示例 TMA:企业单一登录
本主题对示例结构的企业单一登录方案进行威胁模型分析 (TMA)。
下图显示了基本示例体系结构,其中包括Enterprise单个Sign-On方案。
图 1 包含单个Sign-On方案的 Enterprise 基本示例体系结构
步骤 1。 收集单一Sign-On方案) (Enterprise后台信息
本部分提供数据流关系图, (DFD) ,以便在将Windows凭据映射到用于连接到后端网络的凭据时使用Enterprise单一Sign-On方案。
对于所有使用方案,所有其他背景信息都是相同的,前面在 示例方案的后台信息中介绍。
数据流关系图
下图显示了Enterprise单个Sign-On方案的 DFD。
图 2 Enterprise 单一Sign-On方案的 DFD
数据流如下所示:
用户或应用程序使用Windows凭据登录。
Enterprise单个Sign-On使用Windows凭据请求后端网络的凭据。
Enterprise单个Sign-On将Windows凭据映射到 SSO 数据库中存储的后端凭据。
Enterprise单个Sign-On检索后端凭据,并使用它们将用户或应用程序连接到后端网络。
步骤 2。 创建和分析威胁模型 (Enterprise单个Sign-On方案)
本部分为示例体系结构的 Enterprise 单一Sign-On方案提供了 TMA 的结果。
标识数据入口点、信任边界和Flow - 请参阅步骤 1 中所述的背景信息,以及示例方案的后台信息。
创建已识别威胁列表 - 我们对 DFD 中的所有条目使用以下分类来确定方案的潜在威胁:欺骗标识、使用数据进行 Tampering、Repudiation、Information 披露、服务 Denial 和特权 Elevation。 下表列出了在使用单Enterprise Sign-On (SSO) 发送和接收消息时识别的威胁BizTalk Server。
表 1 威胁分类列表
| 威胁 | 说明 | 资产 | 影响 |
|---|---|---|---|
| 主机密服务器是单一故障点 | 如果恶意用户入侵主机密服务器,则 SSO 计算机无法加密凭据, (它能够继续解密凭据) 。 | BizTalk Server 和 SSO 环境 | 拒绝服务 |
| 恶意用户可能会欺骗客户端或服务器 | 如果客户端或服务器在没有 NTLM 身份验证的情况下运行Windows,恶意用户可能会欺骗客户端或服务器。 | BizTalk Server 和 SSO 环境 | 欺骗身份 篡改数据 否认 信息泄露 拒绝服务 E,表示特权提升 |
| 恶意用户可以在数据从一台服务器到另一台服务器时篡改数据 | 服务器之间的通信以明文形式显示,恶意用户可以在传输时读取数据。 | 数据 | 篡改数据 信息泄露 |
步骤 3: 查看单一Sign-On方案) (Enterprise威胁
本部分提供针对针对参考体系结构的Enterprise单Sign-On (SSO) 方案确定的威胁的风险分析结果。 在主要威胁模型会议后,我们查看了威胁,并使用了以下影响类别来确定每个威胁的风险:Damage 潜在、Reproducibility、Exploitability、Affected 用户和Discoverability。
下表列出了在使用单Enterprise单Sign-On发送和接收 BizTalk Server消息时所识别的威胁的风险分级。
表 2 已识别威胁的风险分级
| 威胁 | 影响 | 潜在损害 | 可再现性 | 可利用性 | 受影响的用户 | 可发现性 | 风险度 |
|---|---|---|---|---|---|---|---|
| 主机密服务器是单一故障点 | 拒绝服务 | 2 | 3 | 2 | 1 | 2 | 2 |
| 恶意用户可能会欺骗客户端或服务器 | 欺骗身份 篡改数据 否认 信息泄露 拒绝服务 E,表示特权提升 |
3 | 2 | 2 | 2 | 1 | 2 |
| 恶意用户可以在数据从一台服务器到另一台服务器时篡改数据 | 篡改数据 信息泄露 |
3 | 1 | 1 | 2 | 1 | 1.6 |
步骤 4. 识别单个Sign-On方案) (Enterprise缓解技术
本部分介绍针对示例体系结构Enterprise单一Sign-On方案确定的威胁的一些缓解技术。
下表列出了在使用Enterprise单一登录时确定的威胁的缓解技术和技术。
表 3 缓解措施
| 威胁 | 影响 | 风险度 | 缓解措施 |
|---|---|---|---|
| 主机密服务器是单一故障点 | 拒绝服务 | 2 | 对主机密服务器使用主动-被动群集配置。 有关群集主机密服务器的详细信息,请参阅Enterprise单一登录的高可用性。 |
| 恶意用户可以欺骗客户端或服务器 | 欺骗身份 篡改数据 否认 信息泄露 拒绝服务 E,表示特权提升 |
2 | 如果您的网络支持 Kerberos 验证,则应注册所有 SSO 服务器。 在主机密服务器和 SSO 数据库之间使用 Kerberos 身份验证时,必须在 SSO 数据库所在的SQL Server上配置服务主体名称 (SPN) 。 有关如何配置服务主体名称的详细信息,请参阅 Microsoft TechNet 网站网址 https://go.microsoft.com/fwlink/?LinkId=61374。 |
| 恶意用户可能会篡改数据,因为它从一台服务器传输到另一台服务器 | 篡改数据 信息泄露 |
1.6 | 在所有 SSO 服务器和 SSO 数据库之间使用 Internet 协议安全性 (IPsec) 或安全套接字层 (SSL) 。 有关 SSL 的详细信息,请参阅 Microsoft 帮助和支持网站。https://go.microsoft.com/fwlink/?LinkID=189708 有关如何在所有 SSO 服务器和 SSO 数据库之间使用 SSL 的详细信息,请参阅 如何为 SSO 启用 SSL。 |
另请参阅
适用于小型&Medium-Sized公司的威胁模型 AnalysisSample 体系结构的威胁模型 AnalysisSample 方案