Nuta
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować się zalogować lub zmienić katalog.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym temacie omówiono konkretne zagadnienia dotyczące zabezpieczeń podczas korzystania z infrastruktury równorzędnej.
Podczas tworzenia aplikacji równorzędnej przy użyciu infrastruktury równorzędnej ze względów bezpieczeństwa należy wziąć pod uwagę uprawnienia katalogu, dostęp gościa do usług równorzędnych sieci, ujawnienie informacji i implementację dostawcy usług zabezpieczeń.
Uprawnienia katalogu
Równorzędne usługi sieciowe przechowują dane w drzewie katalogu profilu użytkownika. Użytkownik musi mieć uprawnienia do zapisu w danych aplikacji poddrzewo profilu. Domyślnie ta lista kontroli dostępu (ACL) jest poprawnie ustawiona, ale użytkownik może ją zmienić ręcznie.
Dostęp gościa do usług sieci równorzędnych
Konto gościa i członkowie Goście grupy zabezpieczeń systemu Windows nie mają dostępu do większości usług równorzędnych. Aplikacje powinny mieć dostęp użytkownika lokalnego lub wyższy.
Ujawnienie informacji
Ujawnienie informacji obejmuje poświadczenia adresów, bazy danych oraz tożsamości i grupy. Poniższe sekcje identyfikują i definiują ujawnienie informacji.
Peer Name Resolution Protocol (PNRP) to usługa rozpoznawania identyfikatorów, która umożliwia rozpoznawanie identyfikatora nazwy równorzędnej w adres IP. Podobnie jak w przypadku systemu DNS, protokół PNRP publikuje adres IP, aby użytkownicy, którzy znają odpowiedni identyfikator, mogli rozpoznać go na ten adres.
- Opublikowanie identyfikatora w protokole PNRP oznacza, że każdy użytkownik może rozpoznać identyfikator opublikowanego adresu IP i określić adres IP usługi PNRP, która opublikowała tożsamość.
- Infrastruktura grupowania równorzędnego automatycznie publikuje nazwę grupy równorzędnej wystąpienia grupy lokalnej w pnRP. Po nawiązaniu połączenia z grupą równorzędną każda osoba, która zna nazwę elementu równorzędnego grupy, może rozpoznać adresy aktywnych członków i zna bieżący adres każdego użytkownika.
Możliwość połączenia użytkownika z innymi członkami grupy równorzędnej lub węzłami grafu równorzędnego podczas logowania jest główną funkcją sieci równorzędnej. Po nawiązaniu połączenia z grupą równorzędną lub grafem bieżący adres IP użytkownika można opublikować w rekordzie obecności w grupie równorzędnej lub grafie. Domyślnie każda osoba uczestnicząca w tej grupie równorzędnej lub grafie może wyliczać członków grupy lub grafu i określać bieżące adresy członków. Ta możliwość to konfigurowalna właściwość Grupowanie równorzędne i Grafu równorzędnego.
ujawnienie bazy danychbazy danych rekordów Grupowanie równorzędne i Grafowanie infrastruktury są przechowywane w lokalnym systemie plików. Każdy użytkownik systemu Windows z dostępem administracyjnym do lokalnego systemu plików (na przykład administrator lokalny) może teoretycznie uzyskać dostęp do danych w lokalnym grafie równorzędnym lub bazie danych grupy. Jest to zgodne z możliwością dostępu administratorów lokalnych do wszelkich danych na komputerze lokalnym.
ujawnienie poświadczeń tożsamości i grupygrupowanie równorzędne wymaga, aby członkowie nawiązali połączenia ze sobą w celu uwierzytelnienia przy użyciu zmodyfikowanych łańcuchów certyfikatów X.509. W ramach uwierzytelniania są wymieniane odpowiednie łańcuchy tożsamości każdego członka i certyfikatu członkostwa w grupach (GMC).
Po nawiązaniu połączenia z grupą równorzędną infrastruktura grupowania równorzędnego publikuje nazwę elementu równorzędnego grupy z pnRP. W ramach normalnej operacji PNRP łańcuch GMC dla tej grupy może być udostępniany innym wystąpieniom PNRP w celu potwierdzenia autoryzacji do publikowania nazwy elementu równorzędnego grupy.
Implementacja dostawcy usług zabezpieczeń
Infrastruktura grafowania równorzędnego jest tak bezpieczna, jak dostawca usług zabezpieczeń (SSP), który implementuje deweloper aplikacji. Im silniejszy dostawca usług udostępnionych, tym silniejsze jest bezpieczeństwo aplikacji Peer Graphing.