Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
System Windows Server XP z dodatkiem Service Pack 2 (SP2) i Windows Server 2003 z dodatkiem Service Pack 1 (SP1) wprowadza rozszerzone domyślne ustawienia zabezpieczeń modelu obiektów składników rozproszonych (DCOM). W szczególności wprowadzono bardziej szczegółowe prawa, które umożliwiają administratorowi niezależną kontrolę nad uprawnieniami lokalnymi i zdalnymi do uruchamiania, aktywowania i uzyskiwania dostępu do serwerów COM.
Co robi DCOM?
Model obiektów składników firmy Microsoft (COM) to niezależny od platformy, rozproszony, obiektowy system do tworzenia binarnych składników oprogramowania, które mogą współdziałać. Model obiektów składników rozproszonych (DCOM, Distributed Component Object Model) umożliwia dystrybuowanie aplikacji w różnych lokalizacjach, które mają najwięcej sensu dla Ciebie i aplikacji. Protokół przewodu DCOM zapewnia przezroczystą obsługę niezawodnej, bezpiecznej i wydajnej komunikacji między składnikami MODELU COM.
Kto ma zastosowanie do tej funkcji?
Jeśli używasz modelu COM tylko w przypadku składników COM w procesie, ta funkcja nie ma zastosowania do Ciebie.
Ta funkcja ma zastosowanie do Ciebie, jeśli masz aplikację serwera COM, która spełnia jedno z następujących kryteriów:
- Uprawnienie dostępu do aplikacji jest mniej rygorystyczne niż uprawnienie do uruchamiania, które jest niezbędne do uruchamiania aplikacji.
- Aplikacja jest zwykle aktywowana przez zdalnego klienta COM bez użycia konta administracyjnego.
- Aplikacja ma być używana tylko lokalnie. Oznacza to, że można ograniczyć aplikację serwera COM, aby nie była dostępna zdalnie.
Jakie nowe funkcje są dodawane do tej funkcji w systemie Windows XP z dodatkiem Service Pack 2 i Windows Server 2003 z dodatkiem Service Pack 1?
Ograniczenia dotyczące całego komputera
Wprowadzono zmianę w modelu COM w celu zapewnienia kontroli dostępu dla całego komputera, które zarządzają dostępem do wszystkich żądań wywołania, aktywacji lub uruchamiania na komputerze. Najprostszym sposobem myślenia o tych kontrolach dostępu jest dodatkowe wywołanie AccessCheck wykonywane względem listy kontroli dostępu (ACL) na każdym wywołaniu, aktywacji lub uruchomieniu dowolnego serwera COM na komputerze. Jeśli AccessCheck zakończy się niepowodzeniem, zostanie odrzucone wywołanie, aktywacja lub żądanie uruchomienia. Jest to dodatek do wszystkich AccessCheck, które są uruchamiane względem list ACL specyficznych dla serwera. W efekcie zapewnia minimalny standard autoryzacji, który musi zostać przekazany w celu uzyskania dostępu do dowolnego serwera COM na komputerze. Istnieje lista ACL dla komputerów do uruchamiania uprawnień do włączania i uruchamiania oraz lista ACL dla komputerów z uprawnieniami dostępu do objęcia prawami wywołania. Można je skonfigurować za pomocą konsoli zarządzania Microsoft Management Console (MMC).
Te listy ACL dla komputerów umożliwiają zastąpienie słabych ustawień zabezpieczeń określonych przez określoną aplikację za pomocą CoInitializeSecurity lub ustawień zabezpieczeń specyficznych dla aplikacji. Zapewnia to minimalny standard zabezpieczeń, który musi zostać przekazany, niezależnie od ustawień określonego serwera.
Te listy ACL są sprawdzane, gdy są dostępne interfejsy uwidocznione przez usługę RPCSS. Zapewnia to metodę kontrolowania dostępu do tej usługi systemowej.
Te listy ACL zapewniają scentralizowaną lokalizację, w której administrator może ustawić ogólne zasady autoryzacji, które mają zastosowanie do wszystkich serwerów COM na komputerze.
