DCOM: Ограничения компьютера на доступ в синтаксисе SDDL (Security Descriptor Definition Language)

Описаны рекомендации, расположение, значения и соображения безопасности для параметра политики DCOM: Ограничения компьютера на доступ в синтаксисе SDDL (Security Descriptor Definition Language).

Справка

Этот параметр политики позволяет определять дополнительные элементы управления компьютером, которые отвечают за доступ ко всем приложениям на основе DCOM на этом устройстве. Эти элементы управления ограничивают запросы на вызов, активацию или запуск на устройстве. Их следует рассматривать как дополнительные средства проверки доступа, применяемые по списку управления доступом (ACL) для всего устройства при каждом вызове и запуске сервера на основе модели COM или его активации. Если при проверке доступа происходит сбой, то запрос на вызов, активацию или запуск отклоняется. (Эта проверка выполняется в дополнение к проверкам доступа по спискам ACL для сервера.) В действительности она обеспечивает минимальный стандарт авторизации, который должен применяться для доступа ко всем серверам на основе модели COM. Этот параметр политики управляет разрешениями на доступ, которые распространяются на права вызова.

Такие списки управления доступом (ACL) для всего устройства позволяют переопределить слабые параметры безопасности, заданные приложением с помощью функции CoInitializeSecurity, или параметры безопасности для конкретного приложения. Они обеспечивают минимальный стандарт безопасности, который должен применяться независимо от параметров конкретного сервера.

Эти ACL также выступают в роли централизованного расположения, где администратор может задать общую политику авторизации, применяемую ко всем серверам на основе модели COM, которые имеются на устройстве.

Этот параметр политики позволяет задавать ACL двумя способами. Можно ввести дескриптор безопасности в формате SDDL или предоставить пользователям и группам разрешения "Локальный доступ" или "Удаленный доступ" либо отозвать их. Для определения содержимого ACL, который необходимо применить с помощью этого параметра, рекомендуем использовать встроенный пользовательский интерфейс. Параметры ACL, применяемые по умолчанию, зависят от используемой версии Windows.

Возможные значения

  • User-defined input SDDL-представления пользователей и прав

    При указании пользователей или групп, которым предоставляются разрешения, поле дескриптора безопасности заполняется с использованием представления SDDL (Security Descriptor Definition Language) этих групп и прав. Пользователям и группам могут в явной форме предоставляться права "Разрешить" и "Запретить" как на локальный, так и на удаленный доступ.

  • Пусто

    В локальной политике безопасности удаляется ключ принудительного применения политики. Это значение удаляет политику и задает для нее состояние "Не определено". Чтобы задать пустое значение, следует открыть редактор ACL и очистить список, а затем нажать кнопку "ОК".

Расположение

Конфигурация компьютера\Параметры Windows\Параметры безопасности\Локальные политики\Параметры безопасности

Значения по умолчанию

В следующей таблице приведены фактические и действующие значения по умолчанию для этой политики. Значения по умолчанию также указаны на странице свойств политики.

Тип сервера или объект групповой политикиЗначение по умолчанию

Политика домена по умолчанию

Пусто

Политика контроллера домена по умолчанию

Пусто

Параметры автономного сервера по умолчанию

Пусто

Действующие параметры контроллера домена по умолчанию

Не определено

Действующие параметры рядового сервера по умолчанию

Не определено

Действующие параметры клиентского компьютера по умолчанию

Не определено

 

Управление политикой

В данном разделе описываются компоненты и средства, доступные для управления этой политикой.

Необходимость перезагрузки

Нет. Изменения этой политики вступают в силу без перезагрузки компьютера после их локального сохранения или распространения через групповую политику.

Групповая политика

Параметры реестра, которые создаются в результате включения параметра политики DCOM: Ограничения компьютера на доступ в синтаксисе SDDL, имеют приоритет над предыдущими параметрами реестра в этой области. Служба удаленного вызова процедур (RPC) проверяет ограничения компьютера по новым разделам реестра в разделе Policies, и эти записи реестра имеют приоритет над существующими разделами реестра в разделе OLE. Это означает, что существовавшие ранее параметры реестра перестают действовать, и внесение изменений в существующие параметры не влияет на разрешения на доступ к устройству для пользователей. Будьте осторожны при настройке соответствующего списка пользователей и групп.

Если администратору запрещен доступ к приложениям DCOM из-за изменений, внесенных в DCOM в Windows, то для управления доступом к DCOM на компьютере администратор может использовать параметр политики DCOM: Ограничения компьютера на доступ в синтаксисе SDDL. С помощью этого параметра администратор может указать, у каких пользователей и групп есть локальный и удаленный доступ к приложению DCOM на компьютере. Это позволяет восстановить возможность управления приложением DCOM для администраторов и пользователей. Для этого откройте параметр политики DCOM: Ограничения компьютера на доступ в синтаксисе SDDL и нажмите кнопку Изменение правил безопасности. Укажите пользователей или группы, которые необходимо включить, и разрешения на доступ к компьютеру. При этом будет определен параметр и задано соответствующее значение SDDL.

Соображения безопасности

В этом разделе описывается, каким образом злоумышленник может воспользоваться компонентом или его конфигурацией, как применить меры противодействия и каковы возможные негативные последствия реализации этих мер.

Уязвимость

Многие приложения на основе модели COM включают код безопасности (например, вызов функции CoInitializeSecurity), однако они используют слабые параметры, которые не защищают от несанкционированного доступа к процессу. В более ранних версиях Windows администраторы не могут переопределить эти параметры и применить более эффективные меры безопасности, поскольку для этого требуется внести изменения в само приложение. Злоумышленник может пытаться воспользоваться слабой системой безопасности в приложении, выполнив атаку через вызовы модели COM.

Кроме того, инфраструктура модели COM включает службу удаленного вызова процедур (RPCSS) — системную службу, выполняющуюся во время и после запуска компьютера. Она отвечает за активацию COM-объектов и запуск таблицы объектов, а также предоставляет вспомогательные службы для удаленного взаимодействия с DCOM. Эта служба предоставляет интерфейсы RPC, которые можно вызвать удаленно. Поскольку некоторые серверы на основе модели COM разрешают удаленный доступ без проверки подлинности, эти интерфейсы может вызвать любой пользователь, даже тот, кто не проходил проверку подлинности. В результате RPCSS может атаковать злоумышленник, который использует удаленный компьютер, подлинность которого не проверялась.

Меры противодействия

Для защиты отдельных приложений или служб на основе модели COM установите для параметра DCOM: Ограничения компьютера на доступ в синтаксисе SDDL соответствующий список ACL для всего устройства.

Возможные последствия

Windows использует ACL на основе модели COM по умолчанию, если они установлены. Их изменение может привести к сбоям в работе некоторых приложений или компонентов, которые используют связь DCOM. Если вы используете сервер на основе модели COM и переопределили параметры безопасности по умолчанию, убедитесь, что список ACL правильно назначил разрешения на вызов для конкретного приложения. В противном случае необходимо изменить список разрешений ACL для конкретного приложения и указать в нем пользователей с правами активации, чтобы в работе приложений и компонентов Windows, использующих DCOM, не возникали сбои.

Связанные разделы

Параметры безопасности

 

 

Показ: