Поделиться через

Вопросы безопасности

  • Статья

В этом разделе рассматриваются конкретные аспекты безопасности при использовании одноранговой инфраструктуры.

При разработке однорангового приложения с помощью одноранговой инфраструктуры по соображениям безопасности необходимо учитывать разрешения каталога, гостевой доступ к одноранговым сетевым службам, раскрытию информации и реализации поставщика служб безопасности.

Разрешения каталога

Одноранговые сетевые службы хранят данные в дереве каталога профилей пользователя пользователя. Пользователь должен иметь разрешения на запись в данных приложения поддерев профиля. По умолчанию этот список управления доступом (ACL) задан правильно, но пользователь может изменить его вручную.

Гостевой доступ к одноранговым сетевым службам

Гостевая учетная запись и члены гости группе безопасности Windows не имеют доступа к большинству одноранговых служб. Приложения должны иметь локальный доступ пользователей или выше.

Раскрытие информации

Раскрытие информации включает адрес, базу данных и учетные данные группы и удостоверения. В следующих разделах определяются и определяются сведения о раскрытии информации.

раскрытие адресов протокол разрешения одноранговых имен (PNRP) — это служба разрешения идентификаторов, которая позволяет разрешать идентификатор имени однорангового узла в IP-адрес. Аналогично DNS, PNRP публикует IP-адрес, чтобы пользователи, которые знали соответствующий идентификатор, могли разрешить его этому адресу.

  • Публикация идентификатора в PNRP означает, что любой пользователь может разрешить идентификатор в опубликованный IP-адрес и определить IP-адрес службы PNRP, опубликованной удостоверением.
  • Инфраструктура одноранговой группы автоматически публикует имя группы одноранговых узлов локального экземпляра группы в PNRP. При подключении к группе одноранговых узлов любой пользователь, который знает имя однорангового узла для группы, может разрешать адреса активных участников и знать текущий адрес каждого пользователя.

Возможность пользователя подключаться к другим членам одноранговой группы или узлам однорангового графа при входе в систему является основной функцией одноранговой сети. При подключении к одноранговой группе или графу текущий IP-адрес пользователя можно опубликовать в записи присутствия в одноранговой группе или графе. По умолчанию любой пользователь, участвующий в этой одноранговой группе или графе, может перечислять элементы группы или графа и определять текущие адреса членов. Эта возможность — это настраиваемое свойство группирования одноранговых узлов и однорангового графирования.

раскрытие информации о базе данныхбазы данных записей одноранговой группы и инфраструктуры графов хранятся в локальной файловой системе. Любой пользователь Windows с административным доступом к локальной файловой системе (например, локальный администратор) теоретически может получить доступ к данным в локальной одноранговой графе или базе данных группы. Это соответствует способности локальных администраторов получать доступ к любым данным на локальном компьютере.

раскрытие удостоверений и учетных данных группыгруппирование одноранговых узлов требует, чтобы члены устанавливали соединения друг с другом для проверки подлинности с помощью измененных цепочек сертификатов X.509. В рамках проверки подлинности обмениваются соответствующими удостоверениями и цепочками сертификатов членства в группах (GMC).

При подключении к группе одноранговых узлов инфраструктура одноранговой группы публикует имя однорангового узла с помощью PNRP. В рамках обычной операции PNRP цепочка GMC для этой группы может быть предоставлена другим экземплярам PNRP, чтобы подтвердить авторизацию на публикацию имени однорангового узла группы.

Реализация поставщика служб безопасности

Инфраструктура однорангового графирования является как безопасная, так как поставщик служб безопасности (SSP), который разработчик приложения реализует. Чем сильнее SSP, тем сильнее безопасность однорангового приложения Graphing.