Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Alterar as configurações de segurança em todo o sistema afetará todos os aplicativos de servidor COM que não definem sua própria segurança em todo o processo. Isso pode impedir que esses aplicativos funcionem corretamente. Se você estiver alterando as configurações de segurança em todo o sistema para afetar as configurações de segurança de um aplicativo COM específico, deverá alterar as configurações de segurança em todo o processo para esse aplicativo COM específico. Para obter mais informações sobre como definir a segurança em todo o processo, consulte Configurando a segurança em todo o processo.
Quando você quiser que todos os aplicativos em um computador que não forneçam sua própria segurança compartilhem as mesmas configurações de segurança padrão, você definirá a segurança em todo o sistema. Usar Dcomcnfg.exe facilita a definição de valores padrão no registro que se aplicam a todos os aplicativos em um computador.
É importante entender que, se o cliente ou o servidor chamar explicitamente o CoInitializeSecurity para definir a segurança em todo o processo, as configurações padrão no registro serão ignoradas e os parâmetros para CoInitializeSecurity serão usados para as configurações de segurança do processo. Além disso, se você usar Dcomcnfg.exe para especificar configurações de segurança para um processo específico, as configurações de computador padrão serão substituídas pelas configurações do processo.
Ao habilitar a segurança em todo o sistema, você deve definir o nível de autenticação como um valor diferente de None e deve definir permissões de inicialização e acesso. Você tem a opção de definir o nível de representação padrão e também pode habilitar o rastreamento de referência. Os tópicos a seguir fornecem procedimentos passo a passo:
- Configurando o padrão de nível de autenticação do sistema como um todo
- Definindo permissões de inicialização para todo o sistema
- Configurando permissões de acesso em Todo o Sistema
- Definindo o Nível de Impersonalização em Todo o Sistema
- Configuração de Rastreamento de Referência em Todo o Sistema
- Habilitar e desabilitar o DCOM
- Tópicos relacionados
Configurando o nível de autenticação padrão para o sistema inteiro
O nível de autenticação é usado para informar ao COM em que nível você deseja que o cliente seja autenticado. Esses níveis oferecem vários níveis de proteção, de nenhuma proteção à criptografia completa. Para habilitar a segurança de um computador, você precisa escolher um nível de autenticação diferente de Nenhum. Você pode escolher essa configuração, usando Dcomcnfg.exe, concluindo as etapas a seguir.
Para definir o nível de autenticação em toda a base do sistema
Execute Dcomcnfg.exe.
Escolha a guia Propriedades Padrão .
Na caixa de listagem Nível de Autenticação Padrão, escolha um valor diferente do que (Nenhum).
Se você definir mais propriedades para o computador, clique no botão Aplicar para aplicar o novo nível de autenticação. Caso contrário, clique em OK para aplicar as alterações e sair Dcomcnfg.exe.
Definindo permissões de inicialização para todo o sistema
As permissões de inicialização definidas com Dcomcnfg.exe determinam uma lista de usuários, em que cada um recebe explicitamente permissão concedida ou negada para inicializar qualquer servidor que não forneça suas próprias configurações de permissão de inicialização. Ao definir permissões de inicialização, você pode adicionar ou remover um ou mais usuários ou grupos dessa lista. Para cada usuário que você adicionar, você deve especificar se o usuário está recebendo ou negou permissão de inicialização.
Para definir permissões de inicialização para um computador
Na página de propriedades Segurança Padrão no Dcomcnfg.exe, escolha o botão Editar Padrão na área Permissões de Inicialização Padrão.
Para remover usuários ou grupos, selecione o usuário ou grupo que você deseja remover e escolha o botão Remover . O usuário ou grupo selecionado não aparecerá mais na caixa de listagem. Quando terminar de remover usuários e grupos, escolha OK.
Se você quiser adicionar um usuário ou grupo, escolha o botão Adicionar .
Se você souber o nome de usuário totalmente qualificado que deseja adicionar, digite-o na caixa de texto Adicionar Nomes . Se você não souber o nome de usuário, consulte Configurando a segurança em todo o processo usando DCOMCNFG para localizá-lo. Quando você localizar o nome de usuário, selecione o usuário ou grupo na caixa de listagem Nomes e escolha o botão Adicionar .
Na caixa de listagem Tipo de Acesso , selecione o tipo de acesso ( Permitir Inicialização ou Negar Inicialização). Para adicionar outros usuários que também terão o tipo de acesso selecionado, repita a etapa 4. Quando terminar de adicionar usuários para o tipo de acesso selecionado, escolha o botão OK .
Para adicionar usuários que terão um tipo diferente de acesso, repita as etapas 4 e 5. Caso contrário, escolha OK para aplicar as alterações.
Configurando permissões de acesso do sistema
Dcomcnfg.exe permite que você defina permissões de acesso para controlar a lista de usuários que recebem ou negam acesso aos métodos desses servidores que não fornecem suas próprias permissões de acesso. Você pode adicionar usuários ou grupos à lista, especificando se a permissão de acesso está sendo concedida ou negada. Você também pode remover usuários da lista.
