Festlegen System-Wide-Sicherheit mithilfe von DCOMCNFG

Das Ändern der systemweiten Sicherheitseinstellungen wirkt sich auf alle COM-Serveranwendungen aus, die keine eigene prozessweite Sicherheit festlegen. Dies kann verhindern, dass solche Anwendungen ordnungsgemäß funktionieren. Wenn Sie die systemweiten Sicherheitseinstellungen so ändern, dass sie sich auf die Sicherheitseinstellungen für eine bestimmte COM-Anwendung auswirken, sollten Sie stattdessen die prozessweiten Sicherheitseinstellungen für diese bestimmte COM-Anwendung ändern. Weitere Informationen zum Festlegen der prozessweiten Sicherheit finden Sie unter Festlegen der prozessweiten Sicherheit.

Wenn sie möchten, dass alle Anwendungen auf einem Computer, die keine eigene Sicherheit bieten, die gleichen Standardsicherheitseinstellungen verwenden, legen Sie die Sicherheit systemweit fest. Die Dcomcnfg.exe erleichtert das Festlegen von Standardwerten in der Registrierung, die für alle Anwendungen auf einem Computer gelten.

Es ist wichtig zu verstehen, dass die Standardeinstellungen in der Registrierung ignoriert und die Parameter für CoInitializeSecurity stattdessen für die Sicherheitseinstellungen für den Prozess verwendet werden, wenn der Client oder Server explizit CoInitializeSecurity aufruft, um die prozessweite Sicherheit zu gewährleisten. Wenn Sie Dcomcnfg.exe verwenden, um Sicherheitseinstellungen für einen bestimmten Prozess anzugeben, werden die Standardcomputereinstellungen durch die Einstellungen für den Prozess überschrieben.

Wenn Sie die systemweite Sicherheit aktivieren, müssen Sie die Authentifizierungsebene auf einen anderen Wert als None festlegen, und Sie müssen Start- und Zugriffsberechtigungen festlegen. Sie haben die Möglichkeit, die Standard-Identitätswechselebene zu festlegen, und Sie können auch die Verweisnachverfolgung aktivieren. Die folgenden Themen enthalten schritt-für-Schritt-Verfahren:

Festlegen System-Wide Standardauthentifizierungsebene

Die Authentifizierungsebene wird verwendet, um COM zu informieren, auf welcher Ebene der Client authentifiziert werden soll. Diese Ebenen bieten verschiedene Schutzebenen– von keinem Schutz bis zur vollständigen Verschlüsselung. Um die Sicherheit für einen Computer zu aktivieren, müssen Sie eine andere Authentifizierungsebene als Keine auswählen. Sie können eine solche Einstellung mithilfe Dcomcnfg.exe auswählen, indem Sie die folgenden Schritte ausführen.

So legen Sie die Authentifizierungsebene systemweit fest

  1. Führen Sie "Dcomcnfg.exe" aus.

  2. Wählen Sie die Registerkarte Standardeigenschaften aus.

  3. Wählen Sie im Listenfeld Standardauthentifizierungsebene einen anderen Wert als (Keine) aus.

  4. Wenn Sie weitere Eigenschaften für den Computer festlegen möchten, klicken Sie auf die Schaltfläche Anwenden, um die neue Authentifizierungsebene anzuwenden. Klicken Sie andernfalls auf OK, um die Änderungen zu übernehmen und Dcomcnfg.exe.

Festlegen System-Wide Startberechtigungen

Die Startberechtigungen, die Sie mit Dcomcnfg.exe festlegen, bestimmen eine Liste von Benutzern, denen jeweils explizit die Berechtigung zum Starten eines Servers erteilt oder verweigert wird, der keine eigenen Einstellungen für die Startberechtigung bietet. Beim Festlegen von Startberechtigungen können Sie einen oder mehrere Benutzer oder Gruppen dieser Liste hinzufügen oder daraus entfernen. Für jeden Benutzer, den Sie hinzufügen, müssen Sie angeben, ob dem Benutzer die Startberechtigung erteilt oder verweigert wird.

So legen Sie Startberechtigungen für einen Computer fest

  1. Wählen Sie auf der Eigenschaftenseite Standardsicherheit in Dcomcnfg.exe im Bereich Standardstartberechtigungen die Schaltfläche Standard bearbeiten aus.

  2. Um Benutzer oder Gruppen zu entfernen, wählen Sie den Benutzer oder die Gruppe aus, den bzw. die Sie entfernen möchten, und wählen Sie die Schaltfläche Entfernen aus. Der ausgewählte Benutzer oder die ausgewählte Gruppe wird nicht mehr im Listenfeld angezeigt. Wenn Sie das Entfernen von Benutzern und Gruppen abgeschlossen haben, wählen Sie OK aus.

