Настройка системы безопасности с помощью DCOMCNFG

  • Статья

Изменение параметров безопасности на уровне системы повлияет на все серверные приложения COM, которые не задают собственную безопасность на уровне процесса. Это может препятствовать правильной работе таких приложений. Если вы изменяете параметры безопасности на уровне системы, чтобы повлиять на параметры безопасности для конкретного COM-приложения, то вместо этого следует изменить параметры безопасности на уровне процесса для этого конкретного COM-приложения. Дополнительные сведения о настройке безопасности на уровне процесса см. в разделе "Настройка безопасности на уровне процесса".

Если вы хотите, чтобы все приложения на одном компьютере, которые не предоставляют собственную безопасность для совместного использования одинаковых параметров безопасности по умолчанию, вы настроили бы безопасность на всей системе. Использование Dcomcnfg.exe упрощает настройку значений по умолчанию в реестре, которые применяются ко всем приложениям на компьютере.

Важно понимать, что если клиент или сервер явно вызывает CoInitializeSecurity для настройки безопасности на уровне процесса, параметры по умолчанию в реестре будут игнорироваться, а параметры CoInitializeSecurity будут использоваться вместо параметров безопасности для процесса. Кроме того, если вы используете Dcomcnfg.exe для указания параметров безопасности для определенного процесса, параметры компьютера по умолчанию переопределяются параметрами процесса.

При включении системы безопасности необходимо задать для уровня проверки подлинности значение, отличное от None, и необходимо задать разрешения на запуск и доступ. Вы можете задать уровень олицетворения по умолчанию, а также включить отслеживание ссылок. В следующих разделах приведены пошаговые процедуры.

Настройка уровня проверки подлинности по умолчанию по умолчанию

Уровень проверки подлинности используется для того, чтобы сообщить COM на каком уровне требуется пройти проверку подлинности клиента. Эти уровни обеспечивают различные уровни защиты, от отсутствия защиты до полного шифрования. Чтобы обеспечить безопасность компьютера, необходимо выбрать уровень проверки подлинности, отличный от "Нет". Вы можете выбрать такой параметр, используя Dcomcnfg.exe, выполнив следующие действия.

Настройка уровня проверки подлинности на уровне системы

  1. Запустите файл Dcomcnfg.exe.

  2. Выберите вкладку "Свойства по умолчанию".

  3. В списке "Уровень проверки подлинности по умолчанию" выберите значение, отличное от (None).

  4. Если вы настроите дополнительные свойства для компьютера, нажмите кнопку "Применить ", чтобы применить новый уровень проверки подлинности. В противном случае нажмите кнопку "ОК ", чтобы применить изменения и выйти Dcomcnfg.exe.

Настройка разрешений на запуск на уровне системы

Разрешения запуска, заданные Dcomcnfg.exe определяют список пользователей, каждый из которых явно предоставлен или запрещен для запуска любого сервера, который не предоставляет собственные параметры разрешений на запуск. При настройке разрешений на запуск можно добавить или удалить одного или нескольких пользователей или групп из этого списка. Для каждого добавляемого пользователя необходимо указать, предоставляется ли пользователю разрешение на запуск или отказано.

Установка разрешений на запуск для компьютера

  1. На странице свойств безопасности по умолчанию в Dcomcnfg.exe нажмите кнопку "Изменить значение по умолчанию" в области разрешений запуска по умолчанию.

  2. Чтобы удалить пользователей или группы, выберите пользователя или группу, которую вы хотите удалить, и нажмите кнопку "Удалить ". Выбранный пользователь или группа больше не появится в списке. Завершив удаление пользователей и групп, нажмите кнопку "ОК".

  3. Если вы хотите добавить пользователя или группу, нажмите кнопку "Добавить ".

  4. Если вы знаете полное имя пользователя, которое вы хотите добавить, введите его в текстовое поле "Добавить имена ". Если вы не знаете имя пользователя, см. статью "Настройка processwide Security Using DCOMCNFG ", чтобы найти его. При расположении имени пользователя выберите пользователя или группу в списке "Имена" и нажмите кнопку "Добавить ".

  5. В списке "Тип доступа" выберите тип доступа ( разрешить запуск или запретить запуск). Чтобы добавить других пользователей, которые также будут иметь выбранный тип доступа, повторите шаг 4. После завершения добавления пользователей для выбранного типа доступа нажмите кнопку "ОК ".

  6. Чтобы добавить пользователей с другим типом доступа, повторите шаги 4 и 5. В противном случае нажмите кнопку "ОК ", чтобы применить изменения.

Настройка разрешений доступа на уровне системы

Dcomcnfg.exe позволяет задать разрешения на доступ для управления списком пользователей, которым предоставлен или запрещен доступ к методам этих серверов, которые не предоставляют собственные разрешения на доступ. Вы можете добавить пользователей или группы в список, указав, предоставляется ли разрешение на доступ или запрещается. Вы также можете удалить пользователей из списка.

При настройке разрешений доступа необходимо убедиться, что СИСТЕМА включена в список пользователей, которым предоставлен доступ. Если у вас есть разрешения на доступ ко всем пользователям, система включается неявно.

Процесс настройки разрешений доступа для компьютера аналогичен настройке разрешений запуска. Необходимо выполнить следующие действия.

