AppIDFlags

Sekumpulan bendera yang mengontrol perilaku aktivasi server COM.

Entri Registri

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID
   {AppID_GUID}
      AppIDFlags = flags

Keterangan

Ini adalah nilai REG_DWORD .

Nilai Bendera Terus-menerus
0x1 APPIDREGFLAGS_ACTIVATE_IUSERVER_INDESKTOP
0x2 APPIDREGFLAGS_SECURE_SERVER_PROCESS_SD_AND_BIND
0x4 APPIDREGFLAGS_ISSUE_ACTIVATION_RPC_AT_IDENTIFY

 

Deskripsi APPIDREGFLAGS_ACTIVATE_IUSERVER_INDESKTOP

Jika bendera APPIDREGFLAGS_ACTIVATE_IUSERVER_INDESKTOP dibersihkan di AppIDFlags atau jika AppIDFlags tidak ada, klien dalam sesi server terminal membuat permintaan aktivasi untuk server COM Pengguna Interaktif, akan mengikat, atau meluncurkan dan mengikat, server COM di desktop "default" dari stasiun jendela "winsta0" sesi dalam permintaan aktivasi. Misalnya, jika klien menjalankan "winsta0\desktop1" sesi 3, permintaan aktivasi untuk sesi 3 akan mengikat ke, atau meluncurkan dan mengikat ke, server COM di "winsta0\default" sesi 3, bahkan jika instans server COM sudah berjalan di "winsta0\desktop1" sesi 3.

Jika bendera APPIDREGFLAGS_ACTIVATE_IUSERVER_INDESKTOP diatur dalam nilai AppIDFlags, COM akan mengikat, atau meluncurkan dan mengikat, proses server yang berjalan di desktop klien dan sesi dalam permintaan aktivasi. Misalnya, jika klien menjalankan "winsta0\desktop1" di sesi 3, permintaan aktivasi untuk sesi 3 akan mengikat ke, atau meluncurkan dan mengikat ke, server COM di "winsta0\desktop1" di sesi 3, bahkan jika instans server COM sudah berjalan di "winsta0\default" di sesi 3.

Klien dapat menggunakan moniker sesi untuk menentukan sesi yang berbeda dari sesi klien saat membuat permintaan aktivasi.

Bendera APPIDREGFLAGS_ACTIVATE_IUSERVER_INDESKTOP hanya berlaku untuk server COM yang dikonfigurasi ke RunAs "Interactive User".

Deskripsi APPIDREGFLAGS_SECURE_SERVER_PROCESS_SD_AND_BIND

Jika bendera APPIDREGFLAGS_SECURE_SERVER_PROCESS_SD_AND_BIND diatur di AppIDFlags, server COM yang dikonfigurasi ke RunAs "Activator" akan diluncurkan dengan deskriptor keamanan proses yang memungkinkan PROCESS_ALL_ACCESS ke SID LogonID dari token proses. Selain itu, pemilik deskriptor keamanan akan diatur ke SID LogonID dari token proses.

Jika bendera APPIDREGFLAGS_SECURE_SERVER_PROCESS_SD_AND_BIND diatur di AppIDFlags, server COM yang dikonfigurasi ke RunAs "Pengguna Ini" akan diluncurkan dengan deskriptor keamanan proses yang memungkinkan PROCESS_ALL_ACCESS di SID LogonID dari token proses. Selain itu, pemilik deskriptor keamanan akan diatur ke SID LogonID dari token proses. Selanjutnya, COM Service Control Manager (SCM) memodifikasi token proses server COM sebagai berikut:

  • Ini menambahkan APPID SID ke token. Ini memberikan akses penuh APPID SID dalam daftar kontrol akses kebijaksanaan default token (DACL). Di Windows Vista dan versi Windows yang lebih baru, ini memberikan izin READ_CONTROL OwnerRights SID dalam DACL default token. Dalam versi Windows Vista pra-Windows, ini mengatur pemilik token ke APPID SID.

Pertimbangan keamanan berikut harus diperhitungkan saat menggunakan bendera APPIDREGFLAGS_SECURE_SERVER_PROCESS_SD_AND_BIND :

  • Bendera APPIDREGFLAGS_SECURE_SERVER_PROCESS_SD_AND_BIND dimaksudkan untuk diatur oleh server COM yang diluncurkan di bawah salah satu konteks keamanan layanan bawaan; baik akun NetworkService atau LocalService. Jika server meniru klien istimewa dan jika bendera APPIDREGFLAGS_SECURE_SERVER_PROCESS_SD_AND_BIND tidak diatur, kode berbahaya yang berjalan dalam proses lain dengan konteks keamanan yang sama dapat meningkatkan hak istimewa dengan membajak token peniruan klien istimewa dari proses server COM.
  • Ketika bendera APPIDREGFLAGS_SECURE_SERVER_PROCESS_SD_AND_BIND diatur, COM mengeraskan deskriptor keamanan objek proses dalam kasus server COM RunAs "Activator". Untuk server tersebut, klien COM diharapkan untuk mengeraskan token yang digunakannya untuk aktivasi COM.
  • Ketika bendera APPIDREGFLAGS_SECURE_SERVER_PROCESS_SD_AND_BIND diatur, COM mengeraskan deskriptor keamanan objek proses dalam kasus server COM RunAs "Pengguna Ini". Ini juga mengeraskan token proses server COM karena COM SCM adalah entitas yang membuat token.

Bendera APPIDREGFLAGS_SECURE_SERVER_PROCESS_SD_AND_BIND didukung di Windows XP, Windows Server 2003, Windows Vista, dan Windows Server 2008 hanya ketika patch MSRC8322 (buletin keamanan MS09-012) diterapkan. Ini didukung secara asli di Windows 7 dan versi Windows yang lebih baru.

Bendera APPIDREGFLAGS_SECURE_SERVER_PROCESS_SD_AND_BIND hanya berlaku untuk server COM yang dikonfigurasi ke RunAs "Activator" atau "Pengguna Ini". Ini tidak berlaku untuk server COM yang merupakan layanan NT.

Deskripsi APPIDREGFLAGS_ISSUE_ACTIVATION_RPC_AT_IDENTIFY

Jika bendera APPIDREGFLAGS_ISSUE_ACTIVATION_RPC_AT_IDENTIFY diatur di AppIDFlags, COM SCM akan mengeluarkan permintaan aktivasi objek ke proses server COM menggunakan tingkat peniruan RPC_C_IMP_LEVEL_IDENTIFY.

Jika bendera APPIDREGFLAGS_ISSUE_ACTIVATION_RPC_AT_IDENTIFY tidak diatur, COM SCM akan mengeluarkan permintaan aktivasi objek ke proses server COM menggunakan tingkat peniruan RPC_C_IMP_LEVEL_IMPERSONATE.

Pertimbangan keamanan berikut harus diperhitungkan saat menggunakan bendera APPIDREGFLAGS_ISSUE_ACTIVATION_RPC_AT_IDENTIFY :

Bendera APPIDREGFLAGS_ISSUE_ACTIVATION_RPC_AT_IDENTIFY didukung di Windows 7 dan versi Windows yang lebih baru.

Desktop

Tingkat Peniruan

Pengguna Interaktif

Monikers Sesi

Stasiun Jendela