WINXP SP2之网络安全技术

    兼容性

　　为了向前的兼容，现有的安全声明项定义为同时允许或拒绝本地和远程访问。也就是说ACE将同时允许本地和远程访问或者同时拒绝本地和远程访问。

　　对于访问和启动权限，不存在向前的兼容性，只是在激活权限上有一个要注意的地方，在COM服务器的现有的安全声明中如果已设定的启动权限比访问权限有更多限制，而且比客户端启用案例所需的最低需求的限制还多，此时必须修改启动权限ACL，使授权客户端得到合适的权限。

　　对于使用默认的安全设定的COM应用程序，不存在向前的兼容性问题。对使用COM激活来动态启动的COM应用程序，也不存在向前的兼容性问题，因为启动权限ACL中已经包含了可以激活这个对象的所有用户。如果这些权限没有正确的设置，当COM服务器没有运行，没有激活权限的用户在试图激活这个COM对象时可能会激活失败。

　　面临最多的兼容性问题将是那些已经通过其他机制启动了的COM应用程序，例如使用资源管理器，服务控制管理启动的COM应用程序。可以通过使用缺省的访问和启动权限覆盖来激活并启动COM服务，或者使用比访问权限更多限制的启动权限来激活并启动。使用缺省的安全覆盖覆盖时，必须核对应用程序特定的启动权限ACL是否给了适当的用户激活权限的授权。如果没有，则必须修改应用程序特定的启动权限，以提供给适当的用户所需的激活授权以保证这些应用程序和Windows组件能够正常的使用COM服务。这些应用程序特定的启动权限储存在注册表中。

　　如果将升级至Windows XP SP2的系统还原到以前的Service Pack，则经过编辑以允许本地访问，远程访问或两者都允许的ACE都将被解译为同时允许本地和远程访问。经过编辑以拒绝本地存取，远程访问或两者都拒绝的ACE将被解译为同时拒绝本地和远程访问。因此，在卸载Service Pack 2时，必须先验证所有的ACE。

　　Windows XP SP2中DCOM设定的新增和更改