Пользователи dcom что это
Настройка DCOM и OPC. Создание пользователя и выдача прав
Верси для печати
Настройка DCOM и OPC на Windows 2008 и Windows 7
2. Создание пользователя и выдача прав
2.1 Добавление пользователя
Необходимо создать пользователя, имеющего права для запуска и использования DCOM приложений. Для увеличения безопасности можно создать пользователя с ограниченными правами. Для добавления пользователя необходимы права администратора.
Внимание! Необходимо создать пользователей с одинаковым именем и паролем на обоих компьютерах (с сервером и клиентом). В дальнейшем, необходимо запускать OPC клиент от имени созданного пользователя.
Рис. 2 Доступ к консоли управления компьютером или сервером
Рис. 3 Добавление нового пользователя
Рис. 4 Параметры нового пользователя
Вы можете создать пользователя с любым именем. Пароль должен быть задан и не должен быть пустым.
2.2 Выдача прав
Для разрешения работы с DCOM необходимо включить пользователя в соответствующую группу «Пользователи DCOM».
Рис. 5 Группы пользователей
Рис. 6 Добавление пользователя в группу
Рис. 7 Выбор пользователя
Рис. 8 Список пользователей
Рис. 9 Выбранный пользователь
Рис. 10 Пользователь в группе
Замечание. Вы можете создать несколько пользователей и поместить их в одну группу «Пользователи DCOM». Также вы можете включить существующих пользователей в указанную группу.
DCOM: ограничения компьютера на доступ в синтаксисе SDDL (Security Descriptor Definition Language)
Относится к:
Описывает лучшие практики, расположение, значения и соображения безопасности для DCOM: Ограничения доступа к машинам в параметре политики синтаксиса определения дескриптора безопасности (SDDL).
Справочники
Этот параметр политики позволяет определить дополнительные элементы управления на компьютере, которые управляют доступом ко всем приложениям на основе распределенных компонентов (DCOM) на устройстве. Эти элементы управления ограничивают запросы на вызовы, активацию или запуск на устройстве. Простой способ думать об этих средствах управления доступом — это дополнительная проверка доступа, которая выполняется в отношении списка управления доступом на всем устройстве (ACL) на каждом вызове, активации или запуске любого сервера на основе com. Если проверка доступа не удается, вызов, активация или запрос на запуск отказано. (Эта проверка является дополнением к любой проверке доступа, которая проводится в отношении acLs, определенного для сервера.) По сути, он предоставляет минимальный стандарт авторизации, который должен быть передан для доступа к любому серверу на основе COM. Этот параметр политики управляет разрешениями доступа для защиты прав на вызовы.
Эти acLs для всего устройства предоставляют способ переопределения слабых параметров безопасности, заданных приложением с помощью функции CoInitializeSecurity или параметров безопасности, определенных приложениям. Они предоставляют минимальный стандарт безопасности, который должен быть пройден, независимо от параметров определенного сервера.
Эти ALS также предоставляют централизованное расположение для администратора, чтобы установить общую политику авторизации, которая применяется ко всем серверам на основе COM на устройстве.
Этот параметр политики позволяет указать ACL двумя различными способами. Вы можете ввести дескриптор безопасности в SDDL или предоставить пользователям и группам разрешения локального доступа и удаленного доступа. Рекомендуется использовать встроенный пользовательский интерфейс для указания содержимого ACL, которое необходимо применить в этом параметре. Параметры ACL по умолчанию различаются в зависимости от версии Windows запущенной версии.
Возможные значения
Пользовательский ввод представления SDDL групп и привилегий
При указании пользователей или групп, которые должны быть предоставлены разрешения, поле дескриптор безопасности заполняется языком определения безопасности для этих групп и привилегий. Пользователям и группам могут быть предоставлены явные привилегии разрешить или запретить локальный доступ и удаленный доступ.
Это представляет, как локализованная политика безопасности удаляет ключ для обеспечения соблюдения политики. Это значение удаляет политику, а затем задает ее как «Не определено». Пустое значение замещается с помощью редактора ACL, чтобы очистить список, а затем нажать кнопку ОК.
Location
Конфигурация компьютера\Windows Параметры\Security Параметры\Local Policies\Security Options
Значения по умолчанию
В следующей таблице перечислены фактические и эффективные значения по умолчанию для этой политики. Значения по умолчанию также можно найти на странице свойств политики.
| Тип сервера или объект групповой политики | Значение по умолчанию |
|---|---|
| Default Domain Policy | Пустое |
| Политика контроллера домена по умолчанию | Пустое |
| Параметры по умолчанию для автономного сервера | Пустое |
| Dc Effective Default Параметры | Не определено |
| Действующие параметры по умолчанию для рядового сервера | Не определено |
| Действующие параметры по умолчанию для клиентского компьютера | Не определено |
Управление политикой
В этом разделе описываются функции и средства, доступные для управления этой политикой.
