Freigeben über


Beispiel-TMA: Dateiadapter

In diesem Thema wird die Bedrohungsmodellanalyse (Threat Model Analysis, TMA) für das Dateiadapterszenario für die Beispielarchitektur erläutert. Die folgende Abbildung zeigt die Beispielarchitektur für das Dateiadapterszenario.

Abbildung 1 Beispielarchitektur für das Dateiadapterszenario

Beispielarchitektur für Dateiadapter

Schritt 1. Sammeln von Hintergrundinformationen (Dateiadapterszenario)

Dieser Abschnitt enthält das Datenflussdiagramm (DFD) für das Dateiadapterszenario für die Beispielarchitektur.

Alle anderen Hintergrundinformationen sind für alle unsere Nutzungsszenarien identisch und werden zuvor unter "Hintergrundinformationen für Beispielszenarien" beschrieben.

Datenfluss Diagramm

Die folgende Abbildung zeigt das DFD für die Beispielarchitektur, wenn Sie den Dateiadapter verwenden.

Abbildung 2 DFD für die Beispielarchitektur des Dateiadapterszenarios

Beispielarchitektur für DFD

Der Datenfluss lautet wie folgt:

  1. Ein Partner platziert eine Nachricht (über Firewall 1) auf dem Dateiserver im Intranetperimeternetzwerk.

  2. Eine Instanz eines In-Process-Hosts für den Datei-Empfangsadapter fragt regelmäßig den Dateiserver nach neuen Nachrichten ab (durch Firewall 2). Nachdem eine neue Nachricht gefunden wurde, ruft sie die Nachricht ab, führt jede anfängliche Verarbeitung durch und fügt die Nachricht in die MessageBox-Datenbank ein.

  3. Eine Instanz des Verarbeitungshosts, die über ein Abonnement für die Nachricht verfügt, übernimmt sie aus der MessageBox-Datenbank, führt jede zusätzliche Verarbeitung durch und fügt die Nachricht in die MessageBox-Datenbank zurück.

  4. Eine Instanz des In-Process-Hosts mit einem Datei-Sendeadapter übernimmt die Nachricht aus der MessageBox-Datenbank. Die Nachricht durchläuft alle endgültigen Verarbeitungen in der Sendepipeline und wird dann über Firewall 2 an den Dateiserver gesendet.

  5. Der Partner nimmt die Nachricht vom Dateiserver ab.

Schritt 2. Erstellen und Analysieren des Bedrohungsmodells (Dateiadapterszenario)

Dieser Abschnitt enthält die Ergebnisse des TMA, das wir für das Dateiadapterszenario für die Beispielarchitektur ausgeführt haben.

  • Identifizieren von Einstiegspunkten, Vertrauensgrenzen und Datenfluss - Hintergrundinformationen finden Sie weiter oben unter "Sammeln von Hintergrundinformationen für das Dateiadapterszenario" und "Hintergrundinformationen für alle Szenarien".

  • Erstellen einer Liste der identifizierten Bedrohungen - Wir haben die folgende Kategorisierung für alle Einträge im DFD verwendet, um potenzielle Bedrohungen für das Szenario zu identifizieren: Identitätsverschleierung, Manipulation von Daten, Abstreitbarkeit, Informationsfreigabe, Dienstverweigerung und Erhöhung von Berechtigungen. In der folgenden Tabelle sind die Bedrohungen aufgeführt, die wir identifiziert haben, wenn Sie den Dateiadapter zum Senden und Empfangen von Nachrichten an und von BizTalk Server verwenden.

    Tabelle 1 Liste der identifizierten Bedrohungen

Bedrohung BESCHREIBUNG Vermögenswert Auswirkung
Nicht autorisierter Benutzer kann Nachrichten aus dem Ordner "Dateiablage" abrufen. Wenn Sie für die von dem Dateiadapter verwendeten Ordner keine starken ermessensberechtigten Zugriffslisten (DACLs) festgelegt haben, kann ein nicht autorisierter Benutzer Nachrichten am Speicherort des Dateieingangs ablegen oder Nachrichten vom Speicherort für das Senden der Datei abrufen. Nachrichtentext Tampering with data (Datenfälschung/-manipulation)

