Partager via


Définition System-Wide sécurité à l’aide de DCOMCNFG

La modification des paramètres de sécurité à l’échelle du système affecte toutes les applications serveur COM qui ne définissent pas leur propre sécurité à l’échelle du processus. Cela peut empêcher ces applications de fonctionner correctement. Si vous modifiez les paramètres de sécurité à l’échelle du système pour affecter les paramètres de sécurité d’une application COM particulière, vous devez plutôt modifier les paramètres de sécurité à l’échelle du processus pour cette application COM particulière. Pour plus d’informations sur la définition de la sécurité à l’échelle du processus, consultez Définition de la sécurité à l’échelle du processus.

Lorsque vous souhaitez que toutes les applications sur un ordinateur qui ne fournissent pas leur propre sécurité partagent les mêmes paramètres de sécurité par défaut, vous devez définir la sécurité à l’échelle du système. L’utilisation de Dcomcnfg.exe facilite la définition des valeurs par défaut dans le Registre qui s’appliquent à toutes les applications sur un ordinateur.

Il est important de comprendre que si le client ou le serveur appelle explicitement CoInitializeSecurity pour définir la sécurité à l’échelle du processus, les paramètres par défaut dans le Registre seront ignorés et les paramètres de CoInitializeSecurity seront utilisés à la place pour les paramètres de sécurité du processus. En outre, si vous utilisez Dcomcnfg.exe pour spécifier les paramètres de sécurité d’un processus particulier, les paramètres par défaut de l’ordinateur sont remplacés par les paramètres du processus.

Lorsque vous activez la sécurité à l’échelle du système, vous devez définir le niveau d’authentification sur une valeur autre que None et vous devez définir les autorisations de lancement et d’accès. Vous avez la possibilité de définir le niveau d’emprunt d’identité par défaut et vous pouvez également activer le suivi des références. Les rubriques suivantes fournissent des procédures pas à pas :

Définition System-Wide niveau d’authentification par défaut

Le niveau d’authentification est utilisé pour indiquer à COM à quel niveau vous souhaitez que le client soit authentifié. Ces niveaux offrent différents niveaux de protection, de l’absence de protection au chiffrement complet. Pour activer la sécurité d’un ordinateur, vous devez choisir un niveau d’authentification autre que Aucun. Vous pouvez choisir un tel paramètre, à l’aide de Dcomcnfg.exe, en effectuant les étapes suivantes.

Pour définir le niveau d’authentification à l’échelle du système

  1. Exécutez Dcomcnfg.exe.

  2. Choisissez l’onglet Propriétés par défaut .

  3. Dans la zone de liste Niveau d’authentification par défaut, choisissez une valeur autre que (Aucun).

  4. Si vous souhaitez définir d’autres propriétés pour l’ordinateur, cliquez sur le bouton Appliquer pour appliquer le nouveau niveau d’authentification. Sinon, cliquez sur OK pour appliquer les modifications et quitter Dcomcnfg.exe.

Définition System-Wide autorisations de lancement

Les autorisations de lancement que vous définissez avec Dcomcnfg.exe déterminent une liste d’utilisateurs, chacun d’eux étant explicitement autorisé ou refusé à lancer un serveur qui ne fournit pas ses propres paramètres d’autorisation de lancement. Lorsque vous définissez les autorisations de lancement, vous pouvez ajouter ou supprimer un ou plusieurs utilisateurs ou groupes de cette liste. Pour chaque utilisateur que vous ajoutez, vous devez spécifier si l’autorisation de lancement est accordée ou refusée à l’utilisateur.

Pour définir les autorisations de lancement pour un ordinateur

  1. Dans la page de propriétés Sécurité par défaut dans Dcomcnfg.exe, choisissez le bouton Modifier par défaut dans la zone Autorisations de lancement par défaut .

  2. Pour supprimer des utilisateurs ou des groupes, sélectionnez l’utilisateur ou le groupe à supprimer, puis choisissez le bouton Supprimer . L’utilisateur ou le groupe sélectionné n’apparaîtra plus dans la zone de liste. Une fois que vous avez terminé la suppression des utilisateurs et des groupes, choisissez OK.

