裝置主機安全性考慮
使用裝置主機會因為下列原因而建立安全性問題:
- 在執行 Windows XP 的電腦上裝載的裝置會在所有網路上傳送公告。
- 在執行 Windows XP 的電腦上裝載的裝置允許控制來自所有網路的裝置。
這會增加家庭消費者的風險,因為執行 Windows XP 的電腦上裝載的媒體播放機或橋接照明或 HVAC 系統等裝置是可見的,而且可以從家外的控制點控制。
當您建立託管裝置時,必須考慮一些安全性問題。
- 為了減少 UPnP 型裝置的探索和攻擊範圍,所有 SSDP 訊息的 TTL 為 1。 這表示已註冊的裝置只會由相同網路上的控制點探索。 您可以在登入設定較高的 TTL。
- 註冊非執行中的裝置需要預先向 COM 註冊裝置 .dll,這需要系統管理員許可權。
- 註冊執行中的裝置需要系統管理員、本地服務或本機系統許可權。
- 當裝置主機啟動時,它會以localService 的形式執行。 這可讓裝置產生稽核並讀取 HKEY_LOCAL_MACHINE 登錄機碼。 裝置可以存取 HKEY_CURRENT_USER。 LocalService 帳戶可以使用已授與 LocalService 存取權的資源,以及授與 AuthenticatedUser 存取權的資源。 裝置已限制檔案系統存取。
- 文件系統 ACL 必須更新,才能允許 LocalService 資源目錄的存取權。
- 如果您的裝置必須擁有更多安全性存取權,您可以為裝置建立自己的程式,並使用 IUPnPRegistrar::RegisterRunningDevice進行註冊。