Delen via

Beveiligingsoverwegingen

  • Artikel

In dit onderwerp worden specifieke beveiligingsoverwegingen besproken bij het gebruik van de peerinfrastructuur.

Wanneer u een peertoepassing ontwikkelt met behulp van de Peer Infrastructure, moet u om veiligheidsredenen rekening houden met adreslijstmachtigingen, gasttoegang tot peernetwerkservices, openbaarmaking van informatie en implementatie van beveiligingsserviceproviders.

Mapmachtigingen

Peer-to-peernetwerkservices slaan gegevens op in de directorystructuur van een gebruiker met gebruikersprofielen. Een gebruiker moet schrijfmachtigingen hebben in de toepassingsgegevens substructuur van het profiel. Deze toegangsbeheerlijst (ACL) is standaard correct ingesteld, maar een gebruiker kan deze handmatig wijzigen.

Gasttoegang tot Peer Networking Services

Een gastaccount en leden van de Gasten Windows-beveiligingsgroep hebben geen toegang tot de meeste peerservices. Toepassingen moeten lokale gebruikerstoegang of hoger hebben.

Openbaarmaking van informatie

Openbaarmaking van informatie omvat adres-, database- en identiteits- en groepsreferenties. In de volgende secties worden de openbaarmaking van informatie geïdentificeerd en gedefinieerd.

Address Disclosure Peer Name Resolution Protocol (PNRP) is een id-oplossingsservice waarmee een peernaam-id kan worden omgezet in een IP-adres. Net als bij DNS publiceert PNRP een IP-adres, zodat gebruikers die de bijbehorende id kennen, het adres kunnen oplossen.

  • Het publiceren van een id in PNRP betekent dat elke gebruiker de id kan oplossen naar het gepubliceerde IP-adres en het IP-adres kan bepalen van de PNRP-service die de identiteit heeft gepubliceerd.
  • De peergroepinfrastructuur publiceert automatisch de naam van de peergroep van het lokale groepexemplaren in PNRP. Als er verbinding is met een peergroep, kan iedereen die de peernaam voor de groep kent, de adressen van actieve leden omzetten en het huidige adres van elke gebruiker kennen.

De mogelijkheid van een gebruiker om verbinding te maken met andere peergroepsleden of peergrafiekknooppunten terwijl ze zijn aangemeld, is een primaire functie van peernetwerken. Terwijl u verbinding hebt met een peergroep of grafiek, kan het huidige IP-adres van een gebruiker worden gepubliceerd in een aanwezigheidsrecord binnen de peergroep of grafiek. Standaard kan iedereen die deelneemt aan die peergroep of grafiek leden van de groep of grafiek inventariseren en de huidige adressen van de leden bepalen. Deze mogelijkheid is een configureerbare peergroepering en peer graphing-eigenschap.

database openbaar makenDe database peergroeperings- en grafiekinfrastructuren worden opgeslagen in het lokale bestandssysteem. Elke Windows-gebruiker met beheerderstoegang tot het lokale bestandssysteem (zoals een lokale beheerder) heeft theoretisch toegang tot de gegevens in de lokale peergrafiek of groepsdatabase. Dit is consistent met de mogelijkheid van lokale beheerders om toegang te krijgen tot gegevens op de lokale computer.

Openbaarmaking van identiteits- en groepsreferentiespeer-to-peer-groepering vereist dat leden verbindingen met elkaar tot stand brengen om te verifiëren met behulp van gewijzigde X.509-certificaatketens. Als onderdeel van verificatie worden de bijbehorende identiteits- en groepslidmaatschapscertificaatketens (GMC) van elk lid uitgewisseld.

Tijdens de verbinding met een peergroep publiceert de Peer Grouping Infrastructure de groepspeeringsnaam met PNRP. Als onderdeel van de normale PNRP-bewerking kan de GMC-keten voor die groep worden verstrekt aan andere PNRP-instanties om de autorisatie te bewijzen voor het publiceren van de groepspeeringsnaam.

Implementatie van beveiligingsserviceprovider

De Peer Graphing Infrastructure is net zo veilig als de Security Service Provider (SSP) die de ontwikkelaar van de toepassing implementeert. Hoe sterker de SSP, hoe sterker de beveiliging van de Peer Graphing-toepassing.