Okta Hardening

Directory

People

हमलावर के दृष्टिकोण से, यह बहुत दिलचस्प है क्योंकि आप सभी पंजीकृत उपयोगकर्ताओं को देख पाएंगे, उनके ईमेल पते, वे समूह जिनका वे हिस्सा हैं, प्रोफाइल और यहां तक कि डिवाइस (मोबाइल्स उनके OS के साथ)।

एक व्हाइटबॉक्स समीक्षा के लिए जांचें कि कई "लंबित उपयोगकर्ता कार्रवाई" और "पासवर्ड रीसेट" नहीं हैं।

Groups

यह वह जगह है जहां आप Okta में बनाए गए सभी समूहों को पा सकते हैं। यह समझना दिलचस्प है कि विभिन्न समूह (अनुमतियों का सेट) जो उपयोगकर्ताओं को प्रदान किए जा सकते हैं। यह देखना संभव है कि समूहों के अंदर कौन लोग शामिल हैं और प्रत्येक समूह को ऐप्स सौंपे गए हैं।

Ofc, किसी भी समूह का नाम admin दिलचस्प है, विशेष रूप से समूह Global Administrators, सदस्यों की जांच करें ताकि यह पता चल सके कि सबसे अधिक विशेषाधिकार प्राप्त सदस्य कौन हैं।

एक व्हाइटबॉक्स समीक्षा से, वहां 5 से अधिक वैश्विक प्रशासक नहीं होने चाहिए (बेहतर है कि केवल 2 या 3 हों)।

Devices

यहां सभी उपयोगकर्ताओं के सभी डिवाइसों की सूची पाएं। आप यह भी देख सकते हैं कि यह सक्रिय रूप से प्रबंधित हो रहा है या नहीं।

Profile Editor

यहां यह देखना संभव है कि महत्वपूर्ण जानकारी जैसे पहले नाम, अंतिम नाम, ईमेल, उपयोगकर्ता नाम... Okta और अन्य अनुप्रयोगों के बीच कैसे साझा की जाती है। यह दिलचस्प है क्योंकि यदि कोई उपयोगकर्ता Okta में एक फ़ील्ड (जैसे उसका नाम या ईमेल) संशोधित कर सकता है जो फिर एक बाहरी अनुप्रयोग द्वारा उपयोगकर्ता की पहचान के लिए उपयोग किया जाता है, तो एक अंदरूनी व्यक्ति अन्य खातों को हथियाने का प्रयास कर सकता है।

इसके अलावा, प्रोफाइल User (default) से Okta में आप देख सकते हैं कि प्रत्येक उपयोगकर्ता के पास कौन से फ़ील्ड हैं और कौन से फ़ील्ड उपयोगकर्ताओं द्वारा लिखने योग्य हैं। यदि आप व्यवस्थापक पैनल नहीं देख सकते हैं, तो बस अपनी प्रोफाइल अपडेट जानकारी पर जाएं और आप देखेंगे कि कौन से फ़ील्ड आप अपडेट कर सकते हैं (ध्यान दें कि ईमेल पते को अपडेट करने के लिए आपको इसे सत्यापित करने की आवश्यकता होगी)।

Directory Integrations

डायरेक्टरी आपको मौजूदा स्रोतों से लोगों को आयात करने की अनुमति देती हैं। मुझे लगता है कि यहां आप अन्य डायरेक्टरी से आयात किए गए उपयोगकर्ताओं को देखेंगे।

मैंने इसे नहीं देखा है, लेकिन मुझे लगता है कि यह पता लगाना दिलचस्प है कि अन्य डायरेक्टरी जो Okta उपयोगकर्ताओं को आयात करने के लिए उपयोग कर रही है ताकि यदि आप उस डायरेक्टरी से समझौता करते हैं तो आप Okta में बनाए गए उपयोगकर्ताओं में कुछ विशेषताओं के मान सेट कर सकते हैं और शायद Okta वातावरण से समझौता कर सकते हैं।

Profile Sources

प्रोफाइल स्रोत एक ऐप्लिकेशन है जो उपयोगकर्ता प्रोफाइल विशेषताओं के लिए सत्य का स्रोत के रूप में कार्य करता है। एक उपयोगकर्ता को एक समय में केवल एक ही ऐप्लिकेशन या डायरेक्टरी द्वारा स्रोत किया जा सकता है।

