Microsoft-Sicherheitsempfehlung: Erhöhung von Berechtigungen durch Umgehung der Windows-Dienstisolierung

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 2264072 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

EINFÜHRUNG

Microsoft stellt eine Sicherheitsempfehlung zu diesem Thema für IT-Experten zur Verfügung. Diese Sicherheitsempfehlung enthält zusätzliche sicherheitsrelevante Informationen. Sie finden die Sicherheitsempfehlung auf folgender Microsoft-Website:
http://www.microsoft.com/germany/technet/sicherheit/empfehlungen/2264072.mspx

Weitere Informationen

Das in dieser Sicherheitsempfehlung beschriebene Windows-Feature "Dienstisolierung" behebt kein Sicherheitsrisiko, sondern ist ein Feature für umfassenden Schutz, das für einige Kunden nützlich sein kann. Die Dienstisolierung ermöglicht z. B. den Zugriff auf bestimmte Objekte, ohne ein Konto mit umfassenden Rechten verwenden zu müssen und ohne Schutz und Sicherheit des Objekts zu beeinträchtigen. Durch Verwenden eines Zugriffssteuerungseintrags, der eine Dienst-SID enthält, kann ein SQL Server-Dienst den Zugriff auf seine Ressourcen beschränken.

Gehen Sie folgendermaßen vor, um die Arbeitsprozessidentität (Worker Process Identity, WPI) für Anwendungspools in IIS manuell zu konfigurieren.

IIS 6.0
  1. Erweitern Sie in IIS Manager den lokalen Computer, erweitern Sie Anwendungspools, klicken Sie mit der rechten Maustaste auf den Anwendungspool, und wählen Sie dann Eigenschaften aus.
  2. Klicken Sie auf die Registerkarte Identität und anschließend auf Konfigurierbar. Geben Sie in die Textfelder Benutzername und Kennwort den Benutzernamen bzw. das Kennwort des Kontos ein, unter dem der Arbeitsprozess ausgeführt werden soll.
  3. Fügen Sie das ausgewählte Benutzerkonto zur Gruppe "IIS_WPG" hinzu.
IIS 7.0 oder höhere Versionen
  1. Öffnen Sie an einer Eingabeaufforderung mit erhöhten Rechten den folgenden Ordner:
    %systemroot%\system32\inetsrv

    Weitere Informationen zum Ausführen eines Befehls mit erhöhten Rechten finden Sie auf der folgenden Microsoft-Webseite:
    http://windows.microsoft.com/de-DE/windows7/Command-Prompt-frequently-asked-questions
  2. Geben Sie die "APPCMD.exe"-Befehle ein, und drücken Sie nach jedem Befehl die EINGABETASTE:
    appcmd set config /section:applicationPools /
    [name='Zeichenfolge'].processModel.Identitätstyp:SpeziellerBenutzer /
    [name='Zeichenfolge'].processModel.Benutzername:Zeichenfolge /
    [name='Zeichenfolge'].processModel.Kennwort:Zeichenfolge /
    Hinweis Passen Sie die Syntax der Befehle folgendermaßen an:
    • Zeichenfolge ist der Name des Anwendungspools
    • Benutzername ist der Benutzername des dem Anwendungspool zugewiesenen Kontos
    • Kennwort ist das Kennwort des Kontos

Eigenschaften

Artikel-ID: 2264072 - Geändert am: Freitag, 13. August 2010 - Version: 1.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Windows 7 Enterprise
  • Windows 7 Home Basic
  • Windows 7 Home Premium
  • Windows 7 Professional
  • Windows 7 Ultimate
  • Windows Server 2008 R2 Standard
  • Windows Server 2008 R2 Enterprise
  • Windows Server 2008 R2 Datacenter
  • Windows Server 2008 Service Pack 2, wenn verwendet mit:
    • Windows Server 2008 for Itanium-Based Systems
    • Windows Server 2008 Datacenter
    • Windows Server 2008 Enterprise
    • Windows Server 2008 Standard
    • Windows Web Server 2008
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Service Pack 2, wenn verwendet mit:
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Windows Vista Service Pack 1, wenn verwendet mit:
    • Windows Vista Business
    • Windows Vista Enterprise
    • Windows Vista Home Basic
    • Windows Vista Home Premium
    • Windows Vista Starter
    • Windows Vista Ultimate
    • Windows Vista Enterprise 64-bit edition
    • Windows Vista Home Basic 64-bit edition
    • Windows Vista Home Premium 64-bit edition
    • Windows Vista Ultimate 64-bit edition
    • Windows Vista Business 64-bit edition
  • Microsoft Windows Server 2003 Service Pack 2, wenn verwendet mit:
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
    • Microsoft Windows Server 2003, Datacenter x64 Edition
    • Microsoft Windows Server 2003, Enterprise x64 Edition
    • Microsoft Windows Server 2003, Standard x64 Edition
    • Microsoft Windows XP Professional x64 Edition
    • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
    • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows XP Service Pack 3, wenn verwendet mit:
    • Microsoft Windows XP Home Edition
    • Microsoft Windows XP Professional
Keywords: 
kbexpertiseinter kbinfo kbsecadvisory kbsecurity kbsecvulnerability KB2264072
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com