Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cette rubrique traite des considérations de sécurité spécifiques lors de l’utilisation de l’infrastructure homologue.
Lorsque vous développez une application homologue à l’aide de l’infrastructure homologue, pour des raisons de sécurité, vous devez prendre en compte les autorisations d’annuaire, l’accès invité aux services de mise en réseau homologue, la divulgation d’informations et l’implémentation du fournisseur de services de sécurité.
Autorisations d’annuaire
Les services de mise en réseau d’égal à égal stockent des données dans l’arborescence d’annuaires de profil utilisateur d’un utilisateur. Un utilisateur doit disposer d’autorisations d’écriture dans les données d’application sous-arborescence du profil. Par défaut, cette liste de contrôle d’accès (ACL) est définie correctement, mais un utilisateur peut le modifier manuellement.
Accès invité aux services de mise en réseau homologue
Un compte invité et les membres des invités groupe de sécurité Windows n’ont pas accès à la plupart des services homologues. Les applications doivent disposer d’un accès utilisateur local ou supérieur.
Divulgation d’informations
La divulgation d’informations implique l’adresse, la base de données et les informations d’identification de groupe et d’identité. Les sections suivantes identifient et définissent la divulgation d’informations.
divulgation d’adresses PROTOCOLE PNRP (Peer Name Resolution Protocol) est un service de résolution d’identificateur qui permet à un identificateur de nom d’homologue d’être résolu en une adresse IP. À l’instar du DNS, PNRP publie une adresse IP afin que les utilisateurs qui connaissent l’identificateur correspondant puissent le résoudre à cette adresse.
- La publication d’un identificateur dans PNRP signifie que n’importe quel utilisateur peut résoudre l’identificateur en adresse IP publiée et déterminer l’adresse IP du service PNRP qui a publié l’identité.
- L’infrastructure de regroupement d’homologues publie automatiquement le nom du groupe homologue de l’instance de groupe local dans PNRP. Bien qu’il soit connecté à un groupe d’homologues, toute personne qui connaît le nom d’homologue du groupe peut résoudre les adresses des membres actifs et connaître l’adresse actuelle de chaque utilisateur.
La capacité d’un utilisateur à se connecter à d’autres membres de groupe homologue ou à des nœuds de graphe homologues lors de l’enregistrement est une fonctionnalité principale de la mise en réseau d’homologues. Lorsqu’il est connecté à un groupe d’homologues ou à un graphique, l’adresse IP actuelle d’un utilisateur peut être publiée dans un enregistrement de présence au sein du groupe d’homologues ou du graphique. Par défaut, toute personne participant à ce groupe ou graphique homologue peut énumérer les membres du groupe ou du graphique et déterminer les adresses actuelles des membres. Cette fonctionnalité est une propriété configurable Peer Grouping et Peer Graphing.
divulgation de base de donnéesLes bases de données d’enregistrement de regroupement d’homologues et d’infrastructures graphing sont stockées sur le système de fichiers local. Tout utilisateur Windows disposant d’un accès administratif au système de fichiers local (par exemple, un administrateur local) peut théoriquement accéder aux données dans le graphique homologue local ou la base de données de groupe. Cela est cohérent avec la capacité des administrateurs locaux à accéder à toutes les données sur l’ordinateur local.
divulgation des informations d’identification d’identité et de grouperegroupement pair à pair nécessite que les membres établissent des connexions entre eux pour s’authentifier à l’aide de chaînes de certificats X.509 modifiées. Dans le cadre de l’authentification, les chaînes GMC (Group Membership Certificate) correspondantes de chaque membre sont échangées.
Lors de la connexion à un groupe d’homologues, l’infrastructure de regroupement d’homologues publie le nom d’homologue de groupe avec PNRP. Dans le cadre de l’opération PNRP normale, la chaîne GMC pour ce groupe peut être fournie à d’autres instances PNRP pour prouver l’autorisation de publier le nom d’homologue du groupe.
Implémentation du fournisseur de services de sécurité
L’infrastructure Peer Graphing est aussi sécurisée que le fournisseur de services de sécurité (SSP) implémenté par le développeur d’applications. Plus le fournisseur de services partagés est fort, plus la sécurité de l’application Peer Graphing est renforcée.