Nuta
Zmiana ustawień zabezpieczeń dla całego komputera będzie mieć wpływ na wszystkie aplikacje serwera COM i może uniemożliwić im prawidłowe działanie. Jeśli istnieją aplikacje serwera COM, które mają ograniczenia mniej rygorystyczne niż ograniczenia dotyczące całego komputera, ograniczenie ograniczeń dotyczących całego komputera może spowodować narażenie tych aplikacji na niepożądany dostęp. Z drugiej strony, jeśli zwiększysz ograniczenia dotyczące całego komputera, niektóre aplikacje serwera COM mogą nie być już dostępne przez wywoływanie aplikacji.
Domyślnie ustawienia ograniczeń komputera z dodatkiem SP2 systemu Windows XP to:
| Pozwolenie | Administrator | Każdy | Anonimowy |
|---|---|---|---|
| Uruchomić |
Uruchamianie lokalne Aktywacja lokalna Zdalne uruchamianie Aktywacja zdalna |
Uruchamianie lokalne Aktywacja lokalna |
|
| Dostęp |
Dostęp lokalny Dostęp zdalny |
Dostęp lokalny |
Domyślnie ustawienia ograniczeń komputera z systemem Windows Server 2003 z dodatkiem SP 1 są następujące.
| Pozwolenie | Administrator | Użytkownicy rozproszonego modelu COM (wbudowana grupa) | Każdy | Anonimowy |
|---|---|---|---|---|
| Uruchomić |
Uruchamianie lokalne Aktywacja lokalna Zdalne uruchamianie Aktywacja zdalna |
Uruchamianie lokalne Aktywacja lokalna Zdalne uruchamianie Aktywacja zdalna |
Uruchamianie lokalne Aktywacja lokalna |
N/A |
| Dostęp |
N/A |
Dostęp lokalny Dostęp zdalny |
Dostęp lokalny Dostęp zdalny |
Dostęp lokalny Dostęp zdalny |
Nuta
Użytkownicy rozproszonych COM to nowa wbudowana grupa dołączona do systemu Windows Server 2003 z dodatkiem SP1 w celu przyspieszenia procesu dodawania użytkowników do ustawień ograniczeń komputera DCOM. Ta grupa jest częścią listy ACL używanej przez MachineAccessRestriction i Ustawienia MachineLaunchRestriction, więc usunięcie użytkowników z tej grupy wpłynie na te ustawienia.
Dlaczego ta zmiana jest ważna? Jakie zagrożenia pomagają wyeliminować problem?
Wiele aplikacji COM zawiera kod specyficzny dla zabezpieczeń (na przykład wywoływanie CoInitializeSecurity), ale używają słabych ustawień, często zezwalając na nieuwierzytelniony dostęp do procesu. Obecnie nie ma możliwości zastąpienia tych ustawień przez administratora w celu wymuszenia silniejszych zabezpieczeń we wcześniejszych wersjach systemu Windows.
Infrastruktura COM obejmuje RPCSS , usługę systemową, która działa podczas uruchamiania systemu i zawsze działa po tym. Zarządza aktywacją obiektów COM i uruchomioną tabelą obiektów oraz udostępnia usługi pomocnika komunikacji zdalniej DCOM. Uwidacznia interfejsy RPC, które mogą być wywoływane zdalnie. Ponieważ niektóre serwery COM zezwalają na nieuwierzytelniony dostęp zdalny, te interfejsy mogą być wywoływane przez wszystkich użytkowników, w tym nieuwierzytelnionych użytkowników. W związku z tym usługa RPCSS może zostać zaatakowana przez złośliwych użytkowników na komputerach zdalnych, nieuwierzytelnionych.
We wcześniejszych wersjach systemu Windows nie było możliwości, aby administrator zrozumiał poziom ekspozycji serwerów COM na komputerze. Administrator dostał pomysł na poziom ekspozycji, systematycznie sprawdzając skonfigurowane ustawienia zabezpieczeń dla wszystkich zarejestrowanych aplikacji COM na komputerze, ale biorąc pod uwagę, że istnieje około 150 serwerów COM w domyślnej instalacji systemu Windows, to zadanie było trudne. Nie było możliwości wyświetlania ustawień serwera, który zawiera zabezpieczenia w oprogramowaniu, krótki przegląd kodu źródłowego dla tego oprogramowania.
