Impostazione della sicurezza System-Wide tramite DCOMCNFG

La modifica delle impostazioni di sicurezza a livello di sistema influirà su tutte le applicazioni server COM che non impostano la propria sicurezza a livello di processo. Ciò potrebbe impedire il corretto funzionamento di tali applicazioni. Se si modificano le impostazioni di sicurezza a livello di sistema per influire sulle impostazioni di sicurezza per una determinata applicazione COM, è necessario modificare invece le impostazioni di sicurezza a livello di processo per tale applicazione COM specifica. Per altre informazioni sull'impostazione della sicurezza a livello di processo, vedere Impostazione di sicurezza a livello di processo.

Quando si desidera che tutte le applicazioni in un computer che non forniscano la propria sicurezza per condividere le stesse impostazioni di sicurezza predefinite, è consigliabile impostare la sicurezza a livello di sistema. L'uso di Dcomcnfg.exe semplifica l'impostazione dei valori predefiniti nel Registro di sistema che si applicano a tutte le applicazioni in un computer.

È importante comprendere che se il client o il server chiama in modo esplicito CoInitializeSecurity per impostare la sicurezza a livello di processo, le impostazioni predefinite nel Registro di sistema verranno ignorate e i parametri per CoInitializeSecurity verranno invece usati per le impostazioni di sicurezza per il processo. Inoltre, se si usa Dcomcnfg.exe per specificare le impostazioni di sicurezza per un determinato processo, le impostazioni predefinite del computer vengono sostituite dalle impostazioni per il processo.

Quando si abilita la sicurezza a livello di sistema, è necessario impostare il livello di autenticazione su un valore diverso da Nessuno ed è necessario impostare le autorizzazioni di avvio e accesso. Hai l'opzione di impostare il livello di rappresentazione predefinito e puoi anche abilitare il rilevamento dei riferimenti. Gli argomenti seguenti forniscono procedure dettagliate:

• Impostazione Livello di Autenticazione Predefinito System-Wide
• Impostazione System-Wide Autorizzazioni di Avvio
• Configurazione System-Wide Autorizzazioni di Accesso
• Impostazione System-Wide livello di impersonificazione
• Impostazione System-Wide Tracciamento di Riferimento
• L'Abilitazione e la Disabilitazione di DCOM
• argomenti correlati

Impostazione del livello di autenticazione predefinito System-Wide

Il livello di autenticazione viene usato per indicare a COM a quale livello si vuole che il client venga autenticato. Questi livelli offrono vari livelli di protezione, da nessuna protezione alla crittografia completa. Per abilitare la sicurezza per un computer, è necessario scegliere un livello di autenticazione diverso da Nessuno. È possibile scegliere tale impostazione, usando Dcomcnfg.exe, completando i passaggi seguenti.

Impostare il livello di autenticazione a livello di sistema

1. Eseguire Dcomcnfg.exe.

2. Scegliere la scheda Proprietà predefinite.

3. Nella casella di riepilogo livello di autenticazione predefinito, scegliere un valore diverso da (Nessuno).

4. Se si impostano più proprietà per il computer, fare clic sul pulsante Applica per applicare il nuovo livello di autenticazione. In caso contrario, fare clic su OK per applicare le modifiche e uscire Dcomcnfg.exe.

Impostazione delle autorizzazioni di avvio System-Wide

Le autorizzazioni di avvio impostate con Dcomcnfg.exe determinano un elenco di utenti, ognuno dei quali viene concesso o negato in modo esplicito l'autorizzazione per avviare qualsiasi server che non fornisca le proprie impostazioni di autorizzazione di avvio. Quando si impostano le autorizzazioni di avvio, è possibile aggiungere o rimuovere uno o più utenti o gruppi da questo elenco. Per ogni utente aggiunto, è necessario specificare se all'utente viene concessa o negata l'autorizzazione di avvio.

