- DCOM для ОС Windows 10
- Члены групп
- Настройки DCOM
- Настройки брандмауэра
- Включение и выключение DCOM
- Дополнительная информация
- How to disable DCOM support in Windows
- Summary
- Edit the Registry
- Use DCOMCNFG.EXE
- More Information
- DCOM: ограничения компьютера на запуск в синтаксисе SDDL (Security Descriptor Definition Language) DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax
- Справочные материалы Reference
- Возможные значения Possible values
- Расположение Location
- Значения по умолчанию Default values
- Управление политикой Policy management
- Необходимость перезапуска Restart requirement
- Групповая политика Group Policy
- Вопросы безопасности Security considerations
- Уязвимость Vulnerability
- Противодействие Countermeasure
- Возможное влияние Potential impact
DCOM для ОС Windows 10
Не удаётся получить данные от удалённого OPC-сервера. Подключение происходит, тэги отображаются корректно, но примитив с синим «!».
Члены групп
Убедитесь, что пользователь Dispatcher входит в группу Пользователи DCOM (англ.Distributed COM Users) и Опытные пользователи (англ.PowerUsers), а пользователь AdminScada входит в группу Администраторы.
Настройки DCOM
Откройте оснастку Службы компонентов как указано на рисунке 1.
Откройте вкладку «Безопасность COM «Служб компонентов» как указано на рисунке 2.
В разделах Права доступа и Разрешение на запуск и активацию нажмите Изменить умолчания и добавьте группу Пользователи DCOM как указано на рисунке 3
Примените изменения и нажмите кнопку OK.
Откройте свойства службы компонентов Tekon в разделе Настройка DCOM как показано на рисунке 4.
Выберите вкладку Безопасность и пункты Разрешение на запуск и активацию и Разрешение на изменение настроек рис.5.
Добавьте группу Пользователи DCOM с правами, как показано на Рис.6.
Примените изменения и нажмите кнопку OK.
Настройки брандмауэра
Убедитесь, что настройки правил Брандмауэра Windows включают в себя
Включение и выключение DCOM
Если компьютер, использующий службы компонентов, является частью сети, службам компонентов требуется протокол проводной связи DCOM для взаимодействия с компонентами COM (Component Object Model) на других компьютерах. В Windows-системе по умолчанию сетевые компьютеры изначально настроены с включенной службой DCOM. Службу DCOM можно отключить, но при этом отключается связь с компонентами на других компьютерах.
Для включения и выключения DCOM можно использовать следующую процедуру.
Для выполнения этой процедуры необходимо входить в группу администраторы или обладать эквивалентными разрешениями.
 | Чтобы включить или выключить DCOM |
Откройте оснастку «Службы компонентов».
В дереве консоли выберите папку Компьютеры, щелкните правой кнопкой мыши компьютер, для которого хотите включить или выключить DCOM, а затем щелкните Свойства.
Откройте вкладку Свойства по умолчанию.
Чтобы включить DCOM, установите флажок Разрешить использование DCOM на этом компьютере. Чтобы выключить DCOM, снимите этот флажок.
Нажмите кнопку ОК.
Дополнительная информация
- Оснастка «Службы компонентов» больше не входит в группу «Администрирование». Чтобы открыть оснастку «Службы компонентов», нажмите кнопку Пуск. В текстовом поле введите команду dcomcnfg и нажмите клавишу ВВОД.
Если на удаленном компьютере отключить службу DCOM, невозможно будет получить доступ к этому компьютеру для обратного включения DCOM. Чтобы снова включить службу DCOM, необходимо иметь физический доступ к этому компьютеру.
How to disable DCOM support in Windows
Summary
The Distributed Component Object Model (DCOM) is a protocol that enables software components to communicate directly over a network. Previously named «Network OLE,» DCOM is designed for use across multiple network transports, including Internet protocols such as HTTP. More information about DCOM, visit the following Microsoft Web site: http://technet.microsoft.com/en-us/library/cc958799.aspx
DCOM is supported natively in Windows NT 4.0, Windows 2000, Windows XP, and Windows Server 2003.
Warning If you disable DCOM, may you may lose operating system functionality. After you disable support for DCOM, the following may result:
Any COM objects that can be started remotely may not function correctly.
The local COM+ snap-in will not be able to connect to remote servers to enumerate their COM+ catalog.
Certificate auto-enrollment may not function correctly.
Windows Management Instrumentation (WMI) queries against remote servers may not function correctly.
