Widerrufen von SSO-Autorisierungen oder Löschen von Anmeldeinformationen in Ihrem Unternehmen

Reagiere auf einen Sicherheitsvorfall, indem du Massenaktionen für Anmeldeinformationen mit Zugriff auf dein Unternehmen durchführst.

Wer kann dieses Feature verwenden?

Enterprise owners and users with the "Manage enterprise credentials" fine-grained permission

Enterprises with managed users, or enterprises that have enabled SAML SSO for the enterprise or its organizations

In diesem Artikel

Wenn Ihr Unternehmen von einem großen Sicherheitsvorfall betroffen ist, können Sie reagieren, indem Sie den programmgesteuerten Zugriff auf Ihr Unternehmen oder seine Organisationen verhindern.

Im Abschnitt "Authentifizierungssicherheit" Ihrer Unternehmenseinstellungen können Sie die Anzahl von Benutzertoken und Schlüsseln überprüfen, die für einmaliges Anmelden (Single Sign-On, SSO) autorisiert sind. Wenn erforderlich, können Sie dann eine der folgenden Massenaktionen in der "Gefahrenzone" verwenden:

  • Widerrufen Sie SSO-Autorisierungen , um den Zugriff auf SSO-geschützte Organisationsressourcen für Benutzeranmeldeinformationen in Ihrem Unternehmen zu entfernen.
  • Löschen Sie Schlüssel und Token , um Benutzertoken und SSH-Schlüssel in Ihrem Unternehmen zu entfernen, auch wenn sie keine SSO-Autorisierung besitzen (Enterprise Managed Users).

Warnung

Hierbei handelt es sich um Aktionen mit hohem Einfluss, die für wichtige Sicherheitsvorfälle reserviert werden sollten. Wahrscheinlich brechen sie Automatisierungen, und es kann Monate dauern, bis Der ursprüngliche Zustand wiederhergestellt wird. Alternative Optionen zum Reagieren auf einzelne kompromittierte Token in kleinerem Maßstab finden Sie im Abschnitt "Ressourcen für kleinere Antworten ".

Zugreifen auf die Authentifizierungssicherheitsseite

  1. Navigieren Sie zu Ihrem Unternehmen. Beispielsweise auf der Seite Unternehmen in GitHub.com.
  2. Klicke oben auf der Seite auf Settings.
  3. Klicken Sie in der linken Randleiste auf "Authentifizierungssicherheit".

Überprüfen von Anmeldeinformationen

Im Abschnitt "Anmeldeinformationen" können Sie anzeigen, wie viele Anmeldeinformationen jedes Typs mindestens eine SSO-Autorisierung für eine Organisation in Ihrem Unternehmen besitzen. Weitere Informationen finden Sie unter Informationen zur Authentifizierung mit einmaligem Anmelden.

Die Anzahl umfasst:

  • Fine-grained personal access tokens
  • Personal access tokens (classic)
  • Benutzer-SSH-Schlüssel
  • GitHub App und OAuth app-Benutzerzugriffstoken

Eine genaue Anzahl wird angezeigt, wenn 10.000 oder weniger eines Tokentyps vorhanden sind. Oberhalb dieser Abbildung wird die Beschreibung 10k+ tokens angezeigt.

Massenaktionen vornehmen (Gefahrenbereich)

Verwenden Sie bei Bedarf die Massenaktionsschaltflächen der Gefahrenzone, um auf einen Sicherheitsvorfall zu reagieren. In den folgenden Abschnitten werden die einzelnen Aktionen beschrieben, für die SSO-Autorisierungen oder Anmeldeinformationen betroffen sind, und zugehörige Überwachungsprotokollereignisse.

Hinweis

Wenn dein Unternehmen nicht Enterprise Managed Users verwendet und nicht SAML SSO aktiviert hat, ist keine dieser Aktionen verfügbar. Wenn Benutzer personal access tokens im Rahmen deiner Vorfallreaktion ersetzen müssen, kannst du als Alternative eine Unternehmensrichtlinie konfigurieren, durch die alle personal access tokens ablaufen. Weitere Informationen findest du unter Erzwingen von Richtlinien für persönliche Zugriffstoken in deinem Unternehmen.