मैंने इसे नहीं देखा है, इसलिए इस विकल्प के बारे में सुरक्षा और हैकिंग के बारे में कोई भी जानकारी सराहनीय है।

Customizations

Brands

इस अनुभाग के डोमेन टैब में उन ईमेल पतों की जांच करें जिनका उपयोग ईमेल भेजने के लिए किया जाता है और कंपनी के Okta के अंदर कस्टम डोमेन (जो आप शायद पहले से जानते हैं)।

इसके अलावा, सेटिंग टैब में, यदि आप व्यवस्थापक हैं, तो आप "कस्टम साइन-आउट पेज का उपयोग करें" और एक कस्टम URL सेट कर सकते हैं।

SMS

यहां कुछ भी दिलचस्प नहीं है।

End-User Dashboard

आप यहां कॉन्फ़िगर किए गए ऐप्लिकेशन पा सकते हैं, लेकिन हम उन विवरणों को बाद में एक अलग अनुभाग में देखेंगे।

Other

दिलचस्प सेटिंग, लेकिन सुरक्षा दृष्टिकोण से कुछ भी सुपर दिलचस्प नहीं है।

Applications

Applications

यहां आप सभी कॉन्फ़िगर किए गए ऐप्लिकेशन और उनके विवरण पा सकते हैं: किसके पास उन तक पहुंच है, यह कैसे कॉन्फ़िगर किया गया है (SAML, OPenID), लॉगिन करने के लिए URL, Okta और ऐप्लिकेशन के बीच मैपिंग...

Sign On टैब में एक फ़ील्ड भी है जिसे Password reveal कहा जाता है जो उपयोगकर्ता को अपना पासवर्ड प्रकट करने की अनुमति देगा जब ऐप्लिकेशन सेटिंग्स की जांच की जाएगी। उपयोगकर्ता पैनल से किसी ऐप्लिकेशन की सेटिंग्स की जांच करने के लिए, 3 डॉट्स पर क्लिक करें:

और आप ऐप के बारे में कुछ और विवरण देख सकते हैं (जैसे पासवर्ड प्रकट करने की सुविधा, यदि यह सक्षम है):

Identity Governance

Access Certifications

Access Certifications का उपयोग करके अपने उपयोगकर्ताओं की संसाधनों तक पहुंच की समीक्षा करने के लिए ऑडिट अभियान बनाएं और आवश्यक होने पर स्वचालित रूप से पहुंच को स्वीकृत या रद्द करें।

मैंने इसे उपयोग करते हुए नहीं देखा है, लेकिन मुझे लगता है कि रक्षात्मक दृष्टिकोण से यह एक अच्छी सुविधा है।

Security

General

• सुरक्षा अधिसूचना ईमेल: सभी सक्षम होने चाहिए।

• CAPTCHA एकीकरण: कम से कम अदृश्य reCaptcha सेट करने की सिफारिश की जाती है

• संगठन सुरक्षा: सब कुछ सक्षम किया जा सकता है और सक्रियण ईमेल लंबे समय तक नहीं चलने चाहिए (7 दिन ठीक हैं)

• उपयोगकर्ता गणना रोकथाम: दोनों सक्षम होने चाहिए

• ध्यान दें कि उपयोगकर्ता गणना रोकथाम प्रभावी नहीं होती है यदि निम्नलिखित शर्तों में से कोई भी अनुमति दी जाती है (अधिक जानकारी के लिए उपयोगकर्ता प्रबंधन देखें):

• स्व-सेवा पंजीकरण

• ईमेल प्रमाणीकरण के साथ JIT प्रवाह

• Okta ThreatInsight सेटिंग्स: खतरे के स्तर के आधार पर सुरक्षा को लॉग और लागू करें

HealthInsight

यहां सही और खतरनाक कॉन्फ़िगर की गई सेटिंग्स पाई जा सकती हैं।

Authenticators

यहां आप सभी प्रमाणीकरण विधियों को पा सकते हैं जो उपयोगकर्ता उपयोग कर सकते हैं: पासवर्ड, फोन, ईमेल, कोड, WebAuthn... पासवर्ड प्रमाणीकरणकर्ता पर क्लिक करके आप पासवर्ड नीति देख सकते हैं। जांचें कि यह मजबूत है।

