Establecer Process-Wide seguridad mediante DCOMCNFG

Es posible que quiera habilitar la seguridad para una aplicación determinada si una aplicación tiene necesidades de seguridad diferentes de las que requieren otras aplicaciones del equipo. Por ejemplo, puede decidir usar la configuración de todo el sistema para las aplicaciones que requieren un bajo nivel de seguridad al establecer un nivel de seguridad superior para una aplicación determinada.

Sin embargo, la configuración de seguridad del Registro que se aplica a una aplicación determinada a veces no se usa. Por ejemplo, la configuración de todo el proceso establecida en el Registro mediante Dcomcnfg.exe se invalidará si un cliente llama a CoSetProxyBlanket para establecer la seguridad de un proxy de interfaz determinado. Del mismo modo, si un cliente o servidor (o ambos) llama a CoInitializeSecurity para establecer la seguridad de un proceso, se omitirá la configuración del registro y se usarán en su lugar los parámetros especificados en CoInitializeSecurity .

Al habilitar la seguridad para una aplicación, es posible que sea necesario modificar varias opciones de configuración. Estos incluyen el nivel de autenticación, la ubicación, los permisos de inicio, los permisos de acceso y la identidad. Para conocer los procedimientos paso a paso, consulte lo siguiente:

Establecimiento del nivel de autenticación para una aplicación

Para habilitar la seguridad de una aplicación, debe establecer un nivel de autenticación distinto de Ninguno. El nivel de autenticación indica a COM la cantidad de protección de autenticación necesaria y puede variar desde la autenticación del cliente en la primera llamada al método para cifrar completamente los estados de los parámetros.

Para establecer el nivel de autenticación de una aplicación

  1. En la página de propiedades Aplicaciones de Dcomcnfg.exe, seleccione la aplicación y haga clic en el botón Propiedades (o haga doble clic en la aplicación seleccionada).

  2. En la página General , seleccione un nivel de autenticación distinto de (Ninguno) en el cuadro de lista Nivel de autenticación .

  3. Si va a establecer otras propiedades para esta aplicación, elija el botón Aplicar para aplicar el nuevo nivel de autenticación. Haga clic en Aceptar si ha terminado de establecer las propiedades de esta aplicación y desea aplicar los cambios.

Establecer la ubicación de una aplicación

La ubicación establecida para la aplicación determina el equipo en el que se ejecutará la aplicación. Puede optar por ejecutar la aplicación en el equipo donde se encuentran los datos, en el equipo que use para establecer la ubicación o en un equipo especificado.

Para establecer la ubicación de una aplicación

  1. Con Dcomcnfg.exe en ejecución, seleccione la aplicación en la página Aplicaciones y elija el botón Propiedades (o haga doble clic en la aplicación seleccionada).

  2. En la página Ubicación , active una o varias casillas que correspondan a las ubicaciones en las que desea que se ejecute la aplicación. Si activa más de una casilla, COM usa la primera que se aplica. Si Dcomcnfg.exe se ejecuta en el equipo servidor, seleccione ejecutar siempre la aplicación en este equipo.

  3. Si va a establecer otras propiedades para esta aplicación, elija el botón Aplicar para aplicar la nueva ubicación. Elija Aceptar si ha terminado de establecer las propiedades de esta aplicación y desea aplicar los cambios.

Establecer permisos de inicio para una aplicación

Con Dcomcnfg.exe, puede establecer permisos de inicio para controlar la lista de usuarios a los que se concede o deniega permiso para iniciar un servidor determinado. Puede agregar usuarios o grupos a la lista, especificando si se concede o se deniega el permiso de acceso. También puede quitar usuarios de la lista.

Para establecer permisos de inicio para una aplicación

  1. Con Dcomcnfg.exe en ejecución, seleccione la aplicación en la página Aplicaciones y elija el botón Propiedades (o haga doble clic en la aplicación seleccionada).

  2. En la página de propiedades Seguridad , seleccione el botón de opción Usar permisos de inicio personalizados y elija el botón Editar en la misma área.

  3. Para quitar usuarios o grupos, seleccione el usuario o grupo que desea quitar y elija el botón Quitar . El usuario o grupo seleccionado ya no aparecerá en el cuadro de lista. Cuando haya terminado de quitar usuarios y grupos, elija Aceptar.

  4. Si desea agregar usuarios o grupos, elija el botón Agregar .

  5. Si conoce el nombre de usuario completo que desea agregar, es necesario escribirlo en el cuadro de texto Agregar nombres . Si no conoce el nombre de usuario, puede examinar la base de datos de usuario para encontrarlo (consulte Examinar la base de datos de usuarios a continuación). Cuando haya localizado el nombre de usuario, seleccione el usuario o grupo en el cuadro de lista Nombres y elija el botón Agregar .

  6. En el cuadro de lista Tipo de acceso , seleccione el tipo de acceso ( Permitir inicio o Denegar inicio). Para agregar otros usuarios que tendrán el tipo de acceso seleccionado, repita el paso 5. Cuando haya terminado de agregar usuarios para el tipo de acceso seleccionado, elija el botón Aceptar .

  7. Para agregar usuarios que tendrán un tipo de acceso diferente, repita los pasos 5 y 6. De lo contrario, elija Aceptar para aplicar los cambios.

Establecer permisos de acceso para una aplicación

Con Dcomcnfg.exe, puede administrar la lista de usuarios a los que se concede o deniega el acceso a los métodos de un servidor determinado estableciendo permisos de acceso. Puede agregar usuarios o grupos a la lista, especificando si se concede o se deniega el permiso de acceso. También puede quitar usuarios de la lista.

Al establecer permisos de acceso, debe asegurarse de que SYSTEM está incluido en la lista de usuarios a los que se concede acceso. Si ha concedido permisos de acceso a Todos, SYSTEM se incluye implícitamente.

El proceso de establecimiento de permisos de acceso para una aplicación es similar a establecer permisos de inicio. Estos son los pasos.

Para establecer permisos de acceso para una aplicación

  1. Con Dcomcnfg.exe en ejecución, seleccione la aplicación en la página Aplicaciones y elija el botón Propiedades (o haga doble clic en la aplicación seleccionada).

  2. En la página de propiedades Seguridad , seleccione el botón de opción Usar permisos de acceso personalizado y elija el botón Editar en la misma área.

  3. Para quitar usuarios o grupos, seleccione el usuario o grupo que desea quitar y elija el botón Quitar . El usuario o grupo seleccionado ya no aparecerá en el cuadro de lista. Cuando haya terminado de quitar usuarios y grupos, elija Aceptar.

  4. Si desea agregar un usuario o un grupo, elija el botón Agregar .

  5. Si conoce el nombre de usuario completo que desea agregar, es necesario escribirlo en el cuadro de texto Agregar nombres . Si no conoce el nombre de usuario, puede examinar la base de datos de usuario para encontrarlo. Cuando haya localizado el nombre de usuario, seleccione el usuario o grupo en el cuadro de lista Nombres y elija el botón Agregar .

  6. En el cuadro de lista Tipo de acceso , seleccione el tipo de acceso ( Permitir acceso o Denegar acceso). Para agregar otros usuarios que tendrán el tipo de acceso seleccionado, repita el paso 5. Cuando haya terminado de agregar usuarios para el tipo de acceso seleccionado, elija el botón Aceptar .

  7. Para agregar usuarios que tendrán un tipo de acceso diferente, repita los pasos 5 y 6. De lo contrario, elija Aceptar para aplicar los cambios.

Establecimiento de la identidad de una aplicación

La identidad de una aplicación es la cuenta que se usa para ejecutar la aplicación. La identidad puede ser la del usuario que ha iniciado sesión actualmente (el usuario interactivo), la cuenta de usuario del proceso de cliente que inició el servidor, un usuario especificado o un servicio. Puede usar Dcomcnfg.exe para elegir una de estas identidades para la aplicación. Para obtener ayuda para decidir qué identidad establecer para la aplicación, consulte Identidad de aplicación.

Para establecer la identidad de una aplicación

  1. Con Dcomcnfg.exe en ejecución, seleccione la aplicación en la página Aplicaciones y elija el botón Propiedades (o haga doble clic en la aplicación seleccionada).

  2. En la página de propiedades Identidad , seleccione el botón de opción de la identidad que desee. Si elige Este usuario, debe escribir el nombre de usuario, la contraseña y la contraseña confirmada.

  3. Si va a establecer otras propiedades para esta aplicación, elija el botón Aplicar para aplicar la nueva identidad. Elija Aceptar si ha terminado de establecer las propiedades de esta aplicación y desea aplicar los cambios.

Examinar la base de datos de usuario

Examinaría la base de datos de usuario en Dcomcnfg.exe cuando necesite encontrar el nombre de usuario completo para un usuario determinado. Por ejemplo, puede examinar la base de datos de usuario para buscar un usuario que desee agregar para permisos de acceso o inicio.

Para examinar la base de datos de usuario

  1. En el cuadro de lista Lista de nombres de , seleccione el dominio que contiene el usuario o grupo que desea agregar.

  2. Para ver los usuarios que pertenecen al dominio seleccionado, elija el botón Mostrar usuarios .

  3. Para ver los miembros de un grupo determinado, seleccione el grupo en el cuadro de lista Nombres y elija el botón Mostrar miembros .

  4. Si no encuentra el usuario o grupo que desea agregar, elija el botón Buscar , que abre el cuadro de diálogo Buscar cuenta . Seleccione el dominio que desea buscar (o seleccione Buscar todo), escriba el nombre de usuario que desea buscar y elija el botón Buscar .

aplicaciones de Dcomcnfg.exe y de 64 bits

En los sistemas operativos x64 de Windows XP a Windows Server 2008, la versión de 64 bits de DCOMCNFG.EXE no configura correctamente las aplicaciones DCOM de 32 bits para la activación remota. Este comportamiento hace que los componentes que están diseñados para activarse de forma remota en su lugar se activen localmente. Este comportamiento no se produce en Windows 7 y Windows Server 2008 R2 ni en versiones posteriores.

La solución consiste en usar la versión de 32 bits de DCOMCNFG. Ejecute la versión de 32 bits de mmc.exe y cargue la versión de 32 bits del complemento Servicios de componentes mediante la siguiente línea de comandos.

C:\WINDOWS\SysWOW64>mmc comexp.msc /32

La versión de 32 bits de Servicios de componentes registra correctamente aplicaciones DCOM de 32 bits para la activación remota.

Establecer Process-Wide seguridad