Widerrufen von SSO-Autorisierungen

Diese Aktion ist für Enterprise Managed Users oder Unternehmen verfügbar, die SAML SSO verwenden.

Durch das Widerrufen von Autorisierungen werden SSO-Autorisierungen für Benutzertoken und SSH-Schlüssel in allen Organisationen in Ihrem Unternehmen entfernt.

  • Anmeldeinformationen, denen die SSO-Berechtigungen entzogen wurden, können für die betroffenen Organisationen nicht erneut autorisiert werden. Um den Zugriff wiederherzustellen, müssen Benutzer neue Anmeldeinformationen erstellen und autorisieren.
  • Die Anmeldeinformationen selbst werden nicht gelöscht, und ihre Berechtigungen für benutzer- und Unternehmensbereiche sowie für nicht SSO-geschützte Organisationen bleiben aktiv.
  • Anmeldeinformationen, die für SSO nicht autorisiert wurden, sind nicht betroffen.

Die Autorisierung für fine-grained personal access tokens funktioniert anders, sodass diese Aktion eine andere Auswirkung auf diesen Tokentyp hat. Bei differenzierten PATs, bei denen eine Organisation der "Ressourcenbesitzer" ist, führt die Entfernung des Ressourcenbesitzers zur Aufhebung des Zugriffs auf Organisationsressourcen. Benutzer können den Ressourcenbesitzer zurück auf das Organisationskonto ändern, was eventuell genehmigt werden muss (siehe Erzwingen von Richtlinien für persönliche Zugriffstoken in deinem Unternehmen).

Löschen von Schlüsseln und Token

Diese Aktion ist nur für Enterprise Managed Users verfügbar.

Durch das Löschen von Schlüsseln und Token werden Anmeldeinformationen entfernt, die Zugriff auf Ihr Unternehmen haben, unabhängig davon, ob sie für SSO autorisiert sind. Die Anmeldeinformationen funktionieren nicht mehr und sind auf der Benutzeroberfläche nicht mehr sichtbar.

Um den programmgesteuerten Zugriff wiederherzustellen, müssen Benutzer neue Anmeldeinformationen erstellen, sie bei Bedarf mit Organisationen autorisieren und betroffene Prozesse aktualisieren, um die neuen Anmeldeinformationen zu verwenden.

Eingeschlossene Anmeldeinformationen

Beide Aktionen umfassen die folgenden Anmeldeinformationstypen:

  • Benutzer-SSH-Schlüssel
  • OAuth apps Zugangstoken für Benutzer (ghu_)
  • GitHub App-Benutzerzugriffstoken
  • Personal access tokens (classic)
  • Fine-grained personal access tokens

Beachten Sie, dass die Aktion "Autorisierung widerrufen" für fine-grained personal access tokens, wie oben erläutert, anders funktioniert.

Die folgenden Anmeldeinformationstypen sind nicht betroffen:

  • GitHub App Installationstoken (ghs_)
  • Fine-grained personal access tokens
  • Schlüssel bereitstellen
  • GitHub Actions GITHUB_TOKEN Zugang

Überwachungs- und Sicherheitsprotokollereignisse

Die Aktion "Autorisierung widerrufen" generiert die folgenden Ereignisse:

  • org_credential_authorization.deauthorize
  • org_credential_authorization.revoke
  • personal_access_token.access_revoked

Die Aktion "Löschtoken" generiert auch diese Ereignisse und generiert zusätzlich die folgenden Ereignisse:

  • oauth_access.destroy
  • personal_access_token.destroy

Ressourcen für kleinere Antworten

In den folgenden Artikeln werden alternative Aktionen zum Verwalten von Vorfällen beschrieben, die kleiner im Bereich sind, in denen Sie bestimmte kompromittierte Token oder Benutzerkonten identifizieren können.