Aracılığıyla paylaş


Holographic Uzaktan İletişim ile Güvenli Bağlantı Genel Bakış

Holographic Remoting'i yeni kullanıyorsanız genel bakış bilgilerimizi okumak isteyebilirsiniz.

Not

Bu kılavuz, Windows Mixed Reality çalıştıran HoloLens 2 ve Windows bilgisayarlarında Holographic Remoting'e özgüdür.

Bu sayfada Holographic Remoting için ağ güvenliğine genel bir bakış sunun. Aşağıdakiler hakkında bilgi bulabilirsiniz:

  • Holographic Remoting bağlamında güvenlik ve neden ihtiyacınız olabilir
  • Farklı kullanım örneklerine göre önerilen ölçüler

Holografik uzaktan iletişim güvenliği

Holografik Uzaktan İletişim bir ağ üzerinden bilgi alışverişinde bulunur. Hiçbir güvenlik önlemi alınmazsa, aynı ağdaki saldırganlar iletişimin bütünlüğünü tehlikeye atabilir veya gizli bilgilere erişebilir.

Windows Mağazası'ndaki örnek uygulamalar ve Holographic Remoting Player güvenlik devre dışı bırakılmış olarak gelir. Bunun yapılması örneklerin anlaşılmasını kolaylaştırır. Ayrıca geliştirmeyle daha hızlı bir şekilde çalışmaya başlamanıza da yardımcı olur.

Saha testi veya üretim için Holographic Uzaktan İletişim çözümünüzde güvenliği etkinleştirmenizi kesinlikle öneririz.

Holographic Remoting'de güvenlik, kullanım örneğiniz için doğru ayarlandığında size aşağıdaki garantileri verir:

  • Orijinallik: Hem oyuncu hem de uzak uygulama, diğer tarafın iddia ettikleri kişi olduğundan emin olabilir
  • Gizlilik: Hiçbir üçüncü taraf oyuncu ile uzak uygulama arasında yapılan bilgileri okuyamıyor
  • Bütünlük: Oyuncu ve uzak oyuncu, iletişimlerinde herhangi bir aktarım içi değişikliği algılayabilir

Önemli

Güvenlik özelliklerini kullanabilmek için, Windows Mixed Reality veya OpenXR API'lerini kullanarak hem özel bir oynatıcı hem de özel bir uzak uygulama uygulamanız gerekir.

Not

OpenXR API'sini kullanarak 2.4.0 sürümüyle başlayan uzak uygulamalar oluşturulabilir. OpenXR ortamında güvenli bağlantı kurma hakkında genel bakış burada bulunabilir.

Güvenlik uygulamasını planlama

Holographic Remoting'de güvenliği etkinleştirdiğinizde uzaktan iletişim kitaplığı, ağ üzerinden alınan tüm veriler için şifreleme ve bütünlük denetimlerini otomatik olarak etkinleştirir.

Doğru kimlik doğrulamasının sağlanması için fazladan çalışma yapılması gerekir. Tam olarak ne yapmanız gerektiği, kullanım örneğine bağlıdır ve bu bölümün geri kalanı gerekli adımları bulmakla ilgili.

Önemli

Bu makale yalnızca genel yönergeler sağlayabilir. Emin değilseniz, kullanım örneğiniz için size rehberlik sunabilecek bir güvenlik uzmanına danışmayı göz önünde bulundurun.

İlk olarak bazı terimler: ağ bağlantılarını açıklarken istemci ve sunucu terimleri kullanılır. Sunucu, bilinen bir uç nokta adresinde gelen bağlantıları dinleyen taraftır ve sunucunun uç noktasına bağlanan istemcidir.

Not

İstemci ve sunucu rolleri, bir uygulamanın yürütücü olarak mı yoksa uzak olarak mı davrandığına bağlı değildir. Örneklerde oyuncu sunucu rolünde olsa da, kullanım örneğine daha uygunsa rolleri geri almak kolaydır.

