정책 CSP - ADMX_DCOM
팁
이 CSP에는 사용하거나 사용하지 않도록 설정하기 위해 특별한 SyncML 형식이 필요한 ADMX 지원 정책이 포함되어 있습니다. SyncML의 데이터 형식을 로 <Format>chr</Format>
지정해야 합니다. 자세한 내용은 ADMX 기반 정책 이해를 참조하세요.
SyncML의 페이로드는 XML로 인코딩되어야 합니다. 이 XML 인코딩의 경우 사용할 수 있는 다양한 온라인 인코더가 있습니다. 페이로드를 인코딩하지 않도록 MDM에서 지원하는 경우 CDATA를 사용할 수 있습니다. 자세한 내용은 CDATA 섹션을 참조하세요.
DCOMActivationSecurityCheckAllowLocalList
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, 버전 2004 및 KB5005101 [10.0.19041.1202] 이상 ✅ Windows 10 버전 20H2 및 KB5005101 [10.0.19042.1202] 이상 ✅ Windows 10 버전 21H1 및 KB5005101 [10.0.19043.1202] 이상 ✅ Windows 11 버전 21H2 [10.0.22000] 이상 |
./Device/Vendor/MSFT/Policy/Config/ADMX_DCOM/DCOMActivationSecurityCheckAllowLocalList
로컬 컴퓨터 관리자가 "정품 인증 보안 검사 예외 정의" 목록을 보완할 수 있도록 지정할 수 있습니다.
이 정책 설정을 사용하도록 설정하면 DCOM이 "활성화 보안 검사 예외 정의" 정책에서 DCOM 서버 애플리케이션 ID(appid)에 대한 명시적 항목을 찾을 수 없는 경우(활성화된 경우) DCOM은 로컬로 구성된 목록에서 항목을 찾습니다.
이 정책 설정을 사용하지 않도록 설정하면 DCOM은 로컬로 구성된 DCOM 활성화 보안 검사 예외 목록에서 표시되지 않습니다.
이 정책 설정을 구성하지 않으면 DCOM은 "활성화 보안 검사 예외 정의" 정책이 구성되지 않은 경우에만 로컬로 구성된 예외 목록을 확인합니다.
메모 이 정책 설정은 신뢰할 수 있는 영역의 모든 사이트에 적용됩니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 |
chr (문자열) |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
팁
ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.
ADMX 매핑:
이름 | 값 |
---|---|
이름 | DCOMActivationSecurityCheckAllowLocalList |
이름 | 로컬 활성화 보안 검사 예외 허용 |
위치 | 컴퓨터 구성 |
경로 | 시스템 > 분산 COM > 애플리케이션 호환성 설정 |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows NT\DCOM\AppCompat |
레지스트리 값 이름 | AllowLocalActivationSecurityCheckExemptionList |
ADMX 파일 이름 | DCOM.admx |
DCOMActivationSecurityCheckExemptionList
범위 | 에디션 | 적용 가능한 OS |
---|---|---|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ Windows 10, 버전 2004 및 KB5005101 [10.0.19041.1202] 이상 ✅ Windows 10 버전 20H2 및 KB5005101 [10.0.19042.1202] 이상 ✅ Windows 10 버전 21H1 및 KB5005101 [10.0.19043.1202] 이상 ✅ Windows 11 버전 21H2 [10.0.22000] 이상 |
./Device/Vendor/MSFT/Policy/Config/ADMX_DCOM/DCOMActivationSecurityCheckExemptionList
DCOM 정품 인증 보안 검사에서 제외된 DCOM 서버 애플리케이션 ID(appids) 목록을 보고 변경할 수 있습니다. DCOM은 이러한 두 목록을 사용합니다. 하나는 이 정책 설정을 통해 그룹 정책을 통해 구성되고 다른 하나는 로컬 컴퓨터 관리자의 작업을 통해 구성됩니다. DCOM은 "로컬 활성화 보안 검사 예외 허용" 정책을 사용하지 않는 한 이 정책 설정이 구성될 때 두 번째 목록을 무시합니다.
이 정책에 추가된 DCOM 서버 appid는 중괄호 형식으로 나열되어야 합니다. 예: {b5dcb061-cefb-42e0-a1be-e6a6438133fe}
. 존재하지 않거나 잘못 서식이 지정된 appid DCOM을 입력하면 오류를 확인하지 않고 목록에 추가됩니다.
이 정책 설정을 사용하도록 설정하면 그룹 정책 설정에 정의된 DCOM 활성화 보안 검사 예외 목록을 보고 변경할 수 있습니다. 이 목록에 appid를 추가하고 해당 값을 1로 설정하면 DCOM은 해당 DCOM 서버에 대해 활성화 보안 검사를 적용하지 않습니다. 이 목록에 appid를 추가하고 해당 값을 0 DCOM으로 설정하면 로컬 설정에 관계없이 해당 DCOM 서버에 대한 정품 인증 보안 검사가 항상 적용됩니다.
이 정책 설정을 사용하지 않도록 설정하면 그룹 정책에서 정의한 appid 예외 목록이 삭제되고 로컬 컴퓨터 관리자가 정의한 예외 목록이 사용됩니다.
이 정책 설정을 구성하지 않으면 로컬 컴퓨터 관리자가 정의한 appid 예외 목록이 사용됩니다.
참고
DCOM 활성화 보안 검사는 DCOM 서버 프로세스가 시작된 후 서버 프로세스에 개체 활성화 요청이 디스패치되기 전에 수행됩니다. 이 액세스 검사는 DCOM 서버의 사용자 지정 시작 권한 보안 설명자(있는 경우)에 대해 수행되거나 구성된 기본값에 대해 수행됩니다.
DCOM 서버의 사용자 지정 시작 권한에 명시적 DENY 항목이 포함된 경우 이는 DCOM 서버 프로세스가 실행되고 나면 이러한 지정된 사용자에 대해 이전에 성공했던 개체 활성화가 이제 실패할 수 있음을 의미할 수 있습니다. 이 상황에서 적절한 작업은 올바른 보안 설정에 대한 DCOM 서버의 사용자 지정 시작 권한 설정을 다시 구성하는 것이지만, 이 정책 설정은 단기적으로 애플리케이션 호환성 배포 지원으로 사용될 수 있습니다.
이 예외 목록에 추가된 DCOM 서버는 사용자 지정 시작 권한에 특정 LocalLaunch, RemoteLaunch, LocalActivate 또는 RemoteActivate 권한 부여 또는 거부 항목이 없는 경우에만 제외됩니다. 또한 이 목록에 추가된 DCOM 서버 Appid에 대한 예외는 32비트 및 64비트 버전의 서버에 모두 적용됩니다(있는 경우).
참고
이 정책 설정은 신뢰할 수 있는 영역의 모든 사이트에 적용됩니다.
설명 프레임워크 속성:
속성 이름 | 속성 값 |
---|---|
형식 |
chr (문자열) |
액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
팁
ADMX 기반 정책이며 구성을 위해 SyncML 형식이 필요합니다. SyncML 형식의 예는 정책 사용을 참조하세요.
ADMX 매핑:
이름 | 값 |
---|---|
이름 | DCOMActivationSecurityCheckExemptionList |
이름 | 활성화 보안 검사 예외 정의 |
위치 | 컴퓨터 구성 |
경로 | 시스템 > 분산 COM > 애플리케이션 호환성 설정 |
레지스트리 키 이름 | Software\Policies\Microsoft\Windows NT\DCOM\AppCompat |
레지스트리 값 이름 | ListBox_Support_ActivationSecurityCheckExemptionList |
ADMX 파일 이름 | DCOM.admx |