Отправляет email-рассылки с помощью сервиса Sendsay

Секреты Windows: статьи о реестре, rundll32.exe, программах

Рассылка закрыта

При закрытии подписчики были переданы в рассылку "Всё о работе в Интернет" на которую и рекомендуем вам подписаться.

Вы можете найти рассылки сходной тематики в Каталоге рассылок.

  Октябрь 2009  
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
25.10.2009
02:00:29
02:00:49
26
27
28
29
30
31
Автор
Клименко Роман aka parad0x

Статистика

3.339 подписчиков
-4 за неделю
  Все выпуски  

Секреты Windows: статьи о реестре, rundll32.exe, программах


Глава 6. Службы Windows Vista. 6.9. COM+, DCOM и RPC - начало
Дата: 4 октября 2009, воскресенье

Новинки нашей сети

выходной... как много в этом слове =)
http://neodn.ru. Добавлена статья Создание карандаша с помощью лофтинга.
http://hand.co.ua. Добавлен базовый массажный прием Растирание
http://mylink.co.ua. Добавлено описание новых сайтов: http://www.hackingspirits.com, http://www.firewallleaktester.com, http://www.grc.com/lt/leaktest.htm.
http://regedit.co.ua. Обновлено описание некоторых параметров и ветвей реестра.
http://progi.co.ua. Добавлено описание бесплатной программы eLibrary.

В конец записи

Технологии COM, DCOM и RPC предназначены для запуска и работы с сетевыми приложениями.

Технология COM реализует возможность использования одним приложением (клиентом) какого-либо модуля другого приложения (сервера) так, как будто этот модуль принадлежит непосредственно приложению-клиенту. При этом нет никакой разницы, расположено ли приложение-клиент и приложение-сервер на одном компьютере, или они расположены на разных компьютерах (также нет никакой разницы, являются ли приложение-клиент и приложение-сервер родственными приложениями, или это совершенно разные программы, созданные разными разработчиками).

Технология DCOM является расширением COM, поддерживающим среду распределенных вычислений (DCE), а также механизм удаленного вызова процедур (RPC). Служба DCOM используется для установки взаимодействия между двумя компонентами COM, расположенными на разных компьютерах, то есть, является примером двухзвенной распределенной архитектуры.

В Windows Vista эти технологии основаны на службах, описанных ниже.

Модуль запуска процессов DCOM-сервера (DcomLaunch)

Подраздел службы: DcomLaunch 

Тип запуска автоматически
Учетная запись система
Привилегии SeAssignPrimaryTokenPrivilege, SeAuditPrivilege,
 SeChangeNotifyPrivilege, SeCreateGlobalPrivilege,
 SeDebugPrivilege, SeImpersonatePrivilege,
 SeIncreaseQuotaPrivilege, SeTcbPrivilege
Файлы службы rpcss.dll
Исполняемый файл svchost.exe -k DcomLaunch
Группа COM Infrastructure
От чего зависит нет
Зависящие службы Wuauserv, WSearch, wscsvc, WPDBusEnum,
 WPCSvc, Wlansvc, WinRM, SharedAccess, iphlpsvc, Winmgmt,
 WinDefend, WcsPlugInService, wcncsvc, VSS, vds, TrkWks,
 UmRdpService, Mcx2Svc, TermService, RemoteAccess, RasAuto,
 RasMan, Fax, TapiSrv, TabletInputService, SysMain, swprv,
 stisvc, Spooler, SLUINotify, EMDMgmt, slsvc, ShellHWDetection,
 SessionEnv, SDRSVC, SCPolicySvc, Schedule, MSDTC, Browser,
 LanmanServer, KtmRm, SamSs, RemoteRegistry, WcesComm, RapiMgr,
 QWAVE, ProtectedStorage, Appinfo, ProfSvc, pla, PcaSvc, netprofm,
 NlaSvc, Netman, napagent, msiserver, lltdsvc, dot3svc, EapHost,
 KeyIso, IPBusEnum, hkmsvc, gpsvc, FDResPub, fdPHost, COMSysApp,
 SENS, DFSR, BITS, EventSystem, ehstart, ehSched, ehRecvr,
 CscService, CertPropSvc, BthServ, PolicyAgent, MpsSvc,
 IKEEXT, BFE, Audiosrv, RpcSs
Ошибка запуска предупредить пользователя
Тип SID нет
Безопасный режим да/да

Данная служба реализует возможность запуска процессов DCOM на локальном компьютере.

