Partilhar via

Configuração da segurança System-Wide usando DCOMCNFG

Alterar as configurações de segurança em todo o sistema afetará todos os aplicativos de servidor COM que não definem sua própria segurança em todo o processo. Isso pode impedir que tais aplicativos funcionem corretamente. Se você estiver alterando as configurações de segurança de todo o sistema para afetar as configurações de segurança de um aplicativo COM específico, altere as configurações de segurança de todo o processo para esse aplicativo COM específico. Para obter mais informações sobre como definir a segurança em todo o processo, consulte Setting Process-wide Security.

Quando você quiser que todos os aplicativos em um computador que não fornecem sua própria segurança compartilhem as mesmas configurações de segurança padrão, você deve definir a segurança em todo o sistema. O uso Dcomcnfg.exe facilita a definição de valores padrão no Registro que se aplicam a todos os aplicativos em um computador.

É importante entender que, se o cliente ou servidor chamar explicitamente CoInitializeSecurity para definir a segurança em todo o processo, as configurações padrão no registro serão ignoradas e os parâmetros para CoInitializeSecurity serão usados em vez disso para as configurações de segurança para o processo. Além disso, se você usar Dcomcnfg.exe para especificar configurações de segurança para um processo específico, as configurações padrão do computador serão substituídas pelas configurações do processo.

Ao habilitar a segurança em todo o sistema, você deve definir o nível de autenticação para um valor diferente de Nenhum e definir permissões de inicialização e acesso. Você tem a opção de definir o nível de representação padrão e pode igualmente habilitar o rastreamento de referência. Os tópicos a seguir fornecem procedimentos passo a passo:

Definindo System-Wide nível de autenticação padrão

O nível de autenticação é usado para dizer ao COM em que nível você deseja que o cliente seja autenticado. Esses níveis oferecem vários níveis de proteção, desde nenhuma proteção até criptografia total. Para habilitar a segurança de um computador, você precisa escolher um nível de autenticação diferente de Nenhum. Você pode escolher essa configuração, usando Dcomcnfg.exe, concluindo as etapas a seguir.

Para definir o nível de autenticação em todo o sistema

  1. Execute Dcomcnfg.exe.

  2. Escolha a guia Propriedades Padrão.

  3. Na caixa de listagem Default Authentication Level, escolha um valor diferente de (Nenhum).

  4. Se você estiver definindo mais propriedades para o computador, clique no botão Aplicar para aplicar o novo nível de autenticação. Caso contrário, clique em OK para aplicar as alterações e sair Dcomcnfg.exe.

Configuração das permissões de lançamento System-Wide

As permissões de inicialização definidas com Dcomcnfg.exe determinam uma lista de usuários, cada um dos quais é explicitamente concedido ou negado permissão para iniciar qualquer servidor que não forneça suas próprias configurações de permissão de inicialização. Ao definir permissões de inicialização, você pode adicionar ou remover um ou mais usuários ou grupos dessa lista. Para cada usuário adicionado, você deve especificar se o usuário está recebendo ou negando permissão de inicialização.

Para definir permissões de inicialização para um computador

  1. Na página de propriedades Segurança Padrão no Dcomcnfg.exe, escolha o botão Editar Padrão na área Permissões de Inicialização Padrão do.

  2. Para remover usuários ou grupos, selecione o usuário ou grupo que deseja remover e escolha o botão Remover. O usuário ou grupo selecionado não aparecerá mais na caixa de listagem. Quando terminar de remover usuários e grupos, escolha OK.

  3. Se quiser adicionar um usuário ou grupo, escolha o botão Adicionar.

  4. Se você souber o nome de usuário totalmente qualificado que deseja adicionar, digite-o na caixa de texto Adicionar nomes. Se não souber o nome de utilizador, consulte Setting Processwide Security Using DCOMCNFG para encontrá-lo. Quando tiver localizado o nome de utilizador, selecione o utilizador ou grupo na caixa de listagem Nomes e escolha o botão Adicionar.

  5. Na caixa de listagem Tipo de Acesso, selecione o tipo de acesso (Permitir Inicialização ou Negar Inicialização ). Para adicionar outros usuários que também terão o tipo de acesso selecionado, repita a etapa 4. Quando terminar de adicionar usuários para o tipo de acesso selecionado, escolha o botão OK.

  6. Para adicionar usuários que terão um tipo diferente de acesso, repita as etapas 4 e 5. Caso contrário, escolha OK para aplicar as alterações.

Definição das permissões de acesso System-Wide

Dcomcnfg.exe permite definir permissões de acesso para controlar a lista de usuários aos quais é concedido ou negado acesso aos métodos dos servidores que não fornecem suas próprias permissões de acesso. Você pode adicionar usuários ou grupos à lista, especificando se a permissão de acesso está sendo concedida ou negada. Você também pode remover usuários da lista.

Ao definir permissões de acesso, você deve garantir que SYSTEM esteja incluído na lista de usuários aos quais o acesso é concedido. Se você concedeu permissões de acesso a Todos, SYSTEM será incluído implicitamente.

O processo de definição de permissões de acesso para um computador é semelhante à definição de permissões de inicialização. Devem ser tomadas as seguintes medidas.

