Configuração de segurança do Process-Wide usando DCOMCNFG

Talvez você queira habilitar a segurança para um aplicativo específico se um aplicativo tiver necessidades de segurança diferentes daquelas exigidas por outros aplicativos no computador. Por exemplo, você pode decidir usar configurações em todo o sistema para seus aplicativos que exigem um baixo nível de segurança enquanto define um nível mais alto de segurança para um aplicativo específico.

No entanto, as configurações de segurança no Registro que se aplicam a um aplicativo específico às vezes não são usadas. Por exemplo, as configurações de todo o processo que você definir no registro usando Dcomcnfg.exe serão substituídas se um cliente chamar CoSetProxyBlanket para definir a segurança para um proxy de interface específico. Da mesma forma, se um cliente ou servidor (ou ambos) chamar CoInitializeSecurity para definir a segurança de um processo, as configurações no registro serão ignoradas e os parâmetros especificados para CoInitializeSecurity serão usados.

Ao habilitar a segurança para um aplicativo, várias configurações podem precisar ser modificadas. Isso inclui nível de autenticação, localização, permissões de inicialização, permissões de acesso e identidade. Para procedimentos passo a passo, consulte o seguinte:

• Definindo o nível de autenticação para um aplicativo
• Definindo o local para um aplicativo
• Definindo permissões de inicialização para um aplicativo
• Definindo permissões de acesso para um aplicativo
• Definindo a identidade de um aplicativo
• Navegando no banco de dados de usuários
• Aplicações Dcomcnfg.exe e aplicações de 64 bits
• Tópicos relacionados

Definindo o nível de autenticação para um aplicativo

Para habilitar a segurança para um aplicativo, você deve definir um nível de autenticação diferente de Nenhum. O nível de autenticação informa ao COM quanta proteção de autenticação é necessária, e pode variar desde a autenticação do cliente na primeira chamada de método até a criptografia completa dos estados dos parâmetros.

Para definir o nível de autenticação de um aplicativo

1. Na página de propriedades Aplicativos no Dcomcnfg.exe, selecione o aplicativo e clique no botão Propriedades (ou clique duas vezes no aplicativo selecionado).

2. Na página Geral, selecione um nível de autenticação diferente de (Nenhum) na caixa de listagem de Nível de Autenticação .

3. Se você estiver definindo outras propriedades para este aplicativo, escolha o botão Aplicar para aplicar o novo nível de autenticação. Clique OK se tiver terminado de definir as propriedades para este aplicativo e desejar aplicar as alterações.

Definindo o local para um aplicativo

O local definido para seu aplicativo determina o computador no qual o aplicativo será executado. Você pode optar por executar seu aplicativo no computador onde os dados estão localizados, no computador que você usa para definir o local ou em um computador especificado.

Para definir a localização de um aplicativo

1. Com Dcomcnfg.exe em execução, selecione o aplicativo na página Aplicativos e escolha o botão Propriedades (ou clique duas vezes no aplicativo selecionado).

2. Na página Local, marque uma ou mais caixas de seleção que correspondam aos locais onde você deseja que o aplicativo seja executado. Se você marcar mais de uma caixa de seleção, COM usará a primeira que se aplica. Se Dcomcnfg.exe estiver sendo executado no computador servidor, sempre selecione Executar aplicativo neste computador.

3. Se você estiver definindo outras propriedades para este aplicativo, escolha o botão Aplicar para aplicar o novo local. Escolha OK se tiver terminado de definir as propriedades para este aplicativo e desejar aplicar as alterações.

Definindo permissões de inicialização para um aplicativo

Com Dcomcnfg.exe, você pode definir permissões de inicialização para controlar a lista de usuários aos quais é concedida ou negada permissão para iniciar um determinado servidor. Você pode adicionar usuários ou grupos à lista, especificando se a permissão de acesso está sendo concedida ou negada. Você também pode remover usuários da lista.

Para definir permissões de inicialização para um aplicativo

1. Com Dcomcnfg.exe em execução, selecione a aplicação na página Aplicações e escolha o botão Propriedades (ou clique duas vezes na aplicação selecionada).

2. Na página de propriedades Segurança, selecione o botão de opção Usar permissões de início personalizadas e escolha o botão Editar na mesma área.

3. Para remover usuários ou grupos, selecione o usuário ou grupo que deseja remover e escolha o botão Remover. O usuário ou grupo selecionado não aparecerá mais na caixa de listagem. Quando terminar de remover usuários e grupos, escolha OK.

4. Se quiser adicionar usuários ou grupos, escolha o botão Adicionar.

5. Se você souber o nome de usuário totalmente qualificado que deseja adicionar, digite-o na caixa de texto Adicionar nomes. Se você não souber o nome de usuário, poderá navegar no banco de dados de usuários para encontrá-lo (consulte Navegando no banco de dados de usuários abaixo). Quando tiver localizado o nome de utilizador, selecione o utilizador ou grupo na caixa de lista Nomes e escolha o botão Adicionar.

6. Na caixa de listagem Tipo de Acesso, selecione o tipo de acesso (Permitir Inicialização ou Negar Inicialização). Para adicionar outros usuários que terão o tipo de acesso selecionado, repita a etapa 5. Quando terminar de adicionar usuários para o tipo de acesso selecionado, escolha o botão OK.

7. Para adicionar usuários que terão um tipo diferente de acesso, repita as etapas 5 e 6. Caso contrário, escolha OK para aplicar as alterações.

