Microsoft-Sicherheitsempfehlung: Erhöhung von Berechtigungen durch Umgehung der Windows-Dienstisolierung

EINFÜHRUNG

Microsoft stellt eine Sicherheitsempfehlung zu diesem Thema für IT-Experten zur Verfügung. Diese Sicherheitsempfehlung enthält zusätzliche sicherheitsrelevante Informationen. Sie finden die Sicherheitsempfehlung auf folgender Microsoft-Website:

Weitere Informationen

Das in dieser Sicherheitsempfehlung beschriebene Windows-Feature "Dienstisolierung" behebt kein Sicherheitsrisiko, sondern ist ein Feature für umfassenden Schutz, das für einige Kunden nützlich sein kann. Die Dienstisolierung ermöglicht z. B. den Zugriff auf bestimmte Objekte, ohne ein Konto mit umfassenden Rechten verwenden zu müssen und ohne Schutz und Sicherheit des Objekts zu beeinträchtigen. Durch Verwenden eines Zugriffssteuerungseintrags, der eine Dienst-SID enthält, kann ein SQL Server-Dienst den Zugriff auf seine Ressourcen beschränken.



Gehen Sie folgendermaßen vor, um die Arbeitsprozessidentität (Worker Process Identity, WPI) für Anwendungspools in IIS manuell zu konfigurieren.

IIS 6.0
  1. Erweitern Sie in IIS Manager den lokalen Computer, erweitern Sie Anwendungspools, klicken Sie mit der rechten Maustaste auf den Anwendungspool, und wählen Sie dann Eigenschaften aus.
  2. Klicken Sie auf die Registerkarte Identität und anschließend auf Konfigurierbar. Geben Sie in die Textfelder Benutzername und Kennwort den Benutzernamen bzw. das Kennwort des Kontos ein, unter dem der Arbeitsprozess ausgeführt werden soll.
  3. Fügen Sie das ausgewählte Benutzerkonto zur Gruppe "IIS_WPG" hinzu.
IIS 7.0 oder höhere Versionen
  1. Öffnen Sie an einer Eingabeaufforderung mit erhöhten Rechten den folgenden Ordner:

    %systemroot%\system32\inetsrv

    Weitere Informationen zum Ausführen eines Befehls mit erhöhten Rechten finden Sie auf der folgenden Microsoft-Webseite:



  2. Geben Sie die "APPCMD.exe"-Befehle ein, und drücken Sie nach jedem Befehl die EINGABETASTE:


    appcmd set config /section:applicationPools /
    [name='Zeichenfolge'].processModel.Identitätstyp:SpeziellerBenutzer /
    [name='Zeichenfolge'].processModel.Benutzername:Zeichenfolge /
    [name='Zeichenfolge'].processModel.Kennwort:Zeichenfolge /
    Hinweis Passen Sie die Syntax der Befehle folgendermaßen an:

    • Zeichenfolge ist der Name des Anwendungspools
    • Benutzername ist der Benutzername des dem Anwendungspool zugewiesenen Kontos
    • Kennwort ist das Kennwort des Kontos
Eigenschaften

Artikelnummer: 2264072 – Letzte Überarbeitung: 13.08.2010 – Revision: 1

Feedback