Udostępnij za pośrednictwem

Ustawianie zabezpieczeń System-Wide przy pomocy DCOMCNFG

  • Artykuł

Zmiana ustawień zabezpieczeń dla całego systemu będzie mieć wpływ na wszystkie aplikacje serwera COM, które nie ustawiają własnych zabezpieczeń dla całego procesu. Może to uniemożliwić prawidłowe działanie takich aplikacji. W przypadku zmiany ustawień zabezpieczeń dla całego systemu w celu wpływu na ustawienia zabezpieczeń dla określonej aplikacji COM należy zamiast tego zmienić ustawienia zabezpieczeń całego procesu dla tej konkretnej aplikacji COM. Aby uzyskać więcej informacji na temat ustawiania zabezpieczeń dla całego procesu, zobacz Ustawianie zabezpieczeń dla całego procesu.

Jeśli chcesz, aby wszystkie aplikacje na jednym komputerze, które nie zapewniają własnych zabezpieczeń, współdzieliły te same domyślne ustawienia zabezpieczeń, należy ustawić zabezpieczenia na poziomie całego systemu. Użycie Dcomcnfg.exe ułatwia ustawianie wartości domyślnych w rejestrze, które mają zastosowanie do wszystkich aplikacji na komputerze.

Należy pamiętać, że jeśli klient lub serwer jawnie wywołuje CoInitializeSecurity w celu ustawienia zabezpieczeń dla całego procesu, ustawienia domyślne w rejestrze zostaną zignorowane, a parametry CoInitializeSecurity będą używane zamiast ustawień zabezpieczeń procesu. Ponadto jeśli używasz Dcomcnfg.exe do określania ustawień zabezpieczeń dla określonego procesu, domyślne ustawienia komputera zostaną zastąpione przez ustawienia procesu.

Podczas włączania zabezpieczeń dla całego systemu należy ustawić poziom uwierzytelniania na wartość inną niż Brak i należy ustawić uprawnienia uruchamiania i dostępu. Masz możliwość ustawienia domyślnego poziomu personifikacji, i możesz również włączyć śledzenie odwołań. Poniższe tematy zawierają procedury krok po kroku:

Ustawianie domyślnego poziomu uwierzytelniania System-Wide

Poziom uwierzytelniania służy do określania w COM, na jakim poziomie chcesz, aby klient był uwierzytelniony. Te poziomy oferują różne poziomy ochrony, od braku ochrony do pełnego szyfrowania. Aby włączyć zabezpieczenia komputera, należy wybrać poziom uwierzytelniania inny niż Brak. Możesz wybrać takie ustawienie, korzystając z Dcomcnfg.exe, wykonując następujące kroki.

Aby ustawić poziom uwierzytelniania dla całego systemu

  1. Uruchom Dcomcnfg.exe.

  2. Wybierz kartę Właściwości domyślne .

  3. W polu listy Default Authentication Level wybierz wartość inną niż (Brak).

  4. Jeśli ustawisz więcej właściwości komputera, kliknij przycisk Zastosuj, aby zastosować nowy poziom uwierzytelniania. W przeciwnym razie kliknij OK, aby zastosować zmiany i zamknąć Dcomcnfg.exe.

Ustawianie uprawnień uruchamiania System-Wide

Uprawnienia uruchamiania ustawione za pomocą Dcomcnfg.exe określają listę użytkowników, z których każda jest jawnie udzielana lub odrzucana uprawnienia do uruchamiania dowolnego serwera, który nie udostępnia własnych ustawień uprawnień uruchamiania. Podczas ustawiania uprawnień uruchamiania można dodać lub usunąć jednego lub więcej użytkowników lub grup z tej listy. Dla każdego dodanego użytkownika należy określić, czy użytkownik ma przyznane lub odmówiono uprawnień do uruchamiania.

Aby ustawić uprawnienia uruchamiania komputera

  1. Na stronie właściwości Domyślne zabezpieczenia w Dcomcnfg.exewybierz przycisk Edytuj domyślne w obszarze Domyślne uprawnienia uruchamiania.