По умолчанию доступ на изменение к подразделу реестра для данной службы запрещен даже для администраторов.

Настройка возможностей DCOM при помощи групповых политик

Настроить некоторые возможности DCOM можно при помощи групповых политик раздела КОНФИГУРАЦИЯ КОМПЬЮТЕРА/АДМИНИСТРАТИВНЫЕ ШАБЛОНЫ/СИСТЕМА/РАСПРЕДЕЛЕННАЯ МОДЕЛЬ СОМ/ПАРАМЕТРЫ СОВМЕСТИМОСТИ ПРИЛОЖЕНИЙ.

Групповая политика РАЗРЕШАТЬ ЛОКАЛЬНЫЕ ИСКЛЮЧЕНИЯ ПРОВЕРКИ БЕЗОПАСНОСТИ ПРИ АКТИВАЦИИ изменяет значение параметра DWORD-типа AllowLocalActivationSecurityCheckExemptionList ветви реестра HKLM\SOFTWARE\Policies\Microsoft\Windows NT\DCOM\AppCompat. Данная политика позволяет определить, будет ли разрешено помимо списка, заданного политикой ЗАДАТЬ ИСКЛЮЧЕНИЯ ПРОВЕРКИ БЕЗОПАСНОСТИ ПРИ АКТИВАЦИИ, использовать локальный список AppID, которые будут исключены из проверки безопасности при активации DCOM.

Групповая политика ЗАДАТЬ ИСКЛЮЧЕНИЯ ПРОВЕРКИ БЕЗОПАСНОСТИ ПРИ АКТИВАЦИИ позволяет указать CLSID-номера приложений DCOM-сервера (AppID), которые будут исключены из проверки безопасности при активации DCOM. Она изменяет значение параметра DWORD-типа ListBox_Support_ActivationSecurityCheckExemptionList ветви HKLM\SOFTWARE\Policies\Microsoft\Windows NT\DCOM\AppCompat. Также изменяются значения параметров строкового типа ветви реестра HKLM\SOFTWARE\Policies\Microsoft\Windows NT\DCOM\AppCompat\ActivationSecurityCheckExemptionList — именно параметры этой ветви и определяют CLSID-номера приложений DCOM, которые можно исключить из проверки.

Просмотр приложений DCOM

Вы, наверное, знаете, что просмотреть и настроить установленные в операционной системе компоненты DCOM можно при помощи оснастки СЛУЖБЫ КОМПОНЕНТОВ (консоль comexp.msc), однако также это можно сделать при помощи программы wmic.exe.

Например, чтобы просмотреть список всех AppID установленных компонентов DCOM, а также их описание, имена и дату создания, достаточно воспользоваться командой wmic dcomapp get.

Также можно воспользоваться синтаксисом wmic dcomapp create AppID="значение", name="значение"…, чтобы зарегистрировать новый компонент DCOM.

Если же воспользоваться синтаксисом wmic dcomapp delete опции, тогда можно удалить зарегистрированный компонент DCOM.

Удаленный вызов процедур (RPC) (RpcSs)

Подраздел службы: RpcSs 

Тип запуска Автоматически
Учетная запись сетевая служба
Привилегии SeAuditPrivilege, SeChangeNotifyPrivilege,
 SeCreateGlobalPrivilege, SeImpersonatePrivilege
Файлы службы rpcss.dll
Исполняемый файл svchost.exe -k rpcss
Группа COM Infrastructure
От чего зависит Служба DcomLaunch
Зависящие службы Wuauserv, WSearch, wscsvc, WPDBusEnum,
 WPCSvc, Wlansvc, WinRM, SharedAccess, iphlpsvc, Winmgmt,
 WinDefend, WcsPlugInService, wcncsvc, VSS, vds, TrkWks,
 UmRdpService, Mcx2Svc, TermService, RemoteAccess, RasAuto,
 RasMan, Fax, TapiSrv, TabletInputService, SysMain, swprv,
 stisvc, Spooler, SLUINotify, EMDMgmt, slsvc, ShellHWDetection,
 SessionEnv, SDRSVC, SCPolicySvc, Schedule, MSDTC, Browser,
 LanmanServer, KtmRm, SamSs, RemoteRegistry, WcesComm, RapiMgr,
 QWAVE, ProtectedStorage, Appinfo, ProfSvc, pla, PcaSvc,
 netprofm, NlaSvc, Netman, napagent, msiserver, lltdsvc,
 dot3svc, EapHost, KeyIso, IPBusEnum, hkmsvc, gpsvc, FDResPub,
 fdPHost, COMSysApp, SENS, DFSR, BITS, EventSystem, ehstart,
 ehSched, ehRecvr, CscService, CryptSvc, CertPropSvc, BthServ,
 PolicyAgent, MpsSvc, IKEEXT, BFE, Audiosrv
Ошибка запуска предупредить пользователя
Тип SID неограниченный
Безопасный режим да/да

Данная служба является основой для протокола удаленного доступа RPC, поэтому после ее отключения протокол RPC работать не сможет.