Veröffentlichung von Informationen
Nicht autorisierter Benutzer kann Nachrichten an BizTalk Server senden Wenn ein Benutzer über Schreibberechtigungen für den Dateiordner verfügt, aus dem BizTalk Server Nachrichten einnimmt, kann ein nicht autorisierter Benutzer Nachrichten an BizTalk Server senden. Nachrichtentext Denial of Service

Erhöhung von Zugriffsrechten

Schritt 3. Bedrohungen überprüfen (Dateiadapterszenario)

Dieser Abschnitt enthält die Ergebnisse der Risikoanalyse, die wir für Bedrohungen ausgeführt haben, die wir für das Dateiadapterszenario für die Beispielarchitektur identifiziert haben. Nach der Hauptbesprechung des Bedrohungsmodells haben wir die Bedrohungen überprüft und die folgenden Auswirkungskategorien verwendet, um das Risiko für jede Bedrohung zu identifizieren: DAmage potential, Reproducibility, Exploitability, Ainfizierte Benutzer und Discoverability.

In der folgenden Tabelle sind die Risikobewertungen für die Bedrohungen aufgeführt, die wir identifiziert haben, wenn Sie den Dateiadapter zum Senden und Empfangen von Nachrichten an und von BizTalk Server verwenden.

Tabelle 2 Risikobewertungen für identifizierte Bedrohungen

Bedrohung Auswirkung Schadenspotenzial Reproduzierbarkeit Ausnutzbarkeit Betroffene Benutzer Auffindbarkeit Risikoexposition
Nicht autorisierter Benutzer kann Nachrichten aus dem Ordner "Dateiablage" abrufen. Tampering with data (Datenfälschung/-manipulation)

Veröffentlichung von Informationen
4 7 5 4 6 5.2
Nicht autorisierter Benutzer kann Nachrichten an BizTalk Server senden Denial of Service

Erhöhung von Zugriffsrechten
4 7 5 4 5 5.2

Schritt 4. Identifizieren Sie Minderungsmaßnahmen (Dateiadapterszenario)

In diesem Abschnitt werden einige Gegenmaßnahmen für die Bedrohungen beschrieben, die wir für das Dateiadapterszenario für die Beispielarchitektur identifiziert haben.

In der folgenden Tabelle sind die Techniken und Technologien zur Bedrohungsmitigation aufgeführt, die wir identifiziert haben, wenn Sie den Dateiadapter zum Senden und Empfangen von Nachrichten an und von BizTalk Server verwenden.

Tabelle 3 Gegenmaßnahmen und -technologien

Bedrohung Auswirkung Risikoexposition Entschärfungstechniken und -technologien
Nicht autorisierter Benutzer kann Nachrichten aus dem Ordner "Dateiablage" abrufen. Tampering with data (Datenfälschung/-manipulation)

Veröffentlichung von Informationen
5.2 Verwenden Sie für den Ordner, aus dem BizTalk Server Nachrichten abholt, eine starke, diskretionäre Zugriffsliste (DACL) folgendermaßen:

Für das Dienstkonto der Hostinstanz, die den Empfangsadapter ausführt, setzen Sie Lese-, Schreib-, Datei- und Unterordnerlöschberechtigungen für das Verzeichnis, aus dem der Dateiempfangsbereich Nachrichten abruft.
– Legen Sie für den externen Benutzer oder die Anwendung, die Dateien in diesen Ordner ablegt, Schreibberechtigungen fest.
– Legen Sie für die Gruppe "BizTalk-Administratoren" den Vollzugriff fest.

Verwenden Sie für den Ordner, in dem BizTalk Server Nachrichten ablegt, eine starke DACL und gehen Sie dabei wie folgt vor:

– Legen Sie die Schreibberechtigungen für das Dienstkonto der Host-Instanz fest, die den Sendeadapter ausführt.
– Legen Sie für den externen Benutzer oder die externe Anwendung, die Dateien in diesen Ordner ablegt, Leseberechtigungen fest.
– Legen Sie für die Gruppe "BizTalk-Administratoren" den Vollzugriff fest.
Nicht autorisierter Benutzer kann Nachrichten an BizTalk Server senden Denial of Service

Erhöhung von Zugriffsrechten
5.2 Legen Sie starke DACLs in die Ablageverzeichnisse der Empfangsorte fest, wie bereits erwähnt.

Siehe auch

Analyse des Bedrohungsmodells
Beispielszenarien für die Analyse des Bedrohungsmodells
Beispielarchitekturen für kleine und Medium-Sized Unternehmen