Definindo permissões de acesso para um aplicativo

Com o Dcomcnfg.exe, você pode gerenciar a lista de usuários aos quais é concedido ou negado acesso aos métodos de um determinado servidor definindo permissões de acesso. Você pode adicionar usuários ou grupos à lista, especificando se a permissão de acesso está sendo concedida ou negada. Você também pode remover usuários da lista.

Ao definir permissões de acesso, você deve garantir que SYSTEM esteja incluído na lista de usuários aos quais o acesso é concedido. Se você concedeu permissões de acesso a Todos, SYSTEM será incluído implicitamente.

O processo de definir permissões de acesso para um aplicativo é semelhante à configuração de permissões de inicialização. Os passos são os seguintes.

Para definir permissões de acesso para um aplicativo

1. Com Dcomcnfg.exe em execução, selecione o aplicativo na página Aplicativos e escolha o botão Propriedades (ou clique duas vezes no aplicativo selecionado).

2. Na página de propriedades Security, selecione o botão de opção Usar permissões de acesso personalizadas e, na mesma área, escolha o botão Editar.

3. Para remover usuários ou grupos, selecione o usuário ou grupo que deseja remover e escolha o botão Remover. O usuário ou grupo selecionado não aparecerá mais na caixa de listagem. Quando terminar de remover usuários e grupos, escolha OK.

4. Se quiser adicionar um usuário ou grupo, escolha o botão Adicionar Adicionar.

5. Se você souber o nome de usuário totalmente qualificado que deseja adicionar, digite-o na caixa de texto Adicionar nomes. Se você não souber o nome de usuário, poderá navegar no banco de dados de usuários para encontrá-lo. Quando tiver localizado o nome do utilizador, selecione o utilizador ou grupo na lista Nomes e escolha o botão Adicionar.

6. Na caixa de listagem Tipo de Acesso, escolha o tipo de acesso (Permitir Acesso ou Negar Acesso). Para adicionar outros usuários que terão o tipo de acesso selecionado, repita a etapa 5. Quando terminar de adicionar usuários para o tipo de acesso selecionado, escolha o botão OK.

7. Para adicionar usuários que terão um tipo diferente de acesso, repita as etapas 5 e 6. Caso contrário, escolha OK para aplicar as alterações.

Definindo a identidade de um aplicativo

A identidade de um aplicativo é a conta usada para executar o aplicativo. A identidade pode ser a do usuário que está conectado no momento (o usuário interativo), a conta de usuário do processo de cliente que iniciou o servidor, um usuário especificado ou um serviço. Você pode usar Dcomcnfg.exe para escolher uma dessas identidades para o aplicativo. Para obter ajuda para decidir qual identidade definir para seu aplicativo, consulte Application Identity.

Para definir a identidade de um aplicativo

1. Com Dcomcnfg.exe em execução, selecione a aplicação na página Aplicações e escolha o botão Propriedades (ou clique duas vezes na aplicação selecionada).

2. Na página de propriedades Identity, selecione o botão de opção para a identidade desejada. Se você escolher Este usuário, deverá digitar o nome de usuário, a senha e a senha confirmada.

3. Se você estiver definindo outras propriedades para este aplicativo, escolha o botão Aplicar para aplicar a nova identidade. Escolha OK se tiver terminado de definir as propriedades para este aplicativo e desejar aplicar as alterações.

Navegando no banco de dados de usuários

Você navegaria no banco de dados de usuários em Dcomcnfg.exe quando precisar encontrar o nome de usuário totalmente qualificado para um usuário específico. Por exemplo, você pode navegar no banco de dados de usuários para localizar um usuário que deseja adicionar para permissões de acesso ou inicialização.

Para navegar no banco de dados de usuários

1. Na caixa de listagem Lista de nomes de, selecione o domínio que contém o utilizador ou grupo que deseja adicionar.

2. Para ver os usuários que pertencem ao domínio selecionado, escolha o botão Mostrar usuários.

3. Para ver os membros de um grupo específico, selecione o grupo na caixa de listagem Nomes e escolha o botão Mostrar Membros.

4. Se não conseguir localizar o utilizador ou grupo que pretende adicionar, escolha o botão Pesquisar, que abre a caixa de diálogo Localizar Conta. Selecione o domínio que deseja pesquisar (ou selecione Pesquisar Todas), digite o nome de usuário que deseja procurar e escolha o botão Pesquisar.

Aplicações de Dcomcnfg.exe e 64 bits

Em sistemas operacionais x64 do Windows XP para o Windows Server 2008, a versão de 64 bits do DCOMCNFG.EXE não configura corretamente aplicativos DCOM de 32 bits para ativação remota. Esse comportamento faz com que componentes que devem ser ativados remotamente, em vez de serem ativados localmente. Esse comportamento não ocorre no Windows 7 e Windows Server 2008 R2 e versões superiores.

A solução alternativa é usar a versão de 32 bits do DCOMCNFG. Execute a versão de 32 bits do mmc.exe e carregue a versão de 32 bits do snap-in Serviços de Componentes usando a seguinte linha de comando.

C:\WINDOWS\SysWOW64>mmc comexp.msc /32

A versão de 32 bits dos Serviços de Componentes registra corretamente os aplicativos DCOM de 32 bits para ativação remota.

Tópicos relacionados

Configuração de segurança Process-Wide