Необходимость перезапуска
Нет. Изменения в этой политике становятся эффективными без перезапуска компьютера при локальном сбережении или распространении через групповую политику.
Групповая политика
Параметры реестра, созданные в результате включения параметров DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL), при настройке этого параметра политики имеют приоритет перед предыдущими настройками реестра. Служба удаленного вызова процедур (RPC) проверяет новые ключи реестра в разделе Политики для ограничений компьютера, и эти записи реестра имеют приоритет над существующими ключами реестра в OLE. Это означает, что ранее существующие параметры реестра перестают быть эффективными, и при внесении изменений в существующие параметры разрешения доступа к устройствам для пользователей не меняются. Используйте заботу при настройке списка пользователей и групп.
Если администратору отказано в разрешении на доступ к приложениям DCOM из-за изменений, внесенных в DCOM в операционной системе Windows, администратор может использовать ограничения доступа к компьютерам DCOM: Machine Access в параметре политики синтаксиса SDDL для управления доступом DCOM к компьютеру. Администратор может использовать этот параметр, чтобы указать, какие пользователи и группы могут получить доступ к приложению DCOM на компьютере локально и удаленно. Это восстановит управление приложением DCOM администратору и пользователям. Для этого откройте параметр синтаксиса DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) и нажмите кнопку Изменить безопасность. Укажите пользователей или группы, которые необходимо включить, и разрешения на доступ к компьютеру для этих пользователей или групп. Это определяет параметр и задает соответствующее значение SDDL.
Вопросы безопасности
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации.
Уязвимость
Многие приложения COM включают определенный код для безопасности (например, для вызова CoInitializeSecurity), но в них используются слабые параметры, которые позволяют неавентированному доступу к процессу. Администраторы не могут переопределять эти параметры для обеспечения более строгой безопасности в более ранних версиях Windows без изменения приложения. Злоумышленник может попытаться использовать слабую безопасность в отдельном приложении, атакуя его с помощью com-вызовов.
Кроме того, инфраструктура COM включает службы удаленного вызова процедур (RPCSS), системную службу, которая выполняется во время и после запуска компьютера. Эта служба управляет активацией com-объектов и запущенной таблицы объектов и предоставляет дополнительные службы для перенаправки DCOM. Он предоставляет интерфейсы RPC, которые можно назвать удаленно. Поскольку некоторые серверы на основе com позволяют неавентированному удаленному доступу, эти интерфейсы могут быть вызваны любыми пользователями, включая неавентированных пользователей. В результате RPCSS могут атаковать вредоносные пользователи, которые используют удаленные, неавентированные компьютеры.
Противодействие
Чтобы защитить отдельные приложения или службы на основе COM, установите параметр DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) для соответствующего параметра ACL на всем устройстве.
Возможное влияние
Windows при их установке реализуется по умолчанию com ACLs. Изменение этих ALS по умолчанию может привести к сбойу некоторых приложений или компонентов, которые взаимодействуют с помощью DCOM. Если вы реализуете сервер на основе com и переопределите параметры безопасности по умолчанию, подтвердите, что разрешения на вызовы, которые назначает ACL, являются правильными разрешениями для соответствующих пользователей. Если этого не происходит, необходимо изменить разрешение ACL, определенное для приложения, чтобы предоставить соответствующим пользователям права на активацию, чтобы приложения и Windows, которые используют DCOM, не сдались.
Группы пользователей в Windows — локальные пользователи и группы
Это первая из двух статей, посвященных группам пользователей в Windows. Сегодня поговорим о локальных пользователях и группах, вторая статья будет посвящена группам в Active Directory.
Как и операционные системы семейства Linux, операционные системы Windows также поддерживают объединение пользователей в группы. Это позволяет удобно управлять пользовательскими правами. На каждом компьютере с Windows существуют локальные группы, присутствие или отсутствие пользователей в которых определяет права, которыми наделены пользователи.
По умолчанию в Windows уже есть перечень групп, в которые могут входить как учётные записи пользователей, так и другие группы. Хотя в заголовке этой статьи говорится о локальных пользователях и группах, в локальные группы могут входить и доменные учётные записи и группы. Различные программы могут добавлять свои группы. Создать новую группу может и пользователь, наделённый правами локального администратора. Рассмотрим основные группы в Windows.
Посмотреть перечень существующий в системе групп можно через консоль Управление компьютером. Она находится в Панели управления, раздел Администрирование.
