Establecer System-Wide seguridad mediante DCOMCNFG
El cambio de la configuración de seguridad en todo el sistema afectará a todas las aplicaciones de servidor COM que no establezcan su propia seguridad en todo el proceso. Esto puede impedir que estas aplicaciones funcionen correctamente. Si va a cambiar la configuración de seguridad de todo el sistema para que afecte a la configuración de seguridad de una aplicación COM determinada, en su lugar debe cambiar la configuración de seguridad de todo el proceso para esa aplicación COM determinada. Para obtener más información sobre cómo establecer la seguridad en todo el proceso, consulte Configuración de seguridad para todo el proceso.
Si desea que todas las aplicaciones de un equipo que no proporcionen su propia seguridad compartan la misma configuración de seguridad predeterminada, establecería la seguridad en todo el sistema. El uso de Dcomcnfg.exe facilita el establecimiento de valores predeterminados en el Registro que se aplican a todas las aplicaciones de un equipo.
Es importante comprender que si el cliente o servidor llama explícitamente a CoInitializeSecurity para establecer la seguridad en todo el proceso, se omitirá la configuración predeterminada del registro y los parámetros de CoInitializeSecurity se usarán en su lugar para la configuración de seguridad del proceso. Además, si usa Dcomcnfg.exe para especificar la configuración de seguridad de un proceso determinado, la configuración predeterminada del equipo se invalida mediante la configuración del proceso.
Al habilitar la seguridad en todo el sistema, debe establecer el nivel de autenticación en un valor distinto de Ninguno y debe establecer permisos de inicio y acceso. Tiene la opción de establecer el nivel de suplantación predeterminado y también puede habilitar el seguimiento de referencias. En los temas siguientes se proporcionan procedimientos paso a paso:
- Establecer System-Wide nivel de autenticación predeterminado
- Establecer System-Wide permisos de inicio
- Establecer permisos de acceso System-Wide
- Establecer System-Wide nivel de suplantación
- Establecer System-Wide seguimiento de referencias
- Habilitación y deshabilitación de DCOM
- Temas relacionados
Establecer System-Wide nivel de autenticación predeterminado
El nivel de autenticación se usa para indicar a COM en qué nivel desea que se autentique el cliente. Estos niveles ofrecen varios niveles de protección, desde ninguna protección hasta el cifrado completo. Para habilitar la seguridad de un equipo, debe elegir un nivel de autenticación distinto de Ninguno. Puede elegir este tipo de configuración, mediante Dcomcnfg.exe, completando los pasos siguientes.
Para establecer el nivel de autenticación en todo el sistema
Ejecute Dcomcnfg.exe.
Elija la pestaña Propiedades predeterminadas .
En el cuadro de lista Nivel de autenticación predeterminado, elija un valor distinto de (Ninguno).
Si va a establecer más propiedades para el equipo, haga clic en el botón Aplicar para aplicar el nuevo nivel de autenticación. De lo contrario, haga clic en Aceptar para aplicar los cambios y salir de Dcomcnfg.exe.
Establecer System-Wide permisos de inicio
Los permisos de inicio establecidos con Dcomcnfg.exe determinar una lista de usuarios, cada uno de los cuales se concede o deniega explícitamente permiso para iniciar cualquier servidor que no proporcione su propia configuración de permisos de inicio. Al establecer permisos de inicio, puede agregar o quitar uno o varios usuarios o grupos de esta lista. Para cada usuario que agregue, debe especificar si se concede o se deniega el permiso de inicio.
Para establecer permisos de inicio para un equipo
En la página de propiedades Seguridad predeterminada de Dcomcnfg.exe, elija el botón Editar valor predeterminado en el área Permisos de inicio predeterminados .
Para quitar usuarios o grupos, seleccione el usuario o grupo que desea quitar y elija el botón Quitar . El usuario o grupo seleccionado ya no aparecerá en el cuadro de lista. Cuando haya terminado de quitar usuarios y grupos, elija Aceptar.
Si desea agregar un usuario o grupo, elija el botón Agregar .
Si conoce el nombre de usuario completo que desea agregar, es necesario escribirlo en el cuadro de texto Agregar nombres . Si no conoce el nombre de usuario, consulte Configuración de la seguridad de Processwide mediante DCOMCNFG para encontrarlo. Cuando haya localizado el nombre de usuario, seleccione el usuario o grupo en el cuadro de lista Nombres y elija el botón Agregar .
En el cuadro de lista Tipo de acceso , seleccione el tipo de acceso ( Permitir inicio o Denegar inicio). Para agregar otros usuarios que también tendrán el tipo de acceso seleccionado, repita el paso 4. Cuando haya terminado de agregar usuarios para el tipo de acceso seleccionado, elija el botón Aceptar .
Para agregar usuarios que tendrán un tipo de acceso diferente, repita los pasos 4 y 5. De lo contrario, elija Aceptar para aplicar los cambios.
Establecer permisos de acceso System-Wide
Dcomcnfg.exe permite establecer permisos de acceso para controlar la lista de usuarios a los que se concede o deniega el acceso a los métodos de esos servidores que no proporcionan sus propios permisos de acceso. Puede agregar usuarios o grupos a la lista, especificando si se concede o se deniega el permiso de acceso. También puede quitar usuarios de la lista.
Al establecer permisos de acceso, debe asegurarse de que SYSTEM está incluido en la lista de usuarios a los que se concede acceso. Si ha concedido permisos de acceso a Todos, SYSTEM se incluye implícitamente.