There are potentially many built-in components and 3rd party applications that will be affected if you disable DCOM. Microsoft does not recommend that you disable DCOM in your environment until you have tested to discover what applications are affected. Disabling DCOM may not be workable in all environments.
Support for DCOM on all Windows NT-based operating systems can be disabled. To disable this support, follow these steps.
Note To disable DCOM on a Windows 2000-based computer, you must be running Windows 2000 Service Pack 3 (SP3) or later.
Edit the Registry
Important This section, method, or task contains steps that tell you how to modify the registry. However, serious problems might occur if you modify the registry incorrectly. Therefore, make sure that you follow these steps carefully. For added protection, back up the registry before you modify it. Then, you can restore the registry if a problem occurs. For more information about how to back up and restore the registry, click the following article number to view the article in the Microsoft Knowledge Base:
322756 How to back up and restore the registry in Windows
Start Registry Editor.
Locate the following path:
Change the EnableDCOM string value to N.
Restart the operating system for the changes to take effect.
Use DCOMCNFG.EXE
If you are running Windows XP or Windows Server 2003, perform these additional steps:
Click the Component Services node under Console Root.
Open the Computers folder.
For the local computer, right-click My Computer, and then click Properties.
For a remote computer, right-click Computers folder, point to New, and then click Computer.
Type the computer name.
Right-click the computer name, and then click Properties.
Click the Default Properties tab.
Click to select (or click to clear) the Enable Distributed COM on this Computer check box.
If you want to set more properties for the computer, click Apply to enable (or disable) DCOM. Otherwise, click OK to apply the changes and quit Dcomcnfg.exe.
Restart the operating system for the changes to take effect.
More Information
The following registry string value is used to enable or disable DCOM on all operating systems:
HKEY_LOCAL_MACHINE\Software\Microsoft\OLE\EnableDCOM If you change this value to N, you disable DCOM after you restart the operating system. For more information, click the following article number to view the article in the Microsoft Knowledge Base:
256986 Description of the Microsoft Windows registry
DCOM: ограничения компьютера на запуск в синтаксисе SDDL (Security Descriptor Definition Language) DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax
Область применения Applies to
В этой статье описываются лучшие методики, расположение, значения и вопросы безопасности для DCOM: ограничения запуска компьютера в параметре политики безопасности языка определения дескриптора безопасности (SDDL). Describes the best practices, location, values, and security considerations for the DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax security policy setting.
Справочные материалы Reference
Этот параметр политики аналогиен параметру DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax setting in that it allows you to define additional computer-wide controls that govern access to all DCOM-based applications on a device. This policy setting is similar to the DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax setting in that it allows you to define additional computer-wide controls that govern access to all DCOM–based applications on a device. Однако ALS, указанные в этом параметре политики, контролируют локальные и удаленные com-запросы запуска (не запросы на доступ) на устройстве. However, the ACLs that are specified in this policy setting control local and remote COM launch requests (not access requests) on the device. Простой способ продумать этот контроль доступа — это дополнительная проверка доступа, которая выполняется для ACL на всем устройстве при каждом запуске любого сервера на основе COM. A simple way to think about this access control is as an additional access check that is performed against a device-wide ACL on each launch of any COM-based server. Если проверка доступа не удалась, вызов, активация или запрос на запуск отказано. If the access check fails, the call, activation, or launch request is denied. (Эта проверка является дополнением к любой проверке доступа, которая проводится в ALS для определенных серверов.) По сути, он предоставляет минимальный стандарт авторизации, который необходимо передать для запуска любого сервера на основе COM. (This check is in addition to any access check that is run against the server-specific ACLs.) In effect, it provides a minimum authorization standard that must be passed to launch any COM-based server. Параметр политики синтаксиса DCOM: machine Access Restrictions in Security Descriptor Definition Language (SDDL) отличается тем, что обеспечивает минимальную проверку доступа, применяемую к попыткам доступа к уже запущенным серверам на основе COM. The DCOM: Machine Access Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting differs in that it provides a minimum access check that is applied to attempts to access an already launched COM-based server.
