Dela via

Säkerhetsöverväganden för enhetsvärd

  • Artikel

Om du använder enhetsvärden skapas säkerhetsproblem på grund av följande:

  • Enheter som finns på en dator som kör Windows XP skickar meddelanden i alla nätverk.
  • Enheter som finns på en dator som kör Windows XP tillåter kontroll över enheter från alla nätverk.

Detta ökar risken för hemmakonsumenter, eftersom enheter som en mediespelare eller en bryggd belysning eller ett HVAC-system som finns på en dator som kör Windows XP är synliga och kan styras från kontrollpunkter utanför hemmet.

När du skapar en värdbaserad enhet måste du ta hänsyn till vissa säkerhetsproblem.

  • För att minska omfattningen för identifiering och angrepp av UPnP-baserade enheter är TTL för alla SSDP-meddelanden 1. Det innebär att en registrerad enhet endast identifieras av kontrollpunkter i samma nätverk. Du kan konfigurera en högre TTL i registret.
  • Registrering av en enhet som inte körs kräver förregistrering av enheten .dll med COM, vilket kräver administratörsbehörighet.
  • Registrering av en enhet som körs kräver administratörsbehörighet, lokal tjänst eller lokalt system.
  • När enhetsvärden startas körs den som LocalService. Detta ger enheten möjlighet att generera granskningar och läsa HKEY_LOCAL_MACHINE registernyckel. Enheten har åtkomst till HKEY_CURRENT_USER. LocalService-kontot kan använda resurser som LocalService har beviljats åtkomst till, samt de som ger åtkomst till AuthenticatedUser. Enheten har begränsad åtkomst till filsystemet.
  • Filsystemets ACL:er måste uppdateras så att LocalService åtkomst till resurskatalogen.
  • Om enheten måste ha mer säkerhetsåtkomst kan du skapa en egen process för enheten och registrera den med hjälp av IUPnPRegistrar::RegisterRunningDevice.