Blokker avspillingsangrep på informasjonskapsler i Dataverse

Forhindre øktkapring i Dataverse med IP-adressebasert informasjonskapselbinding. La oss si at en ondsinnet bruker kopierer en gyldig øktinformasjonskapsel fra en autorisert datamaskin som har IP-binding for informasjonskapsel aktivert. Brukeren prøver deretter å bruke informasjonskapselen på en annen datamaskin for å få uautorisert tilgang til Dataverse. I sanntid sammenligner Dataverse IP-adressen til informasjonskapselens opprinnelse med IP-adressen til datamaskinen som foretar forespørselen. Hvis de to er forskjellige, blir forsøket blokkert, og det vises en feilmelding.

IP-basert informasjonskapselbinding er bare tilgjengelig for Administrerte miljøer for alle leiere, inkludert offentlig skyer. Du kan aktivere denne funksjonen i administrasjonssenteret for Power Platform.

Aktiver IP-adressebasert informasjonskapselbinding

1. Logg deg på Administrasjonssenter for Power Platform som en administrator.

2. Velg Miljøer, og velg deretter et miljø.

3. Velg Innstillinger>Produkt og velg deretter Personvern + sikkerhet.

4. Under Innstillinger for IP-adresse velger du Aktiver IP-adressebasert informasjonskapselbinding.

5. Velg Lagre.

Hvordan fungerer IP-adressebasert informasjonskapselbinding?

IP-basert informasjonskapselbinding angir IP-adressekravet i øktinformasjonskapslen. Hver forespørsel evalueres for å sammenligne nåværende IP-adresse med kilde-IP-adressen som ble lagret i informasjonskapselen da den ble opprettet. Hvis adressene ikke samsvarer, nektes brukeren tilgang.

Scenarier der brukere blir bedt om å godta på nytt

• Når en VPN-klient er slått på eller av
• Når du kobler til et trådløst aktiveringspunkt
• Når Internett-tilkoblingen tilbakestilles av Internett-leverandøren
• Når en ruter tilbakestilles eller startes på nytt

Slik tester du funksjonen

1. Fjern alle informasjonskapsler fra nettleseren. Dette trinnet er viktig for å sikre at det genereres en ny informasjonskapsel.

2. Logg deg på et Dynamics 365-miljø som har IP-basert informasjonskapselbinding aktivert.

3. Bruk et klientverktøy, for eksempel Fiddler, til å kopiere øktinformasjonskapselen.

4. Send en forespørsel fra en alternativ datamaskin (utenfor det opprinnelige nettverket) ved hjelp av den tidligere innhentede øktinformasjonskapslen. Du må forvente å motta en HTTP 403-feil som svar.

Utelatelser

• Hvis brukeren kobler til Dataverse fra samme IP-adresse med den gamle, gyldige informasjonskapselen, godtar Dataverse informasjonskapselen.
• Hvis trafikk mellom nettverket og Power Platform er konfigurert til å bruke omvendt proxy med dynamisk IP-adresse, vil ikke IP-basert binding av informasjonskapsel fungere.

VANLIGE SPØRSMÅL

Er denne funksjonen tilgjengelig i Dataverse?

IP-binding for informasjonskapsel er tilgjengelig for CrmOwinAuth-informasjonskapselen i Enhetlig grensesnitt.

Hvor raskt trer endringen i kraft når den er gjort i administrasjonssenteret for Power Platform?

Endringen trer vanligvis i kraft etter rundt fem minutter.

Fungerer denne funksjonen i sanntid?

Funksjonen evaluerer informasjonskapselen i sanntid bortsett fra den første forespørselen som er utført etter at funksjonen er aktivert.

Er denne funksjonen er aktivert som standard i alle miljøer?

Funksjonen for IP-binding for informasjonskapsel er som standard deaktivert. Administratorer må aktivere den i administrasjonssenteret for Power Platform.