Эти ALS на уровне устройства предоставляют способ переопределения слабых параметров безопасности, указанных приложением, с помощью CoInitializeSecurity или параметров безопасности для конкретных приложений. These device-wide ACLs provide a way to override weak security settings that are specified by an application through CoInitializeSecurity or application-specific security settings. Они предоставляют минимальный стандарт безопасности, который должен быть передан, независимо от параметров определенного сервера на основе COM. They provide a minimum security standard that must be passed, regardless of the settings of the specific COM-based server. Эти ALS предоставляют администратору централизованное расположение для определения общей политики авторизации, применяемой ко всем серверам на основе COM. These ACLs provide a centralized location for an administrator to set a general authorization policy that applies to all COM-based servers. Параметр DCOM: ограничения запуска компьютера в параметре синтаксиса SDDL позволяет указать ACL двумя способами. The DCOM: Machine Launch Restrictions in the Security Descriptor Definition Language (SDDL) syntax setting allows you to specify an ACL in two ways. Вы можете ввести дескриптор безопасности в SDDL или предоставить или запретить пользователям и группам разрешения на локальный доступ и удаленный доступ. You can type the security descriptor in SDDL, or you can grant or deny Local Access and Remote Access permissions to users and groups. Рекомендуется использовать встроенный пользовательский интерфейс для указания содержимого ACL, которое необходимо применить к этому параметру. We recommend that you use the built-in user interface to specify the ACL contents that you want to apply with this setting. Параметры ACL по умолчанию зависят от версии Windows. The default ACL settings vary, depending on the version of Windows you are running.
Возможные значения Possible values
Это означает, как локализованная политика безопасности удаляет ключ принулительных политик. This represents how the local security policy deletes the policy enforcement key. Это значение удаляет политику и устанавливает для нее значение Not defined. This value deletes the policy and then sets it to Not defined. Пустое значение замещается с помощью редактора списка ACL, чтобы очистить список, а затем нажать кнопку «ОК». The Blank value is set by using the ACL editor to empty the list, and then pressing OK.
Пользовательский ввод представления групп и привилегий в SDDL User-defined input of the SDDL representation of the groups and privileges
При указании пользователей или групп, которые должны быть предоставлены разрешения, поле дескриптора безопасности заполняется представлением языка определения дескриптора безопасности этих групп и привилегий. When you specify the users or groups that are to be given permission, the security descriptor field is populated with the Security Descriptor Definition Language representation of those groups and privileges. Пользователям и группам могут быть предоставлены явные привилегии «Разрешить» или «Запретить» как на локальном, так и на удаленном доступе. Users and groups can be given explicit Allow or Deny privileges on both local access and remote access.
Расположение Location
Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options
Значения по умолчанию Default values
В следующей таблице перечислены фактические и эффективные значения по умолчанию для этой политики. The following table lists the actual and effective default values for this policy. Значения по умолчанию также можно найти на странице свойств политики. Default values are also listed on the policy’s property page.
| Тип сервера или объект групповой политики Server type or GPO | Значение по умолчанию Default value |
|---|---|
| Default Domain Policy Default Domain Policy | Пустое Blank |
| Политика контроллера домена по умолчанию Default Domain Controller Policy | Пустое Blank |
| Параметры по умолчанию для автономного сервера Stand-Alone Server Default Settings | Пустое Blank |
| Эффективные параметры по умолчанию для DC DC Effective Default Settings | Не определено Not defined |
| Действующие параметры по умолчанию для рядового сервера Member Server Effective Default Settings | Не определено Not defined |
| Действующие параметры по умолчанию для клиентского компьютера Client Computer Effective Default Settings | Не определено Not defined |
Управление политикой Policy management
В этом разделе описываются функции и средства, которые помогут вам управлять этой политикой. This section describes features and tools that are available to help you manage this policy.
Необходимость перезапуска Restart requirement
Нет. None. Изменения этой политики становятся эффективными без перезапуска компьютера, если они сохраняются локально или распространяются с помощью групповой политики. Changes to this policy become effective without a computer restart when they are saved locally or distributed through Group Policy.
Групповая политика Group Policy
Параметры реестра, созданные в результате этой политики, имеют приоритет над предыдущими настройками реестра в этой области. The registry settings that are created as a result of this policy take precedence over the previous registry settings in this area. Служба удаленного вызова процедур (RPC) (RpcSs) проверяет новые разделы реестра в разделе «Политики» на наличие ограничений компьютера; эти записи имеют приоритет над существующими ключами реестра в OLE. The Remote Procedure Call (RPC) service (RpcSs) checks the new registry keys in the Policies section for the computer restrictions; these entries take precedence over the existing registry keys under OLE.
Если вам отказано в доступе для активации и запуска приложений DCOM из-за изменений, внесенных в DCOM в операционной системе Windows, этот параметр политики можно использовать для управления активацией DCOM и запуском на устройстве. If you are denied access to activate and launch DCOM applications due to the changes made to DCOM in the Windows operating system, this policy setting can be used to control the DCOM activation and launch to the device.