El proceso de establecimiento de permisos de acceso para un equipo es similar a establecer permisos de inicio. Se deben realizar los pasos siguientes.
Para establecer permisos de acceso para un equipo
En la página de propiedades Seguridad predeterminada de Dcomcnfg.exe, elija el botón Editar valor predeterminado en el área Permisos de acceso predeterminados .
Para quitar usuarios o grupos, seleccione el usuario o grupo que desea quitar y elija el botón Quitar . El usuario o grupo seleccionado ya no aparecerá en el cuadro de lista. Cuando haya terminado de quitar usuarios y grupos, elija Aceptar.
Si desea agregar un usuario o un grupo, elija el botón Agregar .
Si conoce el nombre de usuario completo que desea agregar, es necesario escribirlo en el cuadro de texto Agregar nombres . Si no conoce el nombre de usuario, consulte Configuración de la seguridad en todo el proceso mediante DCOMCNFG para encontrarlo. Cuando haya localizado el nombre de usuario, seleccione el usuario o grupo en el cuadro de lista Nombres y elija el botón Agregar .
En el cuadro de lista Tipo de acceso , seleccione el tipo de acceso ( Permitir acceso o Denegar acceso). Para agregar otros usuarios que tendrán el tipo de acceso seleccionado, repita el paso 4. Cuando haya terminado de agregar usuarios para el tipo de acceso seleccionado, elija el botón Aceptar .
Para agregar usuarios que tendrán un tipo de acceso diferente, repita los pasos 4 y 5. De lo contrario, elija Aceptar para aplicar los cambios.
Establecer System-Wide nivel de suplantación
El nivel de suplantación, establecido por el cliente, determina la cantidad de autoridad dada al servidor para que actúe en nombre del cliente. Por ejemplo, cuando el cliente ha establecido su nivel de suplantación para delegar, el servidor puede acceder a los recursos locales y remotos como cliente, y el servidor puede ocultar los límites de varios equipos si se establece la funcionalidad de ocultación. Para ayudar a determinar qué nivel de suplantación debe elegir, consulte Niveles de suplantación y Ocultación.
Al establecer el nivel de suplantación predeterminado para todo el equipo, se indica a COM qué nivel de suplantación usar cuando un cliente determinado del equipo no especifica un nivel de suplantación mediante programación mediante CoInitializeSecurity o CoSetProxyBlanket.
Para establecer el nivel de suplantación de un equipo
Con Dcomcnfg.exe en ejecución, elija la pestaña Propiedades predeterminadas .
En el cuadro de lista Nivel de suplantación predeterminado , elija el nivel de suplantación que desee.
Si va a establecer más propiedades para el equipo, elija el botón Aplicar para aplicar el nuevo nivel de suplantación. De lo contrario, elija Aceptar para aplicar los cambios y salir de Dcomcnfg.exe.
Establecer System-Wide seguimiento de referencias
Cuando se habilita el seguimiento de referencias, se le pide a COM que realice comprobaciones de seguridad adicionales y que realice un seguimiento de la información que impedirá que los objetos se libere demasiado pronto. Tenga en cuenta que estas comprobaciones adicionales son costosas. Para obtener más información sobre el seguimiento de referencias, vea Seguimiento de referencias. Siga estos pasos para habilitar o deshabilitar el seguimiento de referencias.
Para establecer el seguimiento de referencias de un equipo
Con Dcomcnfg.exe en ejecución, elija la pestaña Propiedades predeterminadas .
Para habilitar (o deshabilitar) el seguimiento de referencias, active (o desactive) la casilla Proporcionar seguridad adicional para el seguimiento de referencias cerca de la parte inferior de la página.
Si va a establecer más propiedades para el equipo, elija el botón Aplicar para aplicar la nueva configuración. De lo contrario, elija Aceptar para aplicar los cambios y salir de Dcomcnfg.exe.
Habilitación y deshabilitación de DCOM
Cuando un equipo forma parte de una red, el protocolo de conexión DCOM permite que los objetos COM de ese equipo se comuniquen con objetos COM en otros equipos. Puede deshabilitar DCOM para un equipo determinado, pero si lo hace, deshabilitará toda la comunicación entre objetos de ese equipo y objetos en otros equipos.
Deshabilitar DCOM en un equipo no tiene ningún efecto en los objetos COM locales. COM sigue buscando permisos de inicio que ha especificado. Si no se han especificado permisos de inicio, se usan los permisos de inicio predeterminados. Incluso si deshabilita DCOM, si un usuario tiene acceso físico al equipo, podría iniciar un servidor en el equipo a menos que establezca permisos de inicio para no permitirlo.
Nota
Si deshabilita DCOM en un equipo remoto, no podrá acceder de forma remota a ese equipo después para volver a habilitar DCOM. Para volver a habilitar DCOM, necesitará acceso físico a ese equipo.
Para habilitar manualmente (o deshabilitar) DCOM para un equipo
Ejecute Dcomcnfg.exe.
Elija la pestaña Propiedades predeterminadas .
Active (o desactive) la casilla Habilitar COM distribuido en este equipo .
Si va a establecer más propiedades para el equipo, haga clic en el botón Aplicar para habilitar (o deshabilitar) DCOM. De lo contrario, haga clic en Aceptar para aplicar los cambios y salir Dcomcnfg.exe.
Temas relacionados
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de