Zagadnienia dotyczące zabezpieczeń hosta urządzeń

Użycie hosta urządzenia powoduje problemy z zabezpieczeniami z następujących powodów:

• Urządzenia hostowane na komputerze z systemem Windows XP wysyła anonse we wszystkich sieciach.
• Urządzenia hostowane na komputerze z systemem Windows XP umożliwiają sterowanie urządzeniami ze wszystkich sieci.

Zwiększa to ryzyko dla użytkowników domowych, ponieważ urządzenia takie jak odtwarzacz multimedialny lub oświetlenie mostowe lub system HVAC hostowany na komputerze z systemem Windows XP są widoczne i mogą być kontrolowane z punktów kontrolnych poza domem.

Podczas tworzenia urządzenia hostowanego należy wziąć pod uwagę niektóre problemy z zabezpieczeniami.

• Aby zmniejszyć zakres odnajdywania i ataków urządzeń opartych na protokole UPnP, czas wygaśnięcia wszystkich komunikatów SSDP wynosi 1. Oznacza to, że zarejestrowane urządzenie jest wykrywane tylko przez punkty sterowania w tej samej sieci. W rejestrze można skonfigurować wyższy czas wygaśnięcia.
• Zarejestrowanie urządzenia, które nie działa, wymaga wstępnego zarejestrowania urządzenia .dll za pomocą modelu COM, co wymaga uprawnień administratora.
• Zarejestrowanie uruchomionego urządzenia wymaga uprawnień administratora, usługi lokalnej lub systemu lokalnego.
• Po uruchomieniu hosta urządzenia jest on uruchamiany jako LocalService. Daje to urządzeniu możliwość generowania inspekcji i odczytywania klucza rejestru HKEY_LOCAL_MACHINE. Urządzenie ma dostęp do HKEY_CURRENT_USER. Konto Usługi lokalnej może używać zasobów, do których udzielono dostępu localService, a także tych, które udzielają dostępu do użytkownika AuthenticatedUser. Urządzenie ma ograniczony dostęp do systemu plików.
• Listy ACL systemu plików należy zaktualizować, aby umożliwić usłudze LocalService dostęp do katalogu zasobów.
• Jeśli urządzenie musi mieć większy dostęp do zabezpieczeń, możesz utworzyć własny proces dla urządzenia i zarejestrować go przy użyciu IUPnPRegistrar::RegisterRunningDevice.