Blog Datensicherheit

Was ist ein DCOM (Distributed Component Object Model)?

DCOM (Distributed Component Object Model ) ist eine von Microsoft entwickelte Softwarekomponente, mit der COM-Objekte über das Netzwerk miteinander kommunizieren können. Mit diesem Programmierungsmodell, kann ein Computer Programme über das...
Michael Buckbee
3 minute gelesen
Letzte aktualisierung 7. Juli 2023

Contents

    DCOM (Distributed Component Object Model ) ist eine von Microsoft entwickelte Softwarekomponente, mit der COM-Objekte über das Netzwerk miteinander kommunizieren können. Mit diesem Programmierungsmodell, kann ein Computer Programme über das Netzwerk auf einem anderen Computer so ausführen, als würde das Programm lokal ausgeführt.

    Entdecken Sie Ihre Schwachstellen und stärken Sie Ihre Resilienz: Führen Sie einen kostenlosen Ransomware-Bereitschaftstest durch

    Als Erweiterung von COM löst DCOM einige inhärente Probleme des COM-Modells, um den Einsatz über das Netzwerk zu erleichtern:

    Marshalling: Marshalling hilft bei der Anforderung, Daten von einer COM-Objektinstanz auf einen anderen Computer zu übertragen – in Programmierungsterminologie nennt man das „Argumente übergeben“. Wenn ich beispielsweise Zaphods Nachnamen haben möchte, würde ich das COM-Objekt Nachname mit dem Argument Zaphod aufrufen. Die Funktion Nachname würde einen Remote Procedure Call (RPC) ausführen, um vom anderen COM-Objekt auf dem Zielserver den Ausgabewert von Nachname(Zaphod) anzufordern, der dann die Antwort – Beeblebrox – an das erste COM-Objekt zurücksenden würde.

    Verteilte Garbage Collection: Die verteilte Garbage Collection wurde entwickelt, um DCOM für hohen Internet-Datenverkehr zu skalieren, und bietet außerdem eine Methode, um abgeschlossene oder nicht mehr genutzte DCOM-Objekte zu löschen oder zurückzuführen. Damit soll eine Überlastung der Webserver-Speicher verhindert werden. Sie kommuniziert der Reihe nach mit den anderen Servern in der Transaktionskette, um ihnen mitzuteilen, dass sie die mit einer Transaktion verbundenen Objekte verwerfen können.

    Verwendung von DCE/RPC als zugrunde liegender RPC-Mechanismus: Um die vorstehend genannten Punkte möglich zu machen und zu versuchen, den Webverkehr zu skalieren, hat Microsoft DCE/RPC als die zugrundeliegende Technologie für DCOM implementiert – woher das D in DCOM stammt.

    illustration dcom solves problems with com model

    Wie funktioniert DCOM ?

    Damit DCOM funktionieren kann, muss das COM-Objekt auf beiden Computern korrekt konfiguriert sein – unserer Erfahrung nach ist das selten der Fall, und wir mussten die Objekte mehrere Male deinstallieren und erneut installieren, bis sie funktionierten.

    Die Windows Registry enthält die DCOM-Konfigurationsdaten unter 3 Identifikatoren:

    • CLSID – Der Class Identifier (CLSID) ist ein Global Unique Identifier (GUID). Windows speichert einen CLSID für jede in einem Programm installierte Klasse. Wenn Sie eine Klasse ausführen möchten, müssen Sie die korrekte CLSID kennen, um Windows mitzuteilen, wo das Programm zu finden ist.
    • PROGID – Der Programmatic Identifier (PROGID) ist ein optionaler Identifikator, mit dem ein Programmierer die kompliziertere und striktere CLSID ersetzen kann. PROGIDs sind üblicherweise einfacher zu lesen und zu verstehen. Eine einfache PRODID könnte in unserem vorherigen Beispiel Anhalter.Nachname sein. Es gibt eine Beschränkung, wie viele PROGIDs denselben Namen haben können, was manchmal Probleme verursacht.
    • APPID – Der Application Identifier (APPID) kennzeichnet alle Klassen, die Teil desselben ausführbaren Programms sind, und die für den Zugriff erforderlichen Berechtigungen. DCOM kann nicht funktionieren, wenn die APPID falsch ist. Meiner Erfahrung nach werden Sie wahrscheinlich bei dem Versuch, das Remote-Objekt zu erstellen, Berechtigungsfehler erhalten.

