الأمان من Microsoft Advisory: رفع الامتياز باستخدام تجاوز عزل خدمة Windows

ينتهي دعم Windows Vista Service Pack 1 (SP1) في 12 يوليو 2011. لمتابعة تلقي تحديثات الأمان لنظام التشغيل Windows، تأكد من تشغيل Windows Vista مع حزمة الخدمة 2 (SP2). لمزيد من المعلومات، راجع صفحة ويب Microsoft هذه: ينتهي الدعم لبعض إصدارات Windows.

أصدرت Microsoft استشارة أمان Microsoft حول هذه المشكلة لمتخصصي تكنولوجيا المعلومات. تحتوي النصائح الأمنية على معلومات إضافية متعلقة بالأمان. لعرض النصائح الإرشادية للأمان، تفضل بزيارة موقع Microsoft على ويب التالي:

http://www.microsoft.com/technet/security/advisory/2264072.mspx

مقدمه

لا تقوم ميزة عزل خدمة Windows الموضحة في هذه النصائح الإرشادية بتصحيح ثغرة أمنية. بدلا من ذلك، إنها ميزة دفاعية متعمقة قد تكون مفيدة لبعض العملاء. على سبيل المثال، يتيح عزل الخدمة الوصول إلى كائنات معينة دون الحاجة إلى تشغيل حساب عالي الامتياز أو إضعاف حماية الأمان للكائن. باستخدام إدخال التحكم في الوصول الذي يحتوي على SID للخدمة، يمكن لخدمة SQL Server تقييد الوصول إلى مواردها.

لتكوين هوية عملية العامل (WPI) يدويا لتجمعات التطبيقات في IIS، اتبع هذه الخطوات.

ل IIS 6.0

  1. في IIS Manager، قم بتوسيع الكمبيوتر المحلي، وقم بتوسيع تجمعات التطبيقات، وانقر بزر الماوس الأيمن فوق تجمع التطبيقات، ثم حدد خصائص.
  2. انقر فوق علامة التبويب Identity ، ثم انقر فوق Configurable. في مربعي النص اسم المستخدموكلمة المرور ، اكتب اسم المستخدم وكلمة المرور للحساب الذي تريد أن تعمل عملية العامل بموجبهما.
  3. أضف حساب المستخدم المحدد إلى مجموعة IIS_WPG.

بالنسبة إلى IIS 7.0 والإصدارات الأحدث

  1. في موجه أوامر غير مقيد، افتح المجلد التالي:

    ٪systemroot٪\system32\inetsrv
    لمزيد من المعلومات حول كيفية تشغيل أمر بامتيازات مرتفعة، تفضل بزيارة صفحة Microsoft Web التالية:

    http://windows.microsoft.com/en-US/windows7/Command-Prompt-frequently-asked-questions

  2. اكتب أوامر APPCMD.exe، واضغط على ENTER بعد كل أمر:

    تكوين مجموعة appcmd /section:applicationPools /
    [name='string'].processModel. identityType:SpecificUser /
    [name='string'].processModel. userName:string /
    [name='string'].processModel. كلمة المرور:سلسلة
    ملاحظة يجب ضبط بناء الجملة في الأوامر، اعتمادا على ما يلي:

    • السلسلة هي اسم تجمع التطبيقات
    • userName هو اسم المستخدم للحساب الذي تم تعيينه إلى تجمع التطبيقات
    • كلمة المرور هي كلمة المرور للحساب

المزيد من المعلومات