Ograniczenia dotyczące całego komputera DCOM ograniczają te trzy problemy. Zapewnia również administratorowi możliwość wyłączania przychodzącej aktywacji, uruchamiania i wywołań modelu DCOM.
Co działa inaczej?
Domyślnie grupa Wszyscy ma uprawnienia do uruchamiania lokalnego, aktywacji lokalnej i lokalnego wywołania dostępu. Dzięki temu wszystkie scenariusze lokalne działają bez modyfikacji oprogramowania lub systemu operacyjnego.
Domyślnie w systemie Windows XP z dodatkiem SP2 grupa Wszyscy ma przyznane uprawnienia do wywołania dostępu zdalnego. W systemie Windows Server 2003 z dodatkiem SP1 wszystkie grupy i anonimowe otrzymują uprawnienia dostępu zdalnego. Umożliwia to korzystanie z większości scenariuszy klienta COM, w tym typowego przypadku, w którym klient COM przekazuje lokalne odwołanie do serwera zdalnego, w efekcie zamieniając klienta na serwer. W systemie Windows XP z dodatkiem SP2 może to spowodować wyłączenie scenariuszy, które wymagają nieuwierzytelnionych wywołań dostępu zdalnego.
Domyślnie tylko członkowie grupy Administratorzy otrzymują uprawnienia aktywacji zdalnej i uruchamiania. Spowoduje to wyłączenie aktywacji zdalnych przez innych niż administratorzy do zainstalowanych serwerów COM.
Jak rozwiązać te problemy?
Jeśli zaimplementujesz serwer COM i oczekujesz obsługi aktywacji zdalnej przez klienta com nieadministracyjnym, należy rozważyć, czy ryzyko związane z włączeniem tego procesu jest dopuszczalne, czy też należy zmodyfikować implementację, aby nie wymagać aktywacji zdalnej przez klienta COM nie administracyjnego lub zdalnych nieuwierzytelnionych wywołań.
Jeśli ryzyko jest akceptowalne i chcesz włączyć aktywację zdalną przez klienta COM nieadministracyjnych lub zdalnych nieuwierzytelnionych wywołań, musisz zmienić domyślną konfigurację tej funkcji.
Nuta
Zmiana ustawień zabezpieczeń dla całego komputera będzie mieć wpływ na wszystkie aplikacje serwera COM i może uniemożliwić im prawidłowe działanie. Jeśli istnieją aplikacje serwera COM, które mają ograniczenia mniej rygorystyczne niż ograniczenia dotyczące całego komputera, ograniczenie ograniczeń dotyczących całego komputera może spowodować narażenie tych aplikacji na niepożądany dostęp. Z drugiej strony, jeśli zwiększysz ograniczenia dotyczące całego komputera, niektóre aplikacje serwera COM mogą nie być już dostępne przez wywoływanie aplikacji.
Ustawienia konfiguracji można zmienić przy użyciu programu Microsoft Management Console (MMC) lub rejestru systemu Windows.
Jeśli używasz przystawki MMC usług składników, te ustawienia można skonfigurować na karcie COM Security okna dialogowego właściwości dla komputera, którym zarządzasz. Obszar uprawnień dostępu został zmodyfikowany, aby umożliwić ustawianie limitów dla całego komputera oprócz standardowych ustawień domyślnych dla serwerów COM. Ponadto można podać oddzielne ustawienia listy ACL dla dostępu lokalnego i zdalnego w ramach limitów i wartości domyślnych.
W obszarze Uprawnienia uruchamiania i aktywacji można kontrolować uprawnienia lokalne i zdalne, a także limity dla całego komputera i wartości domyślne. Możesz niezależnie określić uprawnienia lokalnego i zdalnego aktywacji oraz uruchamiania.
Alternatywnie można skonfigurować te ustawienia listy ACL przy użyciu rejestru.
Te listy ACL są przechowywane w rejestrze w następujących lokalizacjach:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\MachineAccessRestriction=ACL
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\MachineLaunchRestriction=ACL
Są to nazwane wartości typu REG_BINARY zawierające dane opisujące listę ACL podmiotów zabezpieczeń, które mogą uzyskiwać dostęp do dowolnej klasy COM lub obiektu COM na komputerze. Prawa dostępu w liście ACL to:
COM_RIGHTS_EXECUTE 1
COM_RIGHTS_EXECUTE_LOCAL 2
COM_RIGHTS_EXECUTE_REMOTE 4
COM_RIGHTS_ACTIVATE_LOCAL 8
COM_RIGHTS_ACTIVATE_REMOTE 16
Te listy ACL można tworzyć przy użyciu normalnych funkcji zabezpieczeń.
Nuta
Aby zapewnić zgodność z poprzednimi wersjami, lista ACL może istnieć w formacie używanym przed windows XP z dodatkiem SP2 i Windows Server 2003 z dodatkiem SP1, który używa tylko prawa dostępu COM_RIGHTS_EXECUTE lub może istnieć w nowym formacie używanym w systemie Windows XP z dodatkiem SP2 i Windows Server 2003 z dodatkiem SP1, który używa COM_RIGHTS_EXECUTE razem z kombinacją COM_RIGHTS_EXECUTE_LOCAL, COM_RIGHTS_EXECUTE_REMOTE, COM_RIGHTS_ACTIVATE_LOCAL i COM_RIGHTS_ACTIVATE_REMOTE. Należy pamiętać, że COM_RIGHTS_EXECUTE> zawsze musi być obecny; brak tego prawa generuje nieprawidłowy deskryptor zabezpieczeń. Należy również pamiętać, że nie można mieszać starego formatu i nowego formatu w ramach pojedynczej listy ACL; wszystkie wpisy kontroli dostępu (ACE) muszą udzielać tylko prawa dostępu COM_RIGHTS_EXECUTE lub wszystkie muszą udzielić COM_RIGHTS_EXECUTE razem z kombinacją COM_RIGHTS_EXECUTE_LOCAL, COM_RIGHTS_EXECUTE_REMOTE, COM_RIGHTS_ACTIVATE_LOCAL i COM_RIGHTS_ACTIVATE_REMOTE.
Nuta
Te ustawienia mogą modyfikować tylko użytkownicy z uprawnieniami administratora.
Jakie istniejące funkcje zmieniają się w systemie Windows XP z dodatkiem Service Pack 2 i Windows Server 2003 z dodatkiem Service Pack 1?
Usługa RPCSS działa jako usługa sieciowa
RPCSS to kluczowa usługa mapowania punktów końcowych RPC i infrastruktury DCOM. Ta usługa była uruchamiana jako system lokalny w poprzednich wersjach systemu Windows. Aby zmniejszyć obszar ataków systemu Windows i zapewnić ochronę w głębi systemu, funkcja usługi RPCSS została podzielona na dwie usługi. Usługa RPCSS ze wszystkimi oryginalnymi funkcjami, które nie wymagały uprawnień systemu lokalnego, są teraz uruchamiane na koncie usługi sieciowej. Nowa usługa DCOMLaunch obejmująca funkcje wymagające uprawnień systemu lokalnego jest uruchamiana na koncie systemu lokalnego.
Dlaczego ta zmiana jest ważna?
Ta zmiana zmniejsza obszar ataków i zapewnia ochronę w głębi usługi RPCSS, ponieważ podniesienie uprawnień w usłudze RPCSS jest teraz ograniczone do uprawnień usługi sieciowej.
Co działa inaczej?
Ta zmiana powinna być niewidoczna dla użytkowników, ponieważ połączenie usług RPCSS i DCOMLaunch jest równoważne poprzedniej usłudze RPCSS udostępnionej we wcześniejszych wersjach systemu Windows.
