Definindo a segurança em todo o processo usando DCOMCNFG

Talvez você queira habilitar a segurança para um aplicativo específico se um aplicativo tiver necessidades de segurança diferentes das exigidas por outros aplicativos no computador. Por exemplo, você pode decidir usar configurações de todo o sistema para seus aplicativos que exigem um baixo nível de segurança enquanto define um nível mais alto de segurança para um aplicativo específico.

No entanto, as configurações de segurança no Registro que se aplicam a um aplicativo específico às vezes não são usadas. Por exemplo, as configurações de todo o processo definidas no Registro usando Dcomcnfg.exe serão substituídas se um cliente chamar CoSetProxyBlanket para definir a segurança de um proxy de interface específico. Da mesma forma, se um cliente ou servidor (ou ambos) chamar CoInitializeSecurity para definir a segurança de um processo, as configurações no registro serão ignoradas e os parâmetros especificados para CoInitializeSecurity serão usados em vez disso.

Ao habilitar a segurança para um aplicativo, várias configurações podem precisar ser modificadas. Isso inclui nível de autenticação, localização, permissões de inicialização, permissões de acesso e identidade. Para obter procedimentos passo a passo, consulte o seguinte:

Definindo o nível de autenticação para um aplicativo

Para habilitar a segurança de um aplicativo, você deve definir um nível de autenticação diferente de Nenhum. O nível de autenticação informa ao COM quanta proteção de autenticação é necessária e pode variar de autenticar o cliente na primeira chamada de método a criptografar estados de parâmetro completamente.

Para definir o nível de autenticação de um aplicativo

  1. Na página de propriedades Aplicativos em Dcomcnfg.exe, selecione o aplicativo e clique no botão Propriedades (ou clique duas vezes no aplicativo selecionado).

  2. Na página Geral, selecione um nível de autenticação diferente de (Nenhum) na caixa de listagem Nível de Autenticação.

  3. Se você estiver definindo outras propriedades para este aplicativo, escolha o botão Aplicar para aplicar o novo nível de autenticação. Clique em OK se tiver terminado de definir as propriedades para este aplicativo e desejar aplicar as alterações.

Definindo o local de um aplicativo

O local definido para o aplicativo determina o computador no qual o aplicativo será executado. Você pode optar por executar seu aplicativo no computador onde os dados estão localizados, no computador que você usa para definir o local ou em um computador especificado.

Para definir a localização de um aplicativo

  1. Com Dcomcnfg.exe em execução, selecione o aplicativo na página Aplicativos e escolha o botão Propriedades (ou clique duas vezes no aplicativo selecionado).

  2. Na página Local, marque uma ou mais caixas de seleção que correspondam aos locais onde você deseja que o aplicativo seja executado. Se você marcar mais de uma caixa de seleção, COM usará a primeira que se aplica. Se Dcomcnfg.exe estiver sendo executado no computador servidor, sempre selecione Executar aplicativo neste computador.

  3. Se você estiver definindo outras propriedades para este aplicativo, escolha o botão Aplicar para aplicar o novo local. Escolha OK se você tiver terminado de definir as propriedades para este aplicativo e desejar aplicar as alterações.

Definindo permissões de inicialização para um aplicativo

Com Dcomcnfg.exe, você pode definir permissões de inicialização para controlar a lista de usuários que recebem ou negam permissão para iniciar um servidor específico. Você pode adicionar usuários ou grupos à lista, especificando se a permissão de acesso está sendo concedida ou negada. Você também pode remover usuários da lista.

Para definir permissões de inicialização para um aplicativo

  1. Com Dcomcnfg.exe em execução, selecione o aplicativo na página Aplicativos e escolha o botão Propriedades (ou clique duas vezes no aplicativo selecionado).

  2. Na página de propriedades Segurança, selecione o botão de opção Usar permissões de inicialização personalizadas e escolha o botão Editar na mesma área.

  3. Para remover usuários ou grupos, selecione o usuário ou grupo que deseja remover e escolha o botão Remover . O usuário ou grupo selecionado não aparecerá mais na caixa de listagem. Quando terminar de remover usuários e grupos, escolha OK.

  4. Se quiser adicionar usuários ou grupos, escolha o botão Adicionar .

  5. Se você souber o nome de usuário totalmente qualificado que deseja adicionar, digite-o na caixa de texto Adicionar Nomes . Se você não souber o nome de usuário, poderá navegar no banco de dados do usuário para encontrá-lo (consulte Navegando no banco de dados do usuário abaixo). Quando você tiver localizado o nome de usuário, selecione o usuário ou grupo na caixa de listagem Nomes e escolha o botão Adicionar .

  6. Na caixa de listagem Tipo de Acesso, selecione o tipo de acesso (Permitir Início ou Negar Inicialização). Para adicionar outros usuários que terão o tipo de acesso selecionado, repita a etapa 5. Quando terminar de adicionar usuários para o tipo de acesso selecionado, escolha o botão OK .

  7. Para adicionar usuários que terão um tipo diferente de acesso, repita as etapas 5 e 6. Caso contrário, escolha OK para aplicar as alterações.

