Partager via

Considérations relatives à la sécurité de l’hôte d’appareil

  • Article

L’utilisation de l’hôte d’appareil crée des problèmes de sécurité en raison des éléments suivants :

  • Les appareils hébergés sur un ordinateur exécutant Windows XP envoient des annonces sur tous les réseaux.
  • Les appareils hébergés sur un ordinateur exécutant Windows XP permettent de contrôler les appareils de tous les réseaux.

Cela augmente le risque pour les consommateurs domestiques, car les appareils tels qu’un lecteur multimédia ou un système d’éclairage à pont ou de système HVAC hébergé sur un ordinateur exécutant Windows XP sont visibles et peuvent être contrôlés à partir de points de contrôle à l’extérieur de la maison.

Lorsque vous créez un appareil hébergé, vous devez prendre en compte certains problèmes de sécurité.

  • Pour réduire l’étendue de la détection et des attaques des appareils basés sur UPnP, la durée de vie de tous les messages SSDP est de 1. Cela signifie qu’un appareil inscrit est découvert uniquement par les points de contrôle sur le même réseau. Vous pouvez configurer une durée de vie plus élevée dans le Registre.
  • L’inscription d’un appareil non opérationnel nécessite l’inscription préalable de l’appareil .dll auprès de COM, ce qui nécessite des privilèges d’administrateur.
  • L’inscription d’un appareil en cours d’exécution nécessite des privilèges Administrateur, Service local ou Système local.
  • Lorsque l’hôte de l’appareil est démarré, il est exécuté en tant que Service local. Cela permet à l’appareil de générer des audits et de lire la clé de Registre HKEY_LOCAL_MACHINE . L’appareil a accès à HKEY_CURRENT_USER. Le compte LocalService peut utiliser les ressources auxquelles l’accès a été accordé à LocalService, ainsi que celles qui accordent l’accès à AuthenticatedUser. L’appareil a un accès restreint au système de fichiers.
  • Les listes de contrôle d’accès du système de fichiers doivent être mises à jour pour permettre à LocalService d’accéder au répertoire de ressources.
  • Si votre appareil doit disposer d’un accès plus sécurisé, vous pouvez créer votre propre processus pour l’appareil et l’inscrire à l’aide de IUPnPRegistrar::RegisterRunningDevice.