 Salesforce 中未配置适当的会话超时会增加用户离开工作站无人看管或设备丢失时未经授权访问敏感数据的风险。此安全漏洞会导致会话劫持和数据泄露，同时导致不遵守要求实施有时限的访问控制的行业监管标准。

威胁场景

攻击者利用无人参与的活动会话或被盗会话令牌，获取对敏感数据的持久未经授权的访问。

估计的 CVSS 得分范围

关键 (9.0–10.0)。

风险影响注意事项

考虑用户行为以及用户访问平台的环境。

高风险

如果未配置会话超时（或配置不当），以下缺乏控制的情况会进一步增加安全风险：

• 缺乏多重身份验证 (MFA)：如果没有 MFA，会话仅受一组凭据的保护。如果会话无限期保持活动状态，则获得设备访问权限的攻击者无需绕过任何其他安全层。
• 缺少“在会话超时时强制注销”：如果禁用此特定设置，Salesforce 无法在会话过期时实际终止会话，并允许浏览器在会话保持打开状态时保持活动状态。
• 缺少 IP 地址限制：如果会话未锁定到原始 IP 地址，或未限制到公司范围，则“永久”会话令牌可能会被盗，并从全局任何位置使用，而不会受到质疑。
• 缺少工作站或设备自动锁定：如果没有组织策略或技术控制（例如 GPO 或 MDM）在一段时间的不活动后锁定用户的计算机或移动设备，则打开的 Salesforce 会话将完全暴露给任何具有物理访问权限的人。
• 缺少简档级覆盖：如果管理员的会话被劫持，仅依赖于广泛的“组织范围”设置，而不是更严格的设置，较短的高权限简档超时（例如系统管理员）会增加“爆炸半径”。
• 缺乏实时会话监控：如果没有 Salesforce Event Monitoring 或事务安全策略等工具，组织将无法检测或自动杀死异常长时间有效的可疑会话。
• 缺少“将会话锁定到域”：未能将会话限制到开始会话的特定域会增加跨站点脚本 (XSS) 或会话固定攻击的风险。

低风险或无风险

为了降低严格会话超时不可行或配置时的风险，您可以使用以下控制实施“深度防御”策略：1. Salesforce 本地安全控制

• 强制执行多重身份验证 (MFA)：所有登录都需要第二个因素。即使会话保持活动状态，攻击者也需要首先绕过 MFA 来建立该会话。
• 在会话超时时强制注销：请确保在会话设置中启用此设置。如果没有它，一些浏览器可以在后台无限期地保持“超时”会话活动。
• 将会话锁定到 IP 地址：这将通过确保会话只能从发起会话的特定 IP 地址使用来防止“会话劫持”。
• 登录 IP 范围（简档级别）：限制对特定可信网络的访问（例如，您的企业 VPN）。这确保了如果设备移动到不可信网络，即使活动会话也没有用。
• 登录时间：定义用户可以访问 Salesforce 的特定窗口（例如，上午 8:00 – 下午 6:00）。这会自动防止在非工作时间保持会话。

2. 高级监控和自动化 (Shield)

• 事务安全性策略 (Salesforce Shield)：创建触发可疑行为的实时策略。例如，如果用户在长时间“闲置”后尝试导出大量数据或访问敏感记录，您可以自动阻止或挑战使用 MFA 的会话。
• Event Monitoring：使用实时 Event Monitoring 跟踪 LoginEvent 和 SessionHijackingEvent，以识别和以编程方式终止异常会话。

3. 身份和端点控制

• 单点登录 (SSO)：将会话管理委派给中心身份提供商 (IdP)，例如 Okta 或 Azure AD。然后，您可以强制执行更严格的全局会话策略，或者如果设备被盗，从单个仪表板“杀死”所有有效的应用程序会话。
• 端点管理 (MDM/GPO)：实施在5-10分钟不活动后自动锁定物理工作站或移动设备的公司策略。这降低了“无人参与的工作站”的风险，这是长时间会话的主要威胁。

业务和集成注意事项

客户应评估其用户端点的入口点，以及每个用户简档暴露哪些数据。

建议的补救措施

在端点级别和平台级别实施会话超时。

安全健康审查指导

安全运行状况审查通过根据行业最佳实践检查会话超时（15 分钟），确定与会话超时相关的平台配置。