Bagikan melalui

Pertimbangan Keamanan

  • Artikel

Topik ini membahas pertimbangan keamanan tertentu saat menggunakan Infrastruktur Serekan.

Saat Anda mengembangkan aplikasi serekan menggunakan Infrastruktur Serekan, untuk alasan keamanan, Anda harus mempertimbangkan izin direktori, akses tamu ke layanan jaringan serekan, pengungkapan informasi, dan Implementasi Penyedia Layanan Keamanan.

Izin Direktori

Layanan jaringan peer-to-peer menyimpan data di pohon direktori profil pengguna pengguna. Pengguna harus memiliki izin tulis di data aplikasi subtree profil. Secara default, daftar kontrol akses (ACL) ini diatur dengan benar, tetapi pengguna dapat mengubahnya secara manual.

Akses Tamu ke Peer Networking Services

Akun Tamu dan anggota Tamu Windows Security Group tidak memiliki akses ke sebagian besar layanan serekan. Aplikasi harus memiliki akses pengguna lokal atau yang lebih tinggi.

Pengungkapan Informasi

Pengungkapan informasi melibatkan kredensial alamat, database, dan identitas dan grup. Bagian berikut mengidentifikasi dan menentukan pengungkapan informasi.

Address Disclosure Peer Name Resolution Protocol (PNRP) adalah layanan resolusi pengidentifikasi yang memungkinkan pengidentifikasi nama serekan diselesaikan ke alamat IP. Mirip dengan DNS, PNRP menerbitkan alamat IP sehingga pengguna yang mengetahui pengidentifikasi yang sesuai dapat mengatasinya ke alamat tersebut.

  • Menerbitkan pengidentifikasi di PNRP berarti setiap pengguna dapat menyelesaikan pengidentifikasi ke alamat IP yang diterbitkan, dan menentukan alamat IP layanan PNRP yang menerbitkan identitas.
  • Infrastruktur Pengelompokan Serekan secara otomatis menerbitkan nama grup serekan instans grup lokal di PNRP. Saat terhubung ke grup serekan, siapa pun yang mengetahui nama serekan untuk grup dapat menyelesaikan alamat anggota aktif, dan mengetahui alamat saat ini dari setiap pengguna.

Kemampuan pengguna untuk terhubung ke anggota grup serekan lain atau simpul grafik serekan saat masuk adalah fitur utama jaringan serekan. Saat tersambung ke grup atau grafik serekan, alamat IP pengguna saat ini dapat diterbitkan dalam rekaman kehadiran dalam grup serekan atau grafik. Secara default, siapa pun yang berpartisipasi dalam grup atau grafik serekan tersebut dapat menghitung anggota grup atau grafik, dan menentukan alamat anggota saat ini. Kemampuan ini adalah properti Pengelompokan Serekan dan Grafik Serekan yang dapat dikonfigurasi.

Pengungkapan Databasedatabase rekaman Pengelompokan Serekan dan Infrastruktur Grafik disimpan di sistem file lokal. Setiap pengguna Windows dengan akses administratif ke sistem file lokal (seperti administrator lokal) dapat secara teoritis mengakses data dalam grafik serekan lokal atau database grup. Ini konsisten dengan kemampuan administrator lokal untuk mengakses data apa pun di komputer lokal.

Pengungkapan Identitas dan Kredensial Gruppengelompokan Peer-to-peer mengharuskan anggota membuat koneksi satu sama lain untuk mengautentikasi menggunakan rantai sertifikat X.509 yang dimodifikasi. Sebagai bagian dari autentikasi, rantai identitas dan Sertifikat Keanggotaan Grup (GMC) yang sesuai ditukarkan.

Saat tersambung ke grup serekan, Infrastruktur Pengelompokan Serekan menerbitkan nama serekan grup dengan PNRP. Sebagai bagian dari operasi PNRP normal, rantai GMC untuk grup tersebut dapat diberikan kepada instans PNRP lainnya untuk membuktikan otorisasi untuk menerbitkan nama serekan grup.

Implementasi Penyedia Layanan Keamanan

Infrastruktur Grafik Serekan seaman Penyedia Layanan Keamanan (SSP) yang diterapkan pengembang aplikasi. Semakin kuat SSP, semakin kuat keamanan aplikasi Peer Graphing.