Περιγραφή των αλλαγών στις ρυθμίσεις ασφαλείας του DCOM μετά την εγκατάσταση του Windows Server 2003 Service Pack 1

ΕΙΣΑΓΩΓΗ

Microsoft Windows Server 2003 Service Pack 1 (SP1) παρουσιάζει ορισμένες βελτιωμένες προεπιλεγμένες ρυθμίσεις ασφαλείας για το πρωτόκολλο DCOM. Συγκεκριμένα, το Windows Server 2003 SP1 παρουσιάζει δικαιώματα που δίνουν διαχειριστής ανεξάρτητο έλεγχο τοπική και απομακρυσμένη δικαιώματα για την εκκίνηση διακομιστές COM, Ενεργοποίηση ρυθμίσεων διακομιστή COM και την πρόσβαση σε διακομιστές COM. Αυτό το άρθρο περιγράφει τις αλλαγές στις ρυθμίσεις ασφαλείας του DCOM.

Περισσότερες πληροφορίες

Υπηρεσίες πιστοποιητικών των Windows Server 2003 χρησιμοποιεί το πρωτόκολλο DCOM για να παρέχουν υπηρεσίες εγγραφής και διαχείρισης. Υπηρεσίες πιστοποιητικών παρέχει πολλές διασυνδέσεις DCOM για να διαθέσετε τις υπηρεσίες εγγραφής και διαχείρισης. Για τη σωστή πρόσβαση και χρήση των υπηρεσιών αυτών, υπηρεσίες πιστοποιητικών θεωρεί ότι έχουν οριστεί τις διασυνδέσεις του DCOM για να ενεργοποιήσετε τα δικαιώματα απομακρυσμένης ενεργοποίησης και πρόσβασης. Ωστόσο, επειδή οι προεπιλεγμένες ρυθμίσεις ασφαλείας για DCOM εφαρμόζονται κατά την αναβάθμιση σε Windows Server 2003 SP1, ίσως χρειαστεί να ενημερώσετε αυτές τις ρυθμίσεις ασφαλείας για να βεβαιωθείτε ότι η εγγραφή και διαχείριση υπηρεσιών είναι διαθέσιμες.

Από προεπιλογή, όλες τις διασυνδέσεις DCOM σε Windows Server 2003 SP1 έχουν ρυθμιστεί για να παραχωρήσετε δικαιώματα απομακρυσμένης πρόσβασης, δικαιώματα απομακρυσμένης εκκίνησης και δικαιώματα απομακρυσμένης ενεργοποίησης για τους διαχειριστές. Ωστόσο, όταν κάνετε αναβάθμιση σε Windows Server 2003 SP1, αλλαγές ρύθμισης παραμέτρων ασφαλείας πραγματοποιούνται στην κύρια διασύνδεση DCOM και στη διασύνδεση DCOM αίτηση CertSrv. Αυτές οι αλλαγές γίνονται για να ενεργοποιήσετε τις υπηρεσίες πιστοποιητικών για να λειτουργήσουν σωστά.

Σημείωση Χάνονται οι αλλαγές που έχουν γίνει στις ρυθμίσεις ασφαλείας διασύνδεση DCOM αίτηση CertSrv πριν από την εγκατάσταση του Windows Server 2003 SP1. Εγκατάσταση του Windows Server 2003 SP1 επαναφέρει όλες οι προηγούμενες ρυθμίσεις ασφαλείας στο περιβάλλον CertSrv αίτησης DCOM στις προεπιλεγμένες ρυθμίσεις τους.

Κατά τη διάρκεια του Windows Server 2003 SP1 εγκατάσταση των υπηρεσιών πιστοποιητικών ενημερώνει αυτόματα τις ρυθμίσεις ασφαλείας DCOM, ως εξής:
  • Διασύνδεση DCOM αίτηση CertSrv
    • Everyone ομάδα ασφαλείας χορηγείται δικαιώματα τοπικής και απομακρυσμένης πρόσβασης.
    • Everyone ομάδα ασφαλείας χορηγείται δικαιώματα τοπικής και απομακρυσμένης ενεργοποίησης.
    • Όλοι ομάδας ασφαλείας δεν χορηγούνται δικαιώματα τοπικής ή απομακρυσμένης εκκίνησης.
  • Ρυθμίσεις περιορισμού υπολογιστή DCOM
    • Μια νέα ομάδα ασφαλείας CERTSVC_DCOM_ACCESS, δημιουργείται αυτόματα.

      Εάν η αρχή έκδοσης πιστοποιητικών είναι εγκατεστημένη σε ένα διακομιστή μέλος, CERTSVC_DCOM_ACCESS δημιουργείται ως ομάδα τοπικού υπολογιστή. Όλοι προστίθεται ομάδα ασφαλείας CERTSVC_DCOM_ACCESS.

