30
septembre
2022
« Restauration de DCOM sous Windows »
15:02

« Restauration de DCOM sous Windows »

30 septembre 2022 15:02

Je n'ai pas vu de description des paramètres par défaut du système DCom sur Internet, j'ai donc décidé d'écrire un article.

Avertissement

La modification des autorisations d'accès, ainsi que des autorisations de lancement et d'activation, peut affecter le lancement des applications et la capacité des utilisateurs et des administrateurs à fonctionner normalement. Une mauvaise gestion des listes de droits d'accès pour les composants DCOM à l'aide de dcomcnfg.exe peut entraîner l'échec des applications ou des composants qui communiquent à l'aide de la technologie DCOM. Le remplacement des paramètres DCOM par défaut créés lors de l'installation de Windows n'est généralement pas nécessaire, vous n'avez donc pas besoin de les modifier. Si l'objectif est d'améliorer la sécurité au-delà de ce qui est fourni par défaut, assurez-vous que les utilisateurs disposent des autorisations de lancement et d'activation. Si les droits de lancement et d'activation ne sont pas accordés globalement, vous devrez modifier la liste de contrôle d'accès des autorisations de lancement pour une application spécifique afin d'accorder les droits d'activation aux utilisateurs appropriés. Je ne recommande pas de modifier les droits des groupes d'utilisateurs système définis par Windows lors de l'installation.

Raisons des échecs DCOM

    1. Les composants DCOM fonctionnent à l'aide d'un système de transport ORPC(Appel de procédure à distance d'objet). Service RPC est l'un des plus importants, car Windows, qui utilise également DCOM pour exécuter la plupart des composants, en dépend. J'ai vu en pratique que, emporté par la désactivation des services Windows « inutiles », un utilisateur interdisait le démarrage du service RPC. En conséquence, l'ordinateur a refusé de démarrer après le redémarrage. Le chargement s'est effectué « une cuillère à café à la fois », le système d'exploitation n'a pas répondu aux actions. Le service RPC devrait donc être exécuté. Contrairement à DBUS sous Linux, qui utilise des messages, DCOM sous Windows utilise des flux binaires (appels compressés) créés à l'aide de "Maréchalinga", c'est-à-dire le processus de sérialisation des objets pour les transférer vers le processus cible.

  2. L'accès aux composants DCOM est basé sur systèmes de droits, qui sont spécifiés à l'aide de Liste de contrôle d'accès- Listes de contrôle d'accès. La description du composant logiciel enfichable dcomcnfg.exe, utilisé pour configurer les paramètres, est médiocre. Microsoft recommande simplement de ne pas modifier les paramètres par défaut, car... ils peuvent perturber le système. Les paramètres eux-mêmes ne sont mentionnés nulle part.

Il existe 2 paramètres d'autorisation :

  • Droit d'accès (qui peut être local ou distant)
  • Droit d'activation - c'est-à-dire lancer les composants.

De plus, dans le paramètre DCOM, il existe deux limites (restrictions)

  • Limite d'accès
  • Limite d'activation
  1. Pare-feu- sur le serveur de terminaux 1c utilise un seul port RDP 3389 qui devrait être ouvert.

Si aucun serveur de terminaux n'est utilisé, la version réseau de 1c Enterprise utilise des ports TCP qui doivent être ouverts vers l'extérieur.

Sur le serveur dans le pare-feu, créez une règle pour les connexions entrantes - autorisez les ports TCP :1540, 1541, 1560-1591.

Les ports ouverts sur un PC peuvent être affichés avec la commande netstat -un

  1. Politiques de groupe. Les utilisateurs exécutant DCOM utilisent à distance les ressources du serveur. Les paramètres par défaut permettent à DCOM de fonctionner dans ce mode, mais l'augmentation de la sécurité peut accidentellement affecter le droit des utilisateurs au lancement à distance, dans Configuration ordinateur - Modèles d'administration - Système - Modèle COM distribué(Configuration ordinateur - Modèles d'administration - Système - COM distribué).

  2. Propriétés et autorisations application DCOM spécifique dans le composant logiciel enfichable Services de composants : Panneau de configuration -> Système et sécurité -> Outils d'administration -> Services de composants -> Ordinateurs -> Poste de travail -> Paramètres DCOM -> Nom de l'application -> Propriétés -> Sécurité.

