Partager via

Considérations relatives à la sécurité

  • Article

Cette rubrique traite des considérations de sécurité spécifiques lors de l’utilisation de l’infrastructure d’homologue.

Lorsque vous développez une application homologue à l’aide de l’infrastructure homologue, pour des raisons de sécurité, vous devez prendre en compte les autorisations d’annuaire, l’accès invité aux services de mise en réseau d’homologues, la divulgation d’informations et l’implémentation du fournisseur de services de sécurité.

Autorisations d’annuaire

Les services de mise en réseau d’égal à égal stockent des données dans l’arborescence du répertoire des profils utilisateur d’un utilisateur. Un utilisateur doit disposer d’autorisations d’écriture dans la sous-arborescence des données d’application du profil. Par défaut, cette liste de contrôle d’accès (ACL) est définie correctement, mais un utilisateur peut la modifier manuellement.

Accès invité aux services réseau homologues

Un compte invité et les membres du groupe Invités Sécurité Windows n’ont pas accès à la plupart des services homologues. Les applications doivent avoir un accès utilisateur local ou supérieur.

Information Disclosure (divulgation d’informations)

La divulgation d’informations implique des informations d’identification d’adresse, de base de données, d’identité et de groupe. Les sections suivantes identifient et définissent la divulgation d’informations.

Divulgation d’adresses Le protocole PNRP (Peer Name Resolution Protocol) est un service de résolution d’identificateur qui permet de résoudre un identificateur de nom d’homologue en une adresse IP. À l’instar du DNS, PNRP publie une adresse IP afin que les utilisateurs qui connaissent l’identificateur correspondant puissent la résoudre à cette adresse.

  • La publication d’un identificateur dans PNRP signifie que tout utilisateur peut résoudre l’identificateur en l’adresse IP publiée et déterminer l’adresse IP du service PNRP qui a publié l’identité.
  • L’infrastructure de regroupement d’homologues publie automatiquement le nom du groupe d’homologues du groupe local instance dans PNRP. Lorsqu’il est connecté à un groupe d’homologues, toute personne connaissant le nom d’homologue du groupe peut résoudre les adresses des membres actifs et connaître l’adresse actuelle de chaque utilisateur.

La possibilité pour un utilisateur de se connecter à d’autres membres du groupe d’homologues ou à d’autres nœuds de graphe d’homologues lors de sa connexion est une fonctionnalité principale de la mise en réseau d’homologues. Lorsqu’il est connecté à un groupe d’homologues ou à un graphique, l’adresse IP actuelle d’un utilisateur peut être publiée dans un enregistrement de présence au sein du groupe d’homologues ou du graphique. Par défaut, toute personne participant à ce groupe d’homologues ou à ce graphe peut énumérer les membres du groupe ou du graphique et déterminer les adresses actuelles des membres. Il s’agit d’une propriété de regroupement d’homologues et de graphes d’homologue configurable.

Divulgation de base de données Les bases de données d’enregistrement Peer Grouping et Graphing Infrastructures sont stockées sur le système de fichiers local. Tout utilisateur Windows disposant d’un accès administratif au système de fichiers local (par exemple, un administrateur local) peut théoriquement accéder aux données dans le graphe homologue local ou la base de données de groupe. Cela est cohérent avec la capacité des administrateurs locaux à accéder aux données sur l’ordinateur local.

Divulgation des informations d’identification d’identité et de groupe Le regroupement d’égal à égal nécessite que les membres établissent des connexions entre eux pour s’authentifier à l’aide de chaînes de certificats X.509 modifiées. Dans le cadre de l’authentification, les chaînes d’identité et de certificat d’appartenance de groupe (GMC) correspondantes de chaque membre sont échangées.

Lorsqu’elle est connectée à un groupe d’homologues, l’infrastructure de regroupement d’homologues publie le nom de l’homologue de groupe avec PNRP. Dans le cadre de l’opération PNRP normale, la chaîne GMC de ce groupe peut être fournie à d’autres instances PNRP pour prouver l’autorisation de publier le nom de l’homologue de groupe.

Implémentation du fournisseur de services de sécurité

L’infrastructure Peer Graphing est aussi sécurisée que le fournisseur de services de sécurité (SSP) que le développeur d’applications implémente. Plus le fournisseur de services partagés est fort, plus la sécurité de l’application Peer Graphing est forte.