Enrollment टैब में आप देख सकते हैं कि कौन से आवश्यक या वैकल्पिक हैं:

फोन को अक्षम करना अनुशंसनीय है। सबसे मजबूत शायद पासवर्ड, ईमेल और WebAuthn का संयोजन है।

Authentication policies

हर ऐप की एक प्रमाणीकरण नीति होती है। प्रमाणीकरण नीति यह सत्यापित करती है कि ऐप में साइन इन करने का प्रयास करने वाले उपयोगकर्ता विशिष्ट शर्तों को पूरा करते हैं, और उन शर्तों के आधार पर कारक आवश्यकताओं को लागू करती है।

यहां आप प्रत्येक ऐप्लिकेशन तक पहुंचने की आवश्यकताओं पा सकते हैं। प्रत्येक ऐप्लिकेशन के लिए कम से कम पासवर्ड और एक अन्य विधि का अनुरोध करने की सिफारिश की जाती है। लेकिन यदि हमलावर के रूप में आपको कुछ कमजोर मिलता है तो आप इसे हमला करने में सक्षम हो सकते हैं।

Global Session Policy

यहां आप विभिन्न समूहों को सौंपे गए सत्र नीतियों को पा सकते हैं। उदाहरण के लिए:

MFA का अनुरोध करने, सत्र की अवधि को कुछ घंटों तक सीमित करने, ब्राउज़र एक्सटेंशन के बीच सत्र कुकीज़ को बनाए नहीं रखने और स्थान और पहचान प्रदाता को सीमित करने की सिफारिश की जाती है (यदि यह संभव है)। उदाहरण के लिए, यदि प्रत्येक उपयोगकर्ता को किसी देश से लॉगिन करना चाहिए तो आप केवल इस स्थान की अनुमति दे सकते हैं।

Identity Providers

Identity Providers (IdPs) वे सेवाएं हैं जो उपयोगकर्ता खातों का प्रबंधन करती हैं। Okta में IdPs जोड़ने से आपके अंतिम उपयोगकर्ता स्व-पंजीकरण कर सकते हैं आपके कस्टम ऐप्लिकेशन के साथ पहले एक सामाजिक खाते या स्मार्ट कार्ड के साथ प्रमाणीकरण करके।

Identity Providers पृष्ठ पर, आप सामाजिक लॉगिन (IdPs) जोड़ सकते हैं और इनबाउंड SAML जोड़कर Okta को सेवा प्रदाता (SP) के रूप में कॉन्फ़िगर कर सकते हैं। IdPs जोड़ने के बाद, आप उपयोगकर्ता के स्थान, डिवाइस या ईमेल डोमेन जैसे संदर्भ के आधार पर उपयोगकर्ताओं को IdP पर निर्देशित करने के लिए रूटिंग नियम सेट कर सकते हैं।

यदि कोई पहचान प्रदाता कॉन्फ़िगर किया गया है तो हमलावर और रक्षक दोनों के दृष्टिकोण से उस कॉन्फ़िगरेशन की जांच करें और यदि स्रोत वास्तव में विश्वसनीय है क्योंकि एक हमलावर इसे समझौता करके Okta वातावरण तक भी पहुंच प्राप्त कर सकता है।

Delegated Authentication

Delegated authentication उपयोगकर्ताओं को उनके संगठन के Active Directory (AD) या LDAP सर्वर के लिए क्रेडेंशियल दर्ज करके Okta में साइन इन करने की अनुमति देता है।

फिर से, इसे पुनः जांचें, क्योंकि एक हमलावर जो किसी संगठन के AD से समझौता करता है, वह इस सेटिंग के लिए धन्यवाद Okta में पिवट करने में सक्षम हो सकता है।

Network

नेटवर्क ज़ोन एक कॉन्फ़िगर करने योग्य सीमा है जिसका उपयोग आप कंप्यूटर और डिवाइसों तक पहुंच प्रदान करने या प्रतिबंधित करने के लिए कर सकते हैं आपके संगठन में IP पते के आधार पर जो पहुंच का अनुरोध कर रहा है। आप एक नेटवर्क ज़ोन को एक या अधिक व्यक्तिगत IP पतों, IP पतों की श्रेणियों, या भौगोलिक स्थानों को निर्दिष्ट करके परिभाषित कर सकते हैं।

