示例 TMA:企业单一登录
本主题对示例结构的企业单一登录方案进行威胁模型分析 (TMA)。
下图显示了基本示例体系结构,其中包括企业单一 Sign-On 方案。
图 1 包含企业单一 Sign-On 方案的基本示例体系结构
步骤 1。 (企业单一 Sign-On 方案) 收集背景信息
本部分提供数据流关系图 (DFD) ,以便在将 Windows 凭据映射到用于连接到后端网络的凭据时使用企业单一 Sign-On 方案。
对于我们的所有使用方案,所有其他背景信息都是相同的,并且之前在 示例方案的背景信息中有所介绍。
数据流图
下图显示了企业单一 Sign-On 方案的 DFD。
图 2 企业单一 Sign-On 方案的 DFD
数据流如下所示:
用户或应用程序使用 Windows 凭据登录。
企业单一 Sign-On 使用 Windows 凭据请求后端网络的凭据。
企业单一 Sign-On 将 Windows 凭据映射到存储在 SSO 数据库中的后端凭据。
企业单一 Sign-On 检索后端凭据,并使用它们将用户或应用程序连接到后端网络。
步骤 2。 创建和分析企业单一 Sign-On 方案 (威胁模型)
本部分提供针对示例体系结构的企业单一 Sign-On 方案的 TMA 的结果。
标识入口点、信任边界和数据流 - 请参阅步骤 1 和 示例方案的背景信息中所述的背景信息。
创建已识别的威胁列表 - 我们对 DFD 中的所有条目使用以下分类来识别方案的潜在威胁:欺骗标识、Tamping 与数据、Repudiation、Information 披露、服务的 D和 E权限的征用。 下表列出了使用企业单一 Sign-On (SSO) 发送和接收BizTalk Server消息时发现的威胁。
表 1 威胁分类列表
| 威胁 | 说明 | 资产 | 影响 |
|---|---|---|---|
| 主机密服务器是单一故障点 | 如果恶意用户入侵主机密服务器,则 SSO 计算机无法加密凭据, (它能够继续) 解密凭据。 | BizTalk Server 和 SSO 环境 | 拒绝服务 |
| 恶意用户可以欺骗客户端或服务器 | 如果客户端或服务器在没有 NTLM 身份验证的情况下运行 Windows,则恶意用户可能会欺骗客户端或服务器。 | BizTalk Server 和 SSO 环境 | 欺骗身份 篡改数据 否认 信息泄露 拒绝服务 E,表示特权提升 |
| 恶意用户在数据从一台服务器传送到另一台服务器时可能会篡改数据 | 服务器之间的通信以明文形式显示,恶意用户可能会在数据移动时读取数据。 | 数据 | 篡改数据 信息泄露 |
步骤 3。 查看威胁 (企业单一 Sign-On 方案)
本部分提供针对参考体系结构的企业单一 Sign-On (SSO) 方案确定的威胁的风险分析结果。 在main威胁模型会议之后,我们查看了威胁,并使用以下影响类别来确定每个威胁的风险:Damage 潜在风险、R可生产性、Exploitability、Affected 用户和 D可恢复性。
下表列出了在使用企业单一 Sign-On 向BizTalk Server发送和接收消息时确定的威胁的风险评级。
表 2 已识别威胁的风险评级
| 威胁 | 影响 | 潜在损害 | 可再现性 | 可利用性 | 受影响的用户 | 可发现性 | 风险度 |
|---|---|---|---|---|---|---|---|
| 主机密服务器是单一故障点 | 拒绝服务 | 2 | 3 | 2 | 1 | 2 | 2 |
| 恶意用户可以欺骗客户端或服务器 | 欺骗身份 篡改数据 否认 信息泄露 拒绝服务 E,表示特权提升 |
3 | 2 | 2 | 2 | 1 | 2 |
| 恶意用户在数据从一台服务器传送到另一台服务器时可能会篡改数据 | 篡改数据 信息泄露 |
3 | 1 | 1 | 2 | 1 | 1.6 |
步骤 4. 确定企业单一 Sign-On 方案 (缓解技术)
本部分介绍针对示例体系结构的企业单一 Sign-On 方案确定的威胁的一些缓解技术。
下表列出了在使用企业单一登录时发现的威胁的缓解技术和技术。
表 3 缓解措施
| 威胁 | 影响 | 风险度 | 缓解措施 |
|---|---|---|---|
| 主机密服务器是单一故障点 | 拒绝服务 | 2 | 对主机密服务器使用主动-被动群集配置。 有关聚类分析主机密服务器的详细信息,请参阅企业单一登录的高可用性。 |
| 恶意用户可以欺骗客户端或服务器 | 欺骗身份 篡改数据 否认 信息泄露 拒绝服务 E,表示特权提升 |
2 | 如果您的网络支持 Kerberos 验证,则应注册所有 SSO 服务器。 在主机密服务器和 SSO 数据库之间使用 Kerberos 身份验证时,必须在 SSO 数据库所在的SQL Server上配置服务主体名称 (SPN) 。 有关如何配置服务主体名称的详细信息,请参阅位于 的 Microsoft TechNet 网站 https://go.microsoft.com/fwlink/?LinkId=61374。 |
| 恶意用户在数据从一台服务器传送到另一台服务器时可能会篡改数据 | 篡改数据 信息泄露 |
1.6 | 在所有 SSO 服务器和 SSO 数据库之间使用 Internet 协议安全 (IPsec) 或安全套接字层 (SSL) 。 有关 SSL 的详细信息,请参阅 上的 https://go.microsoft.com/fwlink/?LinkID=189708Microsoft 帮助和支持网站。 有关如何在所有 SSO 服务器和 SSO 数据库之间使用 SSL 的详细信息,请参阅 如何为 SSO 启用 SSL。 |
另请参阅
小型 & Medium-Sized 公司的威胁模型分析示例方案威胁模型分析示例体系结构
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