Поделиться через


Настройка безопасности System-Wide с помощью DCOMCNFG

Изменение параметров безопасности на уровне системы повлияет на все серверные приложения COM, которые не задают собственную безопасность на уровне процесса. Это может препятствовать правильной работе таких приложений. Если вы изменяете параметры безопасности на уровне системы, чтобы повлиять на параметры безопасности для конкретного COM-приложения, то вместо этого следует изменить параметры безопасности на уровне процесса для этого конкретного COM-приложения. Дополнительные сведения о настройке безопасности на уровне процесса см. в разделе Настройкабезопасности на уровне процесса.

Если вы хотите, чтобы все приложения на одном компьютере, которые не обеспечивают собственную безопасность, использовали одни и те же параметры безопасности по умолчанию, вы настроите безопасность на уровне всей системы. Использование Dcomcnfg.exe упрощает настройку значений по умолчанию в реестре, которые применяются ко всем приложениям на компьютере.

Важно понимать, что если клиент или сервер явно вызывает CoInitializeSecurity для настройки безопасности на уровне процесса, параметры по умолчанию в реестре будут игнорироваться, а параметры для CoInitializeSecurity будут использоваться вместо параметров безопасности процесса. Кроме того, если вы используете Dcomcnfg.exe для указания параметров безопасности для определенного процесса, параметры компьютера по умолчанию переопределяются параметрами процесса.

При включении системы безопасности необходимо задать для уровня проверки подлинности значение, отличное от None, и необходимо задать разрешения на запуск и доступ. Вы можете задать уровень олицетворения по умолчанию, а также включить отслеживание ссылок. В следующих разделах приведены пошаговые процедуры.

Настройка уровня проверки подлинности по умолчанию System-Wide

Уровень проверки подлинности используется для того, чтобы сообщить COM на каком уровне требуется пройти проверку подлинности клиента. Эти уровни обеспечивают различные уровни защиты, от отсутствия защиты до полного шифрования. Чтобы обеспечить безопасность компьютера, необходимо выбрать уровень проверки подлинности, отличный от "Нет". Вы можете выбрать такой параметр, используя Dcomcnfg.exe, выполнив следующие действия.

Установка уровня проверки подлинности на уровне системы

  1. Запустите Dcomcnfg.exe.

  2. Выберите вкладку "Свойства по умолчанию".

  3. В списке "Уровень проверки подлинности по умолчанию" выберите любое значение, кроме (Нет).

  4. Если вы настроите дополнительные свойства для компьютера, нажмите кнопку "Применить", чтобы применить новый уровень проверки подлинности. В противном случае нажмите кнопку ОК, чтобы применить изменения и выйти Dcomcnfg.exe.

Настройка разрешений на запуск System-Wide

Разрешения на запуск, заданные с помощью Dcomcnfg.exe, определяют список пользователей, каждому из которых явно предоставляется или отказывается в разрешении на запуск любого сервера, не имеющего собственных настроек разрешения на запуск. При настройке разрешений на запуск можно добавить или удалить одного или нескольких пользователей или групп из этого списка. Для каждого добавляемого пользователя необходимо указать, предоставляется ли пользователю разрешение на запуск или отказано.

Установка разрешений на запуск для компьютера

  1. На странице свойств Security по умолчанию в Dcomcnfg.exeнажмите кнопку Изменить по умолчанию в области разрешений запуска по умолчанию.

  2. Чтобы удалить пользователей или группы, выберите пользователя или группу, которую вы хотите удалить, и нажмите кнопку "Удалить ". Выбранный пользователь или группа больше не появится в списке. Завершив удаление пользователей и групп, нажмите кнопку ОК.

  3. Если вы хотите добавить пользователя или группу, нажмите кнопку Добавить.

  4. Если вы знаете полное имя пользователя, которое вы хотите добавить, введите его в текстовое поле Добавление имен. Если вы не знаете имя пользователя, ознакомьтесь с настройками процессуальной защиты с помощью DCOMCNFG. Когда вы найдете имя пользователя, выберите пользователя или группу в списке "Имена" и нажмите кнопку "Добавить".

  5. В списке тип доступа выберите тип доступа (разрешить запуск или запретить запуск). Чтобы добавить других пользователей, которые также будут иметь выбранный тип доступа, повторите шаг 4. После завершения добавления пользователей для выбранного типа доступа нажмите кнопку ОК.

  6. Чтобы добавить пользователей с другим типом доступа, повторите шаги 4 и 5. В противном случае нажмите кнопку ОК, чтобы применить изменения.

Настройка разрешений доступа System-Wide

Dcomcnfg.exe позволяет задать разрешения на доступ для управления списком пользователей, которым предоставлен или запрещен доступ к методам этих серверов, которые не предоставляют собственные разрешения на доступ. Вы можете добавить пользователей или группы в список, указав, предоставляется ли разрешение на доступ или запрещается. Вы также можете удалить пользователей из списка.

При настройке разрешений доступа необходимо убедиться, что СИСТЕМА включена в список пользователей, которым предоставлен доступ. Если у вас есть разрешения на доступ ко всем пользователям, система включается неявно.

