Freigeben über


Festlegen System-Wide Sicherheit mithilfe von DCOMCNFG

Das Ändern der systemweiten Sicherheitseinstellungen wirkt sich auf alle COM-Serveranwendungen aus, die keine eigene prozessweite Sicherheit festlegen. Dies kann verhindern, dass solche Anwendungen ordnungsgemäß funktionieren. Wenn Sie die systemweiten Sicherheitseinstellungen so ändern, dass sie sich auf die Sicherheitseinstellungen für eine bestimmte COM-Anwendung auswirken, sollten Sie stattdessen die prozessweiten Sicherheitseinstellungen für diese bestimmte COM-Anwendung ändern. Weitere Informationen zum Festlegen der prozessweiten Sicherheit finden Sie unter Festlegen der prozessweiten Sicherheit.

Wenn sie möchten, dass alle Anwendungen auf einem Computer, die keine eigene Sicherheit bereitstellen, dieselben Standardsicherheitseinstellungen verwenden, legen Sie die Sicherheit auf systemweiter Basis fest. Die Verwendung von Dcomcnfg.exe vereinfacht das Festlegen von Standardwerten in der Registrierung, die für alle Anwendungen auf einem Computer gelten.

Es ist wichtig zu verstehen, dass, wenn der Client oder Server CoInitializeSecurity explizit aufruft, um prozessweite Sicherheit festzulegen, die Standardeinstellungen in der Registrierung ignoriert und stattdessen die Parameter für CoInitializeSecurity für die Sicherheitseinstellungen für den Prozess verwendet werden. Wenn Sie Dcomcnfg.exe verwenden, um Sicherheitseinstellungen für einen bestimmten Prozess anzugeben, werden die Standardcomputereinstellungen von den Einstellungen für den Prozess überschrieben.

Beim Aktivieren der systemweiten Sicherheit müssen Sie die Authentifizierungsebene auf einen anderen Wert als None festlegen, und Sie müssen Start- und Zugriffsberechtigungen festlegen. Sie haben die Möglichkeit, die Standardidentitätswechselebene festzulegen, und Sie können auch die Verweisnachverfolgung aktivieren. Die folgenden Themen enthalten schrittweise Verfahren:

Festlegen System-Wide Standardauthentifizierungsebene

Die Authentifizierungsebene wird verwendet, um COM mitzuteilen, auf welcher Ebene der Client authentifiziert werden soll. Diese Ebenen bieten verschiedene Schutzebenen, von keinem Schutz bis hin zur vollständigen Verschlüsselung. Um die Sicherheit für einen Computer zu aktivieren, müssen Sie eine andere Authentifizierungsstufe als Keine auswählen. Sie können eine solche Einstellung mit Dcomcnfg.exe auswählen, indem Sie die folgenden Schritte ausführen.

So legen Sie die Authentifizierungsebene systemweit fest

  1. Führen Sie "Dcomcnfg.exe" aus.

  2. Wählen Sie die Registerkarte Standardeigenschaften aus.

  3. Wählen Sie im Listenfeld Standardauthentifizierungsebene einen anderen Wert als (Keine) aus.

  4. Wenn Sie weitere Eigenschaften für den Computer festlegen, klicken Sie auf die Schaltfläche Anwenden , um die neue Authentifizierungsebene anzuwenden. Klicken Sie andernfalls auf OK , um die Änderungen anzuwenden und Dcomcnfg.exe zu beenden.

Festlegen System-Wide Startberechtigungen

Die Startberechtigungen, die Sie mit Dcomcnfg.exe festlegen, bestimmen eine Liste von Benutzern, von denen jeder explizit die Berechtigung zum Starten eines Servers erteilt oder verweigert wird, der keine eigenen Startberechtigungseinstellungen bereitstellt. Wenn Sie Startberechtigungen festlegen, können Sie eine oder mehrere Benutzer oder Gruppen dieser Liste hinzufügen oder daraus entfernen. Für jeden Benutzer, den Sie hinzufügen, müssen Sie angeben, ob dem Benutzer die Startberechtigung gewährt oder verweigert wird.

So legen Sie Startberechtigungen für einen Computer fest

  1. Wählen Sie auf der Eigenschaftenseite Standardsicherheit in Dcomcnfg.exe im Bereich Standardstartberechtigungen die Schaltfläche Standard bearbeiten aus.

  2. Um Benutzer oder Gruppen zu entfernen, wählen Sie den Benutzer oder die Gruppe aus, die Sie entfernen möchten, und wählen Sie die Schaltfläche Entfernen aus. Der ausgewählte Benutzer oder die ausgewählte Gruppe wird nicht mehr im Listenfeld angezeigt. Wenn Sie mit dem Entfernen von Benutzern und Gruppen fertig sind, wählen Sie OK aus.

