Impostazione della sicurezza a livello di sistema tramite DCOMCNFG
La modifica delle impostazioni di sicurezza a livello di sistema influirà su tutte le applicazioni server COM che non impostano la propria sicurezza a livello di processo. Ciò potrebbe impedire il corretto funzionamento di tali applicazioni. Se si modificano le impostazioni di sicurezza a livello di sistema per influire sulle impostazioni di sicurezza per una determinata applicazione COM, è necessario modificare invece le impostazioni di sicurezza a livello di processo per tale applicazione COM specifica. Per altre informazioni sull'impostazione della sicurezza a livello di processo, vedere Impostazione della sicurezza a livello di processo.
Quando si desidera che tutte le applicazioni in un computer che non forniscano la propria sicurezza per condividere le stesse impostazioni di sicurezza predefinite, è consigliabile impostare la sicurezza a livello di sistema. L'uso di Dcomcnfg.exe semplifica l'impostazione dei valori predefiniti nel Registro di sistema che si applicano a tutte le applicazioni in un computer.
È importante comprendere che se il client o il server chiama in modo esplicito CoInitializeSecurity per impostare la sicurezza a livello di processo, le impostazioni predefinite nel Registro di sistema verranno ignorate e i parametri di CoInitializeSecurity verranno usati invece per le impostazioni di sicurezza per il processo. Inoltre, se si utilizza Dcomcnfg.exe per specificare le impostazioni di sicurezza per un determinato processo, le impostazioni predefinite del computer vengono sostituite dalle impostazioni per il processo.
Quando si abilita la sicurezza a livello di sistema, è necessario impostare il livello di autenticazione su un valore diverso da Nessuno ed è necessario impostare le autorizzazioni di avvio e accesso. È possibile impostare il livello di rappresentazione predefinito ed è anche possibile abilitare il rilevamento dei riferimenti. Gli argomenti seguenti forniscono procedure dettagliate:
- Impostazione del livello di autenticazione predefinito a livello di sistema
- Impostazione delle autorizzazioni di avvio a livello di sistema
- Impostazione delle autorizzazioni di accesso a livello di sistema
- Impostazione del livello di rappresentazione a livello di sistema
- Impostazione del rilevamento dei riferimenti a livello di sistema
- Abilitazione e disabilitazione di DCOM
- Argomenti correlati
Impostazione del livello di autenticazione predefinito a livello di sistema
Il livello di autenticazione viene usato per indicare a COM a quale livello si vuole che il client venga autenticato. Questi livelli offrono vari livelli di protezione, da nessuna protezione alla crittografia completa. Per abilitare la sicurezza per un computer, è necessario scegliere un livello di autenticazione diverso da Nessuno. È possibile scegliere tale impostazione, usando Dcomcnfg.exe, completando i passaggi seguenti.
Per impostare il livello di autenticazione a livello di sistema
Eseguire Dcomcnfg.exe.
Scegliere la scheda Proprietà predefinite.
Nella casella di riepilogo Default Authentication Level (Livello di autenticazione predefinita) scegliere un valore diverso da (Nessuno).
Se si impostano più proprietà per il computer, fare clic sul pulsante Applica per applicare il nuovo livello di autenticazione. In caso contrario, fare clic su OK per applicare le modifiche e uscire Dcomcnfg.exe.
Impostazione delle autorizzazioni di avvio a livello di sistema
Le autorizzazioni di avvio impostate con Dcomcnfg.exe determinano un elenco di utenti, ognuno dei quali viene concesso o negato in modo esplicito l'autorizzazione per avviare qualsiasi server che non fornisca le proprie impostazioni di autorizzazione di avvio. Quando si impostano le autorizzazioni di avvio, è possibile aggiungere o rimuovere uno o più utenti o gruppi da questo elenco. Per ogni utente aggiunto, è necessario specificare se all'utente viene concessa o negata l'autorizzazione di avvio.
