Definindo a segurança em todo o sistema usando DCOMCNFG

A alteração das configurações de segurança em todo o sistema afetará todos os aplicativos de servidor COM que não definem sua própria segurança em todo o processo. Isso pode impedir que esses aplicativos funcionem corretamente. Se você estiver alterando as configurações de segurança de todo o sistema para afetar as configurações de segurança de um aplicativo COM específico, altere as configurações de segurança de todo o processo para esse aplicativo COM específico. Para obter mais informações sobre como definir a segurança em todo o processo, consulte Definindo a segurança em todo o processo.

Quando você quiser que todos os aplicativos em um computador que não fornecem sua própria segurança compartilhem as mesmas configurações de segurança padrão, você deve definir a segurança em todo o sistema. O uso Dcomcnfg.exe facilita a definição de valores padrão no Registro que se aplicam a todos os aplicativos em um computador.

É importante entender que, se o cliente ou servidor chamar explicitamente CoInitializeSecurity para definir a segurança em todo o processo, as configurações padrão no Registro serão ignoradas e os parâmetros para CoInitializeSecurity serão usados em vez disso para as configurações de segurança do processo. Além disso, se você usar Dcomcnfg.exe para especificar configurações de segurança para um processo específico, as configurações padrão do computador serão substituídas pelas configurações do processo.

Ao habilitar a segurança em todo o sistema, você deve definir o nível de autenticação para um valor diferente de Nenhum e definir permissões de inicialização e acesso. Você tem a opção de definir o nível de representação padrão e também pode habilitar o rastreamento de referência. Os tópicos a seguir fornecem procedimentos passo a passo:

Definindo o nível de autenticação padrão em todo o sistema

O nível de autenticação é usado para informar ao COM em que nível você deseja que o cliente seja autenticado. Esses níveis oferecem vários níveis de proteção, desde nenhuma proteção até criptografia total. Para habilitar a segurança de um computador, você precisa escolher um nível de autenticação diferente de Nenhum. Você pode escolher essa configuração, usando Dcomcnfg.exe, concluindo as etapas a seguir.

Para definir o nível de autenticação em todo o sistema

  1. Execute Dcomcnfg.exe.

  2. Escolha a guia Propriedades padrão.

  3. Na caixa de listagem Nível de autenticação padrão, escolha um valor diferente de (Nenhum).

  4. Se você estiver definindo mais propriedades para o computador, clique no botão Aplicar para aplicar o novo nível de autenticação. Caso contrário, clique em OK para aplicar as alterações e sair Dcomcnfg.exe.

Definindo permissões de inicialização em todo o sistema

As permissões de inicialização definidas com Dcomcnfg.exe determinam uma lista de usuários, cada um dos quais é explicitamente concedido ou negado permissão para iniciar qualquer servidor que não forneça suas próprias configurações de permissão de inicialização. Ao definir permissões de inicialização, você pode adicionar ou remover um ou mais usuários ou grupos dessa lista. Para cada usuário adicionado, você deve especificar se o usuário está recebendo ou negando permissão de inicialização.

Para definir permissões de inicialização para um computador

  1. Na página de propriedades Segurança Padrão em Dcomcnfg.exe, escolha o botão Editar Padrão na área Permissões de Inicialização Padrão .

  2. Para remover usuários ou grupos, selecione o usuário ou grupo que deseja remover e escolha o botão Remover . O usuário ou grupo selecionado não aparecerá mais na caixa de listagem. Quando terminar de remover usuários e grupos, escolha OK.

  3. Se quiser adicionar um usuário ou grupo, escolha o botão Adicionar .

  4. Se você souber o nome de usuário totalmente qualificado que deseja adicionar, digite-o na caixa de texto Adicionar Nomes . Se você não souber o nome de usuário, consulte Definindo a segurança em todo o processo usando DCOMCNFG para localizá-lo. Quando você tiver localizado o nome de usuário, selecione o usuário ou grupo na caixa de listagem Nomes e escolha o botão Adicionar .

  5. Na caixa de listagem Tipo de Acesso, selecione o tipo de acesso (Permitir Início ou Negar Inicialização). Para adicionar outros usuários que também terão o tipo de acesso selecionado, repita a etapa 4. Quando terminar de adicionar usuários para o tipo de acesso selecionado, escolha o botão OK .

  6. Para adicionar usuários que terão um tipo diferente de acesso, repita as etapas 4 e 5. Caso contrário, escolha OK para aplicar as alterações.

Definindo permissões de acesso em todo o sistema

Dcomcnfg.exe permite que você defina permissões de acesso para controlar a lista de usuários que recebem ou negam acesso aos métodos desses servidores que não fornecem suas próprias permissões de acesso. Você pode adicionar usuários ou grupos à lista, especificando se a permissão de acesso está sendo concedida ou negada. Você também pode remover usuários da lista.

Ao definir permissões de acesso, você deve garantir que SYSTEM esteja incluído na lista de usuários aos quais foi concedido acesso. Se você concedeu permissões de acesso a Todos, SYSTEM será incluído implicitamente.

