Considerazioni sulla sicurezza
In questo argomento vengono illustrate considerazioni di sicurezza specifiche quando si usa l'infrastruttura peer.
Quando si sviluppa un'applicazione peer usando l'infrastruttura peer, per motivi di sicurezza è necessario prendere in considerazione le autorizzazioni di directory, l'accesso guest ai servizi di rete peer, alla divulgazione di informazioni e all'implementazione del provider di servizi di sicurezza.
Autorizzazioni directory
I servizi di rete peer-to-peer archiviano i dati nell'albero della directory del profilo utente di un utente. Un utente deve disporre delle autorizzazioni di scrittura nel dati dell'applicazione sottoalbero del profilo. Per impostazione predefinita, questo elenco di controllo di accesso (ACL) è impostato correttamente, ma un utente può modificarlo manualmente.
Accesso guest ai servizi di rete peer
Un account guest e i membri del Guest gruppo di sicurezza di Windows non hanno accesso alla maggior parte dei servizi peer. Le applicazioni devono avere accesso utente locale o versione successiva.
Divulgazione di informazioni
La divulgazione di informazioni implica l'indirizzo, il database e le credenziali di identità e gruppo. Le sezioni seguenti identificano e definiscono la divulgazione delle informazioni.
divulgazione di indirizzi PNRP (Peer Name Resolution Protocol) è un servizio di risoluzione degli identificatori che consente di risolvere un identificatore di nome peer in un indirizzo IP. Analogamente al DNS, PNRP pubblica un indirizzo IP in modo che gli utenti che conoscono l'identificatore corrispondente possano risolverlo in tale indirizzo.
- La pubblicazione di un identificatore in PNRP indica che qualsiasi utente può risolvere l'identificatore nell'indirizzo IP pubblicato e determinare l'indirizzo IP del servizio PNRP che ha pubblicato l'identità.
- L'infrastruttura di raggruppamento peer pubblica automaticamente il nome del gruppo peer dell'istanza del gruppo locale in PNRP. Durante la connessione a un gruppo peer, chiunque conosca il nome peer per il gruppo può risolvere gli indirizzi dei membri attivi e conosce l'indirizzo corrente di ogni utente.
La possibilità di un utente di connettersi ad altri membri del gruppo peer o nodi del grafo peer mentre è connesso è una funzionalità principale della rete peer. Durante la connessione a un gruppo o a un grafico peer, l'indirizzo IP corrente di un utente può essere pubblicato in un record di presenza all'interno del gruppo o del grafico peer. Per impostazione predefinita, tutti gli utenti che partecipano a tale gruppo o grafico peer possono enumerare i membri del gruppo o del grafico e determinare gli indirizzi correnti dei membri. Questa possibilità è una proprietà peer grouping e peer graphing configurabile.
divulgazione di databasei database di record peer grouping e graphing infrastructure vengono archiviati nel file system locale. Qualsiasi utente di Windows con accesso amministrativo al file system locale (ad esempio un amministratore locale) può accedere teoricamente ai dati nel database del peer o del gruppo locale. Ciò è coerente con la capacità degli amministratori locali di accedere ai dati nel computer locale.
divulgazione di identità e credenziali di grupporaggruppamento peer-to-peer richiede che i membri stabiliscino le connessioni tra loro per l'autenticazione usando catene di certificati X.509 modificate. Nell'ambito dell'autenticazione, vengono scambiate le catene di identità e del certificato di appartenenza al gruppo (GMC) corrispondenti di ogni membro.
Durante la connessione a un gruppo peer, l'infrastruttura di raggruppamento peer pubblica il nome del peer del gruppo con PNRP. Come parte della normale operazione PNRP, la catena GMC per tale gruppo può essere fornita ad altre istanze PNRP per dimostrare l'autorizzazione a pubblicare il nome del peer del gruppo.
Implementazione del provider di servizi di sicurezza
L'infrastruttura peer graphing è sicura come il provider di servizi di sicurezza (SSP) implementato dallo sviluppatore dell'applicazione. Maggiore è il provider di servizi condivisi, maggiore è la sicurezza dell'applicazione Peer Graphing.