我们已经使用Azure近5年了,我们非常关注安全性。
我真的不明白的一件事是为什么Azure门户中没有会话超时(例如,在30分钟不活动后自动注销)。如您所知,如果您有权访问门户网站you can delete everything with a click of a button。
我始终以Chrome隐身模式启动Portal,并使用两步身份验证登录。有时我会忘记关闭浏览器,几天后我恢复笔记本电脑时,我只需要按F5,然后我就可以访问所有内容。更糟糕的是......如果您只是离开门户网站并在几天之后重新访问它,那么您仍然可以登录。
是否可以配置会话超时,以确保会话不会永久存在?
答案 0 :(得分:0)
首先询问攻击向量是什么?
如果有人可以来并恢复你的会话,他们可以造成更多的伤害。如果攻击者可以访问您的计算机解锁,他们可以做很多事情。例如,他们可以安装一个修改过的浏览器,将所有内容键盘并发送给他们。或者更糟糕的是,他们可以执行Man In The Browser Attack。会话到期时间极少,因为他们下次登录时会获得访问权限。
如果您使用共享计算机,则会发生相同的攻击。</ p>
在绝大多数情况下,短暂的超时只能帮助极端原始的攻击者。一般来说,用户体验的痛苦远远超过任何可能的安全利益。
这就是为什么大多数非银行系统已经远离短期会话超时......
答案 1 :(得分:0)
我不确定在您执行此操作时该功能是否不可用,但是有一种方法可以进行“非活动注销”。
答案 2 :(得分:0)
Azure门户中的租户/目录管理员现在可以使用此选项。 单击门户网站设置(齿轮)图标,然后单击“配置目录级别超时”。启用该功能,设置时间跨度(小时和分钟),然后单击“应用”。 配置完成后,更改将在注销/登录后生效,并且租户的所有用户将在门户设置窗格中看到一条消息。