Bardziej szczegółowe uprawnienia com
Aplikacje serwera COM mają dwa typy uprawnień: uprawnienia uruchamiania i uprawnienia dostępu. Uruchom autoryzację kontroli uprawnień, aby uruchomić serwer COM podczas aktywacji COM, jeśli serwer nie jest jeszcze uruchomiony. Te uprawnienia są definiowane jako deskryptory zabezpieczeń określone w ustawieniach rejestru. Autoryzacja kontroli uprawnień dostępu w celu wywołania uruchomionego serwera COM. Te uprawnienia są definiowane jako deskryptory zabezpieczeń udostępniane infrastrukturze COM za pośrednictwem interfejsu API CoInitializeSecurity lub przy użyciu ustawień rejestru. Zarówno uprawnienia uruchamiania, jak i dostępu zezwalają na dostęp lub odmawiają dostępu na podstawie podmiotów zabezpieczeń, i nie należy rozróżniać, czy obiekt wywołujący jest lokalny na serwerze, czy zdalnym.
Pierwsza zmiana rozróżnia prawa dostępu COM na podstawie odległości. Dwie zdefiniowane odległości to Lokalne i Zdalne. Lokalny komunikat COM pojawia się za pomocą protokołu lokalnego zdalnego wywołania procedury (LRPC), podczas gdy zdalny komunikat COM pojawia się za pomocą protokołu hosta zdalnego wywołania procedury (RPC), takiego jak protokół kontroli transmisji (TCP).
Aktywacja MODELU COM to czynność pobierania serwera proxy interfejsu COM na kliencie przez wywołanie CoCreateInstance lub jednego z jego wariantów. Jako efekt uboczny tego procesu aktywacji, czasami serwer COM musi zostać uruchomiony, aby spełnić żądanie klienta. Lista ACL uprawnień uruchamiania potwierdza, kto może uruchomić serwer COM. Lista ACL uprawnień dostępu potwierdza, kto może aktywować obiekt COM lub wywołać ten obiekt, gdy serwer COM jest już uruchomiony.
Druga zmiana polega na tym, że prawa wywołania i aktywacji są oddzielone w celu odzwierciedlenia dwóch odrębnych operacji i przeniesienia prawa aktywacji z listy ACL uprawnień dostępu do listy ACL uprawnień uruchamiania. Ponieważ aktywacja i uruchamianie są związane z uzyskaniem wskaźnika interfejsu, aktywacja i uruchamianie praw dostępu logicznie należą do jednej listy ACL. Ze względu na to, że zawsze określasz uprawnienia uruchamiania za pośrednictwem konfiguracji (w porównaniu z uprawnieniami dostępu, które są często określane programowo), umieszczenie praw aktywacji na liście ACL uruchamiania zapewnia administratorowi kontrolę nad aktywacją.
Wpisy kontroli dostępu do uprawnień uruchamiania (ACL) są podzielone na cztery prawa dostępu:
- Uruchamianie lokalne (LL)
- Zdalne uruchamianie (RL)
- Aktywacja lokalna (LA)
- Aktywacja zdalna (RA)
Deskryptor zabezpieczeń uprawnień dostępu jest podzielony na dwa prawa dostępu:
- Wywołania dostępu lokalnego (LC)
- Wywołania dostępu zdalnego (RC)
Dzięki temu administrator może zastosować bardzo konkretne konfiguracje zabezpieczeń. Na przykład można skonfigurować serwer COM tak, aby akceptował lokalne wywołania dostępu od wszystkich użytkowników, akceptując tylko wywołania dostępu zdalnego od administratorów. Te różnice można określić za pomocą zmian deskryptorów zabezpieczeń uprawnień MODELU COM.
Dlaczego ta zmiana jest ważna? Jakie zagrożenia pomagają wyeliminować problem?
Wcześniejsze wersje aplikacji serwera COM nie mają możliwości ograniczenia aplikacji, aby można było jej używać tylko lokalnie bez uwidaczniania aplikacji w sieci za pomocą modelu DCOM. Gdy użytkownik ma dostęp do aplikacji serwera COM, ma dostęp zarówno do użytku lokalnego, jak i zdalnego.
Aplikacja serwera COM może uwidaczniać się nieuwierzytelnionym użytkownikom w celu zaimplementowania scenariusza wywołania zwrotnego COM. W tym scenariuszu aplikacja musi również uwidocznić aktywację użytkownikom nieuwierzytelnionym, co może nie być pożądane.