Процесс настройки разрешений доступа для компьютера аналогичен настройке разрешений запуска. Необходимо выполнить следующие действия.

Установка разрешений доступа для компьютера

  1. На Dcomcnfg.exeстранице свойств безопасности по умолчанию по умолчанию нажмите кнопку Изменить по умолчанию в области разрешений доступа по умолчанию.

  2. Чтобы удалить пользователей или группы, выберите пользователя или группу, которую вы хотите удалить, и нажмите кнопку "Удалить ". Выбранный пользователь или группа больше не появится в списке. После удаления пользователей и групп нажмите кнопку ОК.

  3. Если вы хотите добавить пользователя или группу, нажмите кнопку Добавить.

  4. Если вы знаете полное имя пользователя, которое вы хотите добавить, введите его в текстовое поле Добавление имен. Если вы не знаете имя пользователя, ознакомьтесь с настройкой безопасности на уровне всего процесса с помощью DCOMCNFG и найдите его. Когда вы найдете имя пользователя, выберите пользователя или группу в списке "Имена" и нажмите кнопку "Добавить".

  5. В списке типа доступа выберите тип доступа (разрешить доступ или запретить доступ). Чтобы добавить других пользователей, у которых будет выбранный тип доступа, повторите шаг 4. После завершения добавления пользователей для выбранного типа доступа нажмите кнопку ОК.

  6. Чтобы добавить пользователей с другим типом доступа, повторите шаги 4 и 5. В противном случае нажмите кнопку ОК, чтобы применить изменения.

Настройка уровня олицетворения System-Wide

Уровень олицетворения, заданный клиентом, определяет объем полномочий, предоставленный серверу для действия от имени клиента. Например, если клиент настроил уровень олицетворения на делегирование, сервер может получить доступ к локальным и удаленным ресурсам как клиент и способен работать через границы нескольких компьютеров, если задана возможность маскирования. Чтобы определить, какой уровень олицетворения следует выбрать, см. уровни олицетворения и скрытие.

Установка уровня олицетворения по умолчанию для всего компьютера сообщает COM, какой уровень олицетворения следует использовать, если определенный клиент на компьютере не задает уровень олицетворения программным способом с помощью CoInitializeSecurity или CoSetProxyBlanket.

Чтобы задать уровень имперсонации для компьютера

  1. При работе Dcomcnfg.exe перейдите на вкладку Свойства по умолчанию.

  2. В списке уровень олицетворения по умолчанию выберите нужный уровень олицетворения.

  3. Если вы собираетесь настроить дополнительные свойства для компьютера, нажмите кнопку Применить, чтобы применить новый уровень имитации. В противном случае нажмите кнопку ОК, чтобы применить изменения и выйти Dcomcnfg.exe.

Настройка отслеживания ссылок System-Wide

При включении отслеживания ссылок вы указываете COM выполнять дополнительные проверки безопасности и отслеживать информацию, чтобы предотвращать преждевременное освобождение объектов. Имейте в виду, что эти дополнительные проверки являются дорогостоящими. Дополнительные сведения об отслеживании ссылок см. в разделе Отслеживание ссылок. Чтобы включить или отключить отслеживание ссылок, выполните следующие действия.

Установка отслеживания ссылок для компьютера

  1. Запустите Dcomcnfg.exe и перейдите на вкладку Свойства по умолчанию.

  2. Чтобы включить (или отключить) отслеживание ссылок, выберите (или снимите) флажок Предоставить дополнительную защиту при отслеживании ссылок в нижней части страницы.

  3. Если вы настроите дополнительные свойства для компьютера, нажмите кнопку Применить, чтобы применить новый параметр. В противном случае нажмите кнопку ОК, чтобы применить изменения и выйти Dcomcnfg.exe.

Включение и отключение DCOM

Если компьютер является частью сети, протокол передачи DCOM позволяет COM-объектам на этом компьютере взаимодействовать с COM-объектами на других компьютерах. Вы можете отключить DCOM для определенного компьютера, но это приведет к отключению всех взаимодействий между объектами на этом компьютере и объектах на других компьютерах.

Отключение DCOM на компьютере не влияет на локальные COM-объекты. COM по-прежнему ищет указанные разрешения на запуск. Если разрешения на запуск не указаны, используются разрешения запуска по умолчанию. Даже если вы отключите DCOM, если у пользователя есть физический доступ к компьютеру, он может запустить сервер на компьютере, если вы не настроили разрешения на запуск.

Заметка

Если вы отключите DCOM на удаленном компьютере, вы не сможете удаленно получить доступ к компьютеру после повторного включения DCOM. Чтобы повторно включить DCOM, вам потребуется физический доступ к компьютеру.

 

Включение (или отключение) DCOM вручную для компьютера

  1. Запустите Dcomcnfg.exe.

  2. Выберите вкладку свойств по умолчанию.

  3. Установите или снимите флажок Включить распределенный COM на этом компьютере.

  4. Если вы настроите дополнительные свойства для компьютера, нажмите кнопку "Применить", чтобы включить (или отключить) DCOM. В противном случае нажмите кнопку ОК, чтобы применить изменения и выйти Dcomcnfg.exe.

Настройка процессной безопасности