Вы можете указать, какие пользователи и группы могут запускать и активировать приложения DCOM на устройстве локально и удаленно, с помощью параметра политики синтаксиса DCOM: Ограничения на запуск компьютера в параметре политики SDDL. You can specify which users and groups can launch and activate DCOM applications on the device locally and remotely by using the DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax policy setting. При этом управление приложением DCOM восстанавливается для администратора и указанных пользователей. This restores control of the DCOM application to the administrator and specified users. Для этого откройте DCOM: machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax setting, and click Edit Security. To do this, open the DCOM: Machine Launch Restrictions in Security Descriptor Definition Language (SDDL) syntax setting, and click Edit Security. Укажите группы, которые необходимо включить, и разрешения на запуск устройств для этих групп. Specify the groups that you want to include and the device launch permissions for those groups. Он определяет параметр и задает соответствующее значение SDDL. This defines the setting and sets the appropriate SDDL value.
Вопросы безопасности Security considerations
В этом разделе описывается, каким образом злоумышленник может использовать компонент или его конфигурацию, как реализовать меры противодействия, а также рассматриваются возможные отрицательные последствия их реализации. This section describes how an attacker might exploit a feature or its configuration, how to implement the countermeasure, and the possible negative consequences of countermeasure implementation.
Уязвимость Vulnerability
Многие com-приложения включают определенный код безопасности (например, для вызова CoInitializeSecurity), но они используют слабые параметры, которые позволяют неавтеризовать доступ к процессу. Many COM applications include some security-specific code (for example, to call CoInitializeSecurity), but they use weak settings that allow unauthenticated access to the process. Эти параметры невозможно переопрепредить, чтобы принудительно установить усиленную безопасность в более ранних версиях Windows, не изменяя приложение. You cannot override these settings to force stronger security in earlier versions of Windows without modifying the application. Злоумышленник может попытаться воспользоваться слабой безопасностью в отдельном приложении, напав на него с помощью com-вызовов. An attacker could attempt to exploit weak security in an individual application by attacking it through COM calls.
Кроме того, инфраструктура COM включает удаленную службу вызовов процедур (RPCSS), системную службу, которая запускается во время запуска компьютера и всегда выполняется после нее. Also, the COM infrastructure includes the Remote Procedure Call Service (RPCSS), a system service that runs during computer startup and always runs after that. Эта служба управляет активацией COM-объектов и запущенной таблицей объектов и предоставляет дополнительные службы для управления DCOM. This service manages activation of COM objects and the running object table and provides helper services to DCOM remoting. Он предоставляет интерфейсы RPC, которые могут быть вызваны удаленно. It exposes RPC interfaces that can be called remotely. Так как некоторые серверы на основе COM позволяют активировать удаленные компоненты, не непросвещенные, эти интерфейсы могут быть вызваны любым пользователем, включая непроверяющих пользователей. Because some COM-based servers allow unauthenticated remote component activation, these interfaces can be called by anyone, including unauthenticated users. В результате этого злоумышленники могут нападать на RPCSS с помощью удаленных компьютеров без проверки. As a result, RPCSS can be attacked by malicious users using remote, unauthenticated computers.
Противодействие Countermeasure
Чтобы защитить отдельные приложения или службы на основе COM, установите для этого параметра политики соответствующий ACL для всего компьютера. To protect individual COM-based applications or services, set this policy setting to an appropriate computer-wide ACL.
Возможное влияние Potential impact
Windows реализует ALS COM по умолчанию при их установке. Windows implements default COM ACLs when they are installed. Изменение этих ALS по умолчанию может привести к сбойу некоторых приложений или компонентов, которые взаимодействуют с помощью DCOM. Modifying these ACLs from the default may cause some applications or components that communicate by using DCOM to fail. Если реализован сервер на основе COM и переопределяются параметры безопасности по умолчанию, подтвердите, что разрешения ACL для конкретного приложения включают разрешения активации для соответствующих пользователей. If you implement a COM-based server and you override the default security settings, confirm that the application-specific launch permissions ACL assigns include activation permissions to appropriate users. В этом случае необходимо изменить ACL разрешения на запуск для конкретного приложения, чтобы предоставить соответствующим пользователям права активации, чтобы приложения и компоненты Windows, которые используют DCOM, не сбой. If it does not, you must change your application-specific launch permission ACL to provide appropriate users with activation rights so that applications and Windows components that use DCOM do not fail.
