Benutzerzugriffsrichtlinien

Steuerelementname

Benutzerzugriffsrichtlinien

Empfohlene Konfiguration

Manuelles Gewähren oder Widerrufen von Zugriff mit Benutzerzugriffsrichtlinie:

• Setup>Benutzerverwaltungseinstellungen>Benutzerzugriffsrichtlinien aktivieren und erweiterte Oberfläche für Benutzerzugriffsrichtlinien aktiviert
• Setup>Benutzerzugriffsrichtlinien>Neue Benutzerzugriffsrichtlinie>Kriterien bearbeiten>Aktionen definieren

Automatisches Gewähren oder Widerrufen von Zugriff mit der Benutzerzugriffsrichtlinie:

• Setup>Benutzerverwaltungseinstellungen>Benutzerzugriffsrichtlinien aktivieren und erweiterte Oberfläche für Benutzerzugriffsrichtlinien aktiviert
• Setup>Benutzerzugriffsrichtlinien>Neue Benutzerzugriffsrichtlinie>Kriterien bearbeiten>Aktionen definieren>Richtlinie automatisieren

Steuerelementübersicht

Bei der Salesforce-Benutzerzugriffsrichtlinie handelt es sich um eine Sicherheits- und Verwaltungssteuerung, die die automatisierte oder manuelle Verwaltung von Benutzerberechtigungen und -lizenzen anhand vordefinierter Kriterien wie Benutzerrollen, Profilen oder benutzerdefinierten Feldwerten ermöglicht.

Durch das Definieren dieser Richtlinien können Administratoren die Gewährung und den Widerruf von Zugriffsmechanismen, einschließlich Berechtigungssätzen, Paketlizenzen und Mitgliedschaften bei öffentlichen Gruppen, optimieren und so sicherstellen, dass die Zugriffskontrolle unternehmensweit einheitlich und effizient ist.

Sicherheitsrisiko, wenn nicht konfiguriert

Wenn Benutzerzugriffsrichtlinien nicht effektiv und sicher konfiguriert werden, besteht das Risiko einer automatisierten Überbereitung vertraulicher Berechtigungen im richtigen Maßstab, was potenziell nicht autorisierten Benutzern durch falsch verwaltete Filterkriterien breiten Datenzugriff gewährt.

Bedrohungsszenarien

Ein interner Bedrohungsakteur oder ein Mitarbeiter mit geänderten Benutzerattributen kann eine falsch konfigurierte Benutzerzugriffsrichtlinie auslösen, die ihm automatisch administrative Berechtigungen auf höchster Ebene oder Zugriff auf sensible Datensets erteilt. Ohne sichere Validierung und entsprechende Widerrufslogik bleibt dies unentdeckt, sodass der Benutzer – oder ein Angreifer, der seinen Account kompromittiert hat – unbegrenzt den breiten Systemzugriff nutzen kann.

Geschätzter CVSS-Bewertungsbereich

Kritisch (9.0–10.0).

Überlegungen zu Risikoauswirkungen

Anzahl der Benutzer, Umfang des Benutzerzugriffs.

Höheres Risiko, wenn

Das Risiko, Salesforce-Benutzerzugriffsrichtlinien falsch zu konfigurieren, wird durch schlechte Datenverwaltung und mangelnde Feldebenensicherheit für die als Richtlinienkriterien verwendeten Benutzerdatensatzfelder erheblich erhöht. Wenn diese Felder nicht streng gesteuert werden, können nicht autorisierte Änderungen versehentlich die automatische Erteilung von Berechtigungen auf oberster Ebene auslösen.

Geringes oder kein Risiko, wenn

Um das Risiko falscher Konfigurationen von Salesforce-Benutzerzugriffsrichtlinien zu minimieren, sollten Unternehmen strenge Regeln für die Feldebenensicherheit und Validierung der Benutzerdatensatzattribute (z. B. "Rolle" oder "Abteilung") implementieren, die die automatische Erteilung von Berechtigungen auslösen.

Darüber hinaus können Sie die Feldverlaufsverfolgung für diese Auslöserfelder aktivieren und regelmäßige Benutzerzugriffsüberprüfungen durchführen, um sicherzustellen, dass nicht autorisierte oder versehentliche Berechtigungseskalationen sofort erkannt und durch eindeutige Prüfprotokolle behoben werden.

Überlegungen zu Unternehmen und Integration

Kunden sollten die Benutzererfahrung und Benutzertypen berücksichtigen.

Empfohlene Sanierung

Implementieren Sie nach Bedarf eine Kombination aus automatischer und manueller Aktion zum Gewähren oder Widerrufen des Zugriffs mithilfe der Benutzerzugriffsrichtlinie.

Anleitung zur Sicherheitsintegritätsprüfung

N/A: Wird derzeit nicht vom Tool "Sicherheitsintegritätsüberprüfung" untersucht.