Compartir vía

Consideraciones de seguridad

  • Artículo

En este tema se describen consideraciones de seguridad específicas al usar la infraestructura del mismo nivel.

Al desarrollar una aplicación del mismo nivel mediante la infraestructura del mismo nivel, por motivos de seguridad, debe tener en cuenta los permisos de directorio, el acceso de invitado a los servicios de red del mismo nivel, la divulgación de información y la implementación del proveedor de servicios de seguridad.

Permisos de directorio

Los servicios de red punto a punto almacenan datos en el árbol de directorios de perfil de usuario de un usuario. Un usuario debe tener permisos de escritura en los datos de aplicación subárbol del perfil. De forma predeterminada, esta lista de control de acceso (ACL) se establece correctamente, pero un usuario puede cambiarla manualmente.

Acceso de invitado a Peer Networking Services

Una cuenta de invitado y los miembros de los Invitados grupo de seguridad de Windows no tienen acceso a la mayoría de los servicios del mismo nivel. Las aplicaciones deben tener acceso de usuario local o superior.

Divulgación de información

La divulgación de información implica credenciales de dirección, base de datos e identidad y grupo. Las secciones siguientes identifican y definen la divulgación de información.

Divulgación de direcciones Protocolo de resolución de nombres del mismo nivel (PNRP) es un servicio de resolución de identificadores que permite resolver un identificador de nombre del mismo nivel en una dirección IP. De forma similar a DNS, PNRP publica una dirección IP para que los usuarios que conocen el identificador correspondiente puedan resolverlo en esa dirección.

  • Publicar un identificador en PNRP significa que cualquier usuario puede resolver el identificador en la dirección IP publicada y determinar la dirección IP del servicio PNRP que publicó la identidad.
  • La infraestructura de agrupación de emparejamiento publica automáticamente el nombre del grupo del mismo nivel de la instancia de grupo local en PNRP. Mientras está conectado a un grupo del mismo nivel, cualquier persona que conozca el nombre del mismo nivel del grupo puede resolver las direcciones de los miembros activos y conocer la dirección actual de cada usuario.

La capacidad de un usuario de conectarse a otros miembros del grupo del mismo nivel o nodos de grafo del mismo nivel mientras se inicia sesión es una característica principal de las redes del mismo nivel. Mientras está conectado a un grupo o gráfico del mismo nivel, la dirección IP actual de un usuario se puede publicar en un registro de presencia dentro del grupo del mismo nivel o gráfico. De forma predeterminada, cualquier persona que participe en ese grupo del mismo nivel o grafo puede enumerar miembros del grupo o gráfico, y determinar las direcciones actuales de los miembros. Esta capacidad es una propiedad configurable de agrupación de pares y grafo de emparejamiento.

divulgación de bases de datosLas bases de datos de registro de infraestructuras de agrupación de emparejamiento y grafos se almacenan en el sistema de archivos local. Cualquier usuario de Windows con acceso administrativo al sistema de archivos local (como un administrador local) puede acceder teóricamente a los datos del grafo del mismo nivel local o de la base de datos de grupo. Esto es coherente con la capacidad de los administradores locales de acceder a los datos del equipo local.

divulgación de credenciales de identidad y grupoagrupación punto a punto requiere que los miembros establezcan conexiones entre sí para autenticarse mediante cadenas de certificados X.509 modificadas. Como parte de la autenticación, se intercambian las cadenas correspondientes de identidad y certificado de pertenencia a grupos (GMC) de cada miembro.

Mientras está conectado a un grupo del mismo nivel, la infraestructura de agrupación del mismo nivel publica el nombre del mismo nivel del grupo con PNRP. Como parte de la operación PNRP normal, la cadena GMC para ese grupo se puede proporcionar a otras instancias de PNRP para demostrar la autorización para publicar el nombre del mismo nivel del grupo.

Implementación del proveedor de servicios de seguridad

La infraestructura de grafos del mismo nivel es tan segura como el proveedor de servicios de seguridad (SSP) que implementa el desarrollador de aplicaciones. Cuanto más fuerte sea el SSP, mayor será la seguridad de la aplicación Peer Graphing.