Precyzyjne uprawnienia MODELU COM zapewniają administratorowi elastyczność kontrolowania zasad uprawnień COM komputera. Te uprawnienia umożliwiają zabezpieczenia opisanych scenariuszy.
Co działa inaczej? Czy istnieją jakieś zależności?
Aby zapewnić zgodność z poprzednimi wersjami, istniejące deskryptory zabezpieczeń MODELU COM są interpretowane tak, aby zezwalały na dostęp lokalny i zdalny lub odmawiały im jednocześnie dostępu lokalnego i zdalnego. Oznacza to, że pozycja kontroli dostępu (ACE) zezwala zarówno na lokalne, jak i zdalne, lub blokuje zarówno lokalne, jak i zdalne.
Nie ma problemów ze zgodnością z poprzednimi wersjami dla uprawnień wywołania lub uruchomienia. Występuje jednak problem ze zgodnością praw aktywacji. Jeśli w istniejących deskryptorach zabezpieczeń dla serwera COM skonfigurowane uprawnienia uruchamiania są bardziej restrykcyjne niż uprawnienia dostępu i są bardziej restrykcyjne niż to, co jest minimalne wymagane w scenariuszach aktywacji klienta, należy zmodyfikować listę ACL uprawnień uruchamiania, aby nadać autoryzowanym klientom odpowiednie uprawnienia aktywacji.
W przypadku aplikacji COM korzystających z domyślnych ustawień zabezpieczeń nie ma problemów ze zgodnością. W przypadku aplikacji, które są dynamicznie uruchamiane przy użyciu aktywacji modelu COM, większość nie ma problemów ze zgodnością, ponieważ uprawnienia uruchamiania muszą już obejmować wszystkich, którzy mogą aktywować obiekt. W przeciwnym razie takie aplikacje generują błędy aktywacji jeszcze przed zastosowaniem systemu Windows XP z dodatkiem SP2 lub Windows Server 2003 z dodatkiem SP1, gdy osoby wywołujące bez uprawnień uruchamiania spróbują aktywować obiekt, a serwer COM nie jest jeszcze uruchomiony.
Większość problemów ze zgodnością dotyczy aplikacji COM, które zostały już uruchomione przez inny mechanizm, taki jak Eksplorator Windows lub Menedżer sterowania usługami. Możesz również uruchomić te aplikacje przez poprzednią aktywację COM, która zastępuje domyślne uprawnienia dostępu i uruchamiania oraz określa uprawnienia uruchamiania, które są bardziej restrykcyjne niż uprawnienia wywołania. Aby uzyskać więcej informacji na temat rozwiązywania tego problemu ze zgodnością, zobacz "Jak rozwiązać te problemy?" w następnej sekcji.
Jeśli system uaktualniony do systemu Windows XP z dodatkiem SP2 lub Windows Server 2003 z dodatkiem SP1 jest przywracany do wcześniejszego stanu, wszelkie edytowane ACE, aby zezwolić na dostęp lokalny, dostęp zdalny lub oba te elementy, jest interpretowane w celu zezwolenia na dostęp lokalny i zdalny. Każda edytowana usługa ACE, która została zmodyfikowana w celu odmowy dostępu lokalnego, dostępu zdalnego lub obu tych metod, jest interpretowana w celu odmowy dostępu lokalnego i zdalnego. Za każdym razem, gdy odinstalujesz dodatek Service Pack, upewnij się, że żadne nowo ustawione elementy ACL nie powodują, że aplikacje przestaną działać.
Jak rozwiązać te problemy?
Jeśli zaimplementujesz serwer COM i zastąpisz domyślne ustawienia zabezpieczeń, upewnij się, że uprawnienia uruchamiania specyficzne dla aplikacji listy ACL przyznaje uprawnienia aktywacji odpowiednim użytkownikom. Jeśli tak nie jest, musisz zmienić listę ACL uruchamiania specyficzną dla aplikacji, aby zapewnić odpowiednie prawa aktywacji użytkowników, aby aplikacje i składniki systemu Windows korzystające z modelu DCOM nie kończyły się niepowodzeniem. Te uprawnienia uruchamiania specyficzne dla aplikacji są przechowywane w rejestrze.
