Considerazioni relative alla sicurezza
In questo argomento vengono illustrate considerazioni specifiche sulla sicurezza quando si usa l'infrastruttura peer.
Quando si sviluppa un'applicazione peer usando l'infrastruttura peer, per motivi di sicurezza è necessario considerare le autorizzazioni di directory, l'accesso guest ai servizi di rete peer, alla divulgazione delle informazioni e all'implementazione del provider di servizi di sicurezza.
Autorizzazioni directory
I servizi di rete peer-to-peer archiviano i dati nell'albero della directory del profilo utente di un utente. Un utente deve disporre delle autorizzazioni di scrittura nel sottoalbero dati dell'applicazione del profilo. Per impostazione predefinita, questo elenco di controllo di accesso (ACL) è impostato correttamente, ma un utente può modificarlo manualmente.
Accesso guest ai servizi di rete peer
Un account guest e i membri del gruppo Guest Sicurezza di Windows non hanno accesso alla maggior parte dei servizi peer. Le applicazioni devono avere accesso utente locale o versione successiva.
Diffusione di informazioni
La divulgazione delle informazioni implica l'indirizzo, il database e le credenziali di gruppo e identità. Le sezioni seguenti identificano e definiscono la divulgazione delle informazioni.
Divulgazione degli indirizzi Peer Name Resolution Protocol (PNRP) è un servizio di risoluzione degli identificatori che consente di risolvere un identificatore di nome peer in un indirizzo IP. Analogamente a DNS, PNRP pubblica un indirizzo IP in modo che gli utenti che conoscono l'identificatore corrispondente possano risolverli in tale indirizzo.
- La pubblicazione di un identificatore in PNRP indica che qualsiasi utente può risolvere l'identificatore all'indirizzo IP pubblicato e determinare l'indirizzo IP del servizio PNRP che ha pubblicato l'identità.
- Peer Grouping Infrastructure pubblica automaticamente il nome del gruppo peer dell'istanza del gruppo locale in PNRP. Durante la connessione a un gruppo peer, chiunque conosca il nome peer per il gruppo può risolvere gli indirizzi dei membri attivi e conosce l'indirizzo corrente di ogni utente.
La possibilità di un utente di connettersi ad altri membri del gruppo peer o nodi del grafo peer durante l'accesso è una funzionalità primaria della rete peer. Durante la connessione a un gruppo di peer o a un grafico, l'indirizzo IP corrente di un utente può essere pubblicato in un record di presenza all'interno del gruppo di peer o del grafico. Per impostazione predefinita, chiunque partecipa a tale gruppo di peer o grafico può enumerare i membri del gruppo o del grafico e determinare gli indirizzi correnti dei membri. Questa capacità è una proprietà peer grouping configurabile e peer graphing.
Divulgazione del database I database di record Peer Grouping and Graphing Infrastructure vengono archiviati nel file system locale. Qualsiasi utente di Windows con accesso amministrativo al file system locale (ad esempio un amministratore locale) può accedere teoricamente ai dati nel database peer o gruppo locale. Ciò è coerente con la capacità degli amministratori locali di accedere a tutti i dati nel computer locale.
Divulgazione delle credenziali di identità e gruppo Il raggruppamento peer-to-peer richiede che i membri stabiliscino le connessioni tra loro per eseguire l'autenticazione usando catene di certificati X.509 modificate. Nell'ambito dell'autenticazione, le catene GMC (Group Membership Certificate) corrispondenti di ogni membro vengono scambiate.
Durante la connessione a un gruppo di peer, l'infrastruttura peer grouping pubblica il nome peer del gruppo con PNRP. Come parte della normale operazione PNRP, la catena GMC per tale gruppo può essere fornita ad altre istanze PNRP per dimostrare l'autorizzazione per pubblicare il nome peer del gruppo.
Implementazione del provider di servizi di sicurezza
L'infrastruttura peer graphing è sicura come provider di servizi di sicurezza (SSP) implementata dallo sviluppatore dell'applicazione. Più forte è il provider di servizi di rete, maggiore è la sicurezza dell'applicazione Peer Graphing.