Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
In diesem Thema wird die Bedrohungsmodellanalyse (Threat Model Analysis, TMA) für das Enterprise Single-Sign-On-Szenario der Beispielarchitektur erläutert.
Die folgende Abbildung zeigt die Basisbeispielarchitektur, die das Szenario "Enterprise Single Sign-On" enthält.
Abbildung 1 Basisbeispielarchitektur, die das Szenario "Enterprise Single Sign-On" enthält
Schritt 1. Sammeln von Hintergrundinformationen (Einzelnes Unternehmen Sign-On-Szenario)
Dieser Abschnitt enthält das Datenflussdiagramm (DFD) zur Verwendung des "Enterprise Single Sign-On"-Szenarios, wenn Sie Windows-Anmeldeinformationen den Anmeldeinformationen zuordnen, die Sie für die Verbindung zu einem Back-End-Netzwerk verwenden.
Alle anderen Hintergrundinformationen sind für alle unsere Nutzungsszenarien identisch und werden zuvor unter "Hintergrundinformationen für Beispielszenarien" beschrieben.
Datenfluss Diagramm
Die folgende Abbildung zeigt das DFD für das Szenario "Enterprise Single Sign-On".
Abbildung 2 DFD für das Unternehmensszenario "Single Sign-On"
Der Datenfluss lautet wie folgt:
Der Benutzer oder die Anwendung meldet sich mit Windows-Anmeldeinformationen an.
Enterprise Single Sign-On verwendet die Windows-Anmeldeinformationen, um die Anmeldeinformationen für das Back-End-Netzwerk anzufordern.
Enterprise Single Sign-On ordnet die Windows-Anmeldeinformationen den in der SSO-Datenbank gespeicherten Back-End-Anmeldeinformationen zu.
Enterprise Single Sign-On ruft die Back-End-Anmeldeinformationen ab und verwendet diese, um den Benutzer oder die Anwendung mit dem Back-End-Netzwerk zu verbinden.
Schritt 2. Erstellen und Analysieren des Bedrohungsmodells (Enterprise Single Sign-On Scenario)
Dieser Abschnitt enthält die Ergebnisse der TMA, die wir für das Szenario "Enterprise Single Sign-On" für die Beispielarchitektur ausgeführt haben.
Identifizieren von Einstiegspunkten, Vertrauensgrenzen und Datenfluss – Informationen zu Hintergrundinformationen finden Sie weiter oben in Schritt 1 und in Hintergrundinformationen für Beispielszenarien.
Erstellen Sie eine Liste der identifizierten Bedrohungen – Wir haben die folgende Kategorisierung für alle Einträge im DFD verwendet, um potenzielle Bedrohungen für das Szenario zu identifizieren: Identitätstäuschung, Manipulation von Daten, Abstreiten, Informationsoffenlegung, Dienstverweigerung und Erhöhung der Berechtigungen. In der folgenden Tabelle sind die Bedrohungen aufgeführt, die wir identifiziert haben, wenn Sie Enterprise Single Sign-On (SSO) zum Senden und Empfangen von Nachrichten an und von BizTalk Server verwenden.
Tabelle 1 Liste der identifizierten Bedrohungen
| Bedrohung | BESCHREIBUNG | Vermögenswert | Auswirkung |
|---|---|---|---|
| Der Master-Secret-Server ist ein einzelner Ausfallpunkt. | Wenn ein böswilliger Benutzer den Geheimschlüsselserver kompromittiert, kann der SSO-Computer keine Anmeldeinformationen verschlüsseln (sie kann die Entschlüsselung von Anmeldeinformationen fortsetzen). | BizTalk Server und SSO-Umgebung | Denial of Service |
| Ein böswilliger Benutzer kann einen Client oder Server spoofen | Wenn ein Client oder Server Windows ohne NTLM-Authentifizierung ausführt, kann ein böswilliger Benutzer den Client oder server spoofen. | BizTalk Server und SSO-Umgebung | Spoofingidentität Tampering with data (Datenfälschung/-manipulation) Nichtanerkennung Veröffentlichung von Informationen Denial of Service Erhöhung von Zugriffsrechten |
| Ein böswilliger Benutzer kann die Daten manipulieren, während er von einem Server zu einem anderen wechselt. | Die Kommunikation zwischen Servern befindet sich in klarem Text, und ein böswilliger Benutzer kann die Daten möglicherweise lesen, während er unterwegs ist. | Daten | Tampering with data (Datenfälschung/-manipulation) Veröffentlichung von Informationen |
Schritt 3. Bedrohungen überprüfen (Enterprise Single Sign-On Sign-On Szenario)
Dieser Abschnitt enthält die Ergebnisse der Risikoanalyse, die wir für Bedrohungen ausgeführt haben, die wir für das SSO-Szenario (Enterprise Single Sign-On) für die Referenzarchitektur identifiziert haben. Nach der Hauptbesprechung des Bedrohungsmodells haben wir die Bedrohungen überprüft und die folgenden Auswirkungskategorien verwendet, um das Risiko für jede Bedrohung zu identifizieren: Damage-Potenzial, Reproduzierbarkeit, Ausnutzbarkeit, Betroffene Benutzer und Auffindbarkeit.