Listy ACL modelu COM można tworzyć lub modyfikować przy użyciu normalnych funkcji zabezpieczeń.
Jakie ustawienia są dodawane lub zmieniane w dodatku Service Pack 2 systemu Windows XP?
Ostrożność
Niewłaściwe użycie tych ustawień może spowodować niepowodzenie aplikacji i składników systemu Windows korzystających z modelu DCOM.
W poniższej tabeli używane są następujące skróty:
LL — uruchamianie lokalne
LA — aktywacja lokalna
RL — zdalne uruchamianie
Ra — aktywacja zdalna
LC — lokalne wywołania dostępu
RC — połączenia dostępu zdalnego
Lista ACL — lista kontroli dostępu
| Nazwa ustawienia | Lokalizacja | Poprzednia wartość domyślna | Wartość domyślna | Możliwe wartości |
|---|---|---|---|---|
|
MachineLaunchRestriction |
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Ole |
Wszyscy — LL, LA, RL, RA Anonimowy- LL, LA, RL, RA (Jest to nowy klucz rejestru. Na podstawie istniejącego zachowania są to efektywne wartości. |
Administrator: LL, LA, RL, RA |
ACL |
|
MachineAccessRestriction |
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Ole |
Wszyscy — LC, RC Anonimowe — LC, RC (Jest to nowy klucz rejestru. Na podstawie istniejącego zachowania są to efektywne wartości. |
Wszyscy: LC, RC Anonimowe: LC |
ACL |
|
CallFailureLoggingLevel |
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Ole |
Nie dotyczy. |
Ten klucz rejestru nie jest obecny; jednak brak klucza lub wartości jest interpretowany jako 2. To zdarzenie nie jest domyślnie rejestrowane. Jeśli zmienisz tę wartość na 1, aby rozpocząć rejestrowanie tych informacji, aby ułatwić rozwiązanie problemu, pamiętaj o monitorowaniu rozmiaru dziennika zdarzeń, ponieważ jest to zdarzenie, które może wygenerować dużą liczbę wpisów. |
1 — Zawsze rejestruj błędy dziennika zdarzeń podczas wywołania w procesie serwera COM. 2 — Nigdy nie rejestruj błędów dziennika zdarzeń podczas wywołania w procesie serwera połączeń. |
|
InvalidSecurityDescriptorLoggingLevel |
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Ole |
Nie dotyczy. |
Ten klucz rejestru nie jest obecny; jednak brak klucza lub wartości jest interpretowany jako 1. To zdarzenie jest domyślnie rejestrowane. Rzadko powinno się to zdarzyć. |
1 — Zawsze rejestruj błędy dziennika zdarzeń, gdy infrastruktura COM znajduje nieprawidłowy deskryptor zabezpieczeń. 2 — Nigdy nie rejestruj błędów dziennika zdarzeń, gdy infrastruktura COM znajdzie nieprawidłowy deskryptor zabezpieczeń. |
| DCOM:Ograniczenia uruchamiania komputera w składni języka SDDL (Security Descriptor Definition Language) |
(Obiekt zasad grupy) Konfiguracja komputera \Ustawienia systemu Windows\Zasady lokalne \Opcje zabezpieczeń |
Nie dotyczy. |
Nie zdefiniowano |
Lista kontroli dostępu w formacie SDDL. Istnienie tych zasad zastępuje wartości w maszynie MachineLaunchRestriction, wcześniej. |
| DCOM:Ograniczenia dostępu do maszyny w składni języka SDDL (Security Descriptor Definition Language) |
(Obiekt zasad grupy) Konfiguracja komputera \Ustawienia systemu Windows \Zasady lokalne \Opcje zabezpieczeń |
Nie dotyczy. |
Nie zdefiniowano |
Lista kontroli dostępu w formacie SDDL. Istnienie tych zasad zastępuje wcześniej wartości w funkcji MachineAccessRestriction. |
Jakie ustawienia są dodawane lub zmieniane w systemie Windows Server 2003 z dodatkiem Service Pack 1?