Per impostare le autorizzazioni di avvio per un computer
Nella pagina delle proprietà Sicurezza predefinita in Dcomcnfg.exe scegliere il pulsante Modifica predefinito nell'area Autorizzazioni di avvio predefinite.
Per rimuovere utenti o gruppi, selezionare l'utente o il gruppo da rimuovere e scegliere il pulsante Rimuovi . L'utente o il gruppo selezionato non verrà più visualizzato nella casella di riepilogo. Al termine della rimozione di utenti e gruppi, scegliere OK.
Per aggiungere un utente o un gruppo, scegliere il pulsante Aggiungi .
Se si conosce il nome utente completo da aggiungere, digitarlo nella casella di testo Aggiungi nomi . Se non si conosce il nome utente, vedere Impostazione della sicurezza a livello di processo tramite DCOMCNFG per trovarlo. Quando si trova il nome utente, selezionare l'utente o il gruppo nella casella di riepilogo Nomi e scegliere il pulsante Aggiungi .
Nella casella di riepilogo Tipo di accesso selezionare il tipo di accesso (Consenti avvio o Nega avvio). Per aggiungere altri utenti che avranno anche il tipo di accesso selezionato, ripetere il passaggio 4. Al termine dell'aggiunta di utenti per il tipo di accesso selezionato, scegliere il pulsante OK .
Per aggiungere utenti che avranno un tipo di accesso diverso, ripetere i passaggi 4 e 5. In caso contrario, scegliere OK per applicare le modifiche.
Impostazione delle autorizzazioni di accesso a livello di sistema
Dcomcnfg.exe consente di impostare le autorizzazioni di accesso per controllare l'elenco di utenti a cui viene concesso o negato l'accesso ai metodi di tali server che non forniscono le proprie autorizzazioni di accesso. È possibile aggiungere utenti o gruppi all'elenco, specificando se l'autorizzazione di accesso viene concessa o negata. È anche possibile rimuovere gli utenti dall'elenco.
Quando si impostano le autorizzazioni di accesso, è necessario assicurarsi che SYSTEM sia incluso nell'elenco di utenti a cui viene concesso l'accesso. Se sono state concesse le autorizzazioni di accesso a Tutti, SYSTEM viene incluso in modo implicito.
Il processo di impostazione delle autorizzazioni di accesso per un computer è simile all'impostazione delle autorizzazioni di avvio. È necessario eseguire i passaggi seguenti.
Per impostare le autorizzazioni di accesso per un computer
Nella pagina delle proprietà Sicurezza predefinita in Dcomcnfg.exe scegliere il pulsante Modifica predefinito nell'area Autorizzazioni di accesso predefinite.
Per rimuovere utenti o gruppi, selezionare l'utente o il gruppo da rimuovere e scegliere il pulsante Rimuovi . L'utente o il gruppo selezionato non verrà più visualizzato nella casella di riepilogo. Al termine della rimozione di utenti e gruppi, scegliere OK.
Per aggiungere un utente o un gruppo, scegliere il pulsante Aggiungi .
Se si conosce il nome utente completo da aggiungere, digitarlo nella casella di testo Aggiungi nomi . Se non si conosce il nome utente, vedere Impostazione della sicurezza a livello di processo tramite DCOMCNFG per trovarlo. Quando si trova il nome utente, selezionare l'utente o il gruppo nella casella di riepilogo Nomi e scegliere il pulsante Aggiungi .
Nella casella di riepilogo Tipo di accesso selezionare il tipo di accesso (Consenti accesso o Nega accesso). Per aggiungere altri utenti che avranno il tipo di accesso selezionato, ripetere il passaggio 4. Al termine dell'aggiunta di utenti per il tipo di accesso selezionato, scegliere il pulsante OK .
Per aggiungere utenti che avranno un tipo di accesso diverso, ripetere i passaggi 4 e 5. In caso contrario, scegliere OK per applicare le modifiche.