Ao definir permissões de acesso, você deve garantir que SYSTEM esteja incluído na lista de usuários que recebem acesso. Se você concedeu permissões de acesso a Todos, SYSTEM será incluído implicitamente.
O processo de configuração de permissões de acesso para um computador é semelhante à configuração de permissões de inicialização. As etapas a seguir devem ser tomadas.
Para definir permissões de acesso para um computador
Na página de propriedade Segurança Padrão no Dcomcnfg.exe, escolha o botão Editar Padrão na área Permissões de Acesso Padrão .
Para remover usuários ou grupos, selecione o usuário ou grupo que você deseja remover e escolha o botão Remover . O usuário ou grupo selecionado não aparecerá mais na caixa de listagem. Quando terminar de remover usuários e grupos, escolha OK.
Se você quiser adicionar um usuário ou um grupo, escolha o botão Adicionar .
Se você souber o nome de usuário totalmente qualificado que deseja adicionar, digite-o na caixa de texto Adicionar Nomes . Se você não souber o nome de usuário, consulte Configurando a segurança em todo o processo usando DCOMCNFG para localizá-lo . Quando você localizar o nome de usuário, selecione o usuário ou grupo na caixa de listagem Nomes e escolha o botão Adicionar .
Na caixa de listagem Tipo de Acesso , selecione o tipo de acesso ( Permitir Acesso ou Negar Acesso). Para adicionar outros usuários que terão o tipo de acesso selecionado, repita a etapa 4. Quando terminar de adicionar usuários para o tipo de acesso selecionado, escolha o botão OK .
Para adicionar usuários que terão um tipo diferente de acesso, repita as etapas 4 e 5. Caso contrário, escolha OK para aplicar as alterações.
Definindo o nível de representação do sistema
O nível de representação, definido pelo cliente, determina a quantidade de autoridade fornecida ao servidor para agir em nome do cliente. Por exemplo, quando o cliente define seu nível de representação para delegar, o servidor pode acessar recursos locais e remotos em nome do cliente, e o servidor pode passar por vários limites entre computadores se a capacidade de camuflagem estiver definida. Para ajudar a determinar qual nível de representação você deve escolher, consulte Níveis de Representação e Camuflagem.
Definir o nível de representação padrão de todo o computador informa ao COM qual nível de representação usar quando um cliente específico no computador não especifica um nível de representação programaticamente usando CoInitializeSecurity ou CoSetProxyBlanket.
Para definir o nível de impersonação de um computador
Com Dcomcnfg.exe em execução, escolha a guia Propriedades Padrão .
Na caixa de lista Nível de Representação Padrão, escolha o nível de representação desejado.
Se você for definir mais propriedades para o computador, escolha o botão Aplicar para definir o novo nível de personificação. Caso contrário, escolha OK para aplicar as alterações e sair Dcomcnfg.exe.
Configuração de acompanhamento de referência em todo o sistema
Ao habilitar o acompanhamento de referência, você está solicitando ao COM que faça verificações de segurança adicionais e acompanhe as informações que impedirão que os objetos sejam liberados muito cedo. Tenha em mente que essas verificações adicionais são caras. Para obter mais informações sobre o acompanhamento de referência, consulte o Rastreamento de Referência. Utilize os seguintes passos para ativar ou desativar o rastreamento de referência.
Para definir o rastreamento de referências para um computador
Com Dcomcnfg.exe em execução, escolha a guia Propriedades Padrão .
Para habilitar (ou desabilitar) o acompanhamento de referência, selecione (ou desmarque) a caixa de seleção Fornecer segurança adicional para acompanhamento de referência perto da parte inferior da página.
Se você definir mais propriedades para o computador, escolha o botão Aplicar para aplicar a nova configuração. Caso contrário, escolha OK para aplicar as alterações e sair Dcomcnfg.exe.
Habilitar e desabilitar o DCOM
Quando um computador faz parte de uma rede, o protocolo de transmissão DCOM permite que objetos COM nesse computador se comuniquem com objetos COM em outros computadores. Você pode desabilitar o DCOM para um computador específico, mas isso desabilitará toda a comunicação entre objetos nesse computador e objetos em outros computadores.
Desabilitar o DCOM em um computador não tem efeito sobre objetos COM locais. O COM ainda procura permissões de inicialização que você especificou. Se nenhuma permissão de inicialização tiver sido especificada, as permissões de inicialização padrão serão usadas. Mesmo se você desabilitar o DCOM, se um usuário tiver acesso físico ao computador, ele poderá iniciar um servidor no computador, a menos que você defina permissões de inicialização para não permitir.
Observação
Se você desabilitar o DCOM em um computador remoto, não poderá acessar remotamente esse computador depois para reabilitar o DCOM. Para reabilitar o DCOM, você precisará de acesso físico a esse computador.
Para habilitar manualmente (ou desabilitar) o DCOM para um computador
Execute Dcomcnfg.exe.
Escolha a guia Propriedades Padrão .
Selecione (ou desmarque) a caixa de seleção Habilitar COM Distribuído neste Computador.
Se você definir mais propriedades para o computador, clique no botão Aplicar para habilitar (ou desabilitar) o DCOM. Caso contrário, clique em OK para aplicar as alterações e sair Dcomcnfg.exe.
Tópicos relacionados