Вопросы безопасности узла устройства

При использовании узла устройства возникают проблемы безопасности из-за следующих действий:

• Устройства, размещенные на компьютере под управлением Windows XP, отправляют объявления во всех сетях.
• Устройства, размещенные на компьютере под управлением Windows XP, разрешают управление устройствами со всех сетей.

Это повышает риск для домашних потребителей, так как устройства, такие как проигрыватель мультимедиа или мостовое освещение или система HVAC, размещенная на компьютере под управлением Windows XP, видимы и могут контролироваться из контрольных точек за пределами дома.

При создании размещенного устройства необходимо учитывать некоторые проблемы безопасности.

• Чтобы уменьшить область обнаружения и атаки устройств на основе UPnP, значение TTL всех сообщений SSDP равно 1. Это означает, что зарегистрированное устройство обнаруживается только точками управления в той же сети. Вы можете настроить более высокий срок жизни в реестре.
• Для регистрации не запущенного устройства требуется предварительно зарегистрировать устройство .dll с помощью COM, для которого требуется права администратора.
• Для регистрации запущенного устройства требуются права администратора, локальной службы или локальной системы.
• При запуске узла устройства он выполняется как LocalService. Это дает устройству возможность создавать аудиты и читать раздел реестра HKEY_LOCAL_MACHINE. Устройство имеет доступ к HKEY_CURRENT_USER. Учетная запись LocalService может использовать ресурсы, к которым предоставлен доступ LocalService, а также те, которые предоставляют доступ к AuthenticatedUser. Устройство имеет ограниченный доступ к файловой системе.
• Списки управления доступом к файловой системе необходимо обновить, чтобы разрешить LocalService доступ к каталогу ресурсов.
• Если устройство должно иметь больше доступа к безопасности, можно создать собственный процесс для устройства и зарегистрировать его с помощью IUPnPRegistrar::RegisterRunningDevice.