O processo de definir permissões de acesso para um computador é semelhante à configuração de permissões de inicialização. As seguintes etapas devem ser tomadas.

Para definir permissões de acesso para um computador

  1. Na página de propriedades Segurança Padrão em Dcomcnfg.exe, escolha o botão Editar Padrão na área Permissões de Acesso Padrão .

  2. Para remover usuários ou grupos, selecione o usuário ou grupo que deseja remover e escolha o botão Remover . O usuário ou grupo selecionado não aparecerá mais na caixa de listagem. Quando terminar de remover usuários e grupos, escolha OK.

  3. Se quiser adicionar um usuário ou grupo, escolha o botão Adicionar .

  4. Se você souber o nome de usuário totalmente qualificado que deseja adicionar, digite-o na caixa de texto Adicionar Nomes . Se você não souber o nome de usuário, consulte Definindo a segurança em todo o processo usando DCOMCNFG para localizá-lo. Quando você tiver localizado o nome de usuário, selecione o usuário ou grupo na caixa de listagem Nomes e escolha o botão Adicionar .

  5. Na caixa de listagem Tipo de Acesso, selecione o tipo de acesso (Permitir Acesso ou Negar Acesso). Para adicionar outros usuários que terão o tipo de acesso selecionado, repita a etapa 4. Quando terminar de adicionar usuários para o tipo de acesso selecionado, escolha o botão OK .

  6. Para adicionar usuários que terão um tipo diferente de acesso, repita as etapas 4 e 5. Caso contrário, escolha OK para aplicar as alterações.

Definindo o nível de representação em todo o sistema

O nível de representação, definido pelo cliente, determina a quantidade de autoridade dada ao servidor para agir em nome do cliente. Por exemplo, quando o cliente tiver definido seu nível de representação como delegado, o servidor poderá acessar recursos locais e remotos como o cliente, e o servidor poderá ocultar vários limites de computador se o recurso de ocultação estiver definido. Para ajudar a determinar qual nível de representação você deve escolher, consulte Níveis de representação e Cloaking.

Definir o nível de representação padrão para todo o computador informa a COM qual nível de representação usar quando um cliente específico no computador não especifica um nível de representação programaticamente usando CoInitializeSecurity ou CoSetProxyBlanket.

Para definir o nível de representação de um computador

  1. Com Dcomcnfg.exe em execução, escolha a guia Propriedades padrão.

  2. Na caixa de listagem Nível de Representação Padrão, escolha o nível de representação desejado.

  3. Se você estiver definindo mais propriedades para o computador, escolha o botão Aplicar para aplicar o novo nível de representação. Caso contrário, escolha OK para aplicar as alterações e sair Dcomcnfg.exe.

Configurando o rastreamento de referência em todo o sistema

Ao habilitar o rastreamento de referência, você está solicitando que a COM faça verificações de segurança adicionais e mantenha o controle de informações que impedirão que os objetos sejam liberados muito cedo. Tenha em mente que essas verificações adicionais são caras. Para obter mais informações sobre o controle de referência, consulte Rastreamento de referência. Use as etapas a seguir para habilitar ou desabilitar o rastreamento de referência.

Para definir o controle de referência para um computador

  1. Com Dcomcnfg.exe em execução, escolha a guia Propriedades padrão.

  2. Para habilitar (ou desabilitar) o rastreamento de referência, marque (ou desmarque) a caixa de seleção Fornecer segurança adicional para rastreamento de referência na parte inferior da página.

  3. Se você estiver definindo mais propriedades para o computador, escolha o botão Aplicar para aplicar a nova configuração. Caso contrário, escolha OK para aplicar as alterações e sair Dcomcnfg.exe.

Habilitando e desabilitando o DCOM

Quando um computador faz parte de uma rede, o protocolo de fio DCOM permite que objetos COM nesse computador se comuniquem com objetos COM em outros computadores. Você pode desabilitar o DCOM para um computador específico, mas isso desabilitará toda a comunicação entre objetos nesse computador e objetos em outros computadores.

Desabilitar o DCOM em um computador não tem efeito sobre objetos COM locais. COM ainda procura permissões de inicialização que você especificou. Se nenhuma permissão de inicialização tiver sido especificada, as permissões de inicialização padrão serão usadas. Mesmo se você desabilitar o DCOM, se um usuário tiver acesso físico ao computador, ele poderá iniciar um servidor no computador, a menos que você defina permissões de inicialização para não permiti-lo.

Observação

Se você desabilitar o DCOM em um computador remoto, não poderá acessar remotamente esse computador depois para reativar o DCOM. Para reativar o DCOM, você precisará de acesso físico a esse computador.

 

Para habilitar manualmente (ou desabilitar) o DCOM para um computador

  1. Execute Dcomcnfg.exe.

  2. Escolha a guia Propriedades Default .

  3. Marque (ou desmarque) a caixa de seleção Habilitar COM distribuído neste computador .

  4. Se você estiver definindo mais propriedades para o computador, clique no botão Aplicar para habilitar (ou desabilitar) o DCOM. Caso contrário, clique em OK para aplicar as alterações e sair Dcomcnfg.exe.

Definindo a segurança em todo o processo