Considérations sur la sécurité des hôtes d’appareils

L’utilisation de l’hôte d’appareil crée des problèmes de sécurité en raison des éléments suivants :

  • les appareils hébergés sur un ordinateur exécutant Windows XP envoient des annonces sur tous les réseaux.
  • les appareils hébergés sur un ordinateur exécutant Windows XP autorisent le contrôle des appareils à partir de tous les réseaux.

cela augmente le risque pour les particuliers, car les appareils tels qu’un lecteur multimédia ou un système de chauffage ou un appareil HVAC hébergé sur un ordinateur exécutant Windows XP sont visibles et peuvent être contrôlés à partir des points de contrôle en dehors du foyer.

Lorsque vous créez un appareil hébergé, vous devez prendre en considération certains problèmes de sécurité.

  • Pour réduire l’étendue de la découverte et de l’attaque des périphériques UPnP, la durée de vie de tous les messages SSDP est de 1. Cela signifie qu’un appareil inscrit est découvert uniquement par des points de contrôle sur le même réseau. Vous pouvez configurer une durée de vie plus élevée dans le registre.
  • L’inscription d’un appareil non en cours d’exécution nécessite la pré-inscription de l’appareil .dll avec COM, ce qui requiert des privilèges d’administrateur.
  • L’inscription d’un appareil en cours d’exécution nécessite un privilège administrateur, service local ou système local.
  • Lorsque l’hôte d’appareil est démarré, il est exécuté en tant que LocalService. Cela donne à l’appareil la possibilité de générer des audits et de lire la clé de Registre HKEY _ local _ machine . L’appareil a accès à HKEY _ Current _ User. Le compte LocalService peut utiliser des ressources auxquelles l’accès LocalService a été accordé, ainsi que celles qui accordent l’accès à AuthenticatedUser. L’appareil a accès limité au système de fichiers.
  • Les listes de contrôle d’accès du système de fichiers doivent être mises à jour pour autoriser l’accès LocalService au répertoire de ressources.
  • Si votre appareil doit disposer d’un accès plus sécurisé, vous pouvez créer votre propre processus pour l’appareil et l’inscrire à l’aide de IUPnPRegistrar :: RegisterRunningDevice.