示例 TMA：企业单一版本 Sign-On

本主题介绍示例体系结构中的企业单一 Sign-On 场景的威胁模型分析（TMA）。

下图显示了基本示例体系结构，其中包括企业单一 Sign-On 方案。

图 1 包含企业单一 Sign-On 方案的基本示例体系结构

基本体系结构组件

步骤 1. 收集背景信息（企业单一 Sign-On情境）

本节提供了在将 Windows 凭据映射到连接后端网络时所用凭据的过程中使用的 Enterprise Single Sign-On 场景的数据流图（DFD）。

对于所有使用方案，所有其他背景信息都是相同的，前面在示例方案的后台信息中介绍。

下图显示了企业单一 Sign-On 方案的 DFD。

图 2 企业单一 Sign-On 方案的 DFD

DFD for Enterprise 单一登录

数据流如下所示：

本部分提供我们为企业单一 Sign-On 场景所做的 TMA 结果，适用于该示例架构。

确定入口点、信任边界和数据流 - 请参阅步骤 1 前面所述的背景信息以及示例方案的背景信息。
创建已识别威胁的列表 - 我们对 DFD 中的所有条目使用以下分类来识别对方案的潜在威胁：S身份欺骗、T数据篡改、R否认、I信息泄露、D拒绝服务和E权限提升。下表列出了我们识别出在使用企业单一 Sign-On（SSO）向 BizTalk Server 发送和接收消息时的威胁。

表 1 已识别的威胁列表

威胁	DESCRIPTION	资产	影响
主密钥服务器是单一故障点	如果恶意用户入侵主机密服务器，则 SSO 计算机无法加密凭据（它能够继续解密凭据）。	BizTalk Server 和 SSO 环境	拒绝服务
恶意用户可以欺骗客户端或服务器	如果客户端或服务器在没有 NTLM 身份验证的情况下运行 Windows，恶意用户可以欺骗客户端或服务器。	BizTalk Server 和 SSO 环境	欺骗身份篡改数据否认性信息泄露拒绝服务特权提升
恶意用户可以在数据从一台服务器传输到另一台服务器的过程中篡改数据。	服务器之间的通信以明文形式显示，恶意用户可以在传输时读取数据。	数据	篡改数据信息泄露

本部分提供我们在参考体系结构中为企业单一 Sign-On（SSO）方案确定的威胁进行的风险分析结果。在主要威胁模型会议后，我们回顾了威胁，并使用了以下影响类别来确定每个威胁的风险：损害潜力、可再现性、可利用性、受影响用户和可发现性。

下表列出了在使用企业单一 Sign-On 向 BizTalk Server 发送和接收消息时确定的威胁的风险评级。

表 2 已识别威胁的风险评级

威胁	影响	损害潜力	可再现性	可利用性	受影响的用户	可发现性	风险暴露
主密钥服务器是单一故障点	拒绝服务	2	3	2	1	2	2
恶意用户可以欺骗客户端或服务器	欺骗身份篡改数据否认性信息泄露拒绝服务特权提升	3	2	2	2	1	2
恶意用户可以在数据从一台服务器传输到另一台服务器时进行篡改。	篡改数据信息泄露	3	1	1	2	1	1.6

本部分介绍了一些针对我们为示例架构中的企业单一 Sign-On 场景识别出威胁的缓解技术。

下表列出了在使用企业单一登录时识别的威胁的缓解技术和技术。

表 3 缓解技术和技术

威胁	影响	风险暴露	缓解技术和技术
主密钥服务器是单一故障点	拒绝服务	2	对主机密服务器使用主动-被动群集配置。有关集群主密钥服务器的详细信息，请参阅企业单一登录的高可用性。
恶意用户可以欺骗客户端或服务器	欺骗身份篡改数据否认性信息泄露拒绝服务特权提升	2	如果网络支持 Kerberos 身份验证，则应注册所有 SSO 服务器。在主机密服务器和 SSO 数据库之间使用 Kerberos 身份验证时，必须在 SSO 数据库所在的 SQL Server 上配置服务主体名称（SPN）。有关如何配置服务主体名称的详细信息，请参阅 at https://go.microsoft.com/fwlink/?LinkId=61374Microsoft TechNet 网站。
恶意用户可以在数据从一台服务器传输到另一台服务器的过程中篡改数据。	篡改数据信息泄露	1.6	在所有 SSO 服务器和 SSO 数据库之间使用 Internet 协议安全性（IPsec）或安全套接字层（SSL）。有关 SSL 的详细信息，请参阅Microsoft帮助和支持网站。https://go.microsoft.com/fwlink/?LinkID=189708 有关如何在所有 SSO 服务器和 SSO 数据库之间使用 SSL 的详细信息，请参阅如何为 SSO 启用 SSL。