    Eine einfache DCOM-Transaktion sieht folgendermaßen aus:

    1. Der Client-Computer fordert den Remote-Computer auf, ein Objekt mit seiner CLSID oder PROGID zu erstellen. Wenn der Client die APPID übergibt, schlägt der Remote-Computer die CLSID mit der PROGID nach.
    2. Der Remote-Rechner prüft die APPID und verifiziert, dass der Client zum Erstellen des Objekts berechtigt ist.
    3. Mit DCOMLaunch.exe (bei einer exe) oder DLLHOST.exe (bei einer dll) wird eine Instanz der vom Client-Computer angeforderten Klasse erstellt.
    4. Die Kommunikation war erfolgreich!
    5. Der Client kann nun auf alle Funktionen in der Klasse auf dem Remote-Computer zugreifen.

    Wenn die APPID nicht korrekt konfiguriert ist, der Client nicht über die erforderlichen Berechtigungen verfügt, die CLSID auf eine alte Version der exe verweist oder ein anderes von zahlreichen Problemen vorliegt, erhalten Sie voraussichtlich die gefürchtete „Can‘t Create Object“-Benachrichtigung.

    DCOM vs. CORBA

    Common Object Request Broker Architecture (CORBA) ist eine JAVA-basierte Anwendung, die im Grunde dieselbe Funktion hat wie DCOM. Im Unterschied zu DCOM ist CORBA nicht an ein bestimmtes Betriebssystem (OS) gebunden und kann auf UNIX, Linux, SUN, OS X und anderen UNIX-basierten Plattformen verwendet werden.

    Keines der beiden hat sich als sicher oder skalierbar genug erwiesen, um sich als Standard für umfangreichen Webverkehr durchzusetzen. DCOM und CORBA arbeiteten nicht gut mit Firewalls zusammen, weshalb HTTP als Standardprotokoll für das Internet übernommen wurde.

    DCOM what is corba illustration

    Wozu wird DCOM benötigt?

    DCOM hat sich im Wettbewerb das Standardprotokoll für das Internet zu werden nicht durchgesetzt, ist aber weiterhin in das Windows-OS integriert und wird für die Kommunikation zahlreicher Windows-Dienste verwendet – zum Beispiel von der Microsoft Management Console (MMC).

    Weil mit DCOM Programme auf anderen Computern ausgeführt werden können, wird es von Hackern für Angriffe über laterale Bewegungen in Ihrem Netzwerk genutzt, um Zugriff auf mehr Daten zu erlangen. Diese Aktivitäten können schwierig zu erkennen sein, weil keine Malware oder Hacker-Tools eingesetzt werden: Für den Zugriff auf DCOM benötigt der Angreifer nur PowerShell.

    Die gute Nachricht ist: Selbst wenn der Hacker mit DCOM auf Ihre sensiblen Daten zugreifen kann, hilft Varonis Ihnen dabei, den versuchten Datenzugriff zu entdecken (und zu stoppen). Varonis überwacht die Aktivitäten in Ihren Kerndatenspeichern und analysiert diese Aktivitäten auf anormales Benutzerverhalten und verdächtige Aktivitäten. Sehen Sie selbst, wie Varonis in Ihre Datensicherheitsstrategie passt, mit einer individuellen 1:1-Demo.

    Wie soll ich vorgehen?