Администраторы — группа локальных администраторов, способных управлять конкретным компьютером. Локальные администраторы не являются администраторами домена;
Администраторы Hyper-V — группа пользователей, имеющий полный доступ к функциям Hyper-V. Не являются локальными администраторами и администраторами домена;
Гости — по умолчанию члены этой группы имеют те же права, что и пользователи, за исключением учетной записи Гость, которая ещё больше ограничена в правах;
Операторы архива — имеют права на создание резервных копий и восстановления из них даже тех объектов, к которым не имеют доступа;
Операторы настройки сети — имеют административные права для настройки сетевых параметров операционной системы;
Опытные пользователи — на текущий момент оставлена для совместимости с предыдущими версиями Windows. Может быть использована для разграничения прав пользователей. Например, если одним пользователям на компьютере нужно больше прав, чем другим;
Пользователи — основная пользовательская группа. Пользователи могут изменять крайне ограниченное число настроек, но, как правило, могут запускать большинство приложений в системе;
Пользователи DCOM — члены этой группы могут запускать, активизировать и использовать объекты DCOM;
Пользователи журналов производительности — по функционалу похожа на группу Пользователи системного монитора, но имеет куда больший доступ к Системному монитору, который позволяет отследить использование ресурсов компьютера;
Пользователи удаленного рабочего стола — состоящие в данной группе пользователи могут подключаться к указанному компьютеру через удалённый рабочий стол;
Читатели журнала событий — входящие в эту группу пользователи могут просматривать журналы событий компьютера;
IIS_IUSRS — группа, появившаяся в IIS 7.0 как замена группе IIS_WPG. Операционная система автоматически заносит в данную группу учётные записи, когда они назначаются в качестве удостоверения для пула приложений. Как правило, эта группа не требует действий со стороны администратора.
Просмотреть содержимое групп могут и пользователи, а вот для работы с ними нужно быть администратором. Откройте интересующую вас группу. Вы увидите её описание, содержимое (группы могут включать в себя не только пользователей, но и другие группы) и кнопки Добавить и Удалить. С их помощью мы и можем управлять членством в группе.
Допустим, что мы хотим добавить в группу нового пользователя (или группу пользователей). Нажимаем кнопку Добавить и видим окно добавления пользователя или группы.
Если вы знаете имя пользователя/группы, просто введите его в большое поле и нажмите Проверить имена. Обратите внимание также на кнопки Типы объектов и Размещение. Нажав на первую, можно выбрать объекты, которым мы ищем. Нажав на вторую, указать место поиска объектов (локальный компьютер или домен). Внизу ещё есть кнопка Дополнительно, она открывает окно с более удобным интерфейсом поиска.
Даже если вы не знаете имя пользователя/группы, вы можете указать место поиска, а потом просто нажать кнопку Поиск, чтобы посмотреть список имеющихся пользователей и групп.
Удалить пользователя/группу из группы ещё проще. Просто откройте свойства интересующей вас группы, выделите пользователя/группу и нажмите кнопку Удалить.
Помните: изменять членство в группах нужно только тогда, когда вы понимаете, что делаете. В противном случае это может сказаться на работоспособности системы или отдельных программ в ней. Кроме того, раздавая права всем подряд, вы можете спровоцировать инциденты, относящиеся к области информационной безопасности.
Что ещё можно сделать с группами? Щёлкнем по группе правой кнопкой мыши, чтобы вызвать контекстное меню (альтернатива — выделить группу и открыть меню Действие).
Как видим, группу ещё можно переименовать и удалить. Естественно, можно создать и новую группу. Для этого, не выделяя никакую из существующих групп, либо воспользуйтесь меню Действие → Создать группу, либо щёлкните правой кнопкой мыши по пустой области, чтобы вызвать контекстное меню с этим пунктом.
Создание группы в Windows.
Введите название группы, описание, чтобы другим пользователям было удобнее понимать для чего эта группа (или чтобы самому потом не забыть), наполните группу пользователями/группами и нажмите кнопку Создать.
Как видите, наша группа появилась в перечне групп.
Теперь поговорим о том, для чего можно использовать группы в Windows. Как уже было сказано, главное предназначение групп — разграничение прав в системе. Для нас важно понимать как группы используются для назначения прав на уровне файловой системы.
Группы позволяют гибко настраивать права на файлы и каталоги. В конечном счёте, таким образом мы можем определять, кому разрешено запускать исполняемые файлы (а значит и программы), кто может добавлять, удалять, читать файлы в папках. Это может быть не так важно на домашнем компьютере, где небольшое число пользователей. А вот в корпоративном сегменте важно.
Если в организации несколько структурных подразделений, которым требуются разные права, выдавать права каждому пользователю утомительно. Проще объединять пользователей в группы и выдавать права группе.
Добавим разрешения на каталог primer для нашей только что созданной группы. Можно нажать кнопку Изменить, а можно Дополнительно. Второй способ более гибкий, поэтому лучше использовать его.
Нажмите кнопку Добавить.
Сперва нужно выбрать субъект, на который будут распространяться новые права.
