DCOM: 使用安全描述符定义语言 (SDDL) 语法的计算机访问限制
介绍了有关“DCOM: 使用安全描述符定义语言 (SDDL) 语法的计算机访问限制”策略设置的最佳做法、位置、值和安全注意事项。
参考
此策略设置允许你定义其他计算机范围的控件,用于管理对设备上所有基于分布式组件对象模型 (DCOM) 的应用程序的访问权限。这些控件限制设备上的调用、激活或启动请求。考虑这些访问控件的一个简单方法是,在每次调用、激活或启动任何基于 COM 的服务器时,针对设备范围的访问控制列表 (ACL) 执行附加访问检查。如果访问检查失败,将拒绝调用、激活或启动请求。(此检查是对针对特定于服务器的 ACL 运行的任何访问检查的补充。)实际上,它提供访问任何基于 COM 的服务器所必须通过的最低授权标准。此策略设置控制用于涵盖调用权限的访问权限。
这些设备范围的 ACL 提供一种通过 CoInitializeSecurity 函数或特定于应用程序的安全设置覆盖应用程序所指定的弱安全性设置的方法。它们提供必须通过的最低安全标准,无需考虑特定服务器的设置。
这些 ACL 还提供一个集中位置以供管理员设置适用于设备上所有基于 COM 的服务器的通用授权策略。
此策略设置允许你通过两种不同方式指定 ACL。你可以在 SDDL 中键入安全描述符,或者可以向用户和组授予或拒绝本地访问和远程访问权限。我们建议你使用内置用户界面来指定要使用此设置应用的 ACL 内容。根据你正在运行的 Windows 版本,默认 ACL 设置可能有所不同。
可能值
组和权限的 SDDL 表示形式的 User-defined input
当你指定要提供权限的用户或组时,安全描述符字段使用这些组和权限的安全描述符定义语言表示形式来进行填充。可以为用户和组提供本地访问和远程访问的显式允许或拒绝权限。
空白
这表示本地安全策略可如何删除策略强制密钥。此值删除该策略,然后将其设置为未定义。空白值的设置方法是使用 ACL 编辑器清空列表,然后按“确定”。
位置
计算机配置\Windows 设置\安全设置\本地策略\安全选项
默认值
下表列出此策略的实际和有效默认值。策略的属性页中还列出了默认值。
| 服务器类型或 GPO | 默认值 |
|---|---|
默认域策略 |
空白 |
默认域控制器策略 |
空白 |
独立服务器默认设置 |
空白 |
DC 有效默认设置 |
未定义 |
成员服务器有效默认设置 |
未定义 |
客户端计算机有效默认设置 |
未定义 |
策略管理
本部分介绍可用于帮助管理此策略的功能和工具。
重启要求
无。当以本地方式保存或通过组策略分发对本策略的更改时,无需重启计算机即可使这些更改生效。
组策略
因启用“DCOM: 使用安全描述符定义语言 (SDDL) 语法的计算机启动限制”****策略设置而创建的注册表设置优先于以前配置此策略设置时的注册表设置。远程过程调用 (RPC) 服务检查“策略”部分中的新注册表项中的计算机限制,并且这些注册表条目优先于 OLE 下的现有注册表项。这意味着以前的现有注册表设置不再有效,如果你对现有设置进行更改,将不会更改用户的设备访问权限。在配置用户和组列表时须小心谨慎。
如果由于在 Windows 操作系统中对 DCOM 所做的更改而拒绝向管理员提供 DCOM 应用程序的访问权限,管理员可以使用“DCOM:以安全描述符定义语言 (SDDL) 语法表示的计算机访问限制”策略设置管理对计算机的 DCOM 访问。管理员可以使用此设置指定哪些用户和组可以本地和远程访问计算机上的 DCOM 应用程序。这会将对 DCOM 应用程序的控制还原到管理员和用户。若要执行此操作,请打开“以安全描述符定义语言 (SDDL) 语法表示的计算机访问限制”****设置,并单击“编辑安全性”。指定你希望包含的用户或组以及这些用户或组的计算机访问权限。这定义了该设置,并设置相应的 SDDL 值。
安全注意事项
本部分介绍攻击者可能如何利用某个功能或其配置、如何实现对策以及对策实现可能造成的负面后果。
漏洞
许多 COM 应用程序包括某些特定于安全(例如,用于调用 CoInitializeSecurity)的代码,但它们使用弱设置,该设置允许对进程进行未经身份验证的访问。管理员无法覆盖这些设置以在未修改应用程序的情况下在较早版本的 Windows 中强制执行更强的安全性。攻击者可以尝试利用单个应用程序中的弱安全性,方法是通过 COM 调用来攻击它。
此外,COM 基础结构包括远程过程调用服务COM (RPCSS),它是一个在计算机启动期间和之后运行的系统服务。此服务管理 COM 对象和正在运行的对象表的激活,并向 DCOM 远程提供帮助程序服务。它公开可远程调用的 RPC 接口。由于某些基于 COM 的服务器允许未经身份验证的远程访问,因此任何人都可以调用这些接口,包括未经身份验证的用户。因此,RPCSS 可能受到使用远程、未经身份验证的计算机的恶意用户的攻击。
对策
若要保护基于 COM 的单独应用程序或服务,请将“DCOM: 使用安全描述符定义语言 (SDDL) 语法的计算机访问限制”****设置设为相应的设备范围的 ACL。
潜在影响
安装后,Windows 会实现默认的 COM ACL。从默认值修改这些 ACL 可能会导致某些使用 DCOM 进行通信的应用程序或组件出现故障。如果你实现基于 COM 的服务器并且覆盖默认安全设置,请确认 ACL 分配的特定于应用程序的调用权限是相应用户的正确权限。如果不是,你必须更改特定于应用程序的权限 ACL 来为相应的用户提供激活权限,以便使用 DCOM 的应用程序和 Windows 组件不会出现故障。