Freigeben über

COM-Sicherheitsstandards

  • Artikel

Sie können die COM-Sicherheitsstandards für Ihre Anwendung verwenden, anstatt Ihre eigenen Sicherheitseinstellungen anzugeben. In diesem Fall initialisiert und verwaltet COM die Sicherheit für Sie. Sie müssen die Registrierung nicht konfigurieren oder Sicherheitsfunktionen in Ihrem Programm aufrufen.

Wenn jedoch bestimmte benannte Registrierungswerte festgelegt oder geändert wurden, sind die von COM verwendeten Sicherheitsstandards betroffen. In der folgenden Liste werden com-Sicherheitsstandardwerte beschrieben und erläutert, wie einige Werte von Registrierungseinstellungen beeinflusst werden.

Im Folgenden werden die Standardsicherheitswerte aufgeführt, die VON COM verwendet werden:

  • Der Standardsicherheitsdienstanbieter ist der, der von COM als am besten mit der Umgebung kompatibel ist. COM wählt entweder das Kerberos v5-Protokoll oder NTLMSSP aus, wobei das Kerberos-Protokoll die Standardoption ist. Keines der von Schannel bereitgestellten Protokolle wird jemals als Standard ausgewählt.
  • Das System identifiziert einen Aufrufer anhand von Benutzername und Kennwort und erstellt automatisch ein vom Sicherheitssystem verwendetes Identifikationstoken.
  • Wenn der benannte Wert LegacyAuthenticationLevel vorhanden ist und sein Wert festgelegt wurde, wird dieser Wert verwendet. Andernfalls wird die Authentifizierungsebene auf connect (RPC_C_AUTHN_LEVEL_CONNECT) festgelegt. Diese Ebene bedeutet, dass COM beim ersten Aufruf eines Clients an den Server eine Authentifizierungsprüfung durchführt. Wenn der Client die Überprüfung besteht, wird keine weitere Authentifizierung durchgeführt. Der AuthenticationLevel-Wert kann auch unter dem AppID-Schlüssel festgelegt werden.
  • Wenn der benannte LegacyImpersonationLevel-Wert vorhanden ist und sein Wert festgelegt wurde, wird dieser Wert verwendet. Andernfalls wird die Identitätswechselebene so festgelegt, dass sie identifiziert (RPC_C_IMP_LEVEL_IDENTIFY). Identitätswechselrechte werden vom Client an den Server erteilt. Identifizieren der Ebene bedeutet, dass der Server die Identität des Clients abrufen kann. Der Server kann die Identität des Clients für die Überprüfung der Zugriffssteuerungsliste (Access Control List, ACL) annehmen, aber nicht als Client auf Systemobjekte zugreifen. Weitere Informationen finden Sie unter Identitätswechselebenen und Cloaking.
  • Wenn der benannte AccessPermission-Wert unter AppID vorhanden ist und festgelegt wurde, wird dieser Wert verwendet. Andernfalls sucht COM nach einem DefaultAccessPermission-Eintrag . Falls vorhanden, wird dieser Wert verwendet. Wenn dieser Wert nicht vorhanden ist, erstellt COM eine ACL, die berechtigungen für die Serveridentität und das lokale System erteilt.
  • Wenn der benannte SRPTrustLevel-Wert unter AppID vorhanden ist und festgelegt wurde, wird dieser Wert verwendet. Andernfalls wird die SRP-Vertrauensstufe (Software Restriction Policy) auf Unzulässig (SAFER_LEVELID_DISALLOWED) festgelegt, was angibt, dass die Anwendung in einer eingeschränkten Umgebung ausgeführt wird und nicht auf sicherheitsrelevante Benutzerberechtigungen des Benutzers zugreifen kann.

Sicherheit in COM