  3. Si vous souhaitez ajouter un utilisateur ou un groupe, choisissez le bouton Ajouter .

  4. Si vous connaissez le nom d’utilisateur complet que vous souhaitez ajouter, tapez-le dans la zone de texte Ajouter des noms . Si vous ne connaissez pas le nom d’utilisateur, consultez Définition de la sécurité à l’échelle du processus à l’aide de DCOMCNFG pour le trouver. Une fois que vous avez trouvé le nom d’utilisateur, sélectionnez l’utilisateur ou le groupe dans la zone de liste Noms , puis choisissez le bouton Ajouter .

  5. Dans la zone de liste Type d’accès , sélectionnez le type d’accès ( Autoriser le lancement ou Refuser le lancement). Pour ajouter d’autres utilisateurs qui auront également le type d’accès sélectionné, répétez l’étape 4. Une fois que vous avez terminé d’ajouter des utilisateurs pour le type d’accès sélectionné, choisissez le bouton OK .

  6. Pour ajouter des utilisateurs qui auront un autre type d’accès, répétez les étapes 4 et 5. Sinon, choisissez OK pour appliquer les modifications.

Définition des autorisations d’accès System-Wide

Dcomcnfg.exe vous permet de définir des autorisations d’accès pour contrôler la liste des utilisateurs auxquels l’accès est accordé ou refusé aux méthodes de ces serveurs qui ne fournissent pas leurs propres autorisations d’accès. Vous pouvez ajouter des utilisateurs ou des groupes à la liste, en spécifiant si l’autorisation d’accès est accordée ou refusée. Vous pouvez également supprimer des utilisateurs de la liste.

Lorsque vous définissez des autorisations d’accès, vous devez vous assurer que SYSTEM est inclus dans la liste des utilisateurs auxquels l’accès est accordé. Si vous avez accordé des autorisations d’accès à Tout le monde, SYSTEM est inclus implicitement.

Le processus de définition des autorisations d’accès pour un ordinateur est similaire à la définition des autorisations de lancement. Les étapes suivantes doivent être effectuées.

Pour définir les autorisations d’accès pour un ordinateur

  1. Dans la page de propriétés Sécurité par défaut dans Dcomcnfg.exe, choisissez le bouton Modifier par défaut dans la zone Autorisations d’accès par défaut .

  2. Pour supprimer des utilisateurs ou des groupes, sélectionnez l’utilisateur ou le groupe à supprimer, puis choisissez le bouton Supprimer . L’utilisateur ou le groupe sélectionné n’apparaîtra plus dans la zone de liste. Une fois que vous avez terminé la suppression de l’utilisateur et des groupes, choisissez OK.

  3. Si vous souhaitez ajouter un utilisateur ou un groupe, choisissez le bouton Ajouter .

  4. Si vous connaissez le nom d’utilisateur complet que vous souhaitez ajouter, tapez-le dans la zone de texte Ajouter des noms . Si vous ne connaissez pas le nom d’utilisateur, consultez Définition de la sécurité à l’échelle du processus à l’aide de DCOMCNFG pour le trouver. Une fois que vous avez trouvé le nom d’utilisateur, sélectionnez l’utilisateur ou le groupe dans la zone de liste Noms , puis choisissez le bouton Ajouter .

  5. Dans la zone de liste Type d’accès , sélectionnez le type d’accès ( Autoriser l’accès ou Refuser l’accès). Pour ajouter d’autres utilisateurs qui auront le type d’accès sélectionné, répétez l’étape 4. Une fois que vous avez terminé d’ajouter des utilisateurs pour le type d’accès sélectionné, choisissez le bouton OK .

  6. Pour ajouter des utilisateurs qui auront un autre type d’accès, répétez les étapes 4 et 5. Sinon, choisissez OK pour appliquer les modifications.