  3. Wenn Sie einen Benutzer oder eine Gruppe hinzufügen möchten, wählen Sie die Schaltfläche Hinzufügen aus.

  4. Wenn Sie den vollqualifizierten Benutzernamen kennen, den Sie hinzufügen möchten, geben Sie ihn in das Textfeld Namen hinzufügen ein. Wenn Sie den Benutzernamen nicht kennen, finden Sie ihn unter Festlegen der prozessweiten Sicherheit mithilfe von DCOMCNFG . Wenn Sie den Benutzernamen gefunden haben, wählen Sie den Benutzer oder die Gruppe im Listenfeld Namen aus, und wählen Sie die Schaltfläche Hinzufügen aus.

  5. Wählen Sie im Listenfeld Zugriffstyp den Zugriffstyp aus ( Start zulassen oder Starten verweigern). Wiederholen Sie Schritt 4, um weitere Benutzer hinzuzufügen, die ebenfalls über den ausgewählten Zugriffstyp verfügen. Wenn Sie das Hinzufügen von Benutzern für den ausgewählten Zugriffstyp abgeschlossen haben, wählen Sie die Schaltfläche OK aus.

  6. Wiederholen Sie die Schritte 4 und 5, um Benutzer hinzuzufügen, die eine andere Zugriffsart haben. Wählen Sie andernfalls OK aus, um die Änderungen anzuwenden.

Festlegen System-Wide Zugriffsberechtigungen

Dcomcnfg.exe können Sie Zugriffsberechtigungen festlegen, um die Liste der Benutzer zu steuern, denen der Zugriff auf die Methoden der Server gewährt oder verweigert wird, die keine eigenen Zugriffsberechtigungen bereitstellen. Sie können der Liste Benutzer oder Gruppen hinzufügen und angeben, ob die Zugriffsberechtigung gewährt oder verweigert wird. Sie können auch Benutzer aus der Liste entfernen.

Beim Festlegen von Zugriffsberechtigungen müssen Sie sicherstellen, dass SYSTEM in der Liste der Benutzer enthalten ist, denen Zugriff gewährt wird. Wenn Sie Zugriffsberechtigungen für Alle erteilt haben, ist SYSTEM implizit enthalten.

Das Festlegen von Zugriffsberechtigungen für einen Computer ähnelt dem Festlegen von Startberechtigungen. Die folgenden Schritte sollten ausgeführt werden.

So legen Sie Zugriffsberechtigungen für einen Computer fest

  1. Wählen Sie auf der Eigenschaftenseite Standardsicherheit in Dcomcnfg.exe im Bereich Standardzugriffsberechtigungen die Schaltfläche Standard bearbeiten aus.

  2. Um Benutzer oder Gruppen zu entfernen, wählen Sie den Benutzer oder die Gruppe aus, die Sie entfernen möchten, und wählen Sie die Schaltfläche Entfernen aus. Der ausgewählte Benutzer oder die ausgewählte Gruppe wird nicht mehr im Listenfeld angezeigt. Wenn Sie mit dem Entfernen von Benutzern und Gruppen fertig sind, wählen Sie OK aus.

  3. Wenn Sie einen Benutzer oder eine Gruppe hinzufügen möchten, wählen Sie die Schaltfläche Hinzufügen aus.

  4. Wenn Sie den vollqualifizierten Benutzernamen kennen, den Sie hinzufügen möchten, geben Sie ihn in das Textfeld Namen hinzufügen ein. Wenn Sie den Benutzernamen nicht kennen, finden Sie unter Festlegen der prozessweiten Sicherheit mithilfe von DCOMCNFG . Wenn Sie den Benutzernamen gefunden haben, wählen Sie den Benutzer oder die Gruppe im Listenfeld Namen aus, und wählen Sie die Schaltfläche Hinzufügen aus.

  5. Wählen Sie im Listenfeld Zugriffstyp den Zugriffstyp aus (Zugriff zulassen oder Zugriff verweigern). Wiederholen Sie Schritt 4, um andere Benutzer hinzuzufügen, die über den ausgewählten Zugriffstyp verfügen. Wenn Sie das Hinzufügen von Benutzern für den ausgewählten Zugriffstyp abgeschlossen haben, wählen Sie die Schaltfläche OK aus.

  6. Wiederholen Sie die Schritte 4 und 5, um Benutzer hinzuzufügen, die eine andere Zugriffsart haben. Wählen Sie andernfalls OK aus, um die Änderungen anzuwenden.