Sunucudan istemciye kimlik doğrulamasını planlama

Sunucu, kimliğini istemciye kanıtlamak için dijital sertifikalar kullanır. İstemci, bağlantı el sıkışması aşamasında sunucunun sertifikasını doğrular. İstemci sunucuya güvenmiyorsa bu noktada bağlantıyı sonlandıracaktır.

İstemcinin sunucu sertifikasını nasıl doğrular ve ne tür sunucu sertifikaları kullanılabilir, kullanım örneğine bağlıdır.

Kullanım örneği 1: Sunucu ana bilgisayar adı sabit değildir veya sunucu ana bilgisayar adıyla adreslenmez.

Bu kullanım örneğinde, sunucunun ana bilgisayar adı için bir sertifika vermek pratik (hatta mümkün) değildir. Bunun yerine sertifikanın parmak izini doğrulamanızı öneririz. İnsan parmak izi gibi parmak izi de bir sertifikayı benzersiz olarak tanımlar.

Parmak izini bant dışı istemciye iletmek önemlidir. Başka bir deyişle, uzaktan iletişim için kullanılan ağ bağlantısı üzerinden gönderemezsiniz. Bunun yerine, istemcinin yapılandırmasına el ile girebilir veya istemcinin bir QR kodunu taramasını sağlayabilirsiniz.

Kullanım örneği 2: Sunucuya kararlı bir ana bilgisayar adı üzerinden ulaşılabilir.

Bu kullanım örneğinde, sunucunun belirli bir ana bilgisayar adı vardır ve bu adın büyük olasılıkla değişmeyeceğini biliyorsunuz. Ardından sunucunun ana bilgisayar adına verilen bir sertifikayı kullanabilirsiniz. Güven, ana bilgisayar adına ve sertifikanın güven zincirine göre oluşturulur.

Bu seçeneği belirlerseniz istemcinin sunucunun ana bilgisayar adını ve kök sertifikayı önceden bilmesi gerekir.

İstemciden sunucuya kimlik doğrulamasını planlama

İstemciler, serbest biçimli bir belirteç kullanarak sunucuda kimlik doğrulaması yapar. Bu belirtecin içermesi gerekenler, kullanım örneğine yeniden bağlıdır:

Kullanım örneği 1: Yalnızca istemci uygulamasının kimliğini doğrulamanız gerekir.

Bu kullanım örneğinde paylaşılan gizli dizi yeterli olabilir. Bu sır tahmin edilmeyecek kadar karmaşık olmalı.

İyi bir paylaşılan gizli dizi, hem sunucunun hem de istemcinin yapılandırmasında el ile girilen rastgele bir GUID'dir. Örneğin, PowerShell'de komutunu kullanarak oluşturabilirsiniz New-Guid .

Bu paylaşılan gizli dizinin güvenli olmayan kanallar üzerinden hiçbir zaman iletişim kurmadığından emin olun. uzaktan iletişim kitaplığı, paylaşılan gizli dizinin her zaman şifrelenmiş ve yalnızca güvenilen eşlere gönderilmesini sağlar.

Kullanım örneği 2: ayrıca istemci uygulamasının kullanıcısının kimliğini de doğrulamanız gerekir.

Paylaşılan gizli dizi, bu kullanım örneğini kapsamak için yeterli olmayacaktır. Bunun yerine, kimlik sağlayıcısı tarafından oluşturulan belirteçleri kullanabilirsiniz. Kimlik sağlayıcısı kullanan bir kimlik doğrulama iş akışı şöyle görünür:

  • İstemci kimlik sağlayıcısına karşı yetkilendirme gerçekleştirir ve bir belirteç istemektedir
  • Kimlik sağlayıcısı bir belirteç oluşturur ve bunu istemciye gönderir
  • İstemci bu belirteci Holographic Uzaktan İletişim aracılığıyla sunucuya gönderir
  • Sunucu, istemcinin belirtecini kimlik sağlayıcısına karşı doğrular

Kimlik sağlayıcısına örnek olarak Microsoft kimlik platformu.

Önceki kullanım örneğinde olduğu gibi, bu belirteçlerin güvenli olmayan kanallardan gönderilmediğinden veya başka bir şekilde kullanıma sunulmadığından emin olun.

Ayrıca Bkz.