Wenn Ihr Unternehmen von einem Sicherheitsvorfall betroffen ist, können Sie reagieren, indem Sie den programmgesteuerten Zugriff auf Ihr Unternehmen oder seine Organisationen verhindern.
Verfügbare Aktionen:
- Widerrufen Sie SSO-Autorisierungen , um den Zugriff auf SSO-geschützte Organisationsressourcen für Benutzeranmeldeinformationen in Ihrem Unternehmen zu entfernen.
- Löschen Sie Schlüssel und Token , um Benutzertoken und SSH-Schlüssel in Ihrem Unternehmen zu entfernen, auch wenn sie keine SSO-Autorisierung haben (Enterprise Managed Users nur).
Im Abschnitt "Authentifizierungssicherheit" Ihrer Unternehmenseinstellungen können Sie die Anzahl von Benutzertoken und Schlüsseln überprüfen, die für einmaliges Anmelden (Single Sign-On, SSO) autorisiert sind. Anschließend können Sie bei Bedarf Maßnahmen in Bezug auf Anmeldeinformationen ergreifen:
- Für einzelne Mitglieder: Widerrufen sie SSO-Autorisierungen oder löschen Sie Anmeldeinformationen für einen bestimmten Benutzer, wenn Sie auf einen gezielten Vorfall reagieren oder eine routinemäßige Zugriffsbereinigung durchführen.
- Für alle Mitglieder (Massenaktion): Ergreifen Sie Massenaktionen, um SSO-Autorisierungen zu widerrufen oder Anmeldeinformationen für alle Mitglieder zu löschen, wenn Sie auf einen wichtigen Sicherheitsvorfall reagieren.
Zugreifen auf die Authentifizierungssicherheitsseite
- Navigieren Sie zu Ihrem Unternehmen. Beispielsweise auf der Seite Unternehmen in GitHub.com.
- Klicken Sie oben auf der Seite auf "Einstellungen".
- Klicken Sie in der linken Randleiste auf "Authentifizierungssicherheit".
Überprüfen von Anmeldeinformationen
Im Abschnitt "Anmeldeinformationen" können Sie anzeigen, wie viele Anmeldeinformationen jedes Typs mindestens eine SSO-Autorisierung für eine Organisation in Ihrem Unternehmen besitzen. Weitere Informationen finden Sie unter Informationen zur Authentifizierung mit einmaligem Anmelden.
Die Anzahl umfasst:
- Fine-grained personal access tokens
- Personal access tokens (classic)
- Benutzer-SSH-Schlüssel
- GitHub App und OAuth app Benutzerzugriffstoken
Eine genaue Anzahl wird angezeigt, wenn 10.000 oder weniger eines Tokentyps vorhanden sind. Oberhalb dieser Abbildung wird die Beschreibung 10k+ tokens angezeigt.
Grundlegendes zu den verfügbaren Aktionen
In den folgenden Abschnitten wird beschrieben, was jede Aktion bewirkt, welche SSO-Autorisierungen oder Anmeldeinformationen betroffen sind, und zugehörige Überwachungsprotokollereignisse.
Hinweis
Wenn Ihr Unternehmen nichtEnterprise Managed Users verwendet und SAML-SSO nicht aktiviert hat, ist keine dieser Aktionen verfügbar. Alternativ können Sie, wenn Benutzer im Rahmen Ihrer Reaktion auf einen Sicherheitsvorfall personal access tokens ersetzen müssen, eine Unternehmensrichtlinie so konfigurieren, dass alle personal access tokens ablaufen. Weitere Informationen findest du unter Erzwingen von Richtlinien für persönliche Zugriffstoken in deinem Unternehmen.
Widerrufen von SSO-Autorisierungen
Diese Aktion ist für Enterprise Managed Users oder Unternehmen verfügbar, die SAML-SSO verwenden.