Impostare le autorizzazioni di avvio per un computer

1. Nella pagina delle proprietà sicurezza predefinita di in Dcomcnfg.exescegliere il pulsante modifica predefinito nell'area autorizzazioni di avvio predefinite.

2. Per rimuovere utenti o gruppi, selezionare l'utente o il gruppo da rimuovere e scegliere il pulsante Rimuovi. L'utente o il gruppo selezionato non verrà più visualizzato nella casella di riepilogo. Al termine della rimozione di utenti e gruppi, scegliere OK.

3. Per aggiungere un utente o un gruppo, scegliere il pulsante Aggiungi.

4. Se si conosce il nome utente completo da aggiungere, digitarlo nella casella di testo Aggiungi nomi. Se non si conosce il nome utente, vedere Impostazione della sicurezza a livello di processo tramite DCOMCNFG per trovarlo. Quando hai trovato il nome utente, selezionare l'utente o il gruppo dalla casella di riepilogo Nomi e scegliere il pulsante Aggiungi.

5. Nella casella di selezione Tipo di accesso , selezionare il tipo di accesso (Consenti avvio o Negare avvio). Per aggiungere altri utenti che avranno anche il tipo di accesso selezionato, ripetere il passaggio 4. Al termine dell'aggiunta di utenti per il tipo di accesso selezionato, scegliere il pulsante OK.

6. Per aggiungere utenti che avranno un tipo di accesso diverso, ripetere i passaggi 4 e 5. In caso contrario, scegliere OK per applicare le modifiche.

Impostazione delle autorizzazioni di accesso System-Wide

Dcomcnfg.exe consente di impostare le autorizzazioni di accesso per controllare l'elenco di utenti a cui viene concesso o negato l'accesso ai metodi di tali server che non forniscono le proprie autorizzazioni di accesso. È possibile aggiungere utenti o gruppi all'elenco, specificando se l'autorizzazione di accesso viene concessa o negata. È anche possibile rimuovere gli utenti dall'elenco.

Quando si impostano le autorizzazioni di accesso, è necessario assicurarsi che SYSTEM sia incluso nell'elenco di utenti a cui viene concesso l'accesso. Se sono state concesse le autorizzazioni di accesso a Tutti, SYSTEM viene incluso in modo implicito.

Il processo di impostazione delle autorizzazioni di accesso per un computer è simile all'impostazione delle autorizzazioni di avvio. È necessario eseguire i passaggi seguenti.

Impostare le autorizzazioni di accesso per un computer

1. Nella pagina delle proprietà della sicurezza predefinita in Dcomcnfg.exe, scegliere il pulsante Modifica predefinita nell'area delle autorizzazioni di accesso predefinite.#

2. Per rimuovere utenti o gruppi, selezionare l'utente o il gruppo da rimuovere e scegliere il pulsante Rimuovi. L'utente o il gruppo selezionato non verrà più visualizzato nella casella di riepilogo. Al termine della rimozione di utenti e gruppi, scegliere OK.

3. Per aggiungere un utente o un gruppo, scegliere il pulsante Aggiungi.

4. Se si conosce il nome utente completo da aggiungere, digitarlo nella casella di testo Aggiungi nomi. Se non si conosce il nome utente, vedere Impostazione della sicurezza a livello di processo tramite DCOMCNFG per trovarlo. Una volta individuato il nome utente, selezionare l'utente o il gruppo nella casella di riepilogo Nomi e scegliere il pulsante Aggiungi.

5. Nella casella di riepilogo Tipo di accesso selezionare il tipo di accesso (Consenti accesso o Nega accesso). Per aggiungere altri utenti che avranno il tipo di accesso selezionato, ripetere il passaggio 4. Al termine dell'aggiunta di utenti per il tipo di accesso selezionato, scegliere il pulsante OK.

6. Per aggiungere utenti che avranno un tipo di accesso diverso, ripetere i passaggi 4 e 5. In caso contrario, scegliere OK per applicare le modifiche.

