事务集成器威胁缓解措施
产品安全性是 Microsoft 的重中之重。 从 2002 年Windows 安全中心推送开始,Microsoft 已投入更多时间和资源来开发更安全的代码,并详细说明如何部署和保护计算环境。 Host Integration Server 产品团队进行了完整的威胁建模分析,以识别和缓解潜在关注领域。 威胁模型是基于安全的分析,可帮助你确定对产品或应用程序构成的最高级别安全风险,以及攻击如何表现出来。
尽管 Microsoft 已缓解了对 Host Integration Server 的所有可能的内部安全威胁,但你应该采取一些步骤来缓解来自网络环境中其他位置的威胁。 威胁建模可帮助你评估对正在编写或运行的应用程序的威胁,从而降低计算机系统的总体风险。 有关威胁模型分析的详细信息,请参阅第 4 章 Michael Howard 和 David LeBlanc 中的威胁建模, 编写安全代码 2nd Edition,Redmond,WA:Microsoft Press。 2003.
Howard 和 LeBlanc 总结了计算环境可能面临的六类安全威胁:
欺骗标识。 欺骗威胁允许攻击者以其他用户身份摆姿势,或者允许恶意服务器伪装为有效服务器。 用户标识欺骗的一个示例是非法访问,然后使用其他用户身份验证信息,例如用户名和密码。
篡改数据。 数据篡改涉及恶意修改数据。 示例包括对持久数据(例如保存在数据库中的数据)进行的未经授权的更改,以及数据通过开放网络(如 Internet)在两台计算机之间流动时发生的更改。
否认。 否认性威胁与拒绝执行操作的用户相关联,而其他各方没有任何其他方法证明,例如,用户在无法跟踪禁止操作的系统中执行非法操作。
信息泄露。 信息泄露威胁涉及向不应有权访问信息的个人公开信息,例如,用户能够读取她未被授予访问权限的文件,以及入侵者读取两台计算机之间传输的数据的能力。
拒绝服务。 拒绝服务 (DoS) 攻击拒绝向有效用户提供服务,例如,使 Web 服务器暂时不可用或不可用。 为了提高系统可用性和可靠性,必须防范某些类型的 DoS 威胁。
特权提升。 在这种类型的威胁中,无特权用户获得特权访问权限,因此具有足够的访问权限来破坏或破坏整个系统。 特权提升威胁包括攻击者已有效渗透所有系统防御并成为受信任系统本身的一部分的情况,这确实是一种危险情况。
霍华德和 LeBlanc 还指出,某些威胁类型可以相互关联。 例如,如果用户凭据未受到保护,则信息泄露威胁可能导致欺骗威胁。 同样,特权提升威胁是迄今为止最糟糕的威胁,因为如果某人可以成为目标计算机上的管理员或根,则所有其他威胁类别都将成为现实。 相反,欺骗威胁可能会导致攻击者不再需要升级来实现其目标的情况。
为了缓解源自事务集成商外部但会对 TI 组件和应用程序产生负面影响的威胁,Microsoft 建议你执行以下操作: