Paramètres de sécurité COM par défaut

  • Article

Vous pouvez utiliser les paramètres de sécurité COM par défaut pour votre application au lieu de spécifier vos propres paramètres de sécurité. Dans ce cas, COM initialise et gère la sécurité pour vous. Vous n’avez pas besoin de configurer le Registre ou d’appeler des fonctions de sécurité dans votre programme.

Toutefois, si certaines valeurs nommées de Registre ont été définies ou modifiées, les valeurs par défaut de sécurité que COM utilise sont affectées. La liste ci-dessous décrit les valeurs par défaut de sécurité COM et explique comment certaines valeurs sont influencées par les paramètres du Registre.

Voici les valeurs de sécurité par défaut que COM utilise :

  • Le fournisseur de services de sécurité par défaut est celui qui est déterminé par COM comme étant le plus compatible avec l’environnement. COM choisit le protocole Kerberos v5 ou NTLMSSP, le protocole Kerberos étant le choix par défaut. Aucun des protocoles fournis par Schannel n’est jamais choisi comme protocole par défaut.
  • Le système identifie un appelant par le biais du nom d’utilisateur et du mot de passe et crée automatiquement un jeton d’identification utilisé par le système de sécurité.
  • Si la valeur nommée LegacyAuthenticationLevel existe et si sa valeur a été définie, cette valeur est utilisée. Sinon, le niveau d’authentification est défini sur connect (RPC_C_AUTHN_LEVEL_CONNECT). Ce niveau signifie qu’au premier appel d’un client au serveur, COM effectue une authentification case activée. Si le client réussit le case activée, aucune autre authentification n’est effectuée. La valeur AuthenticationLevel peut également être définie sous la clé AppID .
  • Si la valeur nommée LegacyImpersonationLevel existe et si sa valeur a été définie, cette valeur est utilisée. Sinon, le niveau d’emprunt d’identité est défini pour identifier (RPC_C_IMP_LEVEL_IDENTIFY). Les droits d’emprunt d’identité sont accordés par le client au serveur. Le niveau d’identification signifie que le serveur peut obtenir l’identité du client. Le serveur peut emprunter l’identité du client pour la vérification de la liste de contrôle d’accès (ACL), mais il ne peut pas accéder aux objets système en tant que client. Pour plus d’informations, consultez Niveaux d’emprunt d’identité et masques.
  • Si la valeur nommée AccessPermission sous AppID existe et a été définie, cette valeur est utilisée. Sinon, COM recherche une entrée DefaultAccessPermission . Si elle est présente, cette valeur est utilisée. Si cette valeur n’est pas présente, COM construit une liste de contrôle d’accès qui accorde des autorisations à l’identité du serveur et au système local.
  • Si la valeur nommée SRPTrustLevel sous AppID existe et a été définie, cette valeur est utilisée. Sinon, le niveau de confiance SRP (Software Restriction Policy) est défini sur Non autorisé (SAFER_LEVELID_DISALLOWED), ce qui indique que l’application est exécutée dans un environnement contraint et qu’elle n’est pas autorisée à accéder aux privilèges utilisateur sensibles à la sécurité de l’utilisateur.

Sécurité dans COM