Impostazione livello di impersonificazione System-Wide

Il livello di rappresentazione, impostato dal client, determina la quantità di autorità assegnata al server per agire per conto del client. Ad esempio, quando il client ha impostato il livello di impersonificazione su delegato, il server può accedere alle risorse locali e remote come client e il server può operare attraverso più confini di computer se è impostata la funzionalità di occultamento. Per determinare il livello di impersonificazione da scegliere, vedere Livelli di impersonificazione e Cloaking.

L'impostazione del livello di rappresentazione predefinito per l'intero computer indica a COM quale livello di rappresentazione utilizzare quando un determinato client nel computer non specifica un livello di rappresentazione a livello di codice usando CoInitializeSecurity o CoSetProxyBlanket.

Impostare il livello di impersonificazione per un computer

1. Con Dcomcnfg.exe in esecuzione, scegliere la scheda Proprietà predefinite.

2. Nella casella di elenco Livello di rappresentazione predefinito, seleziona il livello di rappresentazione desiderato.

3. Se imposterai più proprietà per il computer, scegliere il pulsante Applica per applicare il nuovo livello di impersonazione. In caso contrario, scegliere OK per applicare le modifiche e uscire Dcomcnfg.exe.

Impostazione System-Wide rilevamento dei riferimenti

Quando si abilita il rilevamento dei riferimenti, si chiede a COM di eseguire controlli di sicurezza aggiuntivi e di tenere traccia delle informazioni che impediranno il rilascio troppo presto degli oggetti. Tenere presente che questi controlli aggiuntivi sono costosi. Per ulteriori informazioni sul rilevamento dei riferimenti, vedere Rilevamento dei Riferimenti. Usare la procedura seguente per abilitare o disabilitare il rilevamento dei riferimenti.

Per impostare il rilevamento dei riferimenti per un computer

1. Con Dcomcnfg.exe in esecuzione, scegliere la scheda Proprietà Predefinite.

2. Per abilitare (o disabilitare) il rilevamento dei riferimenti, selezionare (o deselezionare) la casella di controllo Fornire ulteriore sicurezza per il rilevamento dei riferimenti nella parte inferiore della pagina.

3. Se imposterai più proprietà per il computer, scegli il pulsante Applica per applicare la nuova impostazione. In caso contrario, scegliere OK per applicare le modifiche e uscire Dcomcnfg.exe.

Abilitazione e disabilitazione di DCOM

Quando un computer fa parte di una rete, il protocollo di collegamento DCOM consente agli oggetti COM in tale computer di comunicare con oggetti COM in altri computer. È possibile disabilitare DCOM per un computer specifico, ma in questo modo si disabiliterà tutte le comunicazioni tra oggetti in tale computer e oggetti in altri computer.

La disabilitazione di DCOM in un computer non ha alcun effetto sugli oggetti COM locali. COM cerca ancora le autorizzazioni di avvio specificate. Se non sono state specificate autorizzazioni di avvio, vengono usate le autorizzazioni di avvio predefinite. Anche se si disabilita DCOM, se un utente ha accesso fisico al computer, potrebbe avviare un server nel computer a meno che non si impostino le autorizzazioni di avvio per non consentirlo.

Nota

Se si disabilita DCOM in un computer remoto, non sarà possibile accedere in remoto al computer in un secondo momento per riabilitare DCOM. Per riabilitare DCOM, è necessario l'accesso fisico a tale computer.

 

Per abilitare o disabilitare manualmente DCOM per un computer

1. Eseguire Dcomcnfg.exe.

2. Scegliere la scheda Proprietà predefinite.

3. Selezionare (o deselezionare) la casella di controllo Abilita COM distribuita sul computer.

4. Se si impostano più proprietà per il computer, fare clic sul pulsante Applica per abilitare (o disabilitare) DCOM. In caso contrario, fare clic su OK per applicare le modifiche e uscire Dcomcnfg.exe.

Argomenti correlati

Impostazione della sicurezza a livello di processo