示例 TMA:企业单一登录

本主题对示例结构的企业单一登录方案进行威胁模型分析 (TMA)。

下图显示了基本示例体系结构,其中包括Enterprise单个Sign-On方案。

图 1 包含单个Sign-On方案的 Enterprise 基本示例体系结构

Base architecture components

步骤 1。 收集单一Sign-On方案) (Enterprise后台信息

本部分提供数据流关系图, (DFD) ,以便在将Windows凭据映射到用于连接到后端网络的凭据时使用Enterprise单一Sign-On方案。

对于所有使用方案,所有其他背景信息都是相同的,前面在 示例方案的后台信息中介绍。

数据流关系图

下图显示了Enterprise单个Sign-On方案的 DFD。

图 2 Enterprise 单一Sign-On方案的 DFD

DFD for Enterprise Single Sign-On

数据流如下所示:

  1. 用户或应用程序使用Windows凭据登录。

  2. Enterprise单个Sign-On使用Windows凭据请求后端网络的凭据。

  3. Enterprise单个Sign-On将Windows凭据映射到 SSO 数据库中存储的后端凭据。

  4. Enterprise单个Sign-On检索后端凭据,并使用它们将用户或应用程序连接到后端网络。

步骤 2。 创建和分析威胁模型 (Enterprise单个Sign-On方案)

本部分为示例体系结构的 Enterprise 单一Sign-On方案提供了 TMA 的结果。

  • 标识数据入口点、信任边界和Flow - 请参阅步骤 1 中所述的背景信息,以及示例方案的后台信息

  • 创建已识别威胁列表 - 我们对 DFD 中的所有条目使用以下分类来确定方案的潜在威胁:欺骗标识、使用数据进行 Tampering、RepudiationInformation 披露、服务 Denial 和特权 Elevation。 下表列出了在使用单Enterprise Sign-On (SSO) 发送和接收消息时识别的威胁BizTalk Server。

    表 1 威胁分类列表

威胁 说明 资产 影响
主机密服务器是单一故障点 如果恶意用户入侵主机密服务器,则 SSO 计算机无法加密凭据, (它能够继续解密凭据) 。 BizTalk Server 和 SSO 环境 拒绝服务
恶意用户可能会欺骗客户端或服务器 如果客户端或服务器在没有 NTLM 身份验证的情况下运行Windows,恶意用户可能会欺骗客户端或服务器。 BizTalk Server 和 SSO 环境 欺骗身份

篡改数据

否认

信息泄露

拒绝服务

E,表示特权提升
恶意用户可以在数据从一台服务器到另一台服务器时篡改数据 服务器之间的通信以明文形式显示,恶意用户可以在传输时读取数据。 数据 篡改数据

信息泄露

步骤 3: 查看单一Sign-On方案) (Enterprise威胁

本部分提供针对针对参考体系结构的Enterprise单Sign-On (SSO) 方案确定的威胁的风险分析结果。 在主要威胁模型会议后,我们查看了威胁,并使用了以下影响类别来确定每个威胁的风险:Damage 潜在、Reproducibility、Exploitability、Affected 用户和Discoverability

下表列出了在使用单Enterprise单Sign-On发送和接收 BizTalk Server消息时所识别的威胁的风险分级。

表 2 已识别威胁的风险分级

威胁 影响 潜在损害 可再现性 可利用性 受影响的用户 可发现性 风险度
主机密服务器是单一故障点 拒绝服务 2 3 2 1 2 2
恶意用户可能会欺骗客户端或服务器 欺骗身份

篡改数据

否认

信息泄露

拒绝服务

E,表示特权提升
3 2 2 2 1 2
恶意用户可以在数据从一台服务器到另一台服务器时篡改数据 篡改数据

信息泄露
3 1 1 2 1 1.6

步骤 4. 识别单个Sign-On方案) (Enterprise缓解技术

本部分介绍针对示例体系结构Enterprise单一Sign-On方案确定的威胁的一些缓解技术。

下表列出了在使用Enterprise单一登录时确定的威胁的缓解技术和技术。

表 3 缓解措施

威胁 影响 风险度 缓解措施
主机密服务器是单一故障点 拒绝服务 2 对主机密服务器使用主动-被动群集配置。

有关群集主机密服务器的详细信息,请参阅Enterprise单一登录的高可用性
恶意用户可以欺骗客户端或服务器 欺骗身份

篡改数据

否认

信息泄露

拒绝服务

E,表示特权提升
2 如果您的网络支持 Kerberos 验证,则应注册所有 SSO 服务器。 在主机密服务器和 SSO 数据库之间使用 Kerberos 身份验证时,必须在 SSO 数据库所在的SQL Server上配置服务主体名称 (SPN) 。

有关如何配置服务主体名称的详细信息,请参阅 Microsoft TechNet 网站网址 https://go.microsoft.com/fwlink/?LinkId=61374
恶意用户可能会篡改数据,因为它从一台服务器传输到另一台服务器 篡改数据

信息泄露
1.6 在所有 SSO 服务器和 SSO 数据库之间使用 Internet 协议安全性 (IPsec) 或安全套接字层 (SSL) 。

有关 SSL 的详细信息,请参阅 Microsoft 帮助和支持网站。https://go.microsoft.com/fwlink/?LinkID=189708

有关如何在所有 SSO 服务器和 SSO 数据库之间使用 SSL 的详细信息,请参阅 如何为 SSO 启用 SSL

另请参阅

适用于小型&Medium-Sized公司的威胁模型 AnalysisSample 体系结构的威胁模型 AnalysisSample 方案