एक या अधिक नेटवर्क ज़ोन को परिभाषित करने के बाद, आप उन्हें ग्लोबल सत्र नीतियों, प्रमाणीकरण नीतियों, VPN अधिसूचनाओं और रूटिंग नियमों में उपयोग कर सकते हैं।

हमलावर के दृष्टिकोण से यह जानना दिलचस्प है कि कौन से Ps की अनुमति है (और जांचें कि क्या कोई IPs अधिक विशेषाधिकार प्राप्त हैं)। हमलावर के दृष्टिकोण से, यदि उपयोगकर्ताओं को किसी विशिष्ट IP पते या क्षेत्र से पहुंचना चाहिए तो जांचें कि इस सुविधा का सही उपयोग किया गया है।

Device Integrations

• एंडपॉइंट प्रबंधन: एंडपॉइंट प्रबंधन एक शर्त है जिसे एक प्रमाणीकरण नीति में लागू किया जा सकता है ताकि यह सुनिश्चित किया जा सके कि प्रबंधित डिवाइसों को एक ऐप्लिकेशन तक पहुंच प्राप्त हो।

• मैंने इसे अभी तक उपयोग करते हुए नहीं देखा है। TODO

• अधिसूचना सेवाएं: मैंने इसे अभी तक उपयोग करते हुए नहीं देखा है। TODO

API

आप इस पृष्ठ में Okta API टोकन बना सकते हैं, और देख सकते हैं कि कौन से बने हैं, उनके विशेषाधिकार, समाप्ति समय और मूल URLs। ध्यान दें कि एक API टोकन उस उपयोगकर्ता की अनुमतियों के साथ उत्पन्न होते हैं जिसने टोकन बनाया है और केवल तभी मान्य होते हैं जब उपयोगकर्ता जिसने उन्हें बनाया है सक्रिय है।

विश्वसनीय मूल उन वेबसाइटों को पहुंच प्रदान करते हैं जिन्हें आप नियंत्रित करते हैं और Okta API के माध्यम से आपके Okta संगठन तक पहुंचने के लिए भरोसा करते हैं।

वहां बहुत सारे API टोकन नहीं होने चाहिए, क्योंकि यदि हैं तो एक हमलावर उन्हें एक्सेस करने और उपयोग करने का प्रयास कर सकता है।

Workflow

Automations

स्वचालन आपको स्वचालित क्रियाएं बनाने की अनुमति देता है जो अंतिम उपयोगकर्ताओं के जीवनचक्र के दौरान होने वाली ट्रिगर शर्तों के एक सेट के आधार पर चलती हैं।

उदाहरण के लिए एक शर्त हो सकती है "Okta में उपयोगकर्ता निष्क्रियता" या "Okta में उपयोगकर्ता पासवर्ड समाप्ति" और क्रिया हो सकती है "उपयोगकर्ता को ईमेल भेजें" या "Okta में उपयोगकर्ता जीवनचक्र स्थिति बदलें"।

Reports

Reports

लॉग डाउनलोड करें। वे वर्तमान खाते के ईमेल पते पर भेजे जाते हैं।

System Log

यहां आप उपयोगकर्ताओं द्वारा किए गए कार्यों के लॉग पा सकते हैं जैसे Okta में लॉगिन या Okta के माध्यम से ऐप्लिकेशन में लॉगिन।

Import Monitoring

यह अन्य प्लेटफार्मों से लॉग आयात कर सकता है जो Okta के साथ एक्सेस किए गए हैं।

Rate limits

पहुंची गई API दर सीमाओं की जांच करें।

Settings

Account

यहां आप Okta वातावरण के बारे में सामान्य जानकारी पा सकते हैं, जैसे कंपनी का नाम, पता, ईमेल बिलिंग संपर्क, ईमेल तकनीकी संपर्क और यह भी कि Okta अपडेट कौन प्राप्त करना चाहिए और किस प्रकार के Okta अपडेट।

Downloads

यहां आप Okta एजेंटों को अन्य तकनीकों के साथ Okta को सिंक करने के लिए डाउनलोड कर सकते हैं।