  3. Wenn Sie einen Benutzer oder eine Gruppe hinzufügen möchten, wählen Sie die Schaltfläche Hinzufügen aus.

  4. Wenn Sie den vollqualifizierten Benutzernamen kennen, den Sie hinzufügen möchten, geben Sie ihn in das Textfeld Namen hinzufügen ein. Wenn Sie den Benutzernamen nicht kennen, finden Sie ihn unter Festlegen der prozessweiten Sicherheit mithilfe von DCOMCNFG. Wenn Sie den Benutzernamen gefunden haben, wählen Sie den Benutzer oder die Gruppe aus dem Listenfeld Namen und dann die Schaltfläche Hinzufügen aus.

  5. Wählen Sie im Listenfeld Zugriffstyp den Zugriffstyp aus (entweder Start zulassen oder Start verweigern). Wiederholen Sie Schritt 4, um weitere Benutzer hinzuzufügen, die ebenfalls über den ausgewählten Zugriffstyp verfügen. Wenn Sie das Hinzufügen von Benutzern für den ausgewählten Zugriffstyp abgeschlossen haben, wählen Sie die Schaltfläche OK aus.

  6. Um Benutzer hinzuzufügen, die einen anderen Zugriffstyp haben, wiederholen Sie die Schritte 4 und 5. Wählen Sie andernfalls OK aus, um die Änderungen zu übernehmen.

Festlegen System-Wide Zugriffsberechtigungen

Dcomcnfg.exe können Sie Zugriffsberechtigungen festlegen, um die Liste der Benutzer zu steuern, denen der Zugriff auf die Methoden der Server gewährt oder verweigert wird, die keine eigenen Zugriffsberechtigungen bereitstellen. Sie können der Liste Benutzer oder Gruppen hinzufügen und angeben, ob die Zugriffsberechtigung erteilt oder verweigert wird. Sie können Benutzer auch aus der Liste entfernen.

Beim Festlegen von Zugriffsberechtigungen müssen Sie sicherstellen, dass SYSTEM in der Liste der Benutzer enthalten ist, denen Zugriff gewährt wird. Wenn Sie jedem Benutzer Zugriffsberechtigungen erteilt haben, wird SYSTEM implizit eingeschlossen.

Das Festlegen von Zugriffsberechtigungen für einen Computer ähnelt dem Festlegen von Startberechtigungen. Die folgenden Schritte sollten sie ausführen.

So legen Sie Zugriffsberechtigungen für einen Computer fest

  1. Wählen Sie auf der Eigenschaftenseite Dcomcnfg.exe Standardsicherheit im Bereich Standardzugriffsberechtigungen die Schaltfläche Standard bearbeiten aus.

  2. Um Benutzer oder Gruppen zu entfernen, wählen Sie den Benutzer oder die Gruppe aus, den bzw. die Sie entfernen möchten, und wählen Sie die Schaltfläche Entfernen aus. Der ausgewählte Benutzer oder die ausgewählte Gruppe wird nicht mehr im Listenfeld angezeigt. Wenn Sie das Entfernen von Benutzer und Gruppen abgeschlossen haben, wählen Sie OK aus.

  3. Wenn Sie einen Benutzer oder eine Gruppe hinzufügen möchten, wählen Sie die Schaltfläche Hinzufügen aus.

  4. Wenn Sie den vollqualifizierten Benutzernamen kennen, den Sie hinzufügen möchten, geben Sie ihn in das Textfeld Namen hinzufügen ein. Wenn Sie den Benutzernamen nicht kennen, finden Sie ihn unter Festlegen der prozessweiten Sicherheit mithilfe von DCOMCNFG. Wenn Sie den Benutzernamen gefunden haben, wählen Sie den Benutzer oder die Gruppe aus dem Listenfeld Namen und dann die Schaltfläche Hinzufügen aus.

  5. Wählen Sie im Listenfeld Zugriffstyp den Zugriffstyp aus (entweder Zugriff zulassen oder Zugriff verweigern). Wiederholen Sie Schritt 4, um weitere Benutzer hinzuzufügen, die über den ausgewählten Zugriffstyp verfügen. Wenn Sie das Hinzufügen von Benutzern für den ausgewählten Zugriffstyp abgeschlossen haben, wählen Sie die Schaltfläche OK aus.

  6. Um Benutzer hinzuzufügen, die einen anderen Zugriffstyp haben, wiederholen Sie die Schritte 4 und 5. Wählen Sie andernfalls OK aus, um die Änderungen zu übernehmen.