Впишите название группы и нажмите кнопку Проверить имена.
Теперь можно выбрать, хотим мы установить разрешающее правило или запрещающее, будет ли оно применяться к подпапкам и файлам, а также суть даваемых разрешений или запретов.
Наша группа появилась в перечне других групп, которым даны разрешения на этот каталог. Не забудьте нажать Применить для сохранения настроек.
Итак, мы познакомились с локальными группами в Windows. Во второй статье о группах в Windows мы поговорим про группы в Active Directory.
Настройка DCOM для работы OPC серверов в Windows 7
В чем заключается настройка DCOM OPC? Для корректной работы OPC серверов по сети, необходимо настроить сетевые параметры и параметры безопасности DCOM.
Настройка DCOM для компьютера
Distributed Component Object Model (DCOM) — это протокол, с помощью которого компоненты программного обеспечения поддерживают связь по сети. Модель DCOM (прежнее название — «Network OLE») может использовать несколько сетевых транспортов, включая протоколы Интернета (например, протокол HTTP).
Поддержка DCOM встроена в Windows, начиная с версии Windows NT 4.0.
Первым шагом к настройке DCOM OPC всегда является добавление пользователя для работы с OPC. Если у вас пользователь настроен, то приступим к настройке сети и параметров безопасности.
В данном разделе нужно настроить свойства DCOM по умолчанию на сервере, чтобы «все работало». Приступим.
1. Запустим окно настройки DCOM
Настройка параметров DCOM выполняется с помощью служебной команды «dcomcnfg». Для запуска «dcomcnfg» нажмите на клавиатуре Win+R, чтобы открыть окно запуска программ из командной строки.
Откроется окно Службы компонентов, в котором нужно будет раскрыть список Службы компонентов, а затем и список Компьютеры, где мы увидим еще один вложенный список Мой компьютер, на который нужно нажать правой кнопкой мыши и выбрать пункт меню Свойства.
2. Настройка свойств компьютера для DCOM
В появившемся окне свойств выбираем вкладку Свойства по умолчанию и устанавливаем следующие настройки:
После жмем кнопку OK. Система может предупредить о том, что будут изменены свойства DCOM — соглашайтесь. Окно Службы компонентов не закрывайте, оно нам еще понадобится.
Те же настройки необходимо провести и на клиенте за исключением пунктов 3.2 и 3.3 — они не повлияют на работу, но и не повредят. Самое главное, чтобы DCOM был разрешен.
Настройка безопасности DCOM
Переходим на вкладку Безопасность и устанавливаем умолчания на права доступа и на запуск и активацию.
Кликните по кнопке №1. В появившемся диалоговом окне:
Повторите действия в диалоговом окне «Разрешение на запуск и активацию» которое появляется при клике на кнопке №2 «Изменить умолчания».
На вкладке Набор протоколов должен быть только один протокол, как на скриншоте
Настройка DCOM для OPC Enum
Настройка OPC Enum по умолчанию
Если вы настроили умолчания для компьютера, то чаще всего эта настройка не нужна. Нужно только убедиться, что все настройки выставлены так, как надо.
Настройка OPC Enum вручную
Но иногда почему-то настройки по умолчанию не работают. Тогда настраиваем DCOM для OPC Enum вручную.
Служба OpcEnum отвечает за отображение OPC-серверов. Если ее настроить некорректно, то при браузинге серверов, вы не увидите ничего, кроме ошибок. Эту службу нужно настроить на сервере.
Вкладка Общие
Откроется окно свойств, и во вкладке Общие в списке Уровень проверки подлинности выбрать Подключиться.
Вкладка Размещение
Во вкладке Размещение должен быть выбран пункт Запустить приложение на данном компьютере. Остальные галки должны быть сняты.
Вкладка Безопасность
Далее переходим к вкладке Безопасность, где будем раздавать права на удаленный запуск, доступ и изменение настроек OpcEnum.
Во всех трех случаях выбираем пункт Настроить, т.е. у нас должны быть активны три кнопки Изменить.
Открываем окошко Разрешение на изменение настроек.
Вкладка Удостоверение
Переходим ко вкладке Удостоверение окна свойств OpcEnum.
Для службы OpcEnum возможно два варианта запуска:
Определившись нажимаем OK и переходим к перезапуску службы OpcEnum. Это можно сделать из того же окна: слева выбираем Службы (локальные), справа в списке ищем OpcEnum, выбираем и перезапускаем нажатием на появившуюся ссылку.
Но при попытке достучаться до тэгов прилетает отказ. Этого следовало ожидать, ведь мы еще не настраивали наш OPC сервер.
Настройка DCOM для OPC сервера
Мы вплотную подобрались к настройке ПО, которое будет выдавать нам теги на клиенте. Настройка не сильно отличается от процедуры, описанной в предыдущем разделе.