Définition System-Wide niveau d’emprunt d’identité

Le niveau d’emprunt d’identité, défini par le client, détermine la quantité d’autorité accordée au serveur pour agir au nom du client. Par exemple, lorsque le client a défini son niveau d’emprunt d’identité sur délégué, le serveur peut accéder aux ressources locales et distantes en tant que client, et le serveur peut se voiler sur plusieurs limites d’ordinateur si la fonctionnalité de verrouillage est définie. Pour vous aider à déterminer le niveau d’emprunt d’identité que vous devez choisir, consultez Niveaux d’emprunt d’identité et cloaking.

La définition du niveau d’emprunt d’identité par défaut pour l’ensemble de l’ordinateur indique à COM quel niveau d’emprunt d’identité utiliser lorsqu’un client particulier sur l’ordinateur ne spécifie pas de niveau d’emprunt d’identité par programmation à l’aide de CoInitializeSecurity ou CoSetProxyBlanket.

Pour définir le niveau d’emprunt d’identité pour un ordinateur

  1. Une fois Dcomcnfg.exe en cours d’exécution, choisissez l’onglet Propriétés par défaut .

  2. Dans la zone de liste Niveau d’emprunt d’identité par défaut , choisissez le niveau d’emprunt d’identité souhaité.

  3. Si vous souhaitez définir d’autres propriétés pour l’ordinateur, choisissez le bouton Appliquer pour appliquer le nouveau niveau d’emprunt d’identité. Sinon, choisissez OK pour appliquer les modifications et quitter Dcomcnfg.exe.

Définition System-Wide suivi des références

Lorsque vous activez le suivi des références, vous demandez à COM d’effectuer des vérifications de sécurité supplémentaires et de suivre les informations qui empêcheront les objets d’être libérés trop tôt. Gardez à l’esprit que ces vérifications supplémentaires sont coûteuses. Pour plus d’informations sur le suivi des références, consultez Suivi des références. Utilisez les étapes suivantes pour activer ou désactiver le suivi des références.

Pour définir le suivi des références pour un ordinateur

  1. Une fois Dcomcnfg.exe en cours d’exécution, choisissez l’onglet Propriétés par défaut .

  2. Pour activer (ou désactiver) le suivi des références, sélectionnez (ou désactivez) la zone Fournir une sécurité supplémentaire pour le suivi des références case activée en bas de la page.

  3. Si vous souhaitez définir d’autres propriétés pour l’ordinateur, choisissez le bouton Appliquer pour appliquer le nouveau paramètre. Sinon, choisissez OK pour appliquer les modifications et quitter Dcomcnfg.exe.

Activation et désactivation de DCOM

Lorsqu’un ordinateur fait partie d’un réseau, le protocole filaire DCOM permet aux objets COM sur cet ordinateur de communiquer avec des objets COM sur d’autres ordinateurs. Vous pouvez désactiver DCOM pour un ordinateur particulier, mais cela désactive toute communication entre les objets sur cet ordinateur et les objets sur d’autres ordinateurs.

La désactivation de DCOM sur un ordinateur n’a aucun effet sur les objets COM locaux. COM recherche toujours les autorisations de lancement que vous avez spécifiées. Si aucune autorisation de lancement n’a été spécifiée, les autorisations de lancement par défaut sont utilisées. Même si vous désactivez DCOM, si un utilisateur dispose d’un accès physique à l’ordinateur, il peut lancer un serveur sur l’ordinateur, sauf si vous définissez les autorisations de lancement pour ne pas l’autoriser.

Notes

Si vous désactivez DCOM sur un ordinateur distant, vous ne pourrez pas accéder à distance à cet ordinateur par la suite pour réactiver DCOM. Pour réactiver DCOM, vous aurez besoin d’un accès physique à cet ordinateur.

 

Pour activer (ou désactiver) manuellement DCOM pour un ordinateur

  1. Exécutez Dcomcnfg.exe.

  2. Choisissez l’onglet Propriétés par défaut.

  3. Sélectionnez (ou décochez) la zone Activer le comâ distribué sur cet ordinateur case activée.

  4. Si vous souhaitez définir d’autres propriétés pour l’ordinateur, cliquez sur le bouton Appliquer pour activer (ou désactiver) DCOM. Sinon, cliquez sur OK pour appliquer les modifications et quitter Dcomcnfg.exe.

Définition de la sécurité à l’échelle du processus