Nuta
Niewłaściwe użycie tych ustawień może spowodować niepowodzenie aplikacji i składników systemu Windows korzystających z modelu DCOM.
W poniższej tabeli używane są następujące skróty:
LL — uruchamianie lokalne
LA — aktywacja lokalna
RL — zdalne uruchamianie
Ra — aktywacja zdalna
LC — lokalne wywołania dostępu
RC — połączenia dostępu zdalnego
Lista ACL — lista kontroli dostępu
| Nazwa ustawienia | Lokalizacja | Poprzednia wartość domyślna | Wartość domyślna | Możliwe wartości |
|---|---|---|---|---|
|
MachineLaunchRestriction |
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Ole |
Wszyscy: LL, LA, RL, RA Anonimowe: LL, LA, RL, RA (Jest to nowy klucz rejestru. Na podstawie istniejącego zachowania będą to skuteczne wartości. |
Administrator: LL, LA, RL, RA Wszyscy: LL, LA Użytkownicy rozproszonych COM: LL, LA, RL, RA |
ACL |
|
MachineAccessRestriction |
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Ole |
Wszyscy: LC, RC Anonimowe: LC, RC (Jest to nowy klucz rejestru. Na podstawie istniejącego zachowania będą to skuteczne wartości. |
Wszyscy: LC, RC Anonimowe: LC, RC |
ACL |
|
CallFailureLoggingLevel |
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Ole |
Nie dotyczy. |
Ten klucz rejestru nie jest obecny; jednak brak klucza lub wartości jest interpretowany jako 2. To zdarzenie nie jest domyślnie rejestrowane. Jeśli zmienisz tę wartość na 1, aby rozpocząć rejestrowanie tych informacji, aby ułatwić rozwiązanie problemu, pamiętaj o monitorowaniu rozmiaru dziennika zdarzeń, ponieważ jest to zdarzenie, które może wygenerować dużą liczbę wpisów. |
1 — Zawsze rejestruj błędy dziennika zdarzeń, gdy infrastruktura COM znajduje nieprawidłowy deskryptor zabezpieczeń. 2 — Nigdy nie rejestruj błędów dziennika zdarzeń, gdy infrastruktura COM znajdzie nieprawidłowy deskryptor zabezpieczeń. |
|
InvalidSecurityDescriptorLoggingLevel |
HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Ole |
Nie dotyczy. |
Ten klucz rejestru nie jest obecny; jednak brak klucza lub wartości jest interpretowany jako 1. To zdarzenie jest domyślnie rejestrowane. Rzadko powinno się to zdarzyć. |
1 — Zawsze rejestruj błędy dziennika zdarzeń, gdy infrastruktura COM znajduje nieprawidłowy deskryptor zabezpieczeń. 2 — Nigdy nie rejestruj błędów dziennika zdarzeń, gdy infrastruktura COM znajduje nieprawidłowy deskryptor zabezpieczeń. |
| DCOM:Ograniczenia uruchamiania komputera w składni języka SDDL (Security Descriptor Definition Language) |
(Obiekt zasad grupy) Konfiguracja komputera \Ustawienia systemu Windows \Zasady lokalne \Opcje zabezpieczeń |
Nie dotyczy. |
Nie zdefiniowano. |
Lista kontroli dostępu w formacie SDDL. Istnienie tych zasad zastępuje wartości w maszynie MachineLaunchRestriction, wcześniej. |
| DCOM:Ograniczenia dostępu do maszyny w składni języka SDDL (Security Descriptor Definition Language) |
(Obiekt zasad grupy) Konfiguracja komputera \Ustawienia systemu Windows \Zasady lokalne \Opcje zabezpieczeń |
Nie dotyczy. |
Nie zdefiniowano. |
Lista kontroli dostępu w formacie SDDL. Istnienie tych zasad zastępuje wcześniej wartości w funkcji MachineAccessRestriction. |
Tematy pokrewne
-
zabezpieczenia w COM