نصائح إرشادية للأمان من Microsoft: رفع الامتيازات باستخدام تجاوز عزل خدمة Windows‏

مقدمة

قامت Microsoft بإصدار "نصائح إرشادية للأمان من Microsoft" خاصة بهذه المشكلة لمتخصصي تكنولوجيا المعلومات. وتحتوي النصائح الإرشادية للأمان على معلومات إضافية ذات صلة بالأمان. لعرض "النصائح الإرشادية للأمان"، قم بزيارة موقع Microsoft التالي على الويب:

معلومات أخرى

لا تعمل ميزة "عزل خدمة Windows" الموضحة في هذه الإرشادات على تصحيح ثغرة أمنية. بدلاً من ذلك، فإنها ميزة عمق دفاعي والتي قد تفيد بعض العملاء. على سبيل المثال، يعمل عزل الخدمة على تمكين الوصول إلى كائنات محددة بدون الحاجة إلى تشغيل حساب ذو امتيازات مرتفعة أو إضعاف الحماية الأمنية للكائن. من خلال استخدام إدخال عنصر تحكم الوصول الذي يتضمن SID للخدمة، تتمكن خدمة SQL Server من تقييد الوصول إلى موارده.



لتكوين "هوية معالجة العمل" ‏(WPI) لتجمعات التطبيقات في IIS، اتبع هذه الخطوات.

بالنسبة لإصدار IIS 6.0
  1. في إدارة IIS، قم بتوسيع الكمبيوتر المحلي، قم بتوسيع تجمعات التطبيقات، انقر بزر الماوس الأيمن فوق تجمع التطبيقات، ثم حدد خصائص.
  2. انقر فوق علامة التبويب الهوية، ثم انقر فوق قابل للتكوين. في مربعي النصوص اسم المستخدم وكلمة المرور، اكتب اسم المستخدم وكلمة المرور الخاصة بالحساب حيث تريد تشغيل معالجة العمل ضمنه.
  3. قم بإضافة حساب المستخدم المحدد إلى مجموعة IIS_WPG.
بالنسبة لإصدار IIS 7.0 والإصدارات اللاحقة
  1. في موجه أوامر غير مقيد، افتح المجلد التالي:

    ‎%systemroot‎%\system32\inetsrv

    لمزيد من المعلومات حول كيفية تشغيل أمر بامتيازات نشطة، قم بزيارة صفحة Microsoft التالية على الويب:



  2. اكتب أوامر APPCMD.exe، ثم اضغط مفتاح "الإدخال" بعد كل أمر:


    appcmd set config /section:applicationPools /
    [name='السلسلة'].processModel.identityType:SpecificUser /
    [name='السلسلة'].processModel.اسم المستخدم:السلسلة /
    [name='السلسلة'].processModel.كلمة المرور:السلسلة
    ملاحظة يجب تعديل بنية الجملة في الأوامر، طبقًا لما يلي:


    • السلسلة هو اسم تجمع التطبيقات
    • اسم المستخدم هو اسم مستخدم الحساب الذي تم تعيينه إلى تجمع التطبيقات
    • كلمة المرور هي كلمة مرور الحساب
خصائص

رقم الموضوع: 2264072 - آخر مراجعة: 19‏/08‏/2010 - المراجعة: 1

تعليقات