Festlegen System-Wide Identitätswechselebene

Die vom Client festgelegte Identitätswechselebene bestimmt die Autorität, die dem Server für das Handeln im Auftrag des Clients erteilt wird. Wenn der Client beispielsweise seine Identitätswechselebene auf "Delegieren" festgelegt hat, kann der Server auf lokale und Remoteressourcen als Client zugreifen, und der Server kann mehrere Computergrenzen überlasten, wenn die Verkleinerungsfunktion festgelegt ist. Informationen dazu, welche Identitätswechselebene Sie auswählen sollten, finden Sie unter Identitätswechselebenen und Verkleinern von.

Das Festlegen der Standard-Identitätswechselebene für den gesamten Computer teilt COM mit, welche Identitätswechselebene verwendet werden soll, wenn ein bestimmter Client auf dem Computer keine Identitätsebene programmgesteuert mithilfe von CoInitializeSecurity oder CoSetProxyBlanket anknt.

So legen Sie die Identitätswechselebene für einen Computer fest

  1. Wenn Dcomcnfg.exe ausgeführt wird, wählen Sie die Registerkarte Standardeigenschaften aus.

  2. Wählen Sie im Listenfeld Standard-Identitätswechselebene die Identitätswechselebene aus, die Sie verwenden möchten.

  3. Wenn Sie weitere Eigenschaften für den Computer festlegen möchten, wählen Sie die Schaltfläche Anwenden aus, um die neue Identitätswechselebene anzuwenden. Wählen Sie andernfalls OK aus, um die Änderungen zu übernehmen und Dcomcnfg.exe.

Festlegen System-Wide Verweisnachverfolgung

Wenn Sie die Verweisnachverfolgung aktivieren, fordern Sie COM auf, zusätzliche Sicherheitsüberprüfungen durchzuführen und Informationen nachverfolgung zu behalten, die die Enkung von Objekten zu früh abhalten. Beachten Sie, dass diese zusätzlichen Überprüfungen teuer sind. Weitere Informationen zur Verweisnachverfolgung finden Sie unter Verweisnachverfolgung. Verwenden Sie die folgenden Schritte, um die Verweisnachverfolgung zu aktivieren oder zu deaktivieren.

So legen Sie die Verweisnachverfolgung für einen Computer fest

  1. Wenn Dcomcnfg.exe ausgeführt wird, wählen Sie die Registerkarte Standardeigenschaften aus.

  2. Um die Verweisnachverfolgung zu aktivieren (oder zu deaktivieren), aktivieren (oder deaktivieren Sie) das Kontrollkästchen Zusätzliche Sicherheit für die Verweisnachverfolgung bereitstellen am unteren Rand der Seite.

  3. Wenn Sie weitere Eigenschaften für den Computer festlegen möchten, wählen Sie die Schaltfläche Anwenden aus, um die neue Einstellung anzuwenden. Wählen Sie andernfalls OK aus, um die Änderungen zu übernehmen und Dcomcnfg.exe.

Aktivieren und Deaktivieren von DCOM

Wenn ein Computer Teil eines Netzwerks ist, ermöglicht das DCOM-Wire Protocol COM-Objekten auf diesem Computer die Kommunikation mit COM-Objekten auf anderen Computern. Sie können DCOM für einen bestimmten Computer deaktivieren. Dadurch wird jedoch die gesamte Kommunikation zwischen Objekten auf diesem Computer und Objekten auf anderen Computern deaktiviert.

Das Deaktivieren von DCOM auf einem Computer hat keine Auswirkungen auf lokale COM-Objekte. COM sucht weiterhin nach startberechtigungen, die Sie angegeben haben. Wenn keine Startberechtigungen angegeben wurden, werden standardstartberechtigungen verwendet. Selbst wenn Sie DCOM deaktivieren und ein Benutzer physischen Zugriff auf den Computer hat, kann er einen Server auf dem Computer starten, es sei denn, Sie legen Startberechtigungen fest, um dies nicht zu erlauben.

Hinweis

Wenn Sie DCOM auf einem Remotecomputer deaktivieren, können Sie anschließend nicht mehr remote auf diesen Computer zugreifen, um DCOM erneut zu aktivieren. Um DCOM erneut zu aktivieren, benötigen Sie physischen Zugriff auf diesen Computer.

So aktivieren (oder deaktivieren Sie) DCOM manuell für einen Computer

  1. Führen Sie "Dcomcnfg.exe" aus.

  2. Wählen Sie die Registerkarte Standardeigenschaften aus.

  3. Aktivieren (oder deaktivieren) Sie das Kontrollkästchen Verteiltes COM auf diesem Computer aktivieren.

  4. Wenn Sie weitere Eigenschaften für den Computer festlegen, klicken Sie auf die Schaltfläche Anwenden, um DCOM zu aktivieren (oder zu deaktivieren). Klicken Sie andernfalls auf OK, um die Änderungen zu übernehmen und Dcomcnfg.exe zu beenden.

Festlegen der prozessweiten Sicherheit