Поделиться через


Защита сеансов Dataverse с помощью привязки файлов cookie на основе IP-адресов

Предотвращайте перехваты сеанса через эксплойты в Dataverse с привязкой файлов cookie на основе IP-адреса. Предположим, что злоумышленник копирует действительный файл cookie сеанса с авторизованного компьютера, на котором включена привязка IP-адреса файла cookie. Затем пользователь пытается использовать файл cookie на другом компьютере, чтобы получить несанкционированный доступ к Dataverse. Dataverse в режиме реального времени сравнивает IP-адрес источника файла cookie с IP-адресом компьютера, отправляющего запрос. Если они разные, попытка блокируется и отображается сообщение об ошибке.

Привязка файлов cookie на основе IP-адреса доступна только для Управляемых сред по всем клиентам, включая облака для государственных организаций. Вы можете включить эту функцию в центре администрирования Power Platform.

  1. Войдите в Центр администрирования Power Platform как администратор.

  2. Выберите Среды, затем выберите среду.

  3. Выберите Параметры>Продукт>Конфиденциальность + безопасность.

  4. В разделе Настойки IP-адреса выберите параметр Включить привязку файлов cookie на основе IP-адресов.

  5. (Необязательно). Если в вашей организации настроены обратные прокси-серверы, введите IP-адреса через запятую в IP-адреса обратных прокси-серверов. Настройка обратного прокси-сервера применяется как к привязке файлов cookie на основе IP-адреса, так и к брандмауэру IP-адресов. Обратитесь к сетевому администратору, чтобы получить IP-адреса обратного прокси-сервера.

    Заметка

    Обратный прокси-сервер должен быть настроен на отправку IP-адресов клиентов пользователей в пересылаемом заголовке.

  6. Выберите Сохранить.

Привязка файлов cookie на основе IP-адресов задает утверждение IP-адреса в файле cookie сеанса. Каждый запрос оценивается для сравнения текущего IP-адреса с исходным IP-адресом, который был сохранен в файле cookie при его создании. Если адреса не совпадают, пользователю будет отказано в доступе.

Сценарии, в которых пользователям предлагается пройти повторную аутентификацию

  • Когда включается или отключается какой-либо VPN-клиент
  • При подключении к беспроводной точке доступа
  • Когда подключение к Интернету сбрасывается поставщиком услуг Интернета
  • При сбросе или перезапуске маршрутизатора

Как протестировать эту функцию

  1. Удаление всех файлов cookie из браузера. Этот шаг важен для обеспечения создания нового файла cookie.

  2. Войдите в среду Dynamics 365, в которой включена привязка файлов cookie на основе IP-адресов.

  3. Используйте клиентское средство, например Fiddler, чтобы скопировать файл cookie сеанса.

  4. Отправьте запрос с альтернативного компьютера (за пределами исходной сети), используя ранее полученный файл cookie сеанса. Вы должны ожидать получения в ответ ошибки HTTP 403.

Исключения

  • Если пользователь подключается к Dataverse с того же IP-адреса, что и старый действительный файл cookie, Dataverse принимает файл cookie.
  • Если для трафика между вашей сетью и Power Platform настроено использование обратного прокси-сервера с динамическим IP-адресом, привязка файлов cookie на основе IP-адресов работать не будет.

Вопросы и ответы

Доступна ли эта функция в Dataverse?

Привязка файлов cookie на основе IP-адресов доступна для файла cookie CrmOwinAuth в едином интерфейсе.

Как скоро изменение вступает в силу после его внесения в центре администрирования Power Platform?

Изменение обычно вступает в силу примерно через пять минут.

Эта функция работает в режиме реального времени?

Функция оценивает файл cookie в режиме реального времени, за исключением первоначального запроса, сделанного после включения функции.

Включена ли эта функция по умолчанию во всех средах?

Функция привязки файлов cookie на основе IP-адресов по умолчанию отключена. Администраторы должны включить ее в центре администрирования Power Platform.