扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
作者:SSITE 来源:enet 2008年3月11日
兼容性
为了向前的兼容,现有的安全声明项定义为同时允许或拒绝本地和远程访问。也就是说ACE将同时允许本地和远程访问或者同时拒绝本地和远程访问。
对于访问和启动权限,不存在向前的兼容性,只是在激活权限上有一个要注意的地方,在COM服务器的现有的安全声明中如果已设定的启动权限比访问权限有更多限制,而且比客户端启用案例所需的最低需求的限制还多,此时必须修改启动权限ACL,使授权客户端得到合适的权限。
对于使用默认的安全设定的COM应用程序,不存在向前的兼容性问题。对使用COM激活来动态启动的COM应用程序,也不存在向前的兼容性问题,因为启动权限ACL中已经包含了可以激活这个对象的所有用户。如果这些权限没有正确的设置,当COM服务器没有运行,没有激活权限的用户在试图激活这个COM对象时可能会激活失败。
面临最多的兼容性问题将是那些已经通过其他机制启动了的COM应用程序,例如使用资源管理器,服务控制管理启动的COM应用程序。可以通过使用缺省的访问和启动权限覆盖来激活并启动COM服务,或者使用比访问权限更多限制的启动权限来激活并启动。使用缺省的安全覆盖覆盖时,必须核对应用程序特定的启动权限ACL是否给了适当的用户激活权限的授权。如果没有,则必须修改应用程序特定的启动权限,以提供给适当的用户所需的激活授权以保证这些应用程序和Windows组件能够正常的使用COM服务。这些应用程序特定的启动权限储存在注册表中。
如果将升级至Windows XP SP2的系统还原到以前的Service Pack,则经过编辑以允许本地访问,远程访问或两者都允许的ACE都将被解译为同时允许本地和远程访问。经过编辑以拒绝本地存取,远程访问或两者都拒绝的ACE将被解译为同时拒绝本地和远程访问。因此,在卸载Service Pack 2时,必须先验证所有的ACE。
Windows XP SP2中DCOM设定的新增和更改
设置项 | 位置 | 旧缺省值 | 新缺省值 | 可能的值 |
MachineLaunch Restriction | HKEY_LOCAL_ MACHINE \SOFTWARE \Microsoft\Ole\ | Everyone = LL,LA,RL,RA Anonymous =LL,LA,RL,RA (新注册表键) |
Everyone = LL,LA,RL,RA Anonymous =LL,LA |
ACL |
MachineAccess Restriction | HKEY_LOCAL_ MACHINE \SOFTWARE \Microsoft\Ole\ | Everyone = LC,RC Anonymous =LC,RC (新注册表键) |
Everyone = Local, Remote Anonymous =Local |
ACL |
CallFailure LoggingLevel | HKEY_LOCAL_ MACHINE \SOFTWARE \Microsoft\Ole\ | n/a |
此键缺省不存在,缺省值为2; 在缺省状态下不记录事件日志,此值设置为1时,开始记录,协助分析故障原因。 注意:在记录启用设置下,注意监视事件日志的大小,因为COM事件的日志可能很大。 |
1: 访问COM服务器进程时总是记录失败日志; 2: 访问COM服务器进程时从不记录失败日志; |
InvalidSecurity Descriptor LoggingLevel |
HKEY_LOCAL_ MACHINE \SOFTWARE \Microsoft\Ole\ | n/a |
此键缺省不存在,缺省值为1; 在缺省状态下不记录无效安全描述事件,此事件极少发生。 |
1: COM服务发现无效安全描述时总是记录; 2: COM服务发现无效安全描述时从不记录; |
DCOM:Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) Syntax | (GPO) Computer Configuration \Windows Settings \Local Policies \Security Options |
n/a |
未定义 | SDDL(Security Descriptor Definition Language)格式的ACL, 此策略值覆盖上面的 MachineLaunch Restriction 注册表值 |
DCOM:Machine Access Restrictions in Security Descriptor Definition Language (SDDL) Syntax | (GPO) Computer Configuration \Windows Settings \Local Policies \Security Options |
n/a |
未定义 | SDDL(Security Descriptor Definition Language)格式的ACL, 此策略值覆盖上面的 MachineAccess Restriction 注册表值 |
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
现场直击|2021世界人工智能大会
直击5G创新地带,就在2021MWC上海
5G已至 转型当时——服务提供商如何把握转型的绝佳时机
寻找自己的Flag
华为开发者大会2020(Cloud)- 科技行者