  • Autorisations de lancement et d'activation - Par défaut
    *Autorisations d'accès - Par défaut
    Général - Niveau d'authentification - Par défaut.
    Identité - Utilisateur de lancement.
    Hébergement - Exécutez l'application sur cet ordinateur.
  1. Un antivirus peut également surveiller les ports s'il dispose d'un pare-feu intégré.

Restaurer rapidement les paramètres d'autorisations DCOM par défaut

Cet élément ne doit être effectué que si le système DCOM a cessé de fonctionner complètement ou partiellement.

Tout d'abord, DCOM doit être activé et le niveau d'emprunt d'identité est "Définir" (valeur numérique - 2).

HKEY_LOCAL_MACHINE\Software\Microsoft\Ole

Clé "ENABLE_DCOM"- chaîne REG_SZ - valeur "Y".

Clé "LegacyImpersonationLevel" - DWORD - valeur 2.

s'inscrire

Deuxièmement, pour restaurer les droits dans leur forme originale, vous devez supprimer 4 clés de registre dans l'éditeur de registre REGEDIT.EXE :

HKEY_LOCAL_MACHINE\Software\Microsoft\Ole

*DefaultAccessPermission*
DefaultLaunchPermission
MachineAccessRestriction
MachineLaunchRestriction**

Ces clés peuvent être supprimées en toute sécurité ; ils seront recréés. Cela supprimera tous les paramètres de droits d'accès DCOM non standard définis par l'administrateur, et les autorisations de lancement et d'activation, les limites et les groupes d'utilisateurs DCOM reviendront aux valeurs d'origine qui étaient immédiatement après l'installation du système d'exploitation. En conséquence, le fonctionnement normal du système DCOM sera rétabli.

Paramètres des droits d'accès par défaut dans l'utilitaire dcomcnfg.exe

Vous trouverez ci-dessous les paramètres DCOM par défaut pour Windows 8-10.

DCOMCNFG.EXE -Propriétés de mon ordinateur-Sécurité COM

Propriétés par défaut :
1234

1 Droits d'accès - Restrictions (Limites)
11
12
13
14
15

2 Droits d'accès - Valeurs par défaut
21
22
23

3 Autorisations de lancement et d'activation - Restrictions (Limites)
31
32
33
34
35

4 Autorisations de lancement et d'activation - Valeurs par défaut
41
42
43

Autorisations de table DCOM par défaut (ACL) :



1 Droits d'accès - Restrictions (Limites)

Groupe Accès local Accès à distance
Tout Autoriser Autoriser
TOUS LES FORFAITS DE DEMANDE Autoriser -
Utilisateurs du journal de performances Autoriser Autoriser
Utilisateurs DCOM Autoriser Autoriser
CONNEXION ANONYME Autoriser -




2 Droits d'accès - Valeurs par défaut

Groupe Accès local Accès à distance
SOI Autoriser Autoriser
SYSTÈME Autoriser -
Administrateurs Autoriser Autoriser




3 Autorisations de lancement et d'activation - Restrictions (Limites)

Groupe Lancement local Démarrage à distance Activation locale Activation à distance
Tout Autoriser - Autoriser -
TOUS LES FORFAITS DE DEMANDE Autoriser - Autoriser
Administrateurs Autoriser Autoriser Autoriser Autoriser
Utilisateurs du journal de performances Autoriser Autoriser Autoriser Autoriser
Utilisateurs DCOM Autoriser Autoriser Autoriser Autoriser




4 Autorisations de lancement et d'activation - Valeurs par défaut

Groupe Lancement local Démarrage à distance Activation locale Activation à distance
SYSTÈME Autoriser Autoriser Autoriser Autoriser
Administrateurs Autoriser Autoriser Autoriser Autoriser
Interactif Autoriser Autoriser Autoriser Autoriser




Groupe d'utilisateurs "Utilisateurs DCOM"

Vous devez ajouter des utilisateurs au groupe « Utilisateurs DCOM » qui doivent pouvoir exécuter les composants DCOM, à la fois à distance et localement. Autrement dit, pas tous les utilisateurs, mais uniquement ceux qui travaillent réellement avec DCOM.



Publications connexes

Langages

Thème

flux RSS

Atom 1.0 RSS

Tags populaires

Post aléatoire

J'aurai de la chance !

Archives des messages

Rechercher ici

Prévisions météorologiques