Microsoft Security Advisory: Rettighedsudvidelse ved hjælp af Tilsidesættelse af Windows-tjenesteisolation

Support til Windows Vista Service Pack 1 (SP1) ophører den 12. juli 2011. Hvis du vil fortsætte med at modtage sikkerhedsopdateringer til Windows, skal du kontrollere, at du kører Windows Vista med Service Pack 2 (SP2). Du kan finde flere oplysninger på denne Microsoft-webside: Support ophører for nogle versioner af Windows.

Microsoft har udgivet en Sikkerhedsmeddelelse fra Microsoft om dette problem til it-fagfolk. Sikkerhedsmeddelelsen indeholder yderligere sikkerhedsrelaterede oplysninger. Hvis du vil have vist sikkerhedsmeddelelsen, skal du besøge følgende Microsoft-websted:

http://www.microsoft.com/technet/security/advisory/2264072.mspx

INDFØRELSEN

Funktionen Windows Service Isolation, der er beskrevet i denne vejledning, løser ikke en sikkerhedsrisiko. I stedet er det en forsvars-i-dybdegående funktion, der kan være nyttig for nogle kunder. Tjenesteisolering giver f.eks. adgang til bestemte objekter uden at skulle køre en konto med høj rettighed eller svække sikkerhedsbeskyttelsen af objektet. Ved hjælp af en adgangskontrolpost, der indeholder et tjeneste-SID, kan en SQL Server tjeneste begrænse adgangen til dens ressourcer.

Hvis du manuelt vil konfigurere WPI (Worker Process Identity) for programgrupper i IIS, skal du følge disse trin.

For IIS 6.0

  1. Udvid den lokale computer i IIS Manager, udvid Programgrupper, højreklik på programgruppen, og vælg derefter Egenskaber.
  2. Klik på fanen Identitet , og klik derefter på Konfigurerbar. I tekstfelterne Brugernavn og Adgangskode skal du skrive brugernavnet og adgangskoden til den konto, som arbejdsprocessen skal fungere under.
  3. Føj den valgte brugerkonto til den IIS_WPG gruppe.

Til IIS 7.0 og nyere versioner

  1. Åbn følgende mappe ved en kommandoprompt med administratorrettigheder:

    %systemroot%\system32\inetsrv
    Du kan finde flere oplysninger om, hvordan du kører en kommando med administratorrettigheder, på følgende Microsoft-webside:

    http://windows.microsoft.com/en-US/windows7/Command-Prompt-frequently-asked-questions

  2. Skriv de APPCMD.exe kommandoer, og tryk på Enter efter hver kommando:

    appcmd set config /section:applicationPools /
    [name='string'].processModel. identityType:SpecificUser /
    [name='string'].processModel. userName:string /
    [name='string'].processModel. adgangskode:streng
    Bemærk! Du skal justere syntaksen i kommandoerne, afhængigt af følgende:

    • streng er navnet på programgruppen
    • userName er brugernavnet på den konto, der er tildelt programgruppen
    • adgangskode er adgangskoden til kontoen

Flere oplysninger