Настройка разрешений доступа для компьютера

  1. На странице свойств безопасности по умолчанию в Dcomcnfg.exe нажмите кнопку "Изменить значение по умолчанию" в области разрешений доступа по умолчанию.

  2. Чтобы удалить пользователей или группы, выберите пользователя или группу, которую вы хотите удалить, и нажмите кнопку "Удалить ". Выбранный пользователь или группа больше не появится в списке. Завершив удаление пользователей и групп, нажмите кнопку "ОК".

  3. Если вы хотите добавить пользователя или группу, нажмите кнопку "Добавить ".

  4. Если вы знаете полное имя пользователя, которое вы хотите добавить, введите его в текстовое поле "Добавить имена ". Если имя пользователя не известно, см. статью "Настройка безопасности на уровне процесса" с помощью DCOMCNFG , чтобы найти его. При расположении имени пользователя выберите пользователя или группу в списке "Имена" и нажмите кнопку "Добавить ".

  5. В списке "Тип доступа" выберите тип доступа ( разрешить доступ или запретить доступ). Чтобы добавить других пользователей, у которых будет выбранный тип доступа, повторите шаг 4. После завершения добавления пользователей для выбранного типа доступа нажмите кнопку "ОК ".

  6. Чтобы добавить пользователей с другим типом доступа, повторите шаги 4 и 5. В противном случае нажмите кнопку "ОК ", чтобы применить изменения.

Настройка уровня олицетворения на уровне системы

Уровень олицетворения, заданный клиентом, определяет объем полномочий, предоставленный серверу для действия от имени клиента. Например, если клиент настроил уровень олицетворения для делегирования, сервер может получить доступ к локальным и удаленным ресурсам в качестве клиента, а сервер может закрыть несколько границ компьютера, если задана возможность маскирования. Чтобы определить, какой уровень олицетворения следует выбрать, см . раздел "Уровни олицетворения" и "Закрывание".

Установка уровня олицетворения по умолчанию для всего компьютера сообщает COM, какой уровень олицетворения следует использовать, если конкретный клиент на компьютере не задает уровень олицетворения программным способом с помощью CoInitializeSecurity или CoSetProxyBlanket.

Настройка уровня олицетворения для компьютера

  1. При выполнении Dcomcnfg.exe выберите вкладку "Свойства по умолчанию".

  2. В списке "Уровень олицетворения по умолчанию" выберите нужный уровень олицетворения.

  3. Если вы настроите дополнительные свойства для компьютера, нажмите кнопку "Применить ", чтобы применить новый уровень олицетворения. В противном случае нажмите кнопку "ОК ", чтобы применить изменения и выйти Dcomcnfg.exe.

Настройка системного отслеживания ссылок

При включении отслеживания ссылок вы просите COM выполнять дополнительные проверка безопасности и отслеживать сведения, которые будут сохранять объекты от выпуска слишком рано. Имейте в виду, что эти дополнительные проверка являются дорогостоящими. Дополнительные сведения об отслеживании ссылок см. в разделе "Отслеживание ссылок". Чтобы включить или отключить отслеживание ссылок, выполните следующие действия.

Настройка отслеживания ссылок для компьютера

  1. При выполнении Dcomcnfg.exe выберите вкладку "Свойства по умолчанию".

  2. Чтобы включить (или отключить) отслеживание ссылок, выберите (или снимите) поле "Предоставить дополнительную безопасность для отслеживания ссылок" проверка в нижней части страницы.

  3. Если вы настроите дополнительные свойства для компьютера, нажмите кнопку "Применить ", чтобы применить новый параметр. В противном случае нажмите кнопку "ОК ", чтобы применить изменения и выйти Dcomcnfg.exe.

Включение и отключение DCOM

Если компьютер является частью сети, протокол передачи DCOM позволяет COM-объектам на этом компьютере взаимодействовать с COM-объектами на других компьютерах. Вы можете отключить DCOM для определенного компьютера, но это приведет к отключению всех взаимодействий между объектами на этом компьютере и объектах на других компьютерах.

Отключение DCOM на компьютере не влияет на локальные COM-объекты. COM по-прежнему ищет указанные разрешения на запуск. Если разрешения на запуск не указаны, используются разрешения запуска по умолчанию. Даже если вы отключите DCOM, если у пользователя есть физический доступ к компьютеру, он может запустить сервер на компьютере, если вы не настроили разрешения на запуск.

Примечание.

Если вы отключите DCOM на удаленном компьютере, вы не сможете удаленно получить доступ к компьютеру после повторного включения DCOM. Чтобы повторно включить DCOM, вам потребуется физический доступ к компьютеру.

 

Включение (или отключение) DCOM вручную для компьютера

  1. Запустите файл Dcomcnfg.exe.

  2. Перейдите на вкладку "Свойства по умолчанию".

  3. Выберите (или снимите) поле "Включить распределенное COM" на этом компьютере проверка.

  4. Если вы настроите дополнительные свойства для компьютера, нажмите кнопку "Применить ", чтобы включить (или отключить) DCOM. В противном случае нажмите кнопку "ОК ", чтобы применить изменения и выйти Dcomcnfg.exe.

Настройка безопасности на уровне процесса