Durch das Widerrufen von Autorisierungen werden SSO-Autorisierungen für Benutzertoken und SSH-Schlüssel entfernt, entweder für einen bestimmten Benutzer oder für alle Organisationen in Ihrem Unternehmen.
- Anmeldeinformationen, denen die SSO-Berechtigungen entzogen wurden, können für die betroffenen Organisationen nicht erneut autorisiert werden. Um den Zugriff wiederherzustellen, müssen Benutzer neue Anmeldeinformationen erstellen und autorisieren.
- Die Anmeldeinformationen selbst werden nicht gelöscht, und ihre Berechtigungen für benutzer- und Unternehmensbereiche sowie für nicht SSO-geschützte Organisationen bleiben aktiv.
- Anmeldeinformationen, die für SSO nicht autorisiert wurden, sind nicht betroffen.
Die Autorisierung für fine-grained personal access tokens funktioniert anders, sodass diese Aktion einen anderen Effekt auf diesen Tokentyp hat. Bei differenzierten PATs, bei denen eine Organisation der "Ressourcenbesitzer" ist, führt die Entfernung des Ressourcenbesitzers zur Aufhebung des Zugriffs auf Organisationsressourcen. Benutzer können den Ressourcenbesitzer zurück auf das Organisationskonto ändern, was eventuell genehmigt werden muss (siehe Erzwingen von Richtlinien für persönliche Zugriffstoken in deinem Unternehmen).
Löschen von Schlüsseln und Token
Diese Aktion ist nur für Enterprise Managed Users verfügbar.
Durch das Löschen von Schlüsseln und Token werden Anmeldeinformationen entfernt, die Zugriff auf Ihr Unternehmen haben, entweder für einen bestimmten Benutzer oder für alle Benutzer, unabhängig davon, ob sie für SSO autorisiert sind. Die Anmeldeinformationen funktionieren nicht mehr und sind auf der Benutzeroberfläche nicht mehr sichtbar.
Um den programmgesteuerten Zugriff wiederherzustellen, müssen Benutzer neue Anmeldeinformationen erstellen, sie bei Bedarf mit Organisationen autorisieren und betroffene Prozesse aktualisieren, um die neuen Anmeldeinformationen zu verwenden.
Eingeschlossene Anmeldeinformationen
Beide Aktionen umfassen die folgenden Anmeldeinformationstypen:
- Benutzer-SSH-Schlüssel
- OAuth apps Benutzerzugriffstoken (
ghu_) - GitHub App Benutzerzugriffstoken
- Personal access tokens (classic)
- Fine-grained personal access tokens
Beachten Sie, dass die Aktion „Autorisierungen widerrufen“ für fine-grained personal access tokens anders funktioniert, wie oben erläutert.
Die folgenden Anmeldeinformationstypen sind nicht betroffen:
- GitHub App Installationstoken (
ghs_) - Fine-grained personal access tokens
- Schlüssel bereitstellen
- GitHub Actions
GITHUB_TOKENZugriff
Überwachungs- und Sicherheitsprotokollereignisse
Die Aktion "Autorisierung widerrufen" generiert die folgenden Ereignisse:
org_credential_authorization.deauthorizeorg_credential_authorization.revokepersonal_access_token.access_revoked
Die Aktion "Löschtoken" generiert auch diese Ereignisse und generiert zusätzlich die folgenden Ereignisse:
oauth_access.destroypersonal_access_token.destroy
Ergreifen von Maßnahmen gegen einzelne Mitglieder
Sie können SSO-Autorisierungen widerrufen oder Anmeldeinformationen für einen bestimmten Benutzer löschen. Dies ist hilfreich für die Reaktion auf Vorfälle, die sich auf einzelne Konten auswirken, z. B. ein kompromittiertes Konto oder verlorene Hardware, oder für die Routinezugriffsbereinigung.
Widerrufen von Autorisierungen für einen bestimmten Benutzer
- Navigieren Sie zu Ihrem Unternehmen. Beispielsweise auf der Seite Unternehmen in GitHub.com.
- Klicken Sie oben auf der Seite auf "Einstellungen".
- Klicken Sie in der linken Randleiste auf "Authentifizierungssicherheit".
- Klicken Sie im Abschnitt „Gefahrenbereich“ auf „Widerrufen für ▼“ und dann auf „Ein bestimmter Benutzer“.
- Wählen Sie den Benutzer aus, dessen Autorisierungen Sie widerrufen möchten.
- Geben Sie
USERNAME credentialszur Bestätigung (ersetzenUSERNAMESie den Benutzernamen des Benutzers) ein. - Klicken Sie auf "Autorisierungen widerrufen".
Löschen von Anmeldeinformationen für einen bestimmten Benutzer
Diese Aktion ist nur für Enterprise Managed Users verfügbar.
- Navigieren Sie zu Ihrem Unternehmen. Beispielsweise auf der Seite Unternehmen in GitHub.com.
- Klicken Sie oben auf der Seite auf "Einstellungen".
- Klicken Sie in der linken Randleiste auf "Authentifizierungssicherheit".
- Klicken Sie im Abschnitt „Gefährlicher Bereich“ auf „Löschen für ▼“ und dann auf „Ein bestimmter Benutzer“.
- Wählen Sie den Benutzer aus, dessen Anmeldeinformationen Sie löschen möchten.
- Geben Sie
USERNAME credentialszur Bestätigung (ersetzenUSERNAMESie den Benutzernamen des Benutzers) ein. - Klicken Sie auf "Schlüssel und Token löschen".
Massenaktion für alle Mitglieder durchführen
Verwenden Sie die Aktionsschaltflächen "Gefahrzone ", um auf einen wichtigen Sicherheitsvorfall zu reagieren, indem Sie maßnahmen gegen alle Mitglieder Ihres Unternehmens ergreifen.
Warnung
Massenaktionen sind Aktionen mit hohem Einfluss, die für wichtige Sicherheitsvorfälle reserviert werden sollten. Wahrscheinlich brechen sie Automatisierungen, und es kann Monate dauern, bis Der ursprüngliche Zustand wiederhergestellt wird.
Widerrufen von Autorisierungen für alle Mitglieder
- Navigieren Sie zu Ihrem Unternehmen. Beispielsweise auf der Seite Unternehmen in GitHub.com.
- Klicken Sie oben auf der Seite auf "Einstellungen".
- Klicken Sie in der linken Randleiste auf "Authentifizierungssicherheit".
- Klicken Sie im Abschnitt „Gefahrenbereich“ für ▼ auf Widerrufen, und klicken Sie dann auf Alle Benutzer.
- Lesen Sie die Warnung über die Auswirkungen dieser Aktion.
- Geben Sie zum Bestätigen den Namen Ihres Unternehmens ein.
- Klicken Sie auf "Autorisierungen widerrufen".
Löschen der Anmeldedaten aller Mitglieder
Diese Aktion ist nur für Enterprise Managed Users verfügbar.
- Navigieren Sie zu Ihrem Unternehmen. Beispielsweise auf der Seite Unternehmen in GitHub.com.
- Klicken Sie oben auf der Seite auf "Einstellungen".
- Klicken Sie in der linken Randleiste auf "Authentifizierungssicherheit".
- Klicken Sie im Abschnitt „Gefahrenbereich“ auf Löschen für ▼ und klicken Sie dann auf Alle Benutzer.
- Lesen Sie die Warnung über die Auswirkungen dieser Aktion.
- Geben Sie zum Bestätigen den Namen Ihres Unternehmens ein.
- Klicken Sie auf "Schlüssel und Token löschen".
Ressourcen für kleinere Antworten
In den folgenden Artikeln werden alternative Aktionen zum Verwalten von Vorfällen beschrieben, die kleiner im Bereich sind, in denen Sie bestimmte kompromittierte Token oder Benutzerkonten identifizieren können.