      Εάν η αρχή έκδοσης πιστοποιητικών είναι εγκατεστημένο σε έναν ελεγκτή τομέα, η CERTSVC_DCOM_ACCESS δημιουργείται ως μια τοπική ομάδα τομέα. Στην ομάδα ασφαλείας "χρήστες τομέα" και στην ομάδα ασφαλείας Domain Computers από την αρχή έκδοσης πιστοποιητικών τομέα προστίθενται σε CERTSVC_DCOM_ACCESS. Εάν οι ελεγκτές τομέα πρέπει να έχετε πρόσβαση σε αυτήν τη διασύνδεση για να ζητήσετε πιστοποιητικά από την αρχή έκδοσης πιστοποιητικών, πρέπει να προσθέσετε την ομάδα ασφαλείας των ελεγκτών τομέα. Πρέπει να το κάνετε επειδή οι ελεγκτές τομέα δεν είναι μέρος της ομάδας ασφαλείας Domain Computers.
    • Η ομάδα ασφαλείας CERTSVC_DCOM_ACCESS χορηγείται δικαιώματα τοπικής και απομακρυσμένης πρόσβασης.
    • Η ομάδα ασφαλείας CERTSVC_DCOM_ACCESS χορηγείται δικαιώματα τοπικής και απομακρυσμένης ενεργοποίησης.
    • Η ομάδα ασφαλείας CERTSVC_DCOM_ACCESS δεν έχει εκχωρηθεί δικαιώματα τοπικής ή απομακρυσμένης εκκίνησης.
    Σημείωση Εάν η αρχή έκδοσης πιστοποιητικών είναι εγκατεστημένο σε έναν ελεγκτή τομέα και η επιχείρηση αποτελείται από περισσότερους από έναν τομέα, υπηρεσίες πιστοποιητικών δεν μπορεί να ενημερώσει αυτόματα τις ρυθμίσεις ασφαλείας DCOM για enrollees από εκτός του τομέα της αρχής έκδοσης πιστοποιητικών. Επομένως, αυτά τα enrollees δεν επιτρέπεται η πρόσβαση εγγραφής στην αρχή έκδοσης πιστοποιητικών.

    Για να επιλύσετε αυτό το ζήτημα, πρέπει να προσθέσετε με μη αυτόματο τρόπο τους χρήστες στην ομάδα ασφαλείας CERTSVC_DCOM_ACCESS. Επειδή η ομάδα ασφαλείας CERTSVC_DCOM_ACCESS είναι μια τοπική ομάδα τομέα, μπορείτε να προσθέσετε μόνο ομάδες τομέα. Για παράδειγμα, αν οι χρήστες και υπολογιστές από άλλον τομέα, στον τομέα Contoso, πρέπει να εγγραφεί η αρχή έκδοσης πιστοποιητικών, πρέπει με μη αυτόματο τρόπο προσθέτετε στην ομάδα χρηστών Contoso\Domain και την ομάδα Contoso\Domain υπολογιστές στην ομάδα ασφαλείας CERTSVC_DCOM_ACCESS.

    Εάν τυχόν enrollees που θα έπρεπε να επιτραπεί από την αρχή έκδοσης πιστοποιητικών δεν εκχωρείται άδεια, μετά την εγκατάσταση του Windows Server 2003 SP1, μπορείτε να έχετε πιστοποιητικό υπηρεσίες ενημέρωση ξανά τις ρυθμίσεις ασφαλείας του DCOM. Για να γίνει αυτό, πληκτρολογήστε τις ακόλουθες εντολές στη γραμμή εντολών και, στη συνέχεια, πιέστε το πλήκτρο ENTER έπειτα από κάθε εντολή.
    certutil – setreg SetupStatus – SETUP_DCOM_SECURITY_UPDATED_FLAG
    net stop certsvc
    net start certsvc
    DCOM_SECURITY_UPDATED_FLAG είναι ένα εσωτερικό πιστοποιητικό υπηρεσιών σημαία που δηλώνει ότι οι ρυθμίσεις ασφαλείας του DCOM ενημερώθηκαν με επιτυχία. Εκκίνηση υπηρεσιών ελέγχει αυτήν τη σημαία, κάθε φορά που οι υπηρεσίες πιστοποιητικών το πιστοποιητικό. Των προηγούμενων εντολών επαναφέρετε τη σημαία και, στη συνέχεια, διακοπή και έναρξη υπηρεσιών πιστοποιητικού. Αυτή η συμπεριφορά προκαλεί υπηρεσίες πιστοποιητικών για να ενημερώσετε τις ρυθμίσεις ασφαλείας του DCOM ξανά.
Τα ακόλουθα συμβάντα ενδέχεται να καταγραφεί μετά την εγκατάσταση του Windows Server 2003 SP1.