Impostazione del livello di rappresentazione a livello di sistema
Il livello di rappresentazione, impostato dal client, determina la quantità di autorità assegnata al server per agire per conto del client. Ad esempio, quando il client ha impostato il livello di rappresentazione su delegato, il server può accedere alle risorse locali e remote come client e il server può nascondere più limiti del computer se è impostata la funzionalità di mascheramento. Per determinare il livello di rappresentazione da scegliere, vedere Livelli di rappresentazione e mantello.
L'impostazione del livello di rappresentazione predefinito per l'intero computer indica a COM quale livello di rappresentazione utilizzare quando un determinato client nel computer non specifica un livello di rappresentazione a livello di codice tramite CoInitializeSecurity o CoSetProxyBlanket.
Per impostare il livello di rappresentazione per un computer
Con Dcomcnfg.exe in esecuzione, scegliere la scheda Proprietà predefinite.
Nella casella di riepilogo Livello rappresentazione predefinito scegliere il livello di rappresentazione desiderato.
Se si impostano più proprietà per il computer, scegliere il pulsante Applica per applicare il nuovo livello di rappresentazione. In caso contrario, scegliere OK per applicare le modifiche e uscire Dcomcnfg.exe.
Impostazione del rilevamento dei riferimenti a livello di sistema
Quando si abilita il rilevamento dei riferimenti, si chiede a COM di eseguire controlli di sicurezza aggiuntivi e di tenere traccia delle informazioni che impediranno il rilascio troppo presto degli oggetti. Tenere presente che questi controlli aggiuntivi sono costosi. Per altre informazioni sul rilevamento dei riferimenti, vedere Rilevamento dei riferimenti. Usare la procedura seguente per abilitare o disabilitare il rilevamento dei riferimenti.
Per impostare il rilevamento dei riferimenti per un computer
Con Dcomcnfg.exe in esecuzione, scegliere la scheda Proprietà predefinite.
Per abilitare (o disabilitare) il rilevamento dei riferimenti, selezionare (o deselezionare) la casella di controllo Fornisci sicurezza aggiuntiva per il rilevamento dei riferimenti nella parte inferiore della pagina.
Se si impostano più proprietà per il computer, scegliere il pulsante Applica per applicare la nuova impostazione. In caso contrario, scegliere OK per applicare le modifiche e uscire Dcomcnfg.exe.
Abilitazione e disabilitazione di DCOM
Quando un computer fa parte di una rete, il protocollo di collegamento DCOM consente agli oggetti COM in tale computer di comunicare con oggetti COM in altri computer. È possibile disabilitare DCOM per un computer specifico, ma in questo modo si disabiliterà tutte le comunicazioni tra oggetti in tale computer e oggetti in altri computer.
La disabilitazione di DCOM in un computer non ha alcun effetto sugli oggetti COM locali. COM cerca ancora le autorizzazioni di avvio specificate. Se non sono state specificate autorizzazioni di avvio, vengono usate le autorizzazioni di avvio predefinite. Anche se si disabilita DCOM, se un utente ha accesso fisico al computer, potrebbe avviare un server nel computer a meno che non si impostino le autorizzazioni di avvio per non consentirlo.
Nota
Se si disabilita DCOM in un computer remoto, non sarà possibile accedere in remoto al computer in un secondo momento per riabilitare DCOM. Per riabilitare DCOM, è necessario l'accesso fisico a tale computer.
Per abilitare o disabilitare manualmente DCOM per un computer
Eseguire Dcomcnfg.exe.
Scegliere la scheda Proprietà predefinite.
Selezionare (o deselezionare) la casella di controllo Abilita COM distribuita in questo computer .
Se si impostano più proprietà per il computer, fare clic sul pulsante Applica per abilitare (o disabilitare) DCOM. In caso contrario, fare clic su OK per applicare le modifiche e uscire Dcomcnfg.exe.
Argomenti correlati