Работать с настройками данной службы можно при помощи синтаксиса netsh rpc, рассмотренного нами в главе данной книги, посвященной стандартным программам операционной системы.

Программа пингования серверов удаленного доступа

В операционной системе Windows Vista присутствует программа rpcping.exe, с помощью которой можно выполнить пингование серверов удаленного доступа при помощи протокола RPC. Опции данной программы представлены в таблице ниже.

Таблица 6.81. Опции программы rpcping.exe

  • -t «протоколы». Последовательность протоколов, используемых для пингования. Значения опции: ncacn_ip_tcp, ncacn_np, ncacn_http (по умолчанию ncacn_ip_tcp).
  • -s «компьютер». Компьютер, серверы которого будут пинговаться. По умолчанию пингуются серверы локального компьютера.
  • -i «количество». Количество попыток связаться с сервером (по умолчанию одна).
  • -u «протокол». Протокол аутентификации, используемый при связи с сервером. Значения: Negotiate | NTLM | SChannel | Kerberos.
  • -a «уровень». Уровень аутентификации для протокола аутентификации. Значения: connect, call, pkt, integrity и privacy.
  • -l «лог-файл». Лог-файл, хранящий сведения о пинговании сервера.
  • -v «уровень». Уровень протоколирования. Максимальное значение опции 3 (по умолчанию 1).
  • -M «уровень». Уровень заимствования прав при соединении с сервером. Значения: anonymous, identify, impersonate или delegate (по умолчанию impersonate).
  • -P «учетные данные». Имя пользователя, пароль и домен, используемые для пингования сервера, если установлен прокси-сервер.
  • -F «флаги». Флаги параметров аутентификации RPC/HTTP. Значения: ssl (использование ssl при аутентификации) или first (использование указанной схемы).
  • -H Basic|NTLM|Cert. Определяет схему аутентификации.
  • -c. Выполнять аутентификацию на основе сертификата смарт-карты.
  • -d. Запустить сетевую диагностику службы Удаленный вызов процедур.

Настройка удаленного вызова процедур

Для настройки работы протокола RPC применяются групповые политики, расположенные в разделе КОНФИГУРАЦИЯ КОМПЬЮТЕРА/АДМИНИСТРАТИВНЫЕ ШАБЛОНЫ/СИСТЕМА/ВЫЗОВ УДАЛЕННОЙ ПРОЦЕДУРЫ. Эти политики изменяют значения параметров DWORD-типа, представленных в таблицах ниже.

После установки групповой политики ОГРАНИЧЕНИЯ ДЛЯ НЕ ПРОШЕДШИХ ПРОВЕРКУ ПОДЛИННОСТИ RPC-КЛИЕНТОВ к серверу RPC данного компьютера смогут подключиться лишь клиенты, использующие именованный канал для связи с сервером, или использующие RPC-безопасность.

Таблица 6.82. Ветвь HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Rpc 

EnableAuthEpResolution Проверка RPC-клиентов сопоставителя конечных точек
*ExtErrorInfoExceptions, ExtErrorInformation Передача расширенных сведений об ошибках
RestrictRemoteClients Ограничения для не прошедших проверку подлинности RPC-клиентов
StateInformation Диагностические сведения о состоянии RPC

*параметр имеет строковый тип.

Таблица 6.83. HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Rpc\IgnoreDelegationFailure 

IgnoreDelegationFailure Пропустить сбой делегирования

Таблица 6.84. Ветвь HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Rpc\IgnoreDelegationFailure\MinimumConnectionTimeout 

MinimumConnectionTimeout Минимальное время ожидания
 простаивающих подключений для RPC/HTTP-подключений

Продолжение следует
Рейтинг: 0 
Оцените: 1 2 3 4 5
moemesto.ru bobrdobr.ru - добавить в социальные закладки
В начало записи
Оригинал статьи: http://www.onestyle.com.ua/txt.php?u=668
В избранное