工作階段逾時設定

控制名稱

工作階段逾時

建議組態

• 將「工作階段逾時」值設定為 15 分鐘或更少
• 停用工作階段逾時警告快顯視窗
• 啟用「在工作階段逾時時強制登出」

設定>工作階段設定>工作階段逾時。

控制概觀

Salesforce 工作階段逾時控制是一種安全措施,其設計目的為在指定閒置期間後自動終止使用者工作階段,以防未經授權的存取。

未設定安全性風險

無法在 Salesforce 中設定適當的工作階段逾時,會在使用者離開工作站無人看見或遺失裝置時,增加未經授權存取敏感資料的風險。此安全性缺口可能會導致工作階段劫持和資料洩漏,同時導致不遵循需要時間限制存取控制的產業法規標準。

威脅情況

攻擊者利用未出席、啟用的工作階段或竊取的工作階段權杖,以取得敏感資料的永久未授權存取權。

估計 CVSS 分數範圍

嚴重 (9.0–10.0)。

風險影響考量事項

考量使用者行為和使用者存取平台的環境。

風險愈高時機

如果未設定工作階段逾時 (或設定不良),下列缺少控制項可能會進一步增加安全性風險:

• 缺少多因素驗證 (MFA):若沒有 MFA,則工作階段只會受到單一組認證的保護。如果工作階段無限期保持啟用,則取得裝置存取權的攻擊者無須略過任何其他安全性層級。
• 缺少「工作階段逾時強制登出」:如果停用此特定設定,Salesforce 便無法在工作階段到期時實際終止工作階段,讓瀏覽器只要工作階段保持開啟即可保持工作階段。
• 缺少 IP 位址限制:如果工作階段未鎖定為原始 IP 位址或限制為公司範圍,則「永久」工作階段權杖可以從全域的任何位置遭竊並使用,而不會受到挑戰。
• 缺少工作站或裝置自動鎖定:如果沒有組織原則或技術控制 (例如 GPO 或 MDM) 可在閒置期間後鎖定使用者的電腦或行動裝置,則會將開啟的 Salesforce 工作階段完全公開給任何擁有實體存取權的人員。
• 缺少設定檔級覆寫:針對高權限設定檔 (例如「系統管理員」) 僅依賴廣泛的「組織範圍」設定,而非嚴格且更短的逾時,會在管理員的工作階段遭劫持時增加「爆炸半徑」。
• 缺少即時工作階段監視:若沒有如「Salesforce 事件監視」或「交易安全性原則」等工具,組織便無法偵測或自動終結已啟用異常長時間的可疑工作階段。
• 缺少「鎖定工作階段至網域」:若未將工作階段限制為工作階段開始的特定網域,則會增加跨網站指令檔 (XSS) 或工作階段修正攻擊的風險。

低風險或無風險的時機

若要在無法執行或設定嚴格工作階段逾時時降低風險,您可以使用下列控制項實作「深度防禦」策略:1. Salesforce 原生安全性控制

• 強制執行多因素驗證 (MFA):所有登入都需要第二個因素。即使工作階段保持啟用,攻擊者仍需要先略過 MFA 才能建立該工作階段。
• 工作階段逾時強制登出:確定此設定已在「工作階段設定」中啟用。若沒有,則某些瀏覽器可以在背景中讓「逾時」工作階段永久啟用。
• 將工作階段鎖定在 IP 位址:這可透過確保工作階段只能從工作階段來源的特定 IP 位址使用,來防止「工作階段劫持」。
• 登入 IP 範圍 (設定檔層級):限制對特定信任網路 (例如貴公司的 VPN) 的存取權。如果裝置移至不受信任的網路,則這會確保即使啟用的工作階段也無用。
• 登入時間:定義使用者可存取 Salesforce 的特定視窗 (例如上午 8:00 – 下午 6:00)。這會自動防止工作階段在休假時間持續。

2. 進階監視與自動化 (Shield)

• 交易安全性原則 (Salesforce Shield):建立觸發可疑行為的即時原則。例如,如果使用者嘗試匯出大型資料,或在長時間的「閒置」後存取敏感記錄,您可以自動封鎖或挑戰使用 MFA 的工作階段。
• 事件監視:使用「即時事件監視」追蹤 LoginEvent 和 SessionHijackingEvent,以識別並以程式設計的方式終止異常工作階段。

3. 身分與端點控制

• 單一登入 (SSO):將工作階段管理委派給中央身分提供者 (IdP),例如 Okta 或 Azure AD。然後,如果裝置遭到入侵,您可以強制執行更嚴格的全域工作階段原則,或從單一顯示面板中「終結」所有已啟用應用程式工作階段。
• 端點管理 (MDM/GPO):實作公司原則,在 5–10 分鐘的閒置後自動鎖定實體工作站或行動裝置。這可降低「無人監視的工作站」的風險,這是長時間工作階段的主要威脅。

業務與整合考量事項

客戶應評估其使用者端點的進入點,以及每個使用者設定檔公開的資料。

建議的補救措施

在端點層級以及平台層級實作「工作階段逾時」。

安全性健康檢閱指南

「安全性健康審查」會根據產業最佳作法 (15 分鐘) 檢查工作階段逾時,以識別與工作階段逾時相關的平台組態。