Megosztás a következőn keresztül:

Biztonsági szempontok

  • Cikk

Ez a témakör konkrét biztonsági szempontokat tárgyal a társinfrastruktúra használatakor.

Ha társalkalmazást fejleszt a társinfrastruktúra használatával, biztonsági okokból figyelembe kell vennie a címtárengedélyeket, a társhálózati szolgáltatásokhoz való vendéghozzáférést, az információk közzétételét és a biztonsági szolgáltató implementálását.

Címtárengedélyek

A társközi hálózati szolgáltatások az adatokat egy felhasználó felhasználói profil könyvtárfája alatt tárolják. A felhasználónak írási engedélyekkel kell rendelkeznie a profil alkalmazásadatokban. Alapértelmezés szerint ez a hozzáférés-vezérlési lista (ACL) megfelelően van beállítva, de a felhasználó manuálisan módosíthatja.

Vendéghozzáférés társhálózati szolgáltatásokhoz

A vendégfiókok és a Vendégek Windows biztonsági csoport tagjai nem férnek hozzá a legtöbb társszolgáltatáshoz. Az alkalmazásoknak helyi felhasználói hozzáféréssel vagy magasabb szintű hozzáféréssel kell rendelkezniük.

Információfeltárás

Az információk felfedése magában foglalja a címet, az adatbázist és az identitást, valamint a csoport hitelesítő adatait. A következő szakaszok azonosítják és meghatározzák az információk közzétételét.

címfeloldási a társnévfeloldási protokoll (PNRP) egy azonosítófeloldási szolgáltatás, amely lehetővé teszi a társnév-azonosító ip-címként való feloldását. A DNS-hez hasonlóan a PNRP egy IP-címet tesz közzé, hogy a megfelelő azonosítót ismerő felhasználók feloldhassák azt erre a címre.

  • Az azonosító közzététele a PNRP-ben azt jelenti, hogy bármely felhasználó feloldhatja az azonosítót a közzétett IP-címre, és meghatározhatja az identitást közzétevő PNRP-szolgáltatás IP-címét.
  • A társcsoport-csoportosítási infrastruktúra automatikusan közzéteszi a helyi csoportpéldány társcsoportnevét a PNRP-ben. Miközben egy társcsoporthoz csatlakozik, bárki, aki ismeri a csoport társnevét, feloldhatja az aktív tagok címét, és megismerheti az egyes felhasználók aktuális címét.

A társhálózatok elsődleges funkciója, hogy a felhasználó csatlakozhat más társcsoport-tagokhoz vagy társgráfcsomópontokhoz bejelentkezés közben. Miközben társcsoporthoz vagy gráfhoz csatlakozik, a felhasználó aktuális IP-címe közzétehető egy jelenléti rekordban a társcsoporton vagy a gráfon belül. Alapértelmezés szerint az adott társcsoportban vagy gráfban részt vevő bárki számba vehet a csoport vagy a gráf tagjait, és meghatározhatja a tagok aktuális címét. Ez a képesség konfigurálható társcsoportozási és társgráfozási tulajdonság.

adatbázis-közzétételiA társcsoportosítási és gráfozási infrastruktúrák rekordadatbázisai a helyi fájlrendszerben vannak tárolva. A helyi fájlrendszerhez rendszergazdai hozzáféréssel (például helyi rendszergazdával) rendelkező Windows-felhasználók elméletileg hozzáférhetnek a helyi társgráfban vagy csoportadatbázisban lévő adatokhoz. Ez összhangban van azzal, hogy a helyi rendszergazdák hozzáférhetnek a helyi számítógépen található adatokhoz.

Identitás és csoport hitelesítő adatainak felfedéseTársközi csoportosítás megköveteli, hogy a tagok kapcsolatot létesítsen egymással a módosított X.509-tanúsítványláncok használatával történő hitelesítéshez. A hitelesítés részeként a rendszer minden tag megfelelő identitás- és csoporttagsági tanúsítványláncait kicseréli.

Miközben egy társcsoporthoz csatlakozik, a társcsoport-csoportosítási infrastruktúra közzéteszi a csoport társnevét a PNRP-vel. A normál PNRP-művelet részeként az adott csoport GMC-lánca más PNRP-példányok számára is biztosítható a csoport társnevének közzétételére vonatkozó engedélyezés igazolásához.

Biztonsági szolgáltató implementálása

A társgráfolási infrastruktúra ugyanolyan biztonságos, mint az alkalmazásfejlesztő által implementálható biztonsági szolgáltató (SSP). Minél erősebb az SSP, annál nagyobb a peer graphing alkalmazás biztonsága.