Compartir a través de

Consideraciones sobre la seguridad

  • Artículo

En este tema se describen consideraciones de seguridad específicas al usar la infraestructura del mismo nivel.

Al desarrollar una aplicación del mismo nivel mediante la infraestructura del mismo nivel, por motivos de seguridad debe tener en cuenta los permisos de directorio, el acceso de invitado a los servicios de red del mismo nivel, la divulgación de información y la implementación del proveedor de servicios de seguridad.

Permisos de directorio

Los servicios de red punto a punto almacenan datos en el árbol de directorios del perfil de usuario de un usuario. Un usuario debe tener permisos de escritura en el subárbol de datos de la aplicación del perfil. De forma predeterminada, esta lista de control de acceso (ACL) se establece correctamente, pero un usuario puede cambiarla manualmente.

Acceso de invitado a Peer Networking Services

Una cuenta de invitado y los miembros del grupo invitados Seguridad de Windows no tienen acceso a la mayoría de los servicios del mismo nivel. Las aplicaciones deben tener acceso de usuario local o superior.

Divulgación de información

La divulgación de información implica credenciales de dirección, base de datos e identidad y grupo. En las secciones siguientes se identifica y define la divulgación de información.

Divulgación de direcciones El Protocolo de resolución de nombres del mismo nivel (PNRP) es un servicio de resolución de identificadores que permite resolver un identificador de nombre del mismo nivel en una dirección IP. De forma similar a DNS, PNRP publica una dirección IP para que los usuarios que conozcan el identificador correspondiente puedan resolverlo en esa dirección.

  • Publicar un identificador en PNRP significa que cualquier usuario puede resolver el identificador en la dirección IP publicada y determinar la dirección IP del servicio PNRP que publicó la identidad.
  • La infraestructura de agrupación de emparejamiento publica automáticamente el nombre del grupo del mismo nivel de la instancia de grupo local en PNRP. Mientras está conectado a un grupo del mismo nivel, cualquiera que conozca el nombre del mismo nivel del grupo puede resolver las direcciones de los miembros activos y conoce la dirección actual de cada usuario.

La capacidad de un usuario de conectarse a otros miembros del grupo del mismo nivel o nodos de grafo del mismo nivel mientras ha iniciado sesión es una característica principal de las redes del mismo nivel. Mientras está conectado a un grupo o grafo del mismo nivel, la dirección IP actual de un usuario se puede publicar en un registro de presencia dentro del grupo o gráfico del mismo nivel. De forma predeterminada, cualquier persona que participe en ese grupo o grafo del mismo nivel puede enumerar miembros del grupo o grafo, y determinar las direcciones actuales de los miembros. Esta capacidad es una propiedad de agrupación de emparejamiento y grafo de mismo nivel configurable.

Divulgación de la base de datos Las bases de datos de registro de infraestructuras de agrupación de emparejamiento y grafos se almacenan en el sistema de archivos local. Cualquier usuario de Windows con acceso administrativo al sistema de archivos local (por ejemplo, un administrador local) puede acceder teóricamente a los datos en el grafo del mismo nivel local o en la base de datos de grupo. Esto es coherente con la capacidad de los administradores locales de acceder a los datos del equipo local.

Divulgación de credenciales de identidad y grupo La agrupación punto a punto requiere que los miembros establezcan conexiones entre sí para autenticarse mediante cadenas de certificados X.509 modificadas. Como parte de la autenticación, se intercambian las cadenas correspondientes de identidad y certificado de pertenencia a grupos (GMC) de cada miembro.

Mientras está conectado a un grupo del mismo nivel, la infraestructura de agrupación del mismo nivel publica el nombre del mismo nivel del grupo con PNRP. Como parte de la operación PNRP normal, la cadena GMC para ese grupo se puede proporcionar a otras instancias de PNRP para demostrar la autorización para publicar el nombre del mismo nivel del grupo.

Implementación del proveedor de servicios de seguridad

La infraestructura de grafos del mismo nivel es tan segura como el proveedor de servicios de seguridad (SSP) que implementa el desarrollador de aplicaciones. Cuanto más fuerte sea el SSP, mayor será la seguridad de la aplicación Peer Graphing.