Para definir permissões de acesso para um computador

  1. Na página de propriedade Segurança Padrão em Dcomcnfg.exe, escolha o botão Editar Padrão na área de Permissões de Acesso Padrão .

  2. Para remover usuários ou grupos, selecione o usuário ou grupo que deseja remover e escolha o botão Remover. O usuário ou grupo selecionado não aparecerá mais na caixa de listagem. Quando terminar de remover usuários e grupos, escolha OK.

  3. Se quiser adicionar um usuário ou grupo, escolha o botão Adicionar Adicionar.

  4. Se você souber o nome de usuário totalmente qualificado que deseja adicionar, digite-o na caixa de texto Adicionar nomes. Se você não souber o nome de usuário, consulte Definindo a segurança em todo o processo usando o DCOMCNFG para localizá-lo. Quando tiver localizado o nome de utilizador, selecione o utilizador ou grupo na caixa de listagem Nomes e escolha o botão Adicionar.

  5. Na lista Tipo de Acesso, selecione o tipo de acesso (ou Permitir Acesso ou Negar Acesso). Para adicionar outros usuários que terão o tipo de acesso selecionado, repita a etapa 4. Quando terminar de adicionar usuários para o tipo de acesso selecionado, escolha o botão OK.

  6. Para adicionar usuários que terão um tipo diferente de acesso, repita as etapas 4 e 5. Caso contrário, escolha OK para aplicar as alterações.

Configuração do nível de representação System-Wide

O nível de representação, definido pelo cliente, determina a quantidade de autoridade dada ao servidor para agir em nome do cliente. Por exemplo, quando o cliente definiu o seu nível de representação para delegação, o servidor pode acessar recursos locais e remotos em nome do cliente, e o servidor pode transpor múltiplas fronteiras de computadores se a capacidade de ocultação estiver definida. Para ajudar a determinar qual nível de imitação deve escolher, consulte Níveis de Imitação e Cloaking.

Definir o nível de representação padrão para o computador inteiro informa ao COM qual nível de representação deve ser usado quando um determinado cliente no computador não definir programaticamente um nível de representação, utilizando CoInitializeSecurity ou CoSetProxyBlanket.

Para definir o nível de representação de um computador

  1. Com Dcomcnfg.exe em execução, escolha a guia Propriedades Padrão .

  2. Na caixa de listagem Nível de representação padrão, escolha o nível de representação desejado.

  3. Se estiver a definir propriedades adicionais para o computador, escolha o botão Aplicar para aplicar o novo nível de representação. Caso contrário, escolha OK para aplicar as alterações e sair Dcomcnfg.exe.

Configuração do rastreamento de referência System-Wide

Ao habilitar o rastreamento de referência, você está pedindo ao COM para fazer verificações de segurança adicionais e para manter o controle das informações que impedirão que os objetos sejam liberados muito cedo. Tenha em mente que esses cheques adicionais são caros. Para obter mais informações sobre o rastreamento de referência, consulte Reference Tracking. Use as etapas a seguir para habilitar ou desabilitar o rastreamento de referência.

Para definir o rastreio de referência para um computador

  1. Com Dcomcnfg.exe em execução, escolha a aba Propriedades Padrão na guia.

  2. Para habilitar (ou desabilitar) o rastreamento de referência, marque (ou desmarque) a caixa de seleção Fornecer segurança adicional para o rastreamento de referência perto da parte inferior da página.

  3. Se você estiver definindo mais propriedades para o computador, escolha o botão Aplicar para aplicar a nova configuração. Caso contrário, escolha OK para aplicar as alterações e sair Dcomcnfg.exe.

Ativando e desativando DCOM

Quando um computador faz parte de uma rede, o protocolo de fio DCOM permite que objetos COM nesse computador se comuniquem com objetos COM em outros computadores. Você pode desabilitar o DCOM para um computador específico, mas isso desativará toda a comunicação entre objetos nesse computador e objetos em outros computadores.

A desativação do DCOM em um computador não tem efeito sobre os objetos COM locais. COM ainda procura permissões de inicialização que você especificou. Se nenhuma permissão de inicialização tiver sido especificada, as permissões de inicialização padrão serão usadas. Mesmo se você desabilitar o DCOM, se um usuário tiver acesso físico ao computador, ele poderá iniciar um servidor no computador, a menos que você defina permissões de inicialização para não permiti-lo.

Observação

Se você desabilitar o DCOM em um computador remoto, não poderá acessar remotamente esse computador posteriormente para reativar o DCOM. Para reativar o DCOM, você precisará de acesso físico a esse computador.

 

Para ativar (ou desativar) manualmente o DCOM para um computador

  1. Execute Dcomcnfg.exe.

  2. Escolha o separador Propriedades Padrão.

  3. Marque (ou desmarque) a caixa de seleção Ativar COM Distribuído neste Computador.

  4. Se pretender definir mais propriedades para o computador, clique no botão Aplicar para ativar (ou desativar) o DCOM. Caso contrário, clique em OK para aplicar as alterações e sair Dcomcnfg.exe.

Estabelecendo segurança em todo o processo

 

 

  • Last updated on