Definindo permissões de acesso para um aplicativo

Com o Dcomcnfg.exe, você pode gerenciar a lista de usuários que recebem ou negam acesso aos métodos de um servidor específico definindo permissões de acesso. Você pode adicionar usuários ou grupos à lista, especificando se a permissão de acesso está sendo concedida ou negada. Você também pode remover usuários da lista.

Ao definir permissões de acesso, você deve garantir que SYSTEM esteja incluído na lista de usuários aos quais foi concedido acesso. Se você concedeu permissões de acesso a Todos, SYSTEM será incluído implicitamente.

O processo de definir permissões de acesso para um aplicativo é semelhante à configuração de permissões de inicialização. As etapas são listadas a seguir.

Para definir permissões de acesso para um aplicativo

  1. Com Dcomcnfg.exe em execução, selecione o aplicativo na página Aplicativos e escolha o botão Propriedades (ou clique duas vezes no aplicativo selecionado).

  2. Na página de propriedades Segurança, selecione o botão de opção Usar permissões de acesso personalizadas e escolha o botão Editar na mesma área.

  3. Para remover usuários ou grupos, selecione o usuário ou grupo que deseja remover e escolha o botão Remover . O usuário ou grupo selecionado não aparecerá mais na caixa de listagem. Quando terminar de remover usuários e grupos, escolha OK.

  4. Se quiser adicionar um usuário ou grupo, escolha o botão Adicionar .

  5. Se você souber o nome de usuário totalmente qualificado que deseja adicionar, digite-o na caixa de texto Adicionar Nomes . Se você não souber o nome de usuário, poderá navegar no banco de dados do usuário para encontrá-lo. Quando você tiver localizado o nome de usuário, selecione o usuário ou grupo na caixa de listagem Nomes e escolha o botão Adicionar .

  6. Na caixa de listagem Tipo de Acesso, selecione o tipo de acesso (Permitir Acesso ou Negar Acesso). Para adicionar outros usuários que terão o tipo de acesso selecionado, repita a etapa 5. Quando terminar de adicionar usuários para o tipo de acesso selecionado, escolha o botão OK .

  7. Para adicionar usuários que terão um tipo diferente de acesso, repita as etapas 5 e 6. Caso contrário, escolha OK para aplicar as alterações.

Definindo a identidade de um aplicativo

A identidade de um aplicativo é a conta usada para executar o aplicativo. A identidade pode ser a do usuário que está conectado no momento (o usuário interativo), a conta de usuário do processo de cliente que iniciou o servidor, um usuário especificado ou um serviço. Você pode usar Dcomcnfg.exe para escolher uma dessas identidades para o aplicativo. Para obter ajuda com a decisão de qual identidade definir para seu aplicativo, consulte Identidade do aplicativo.

Para definir a identidade de um aplicativo

  1. Com Dcomcnfg.exe em execução, selecione o aplicativo na página Aplicativos e escolha o botão Propriedades (ou clique duas vezes no aplicativo selecionado).

  2. Na página de propriedades Identidade , selecione o botão de opção para a identidade desejada. Se você escolher Este usuário, deverá digitar o nome de usuário, a senha e a senha confirmada.

  3. Se você estiver definindo outras propriedades para este aplicativo, escolha o botão Aplicar para aplicar a nova identidade. Escolha OK se você tiver terminado de definir as propriedades para este aplicativo e desejar aplicar as alterações.

Navegando no banco de dados do usuário

Você procuraria o banco de dados do usuário em Dcomcnfg.exe quando precisar encontrar o nome de usuário totalmente qualificado para um usuário específico. Por exemplo, você pode procurar o banco de dados do usuário para localizar um usuário que deseja adicionar para permissões de acesso ou inicialização.

Para navegar no banco de dados do usuário

  1. Na caixa de listagem Listar nomes de, selecione o domínio que contém o usuário ou grupo que você deseja adicionar.

  2. Para ver os usuários que pertencem ao domínio selecionado, escolha o botão Mostrar usuários .

  3. Para ver os membros de um grupo específico, selecione o grupo na caixa de listagem Nomes e escolha o botão Mostrar Membros .

  4. Se você não conseguir localizar o usuário ou grupo que deseja adicionar, escolha o botão Pesquisar , que exibe a caixa de diálogo Localizar Conta . Selecione o domínio que deseja pesquisar (ou selecione Pesquisar Tudo), digite o nome de usuário que deseja procurar e escolha o botão Pesquisar .

Aplicativos Dcomcnfg.exe e 64 bits

Em sistemas operacionais x64 do Windows XP para o Windows Server 2008, a versão de 64 bits do DCOMCNFG.EXE não configura corretamente aplicativos DCOM de 32 bits para ativação remota. Esse comportamento faz com que os componentes que devem ser ativados remotamente em vez de serem ativados localmente. Esse comportamento não ocorre no Windows 7 e Windows Server 2008 R2 e versões superiores.

A solução alternativa é usar a versão de 32 bits do DCOMCNFG. Execute a versão de 32 bits do mmc.exe e carregue a versão de 32 bits do snap-in Serviços de Componentes usando a seguinte linha de comando.

C:\WINDOWS\SysWOW64>mmc comexp.msc /32

A versão de 32 bits dos Serviços de Componentes registra corretamente aplicativos DCOM de 32 bits para ativação remota.

Definindo a segurança em todo o processo