  2. Aby usunąć użytkowników lub grupy, wybierz użytkownika lub grupę, którą chcesz usunąć, a następnie wybierz przycisk Usuń. Wybrany użytkownik lub grupa nie będzie już wyświetlany w polu listy. Po zakończeniu usuwania użytkowników i grup wybierz pozycję OK.

  3. Jeśli chcesz dodać użytkownika lub grupę, wybierz przycisk Dodaj.

  4. Jeśli znasz w pełni kwalifikowaną nazwę użytkownika, którą chcesz dodać, wpisz ją w polu tekstowym Dodaj nazwy. Jeśli nie znasz nazwy użytkownika, zobacz Setting Processwide Security Using DCOMCNFG, aby go znaleźć. Po zlokalizowaniu nazwy użytkownika wybierz użytkownika lub grupę z listy Nazwy i wybierz przycisk Dodaj.

  5. W polu listy Typ dostępu wybierz typ dostępu (Zezwalaj na uruchamianie lub Odmów uruchamiania). Aby dodać innych użytkowników, którzy będą mieć również wybrany typ dostępu, powtórz krok 4. Po zakończeniu dodawania użytkowników dla wybranego typu dostępu wybierz przycisk OK.

  6. Aby dodać użytkowników, którzy będą mieli inny typ dostępu, powtórz kroki 4 i 5. W przeciwnym razie wybierz OK, aby zastosować zmiany.

Ustawianie uprawnień dostępu System-Wide

Dcomcnfg.exe umożliwia ustawienie uprawnień dostępu w celu kontrolowania listy użytkowników, którym udzielono lub odmówiono dostępu do metod tych serwerów, które nie zapewniają własnych uprawnień dostępu. Możesz dodać użytkowników lub grupy do listy, określając, czy uprawnienie dostępu jest przyznawane, czy odrzucane. Możesz również usunąć użytkowników z listy.

Podczas ustawiania uprawnień dostępu należy upewnić się, że system znajduje się na liście użytkowników, którym udzielono dostępu. Jeśli udzielono ci uprawnień dostępu do Wszystkich, SYSTEM jest dołączany niejawnie.

Proces ustawiania uprawnień dostępu dla komputera jest podobny do ustawiania uprawnień uruchamiania. Należy wykonać następujące czynności.

Aby ustawić uprawnienia dostępu dla komputera

  1. Na stronie właściwości domyślne zabezpieczenia w Dcomcnfg.exewybierz przycisk Edytuj domyślne w obszarze domyślne uprawnienia dostępu.

  2. Aby usunąć użytkowników lub grupy, wybierz użytkownika lub grupę, którą chcesz usunąć, a następnie wybierz przycisk Usuń. Wybrany użytkownik lub grupa nie będzie już wyświetlany w polu listy. Po zakończeniu usuwania użytkowników i grup wybierz pozycję OK.

  3. Jeśli chcesz dodać użytkownika lub grupę, wybierz przycisk Dodaj.

  4. Jeśli znasz w pełni kwalifikowaną nazwę użytkownika, którą chcesz dodać, wpisz ją w polu tekstowym Dodaj nazwy. Jeśli nie znasz nazwy użytkownika, zobacz Ustawianie zabezpieczeń dla całego procesu przy użyciu DCOMCNFG, aby ją znaleźć. Po zlokalizowaniu nazwy użytkownika wybierz użytkownika lub grupę z listy Nazwy i wybierz przycisk Dodaj.

  5. Z listy Typ dostępu wybierz typ dostępu (Zezwalaj na dostęp lub odmowa dostępu ). Aby dodać innych użytkowników, którzy będą mieli wybrany typ dostępu, powtórz krok 4. Po zakończeniu dodawania użytkowników dla wybranego typu dostępu wybierz przycisk OK.

  6. Aby dodać użytkowników, którzy będą mieli inny typ dostępu, powtórz kroki 4 i 5. W przeciwnym razie wybierz OK, aby zastosować zmiany.