    Im Folgenden finden Sie drei Möglichkeiten, wie Sie das Datenrisiko in Ihrem Unternehmen verringern können:

    1

    Vereinbaren Sie eine Demo mit uns, um Varonis in Aktion zu erleben. Wir passen die Session an die Datensicherheitsanforderungen Ihres Unternehmens an und beantworten alle Fragen.

    2

    Sehen Sie sich ein Beispiel unserer Datenrisikobewertung an und erfahren Sie, welche Risiken in Ihrer Umgebung lauern könnten. Varonis DRA ist völlig kostenlos und bietet einen klaren Weg zur automatischen Sanierung.

    3

    Folgen Sie uns auf LinkedIn, YouTubeund X (Twitter), um kurze Einblicke in alle Themen der Datensicherheit zu erhalten, einschließlich Data Security Posture Management (DSPM), Bedrohungserkennung, KI-Sicherheit und mehr.

    Michael Buckbee
    Michael Buckbee Michael hat als Systemadministrator und Softwareentwickler für Startups im Silicon Valley, die US Navy und alles dazwischen gearbeitet.

    Testen Sie Varonis gratis.

    Detaillierte Zusammenfassung Ihrer Datensicherheitsrisiken
    Umsetzbare Empfehlungen, die auf Ihre Bedürfnisse zugeschnitten sind
    Ohne Bedingungen und Auflagen
    Erste Schritte Vorschau des Beispielreports

    Weiter lesen

    Varonis bewältigt Hunderte von Anwendungsfällen und ist damit die ultimative Plattform, um Datenschutzverletzungen zu stoppen und Compliance sicherzustellen.

    was-ist-ein-smb-port-und-erklärung-der-ports-445-und-139
    Was ist ein SMB-Port und Erklärung der Ports 445 und 139
    was-ist-ein-smb-port-und-erklärung-der-ports-445-und-139
    Michael Buckbee
    21. Februar 2019
    Mithilfe des SMB-Protokolls, das der „Prozesskommunikation“ dient, können Anwendungen und Dienste auf über ein Netzwerk verbundenen Computern untereinander kommunizieren – man könnte also auch sagen, dass SMB eine der Sprachen...
    dnsmessenger:-der-beliebteste-remote-access-trojaner-(rat)-des-jahres-2017
    DNSMessenger: der beliebteste Remote Access-Trojaner (RAT) des Jahres 2017
    dnsmessenger:-der-beliebteste-remote-access-trojaner-(rat)-des-jahres-2017
    Michael Buckbee
    20. April 2018
    Ich habe in den letzten Jahren schon viel über Remote Access-Trojaner (RATs) geschrieben. Deshalb war ich überzeugt, dass bei diesem klassischen Hacker-Programm nicht viel Innovatives zu erwarten sei. Wie wir...
    leitfaden-für-den-gruppenrichtlinien--editor-:-konfigurieren-und-verwenden
    Leitfaden für den Gruppenrichtlinien -Editor : Konfigurieren und Verwenden
    leitfaden-für-den-gruppenrichtlinien--editor-:-konfigurieren-und-verwenden
    Michael Buckbee
    1. Juni 2019
    Der Gruppenrichtlinien-Editor ist ein Administrationstool von Windows, mit dem Benutzer viele wichtige Einstellungen auf ihren Computern oder im Netzwerk konfigurieren können. Administratoren können Passwortanforderungen festlegen, beim Systemstart gestartete Programme definieren...
    untersuchung-der-windows-dateiaktivität-mithilfe-des-ereignisprotokolls-von-windows
    Untersuchung der Windows-Dateiaktivität mithilfe des Ereignisprotokolls von Windows
    untersuchung-der-windows-dateiaktivität-mithilfe-des-ereignisprotokolls-von-windows
    Carl Groves
    4. August 2017
    Man hätte hoffen können, das Microsoft eindeutige und kohärente Dateiaktivitätsereignisse im Ereignisprotokoll von Windows bereitstellen würde. Das Dateiaktivitätsprotokoll ist aus den üblichen Gründen sehr wichtig – Compliance, Forensik, Überwachung von...