Μήνυμα συμβάντος 1
Τύπος συμβάντος: σφάλμα
Προέλευση συμβάντος: αυτόματη εγγραφή
Κατηγορία συμβάντος: καμία
Το Αναγνωριστικό συμβάντος: 13
Ημ/νία: ημερομηνία
Ώρα: ώρα
Χρήστης: δ/υ
Υπολογιστής: όνομα_υπολογιστή
Περιγραφή: Αυτόματη εγγραφή πιστοποιητικών για το τοπικό σύστημα απέτυχε να εγγραφεί για ένα πιστοποιητικό αναπαραγωγή ηλεκτρονικού ταχυδρομείου καταλόγου (0x80070005). Δεν επιτρέπεται η πρόσβαση. Για περισσότερες πληροφορίες, ανατρέξτε στο Κέντρο Βοήθειας και υποστήριξης στο http://support.microsoft.com.
Μήνυμα συμβάντος 2
Τύπος συμβάντος: σφάλμα
Προέλευση συμβάντος: αυτόματη εγγραφή
Κατηγορία συμβάντος: καμία
Το Αναγνωριστικό συμβάντος: 13
Ημ/νία: ημερομηνία
Ώρα: ώρα
Χρήστης: δ/υ
Υπολογιστής: όνομα_υπολογιστή
Περιγραφή: Αυτόματη εγγραφή πιστοποιητικών για το τοπικό σύστημα απέτυχε να εγγραφεί για ένα πιστοποιητικό ελέγχου ταυτότητας σταθμού εργασίας (0x80070005). Δεν επιτρέπεται η πρόσβαση. Για περισσότερες πληροφορίες, ανατρέξτε στο Κέντρο Βοήθειας και υποστήριξης στο http://support.microsoft.com.
Όταν ζητήσετε ένα πιστοποιητικό με μη αυτόματο τρόπο, χρησιμοποιώντας το συμπληρωματικό πρόγραμμα πιστοποιητικών, ενδέχεται να λάβετε το ακόλουθο μήνυμα λάθους:
Η αίτηση πιστοποιητικού απέτυχε λόγω μίας από τις ακόλουθες συνθήκες:-η αίτηση πιστοποιητικού υποβλήθηκε σε μια αρχή έκδοσης πιστοποιητικών (CA) που δεν έχει ξεκινήσει. -Δεν έχετε τα δικαιώματα για αίτηση πιστοποιητικών από τις διαθέσιμες αρχές έκδοσης πιστοποιητικών.
Σημείωση Εάν αυτά τα σφάλματα παρουσιάζονται σε έναν ελεγκτή τομέα, στη συνέχεια, προσθέστε την ομάδα ελεγκτών τομέα στην ομάδα CERTSVC_DCOM_ACCESS. Οι ελεγκτές τομέα δεν είναι μέλη της ευρείας ομάδας οι υπολογιστές του τομέα και δεν θα έχουν επαρκή δικαιώματα DCOM από προεπιλογή.

Εάν αλλάξετε την ιδιότητα μέλους ομάδας για να συμπεριλάβετε την ομάδα ελεγκτών τομέα, πρέπει να επανεκκινήσετε τον ελεγκτή τομέα για να αντανακλούν την αλλαγή.

Τεχνική υποστήριξη για εκδόσεις των Microsoft Windows που βασίζονται σε x64

Εάν το υλικό σας συνοδευόταν από μια έκδοση των Microsoft Windows x64 ήδη εγκατεστημένο, τον κατασκευαστή του υλικού σας παρέχει τεχνική υποστήριξη και Βοήθεια για την έκδοση των Windows x64. Σε αυτήν την περίπτωση, τον κατασκευαστή του υλικού σας παρέχει υποστήριξη επειδή μια έκδοση των Windows x64 περιλαμβανόταν στο υλικό σας. Κατασκευαστής του υλικού σας ενδέχεται να προσάρμοσε την εγκατάσταση της έκδοσης Windows x64 με μοναδικά στοιχεία. Μοναδικά στοιχεία μπορεί να περιλαμβάνουν συγκεκριμένα προγράμματα οδήγησης συσκευών ή προαιρετικές ρυθμίσεις για μεγιστοποίηση των επιδόσεων του υλικού. Microsoft θα σας παράσχει κάθε δυνατή βοήθεια Εάν χρειαστείτε τεχνική υποστήριξη με μια έκδοση των Windows x64. Ωστόσο, ίσως χρειαστεί να επικοινωνήσετε απευθείας με τον κατασκευαστή του. Ο κατασκευαστής σας είναι ο πιο κατάλληλος να υποστηρίξει το λογισμικό που ο ίδιος εγκατέστησε στο υλικό. Εάν έχετε αγοράσει μια έκδοση των Windows x64, όπως μια έκδοση του Microsoft Windows Server 2003 x64 ξεχωριστά, επικοινωνήστε με τη Microsoft για τεχνική υποστήριξη.

Για πληροφορίες σχετικά με την έκδοση των Microsoft Windows XP Professional x64 για το προϊόν, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:Για πληροφορίες προϊόντος σχετικά με εκδόσεις του Microsoft Windows Server 2003 που βασίζονται σε x64, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:Για περισσότερες πληροφορίες σχετικά με τις βελτιώσεις ασφαλείας DCOM που εισάγονται από το Windows Server 2003 SP1, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
Ιδιότητες

Αναγνωριστικό άρθρου: 903220 - Τελευταία αναθεώρηση: 17 Ιαν 2017 - Αναθεώρηση: 1

Σχόλια