Microsoft Security Advisory: Udvidelse af rettigheder ved hjælp af tilsidesættelse af Windows Service Isolation


INTRODUKTION


Microsoft har udgivet Microsoft Security Advisory vedrørende dette problem til it-teknikere. Security Advisory indeholder ekstra sikkerhedsrelaterede oplysninger. Du kan få vist Security Advisory på følgende Microsoft-websted. :

Yderligere Information


Funktionen Windows Service Isolation, der er beskrevet heri, retter ikke sikkerhedsrisici. Det er i stedet en funktion med dybtgående beskyttelse, der kan være nyttig for nogle brugere. Service Isolation muliggør f.eks. adgang til bestemte objekter uden, at det er nødvendigt at bruge en konto med udvidede rettigheder eller at slække på sikkerhedsbeskyttelsen af objektet. Ved at bruge en adgangskontrolpost, der indeholder et tjeneste-SID, kan en SQL Server-tjeneste begrænse adgangen til sine ressourcer.Benyt følgende fremgangsmåde til manuelt at konfigurere arbejdsprocessers identiteter (WPI) til IIS-programgrupper.

IIS 6.0
 1. I IIS Manager skal du udvide den lokale computer, udvide Programgrupper, højreklikke på programgruppen og derefter vælge Egenskaber.
 2. Klik på fanen Identitet, og klik derefter på Konfigurerbar. I tekstfelterne Brugernavn og Adgangskode skal du skrive brugernavnet og adgangskoden for den konto, der skal bruges til arbejdsprocessen.
 3. Føj den valgte brugerkonto til gruppen IIS_WPG.
IIS 7.0 og nyere versioner
 1. Åbn følgende mappe, når der vises en kommandoprompt med administratorrettigheder:

  %systemroot%\system32\inetsrv

  Du kan finde oplysninger om, hvordan du kører en kommando med administratorrettigheder, på følgende Microsoft-webside: 2. Skriv APPCMD.exe-kommandoerne, og tryk på Enter efter hver enkelt kommando.


  appcmd set config /section:applicationPools /
  [name='string'].processModel.identityType:SpecificUser /
  [name='string'].processModel.userName:string /
  [name='string'].processModel.password:string
  Bemærk!
  Du skal justere syntaksen i kommandoerne i henhold til nedenstående:

  • string er navnet på den aktuelle bruger
  • userName er brugernavnet på den konto, programgruppen er tildelt
  • password er adgangskoden til kontoen