Descripción de los cambios en los valores de seguridad DCOM después de instalar Windows Server 2003 Service Pack 1

Seleccione idioma Seleccione idioma
Id. de artículo: 903220 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

INTRODUCCIÓN

Microsoft Windows Server 2003 Service Pack 1 (SP1) introduce algunas opciones de configuración de seguridad predeterminadas mejoradas para el protocolo DCOM. En concreto, incluye derechos que ofrecen a un administrador un control independiente sobre los permisos locales y remotos para iniciar y tener acceso a servidores COM, y para activar configuraciones de servidores COM. En este artículo se describen los cambios realizados en la configuración de seguridad de DCOM.

Más información

Servicios de Certificate Server de Windows Server 2003 utiliza el protocolo DCOM para proporcionar servicios de inscripción y administración. Servicios de Certificate Server ofrece varias interfaces DCOM para proporcionar servicios de inscripción y administración. Para tener acceso y utilizar estos servicios de forma correcta, Servicios de Certificate Server supone que las interfaces DCOM están configuradas para habilitar permisos remotos de activación y acceso. Sin embargo, puesto que la configuración de seguridad predeterminada para DCOM se aplica al actualizarse a Windows Server 2003 SP1, puede que tenga que actualizar esta configuración de seguridad para asegurarse de que los servicios de inscripción y administración están disponibles.

De forma predeterminada, todas las interfaces DCOM de Windows Server 2003 SP1 están configuradas para conceder permisos de acceso remoto, permisos de inicio remoto y permisos de activación remota a los administradores. Sin embargo, al actualizarse a Windows Server 2003 SP1 se efectúan cambios de configuración de la seguridad en la interfaz DCOM global y en la interfaz DCOM Solicitud CertSrv. Estos cambios se realizan para que Servicios de Certificate Server funcione correctamente.

Nota
Se perderán los cambios realizados en la configuración de seguridad de la interfaz DCOM Solicitud CertSrv antes de instalar Windows Server 2003 SP1. El programa de instalación de Windows Server 2003 SP1 restablece los valores predeterminados de todas las opciones de configuración de seguridad anteriores en la interfaz DCOM Solicitud CertSrv.

Durante la instalación de Windows Server 2003 SP1, Servicios de Certificate Server actualiza automáticamente la configuración de seguridad como se explica a continuación:
    Interfaz DCOM Solicitud CertSrv
    • Se conceden permisos de acceso local y remoto al grupo de seguridad Todos.
    • Se conceden los permisos de activación local y remota al grupo de seguridad Todos.
    • No se conceden permisos de inicio local y remoto al grupo de seguridad Todos.

  • Configuración de restricciones en el equipo DCOM
    • Se crea automáticamente un nuevo grupo de seguridad: CERTSVC_DCOM_ACCESS.

      Si la entidad emisora de certificados está instalada en un servidor miembro, CERTSVC_DCOM_ACCESS se crea como un grupo local de equipo. Se agrega el grupo de seguridad Todos a CERTSVC_DCOM_ACCESS.

      Si la entidad emisora de certificados está instalada en un controlador de dominio, CERTSVC_DCOM_ACCESS se crea como un grupo local de dominio. Los grupos de seguridad Usuarios del dominio y Equipos del dominio del dominio de la entidad emisora de certificados se agregan a CERTSVC_DCOM_ACCESS. Si los controladores de dominio necesitan acceso a esta interfaz para solicitar certificados a la entidad emisora de certificados, debe agregar el grupo de seguridad Controladores de dominio. Debe hacerlo porque los controladores de dominio no forman parte del grupo de seguridad Equipos del dominio.
    • Se conceden permisos de acceso local y remoto al grupo de seguridad CERTSVC_DCOM_ACCESS.
    • Se conceden los permisos de activación local y remota al grupo de seguridad CERTSVC_DCOM_ACCESS.
    • No se conceden permisos de inicio local y remoto al grupo de seguridad CERTSVC_DCOM_ACCESS.
    Nota
    Si la entidad emisora de certificados se instala en un controlador de dominio y la empresa consta de más de un dominio, Servicios de Certificate Server no puede actualizar automáticamente la configuración de seguridad DCOM para los usuarios que se inscriban desde fuera del dominio de la entidad emisora de certificados. Por tanto, se les denegará el acceso de inscripción en la entidad emisora de certificados.

    Para resolver este problema, debe agregar manualmente los usuarios al grupo de seguridad CERTSVC_DCOM_ACCESS. Puesto que el grupo de seguridad CERTSVC_DCOM_ACCESS es un grupo local de dominio, únicamente puede agregarle grupos de dominio. Por ejemplo, si los usuarios y equipos de otro dominio denominado Contoso tienen que inscribirse en la entidad emisora de certificados, debe agregar manualmente los grupos Contoso\Usuarios del dominio y Contoso\Equipos del dominio al grupo de seguridad CERTSVC_DCOM_ACCESS.