In der folgenden Tabelle sind die Risikobewertungen für die Bedrohungen aufgeführt, die wir identifiziert haben, wenn Sie Enterprise Single Sign-On zum Senden und Empfangen von Nachrichten an und von BizTalk Server verwenden.
Tabelle 2 Risikobewertung identifizierter Bedrohungen
| Bedrohung | Auswirkung | Schadenspotenzial | Reproduzierbarkeit | Ausnutzbarkeit | Betroffene Benutzer | Auffindbarkeit | Risikoexposition |
|---|---|---|---|---|---|---|---|
| Der Master-Secret-Server ist ein einzelner Ausfallpunkt. | Denial of Service | 2 | 3 | 2 | 1 | 2 | 2 |
| Ein böswilliger Benutzer kann einen Client oder Server spoofen | Spoofingidentität Tampering with data (Datenfälschung/-manipulation) Nichtanerkennung Veröffentlichung von Informationen Denial of Service Erhöhung von Zugriffsrechten |
3 | 2 | 2 | 2 | 1 | 2 |
| Ein böswilliger Benutzer kann die Daten manipulieren, während er von einem Server zu einem anderen wechselt. | Tampering with data (Datenfälschung/-manipulation) Veröffentlichung von Informationen |
3 | 1 | 1 | 2 | 1 | 1.6 |
Schritt 4. Techniken zur Schadensbegrenzung im Unternehmensszenario Einzel Sign-On identifizieren.
In diesem Abschnitt werden einige Gegenmaßnahmen für die Bedrohungen erläutert, die wir für das Szenario für enterprise Single Sign-On für die Beispielarchitektur identifiziert haben.
In der folgenden Tabelle sind die Minderungstechniken und -technologien für die Bedrohungen aufgeführt, die wir beim Einsatz des Unternehmens-Single-Sign-On identifiziert haben.
Tabelle 3 Gegenmaßnahmen und -technologien
| Bedrohung | Auswirkung | Risikoexposition | Entschärfungstechniken und -technologien |
|---|---|---|---|
| Der Master-Secret-Server ist ein einzelner Ausfallpunkt. | Denial of Service | 2 | Verwenden Sie eine aktiv-passive Clusterkonfiguration für den geheimen Masterserver. Weitere Informationen zum Clustering des Master-Geheimservers finden Sie unter High Availability for Enterprise Single Sign-On. |
| Ein böswilliger Benutzer kann einen Client oder Server spoofen | Spoofingidentität Tampering with data (Datenfälschung/-manipulation) Nichtanerkennung Veröffentlichung von Informationen Denial of Service Erhöhung von Zugriffsrechten |
2 | Wenn Ihr Netzwerk die Kerberos-Authentifizierung unterstützt, sollten Sie alle SSO-Server registrieren. Wenn Sie die Kerberos-Authentifizierung zwischen dem geheimen Masterschlüsselserver und der SSO-Datenbank verwenden, müssen Sie Dienstprinzipalnamen (Service Principal Names, SPN) auf dem SQL Server konfigurieren, auf dem sich die SSO-Datenbank befindet. Weitere Informationen zum Konfigurieren von Dienstprinzipalnamen finden Sie auf der Microsoft TechNet-Website unter https://go.microsoft.com/fwlink/?LinkId=61374. |
| Ein böswilliger Benutzer kann die Daten manipulieren, während er von einem Server zu einem anderen wechselt. | Tampering with data (Datenfälschung/-manipulation) Veröffentlichung von Informationen |
1.6 | Verwenden Sie internet protocol security (IPsec) oder Secure Sockets Layer (SSL) zwischen allen SSO-Servern und der SSO-Datenbank. Weitere Informationen zu SSL finden Sie auf der Microsoft-Hilfe- und Supportwebsite unter https://go.microsoft.com/fwlink/?LinkID=189708. Weitere Informationen zur Verwendung von SSL zwischen allen SSO-Servern und der SSO-Datenbank finden Sie unter How to Enable SSL for SSO. |
Siehe auch
Beispielszenarien für Die BedrohungsmodellanalysefürBeispielarchitekturen für kleine und Medium-Sized Unternehmen