Ustawianie poziomu personifikacji System-Wide

Poziom impersonacji ustawiony przez klienta określa zakres uprawnień nadanych serwerowi do działania w imieniu klienta. Na przykład, gdy klient ustawił poziom personifikacji na delegowanie, serwer może uzyskać dostęp do zasobów lokalnych i zdalnych jako klient, a serwer może przekroczyć wiele granic komputerowych, jeśli zostanie ustawiona funkcja ukrywania. Aby ułatwić określenie, który poziom impersonacji należy wybrać, zobacz Poziomy impersonacji i Cloaking.

Ustawienie domyślnego poziomu personifikacji dla całego komputera informuje COM, jakiego poziomu personifikacji używać, gdy określony klient na komputerze nie określa poziomu personifikacji programowo przy użyciu CoInitializeSecurity lub CoSetProxyBlanket.

Aby ustawić poziom personifikacji komputera

  1. Po uruchomieniu Dcomcnfg.exe wybierz kartę Właściwości domyślne.

  2. Z listy Domyślny poziom personifikacji wybierz poziom personifikacji, który chcesz.

  3. Jeśli ustawisz więcej właściwości komputera, wybierz przycisk Zastosuj, aby zastosować nowy poziom personifikacji. W przeciwnym razie wybierz OK, aby zastosować zmiany i zakończyć Dcomcnfg.exe.

Konfiguracja śledzenia odwołań System-Wide

Po włączeniu śledzenia odwołań, prosisz COM o wykonanie dodatkowych kontroli zabezpieczeń i śledzenie informacji, które zapobiegną zbyt wczesnemu zwalnianiu obiektów. Należy pamiętać, że te dodatkowe kontrole są kosztowne. Aby uzyskać więcej informacji na temat śledzenia odwołań, zobacz Śledzenie Odwołań. Aby włączyć lub wyłączyć śledzenie odwołań, wykonaj następujące czynności.

Aby ustawić śledzenie odwołań dla komputera

  1. Gdy Dcomcnfg.exe jest uruchomiony, wybierz kartę Właściwości domyślne.

  2. Aby włączyć (lub wyłączyć) śledzenie odwołań, zaznacz (lub wyczyść) pole wyboru Ustaw dodatkowe zabezpieczenia dla śledzenia odwołań blisko dolnej części strony.

  3. Jeśli ustawisz więcej właściwości komputera, wybierz przycisk Zastosuj, aby zastosować nowe ustawienie. W przeciwnym razie wybierz OK, aby zastosować zmiany i zakończyć Dcomcnfg.exe.

Włączanie i wyłączanie DCOM

Gdy komputer jest częścią sieci, protokół przewodowy DCOM umożliwia obiektom COM na tym komputerze komunikowanie się z obiektami COM na innych komputerach. Można wyłączyć model DCOM dla określonego komputera, ale spowoduje to wyłączenie całej komunikacji między obiektami na tym komputerze i obiektach na innych komputerach.

Wyłączenie DCOM na komputerze nie wpływa na lokalne obiekty COM. Com nadal szuka określonych uprawnień do uruchamiania. Jeśli nie określono uprawnień uruchamiania, są używane domyślne uprawnienia uruchamiania. Nawet jeśli wyłączysz DCOM, jeśli użytkownik ma fizyczny dostęp do komputera, może uruchomić serwer na komputerze, chociażby ustawiono uprawnienia uruchamiania, aby na to nie pozwalały.

Notatka

Wyłączenie modelu DCOM na komputerze zdalnym spowoduje, że nie będzie można uzyskać dostępu zdalnego do tego komputera po ponownym włączeniu modelu DCOM. Aby ponownie włączyć model DCOM, musisz mieć fizyczny dostęp do tego komputera.

 

Aby ręcznie włączyć (lub wyłączyć) DCOM na komputerze

  1. Uruchom Dcomcnfg.exe.

  2. Wybierz kartę właściwości DefaultÂ.

  3. Zaznacz (lub wyczyść) pole wyboru Włącz dostęp do rozproszonego COM na tym komputerze.

  4. Jeśli ustawisz więcej właściwości komputera, kliknij przycisk Zastosuj, aby włączyć (lub wyłączyć) DCOM. W przeciwnym razie kliknij przycisk OK, aby zastosować zmiany i wyjść z Dcomcnfg.exe.

ustawianie zabezpieczeń dla całego procesu