    Si a alguno de los usuarios que se inscriben al que la entidad emisora de certificados deba autorizar se le deniega la autorización después de instalar Windows Server 2003 SP1, puede hacer que Servicios de Certificate Server actualice de nuevo la configuración de seguridad DCOM. Para ello, escriba los comandos siguientes en el símbolo del sistema y presione ENTRAR después de escribir cada comando:
    certutil ?setreg SetupStatus ?SETUP_DCOM_SECURITY_UPDATED_FLAG
    net stop certsvc
    net start certsvc
    DCOM_SECURITY_UPDATED_FLAG es un indicador interno del Registro de Servicios de Certificate Server que indica que la configuración de seguridad DCOM se actualizó correctamente. Servicios de Certificate Server comprueba este indicador siempre que se inicia. Los comandos anteriores restablecen el indicador y, a continuación, detienen e inician Servicios de Certificate Server. Este comportamiento hace que Servicios de Certificate Server actualice de nuevo la configuración de seguridad.
Se pueden grabar los sucesos siguientes después de instalar Windows Server 2003 SP1.

Mensaje de suceso 1
Tipo de suceso: error
Origen del suceso: Inscripción automática
Categoría del suceso: ninguna
Id. del suceso: 13
Fecha: fecha
Hora: hora
Usuario: N/D
Equipo: nombreDeEquipo
Descripción: La inscripción de certificados automática para sistema local no puede inscribir un certificado Replicación de directorio de correo electrónico (0x80070005). Acceso denegado. Para obtener más información al respecto, vea el Centro de ayuda y soporte técnico en http://support.microsoft.com.
Mensaje de suceso 2
Tipo de suceso: error
Origen del suceso: Inscripción automática
Categoría del suceso: ninguna
Id. del suceso: 13
Fecha: fecha
Hora: hora
Usuario: N/D
Equipo: nombreDeEquipo
Descripción: La inscripción de certificados automática para sistema local no puede inscribir un certificado Autenticación de estación de trabajo (0x80070005). Acceso denegado. Para obtener más información al respecto, vea el Centro de ayuda y soporte técnico en http://support.microsoft.com.
Cuando solicita manualmente un certificado mediante el complemento Certificado, puede recibir el mensaje de error siguiente:
Hubo un error en la solicitud de certificado debido a una de las siguientes razones: - La solicitud de certificado fue enviada a una entidad emisora (CA) que no se ha iniciado. - No tiene permisos para solicitar certificados de las entidades emisoras disponibles.
Nota
Si estos errores se producen en un controlador de dominio, agregue el grupo Controladores de dominio al grupo CERTSVC_DCOM_ACCESS. Los controladores de dominio no son miembros del grupo global Equipos del dominio y no tendrán suficientes permisos DCOM de forma predeterminada.

Si cambia la pertenencia para incluir el grupo Controladores de dominio, debe reiniciar el controlador de dominio para que se refleje el cambio.

Soporte técnico para las versiones basadas en x64 de Microsoft Windows

Si su hardware venía con una edición de Microsoft Windows x64 ya instalada, su fabricante de hardware le proporcionará asistencia y soporte técnico para la edición de Windows x64. En este caso, su fabricante de hardware le proporciona soporte técnico, porque incluyó en el hardware una edición de 64 bits de Windows. El fabricante de hardware podría haber personalizado con componentes exclusivos la instalación de la edición de 64 bits de Windows. Esos componentes exclusivos podrían incluir controladores de dispositivo específicos o configuraciones opcionales para maximizar el rendimiento del hardware. Microsoft hará un esfuerzo razonable para proporcionarle ayuda si necesita ayuda técnica para una edición de Windows de 64 bits. Sin embargo, es posible que deba ponerse en contacto directamente con el fabricante. El fabricante es el mejor cualificado para proporcionar el soporte técnico del software que él mismo instaló en el hardware. Si compró independiente una edición de Windows x64, como Microsoft Windows Server 2003 x64, póngase en contacto con Microsoft para obtener soporte técnico.

Para obtener más información acerca de Microsoft Windows XP Professional x64 Edition, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/spain/windowsxp/64bit/default.mspx
Para obtener información de producto acerca de las versiones basadas en x64 de Microsoft Windows Server 2003, visite el siguiente sitio Web de Microsoft:
http://www.microsoft.com/spain/servidores/windowsserver2003/64bit/x64/default.mspx
Para obtener más información acerca de las mejoras de seguridad DCOM introducidas por Windows Server 2003 SP1, visite el siguiente sitio Web de Microsoft.
http://www.microsoft.com/downloads/details.aspx?familyid=C3C26254-8CE3-46E2-B1B6-3659B92B2CDE&displaylang=es

Propiedades

Id. de artículo: 903220 - Última revisión: viernes, 02 de febrero de 2007 - Versión: 8.3
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Palabras clave: 
kbhowto kbinfo KB903220

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com