Festlegen System-Wide Identitätswechselebene

Die vom Client festgelegte Identitätswechselebene bestimmt den Umfang der Autorität, die dem Server erteilt wird, um im Namen des Clients zu handeln. Wenn der Client beispielsweise seine Identitätswechselebene auf Delegieren festgelegt hat, kann der Server als Client auf lokale und Remoteressourcen zugreifen, und der Server kann mehrere Computergrenzen überschreiten, wenn die Cloaking-Funktion festgelegt ist. Informationen zur Ermittlung der Identitätswechselebene, die Sie auswählen sollten, finden Sie unter Identitätswechsel undCloaking.

Wenn Sie die Standardidentitätswechselebene für den gesamten Computer festlegen, teilt COM mit, welche Identitätswechselebene verwendet werden soll, wenn ein bestimmter Client auf dem Computer mithilfe von CoInitializeSecurity oder CoSetProxyBlanket nicht programmgesteuert eine Identitätswechselebene angibt.

So legen Sie die Identitätswechselebene für einen Computer fest

  1. Wenn Dcomcnfg.exe ausgeführt wird, wählen Sie die Registerkarte Standardeigenschaften aus.

  2. Wählen Sie im Listenfeld Standardidentitätswechselebene die gewünschte Identitätswechselebene aus.

  3. Wenn Sie weitere Eigenschaften für den Computer festlegen, wählen Sie die Schaltfläche Anwenden aus, um die neue Identitätswechselebene anzuwenden. Wählen Sie andernfalls OK aus, um die Änderungen anzuwenden, und beenden Sie Dcomcnfg.exe.

Festlegen System-Wide Referenznachverfolgung

Wenn Sie die Referenznachverfolgung aktivieren, bitten Sie COM, zusätzliche Sicherheitsüberprüfungen durchzuführen und Informationen nachzuverfolgen, die dazu führen, dass Objekte nicht zu früh freigegeben werden. Beachten Sie, dass diese zusätzlichen Überprüfungen teuer sind. Weitere Informationen zur Referenznachverfolgung finden Sie unter Referenznachverfolgung. Führen Sie die folgenden Schritte aus, um die Referenznachverfolgung zu aktivieren oder zu deaktivieren.

So legen Sie die Verweisnachverfolgung für einen Computer fest

  1. Wenn Dcomcnfg.exe ausgeführt wird, wählen Sie die Registerkarte Standardeigenschaften aus.

  2. Um die Referenznachverfolgung zu aktivieren (oder zu deaktivieren), aktivieren (oder deaktivieren) Sie das Kontrollkästchen Zusätzliche Sicherheit für die Referenznachverfolgung bereitstellen am unteren Rand der Seite.

  3. Wenn Sie weitere Eigenschaften für den Computer festlegen, wählen Sie die Schaltfläche Anwenden aus, um die neue Einstellung anzuwenden. Wählen Sie andernfalls OK aus, um die Änderungen anzuwenden, und beenden Sie Dcomcnfg.exe.

Aktivieren und Deaktivieren von DCOM

Wenn ein Computer Teil eines Netzwerks ist, ermöglicht das DCOM-Kabelprotokoll COM-Objekten auf diesem Computer die Kommunikation mit COM-Objekten auf anderen Computern. Sie können DCOM für einen bestimmten Computer deaktivieren, aber dadurch wird die gesamte Kommunikation zwischen Objekten auf diesem Computer und Objekten auf anderen Computern deaktiviert.

Das Deaktivieren von DCOM auf einem Computer hat keine Auswirkungen auf lokale COM-Objekte. COM sucht weiterhin nach startberechtigungen, die Sie angegeben haben. Wenn keine Startberechtigungen angegeben wurden, werden Standardstartberechtigungen verwendet. Selbst wenn Sie DCOM deaktivieren, kann ein Benutzer, der physischen Zugriff auf den Computer hat, einen Server auf dem Computer starten, es sei denn, Sie legen Startberechtigungen fest, um ihn nicht zuzulassen.

Hinweis

Wenn Sie DCOM auf einem Remotecomputer deaktivieren, können Sie anschließend nicht mehr remote auf diesen Computer zugreifen, um DCOM erneut zu aktivieren. Um DCOM wieder zu aktivieren, benötigen Sie physischen Zugriff auf diesen Computer.

 

So aktivieren (oder deaktivieren) Sie DCOM für einen Computer manuell

  1. Führen Sie "Dcomcnfg.exe" aus.

  2. Wählen Sie die Registerkarte Standardeigenschaften aus.

  3. Aktivieren (oder deaktivieren) Sie das Kontrollkästchen Verteiltes COMÂ auf diesem Computer aktivieren .

  4. Wenn Sie weitere Eigenschaften für den Computer festlegen möchten, klicken Sie auf die Schaltfläche Übernehmen , um DCOM zu aktivieren (oder zu deaktivieren). Klicken Sie andernfalls auf OK , um die Änderungen anzuwenden und Dcomcnfg.exe zu beenden.

Festlegen der prozessweiten Sicherheit