Съвети за защита на Microsoft: Повишаване на привилегиите с помощта на заобикаляне на изолацията на услуги на Windows

Поддръжката за Windows Vista Service Pack 1 (SP1) приключва на 12 юли 2011 г. За да продължите да получавате актуализации на защитата за Windows, използвайте Windows Vista със Service Pack 2 (SP2). За повече информация вижте следната уеб страница на Microsoft: Приключва поддръжката за някои версии на Windows.

Microsoft издаде съветник за защитата на Microsoft относно този проблем за ИТ специалисти. Съветите за сигурност съдържат допълнителна информация, свързана със защитата. За да прегледате съобщението за защита, посетете следния уеб сайт на Microsoft:

http://www.microsoft.com/technet/security/advisory/2264072.mspx

ВЪВЕДЕНИЕ

Функцията "Изолиране на услуги на Windows", описана в тази препоръка, не коригира уязвимост в защитата. Вместо това това е функция за защита в дълбочина, която може да е полезна за някои клиенти. Например изолирането на услуга позволява достъп до конкретни обекти, без да е необходимо да се изпълнява акаунт с високи привилегии или да се отслабва защитата на обекта. С помощта на запис за контрол на достъпа, който съдържа SID на услуга, услугата на SQL Server може да ограничи достъпа до своите ресурси.

За да конфигурирате ръчно самоличността на работен процес (WPI) за набори приложения в IIS, изпълнете следните стъпки.

За IIS 6.0

  1. В IIS Manager разгънете локалния компютър, разгънете наборите приложения, щракнете с десния бутон върху набора приложения и след това изберете "Свойства".
  2. Щракнете върху раздела "Самоличност " и след това щракнете върху "С възможност за конфигуриране". В текстовите полета Потребителско име и парола въведете потребителското име и паролата за акаунта, чрез който искате да работи процесът на работника.
  3. Добавяне на избрания потребителски акаунт към групата IIS_WPG.

За IIS 7.0 и по-нови версии

  1. В команден прозорец с администраторски права отворете следната папка:

    %systemroot%\system32\inetsrv
    За повече информация как да изпълните команда с повишени привилегии, посетете следната уеб страница на Microsoft:

    http://windows.microsoft.com/en-US/windows7/Command-Prompt-frequently-asked-questions

  2. Въведете командите на APPCMD.exe и натискайте ENTER след всяка команда:

    appcmd set config /section:applicationPools /
    [name='string'].processModel. identityType:SpecificUser /
    [name='string'].processModel. потребителско име:низ /
    [name='string'].processModel. password:string
    Обърнете внимание, че трябва да промените синтаксиса в командите в зависимост от следното:

    • string е името на набора приложения
    • userName е потребителското име на акаунта, който е присвоен към набора приложения
    • Паролата е паролата за акаунта

Повече информация