Aviso de seguridad de Microsoft: Elevación de privilegios con la omisión del aislamiento de servicio de Windows

INTRODUCCIÓN

Microsoft ha publicado un aviso de seguridad sobre este problema destinado a los profesionales de TI. El aviso de seguridad contiene información adicional relacionada con la seguridad. Para ver el aviso de seguridad, visite el siguiente sitio web de Microsoft:

Más información

La característica de aislamiento del servicio de Windows que se describe en este aviso no corrige una vulnerabilidad en la seguridad, sino que se trata de una característica de defensa en profundidad que puede resultar útil para algunos clientes. Por ejemplo, el aislamiento del servicio permite el acceso a determinados objetos sin necesidad de tener una cuenta con privilegios elevados o de reducir la protección de seguridad del objeto. Mediante una entrada de control de acceso que contiene un SID de servicio, un servicio de SQL Server puede restringir el acceso a sus recursos.



Para configurar manualmente la identidad de proceso de trabajo (WPI) de grupos de aplicaciones de IIS, siga estos pasos.

Para IIS 6.0:
  1. En IIS Manager, expanda el equipo local, expanda Grupos de aplicaciones, haga clic con el botón secundario en el grupo de aplicaciones y, a continuación, seleccione Propiedades.
  2. Haga clic en la ficha Identidad y, a continuación, en Configurable. En los cuadros de texto Nombre de usuario y Contraseña, escriba el nombre de usuario y la contraseña de la cuenta con la que desea que funciona el proceso de trabajo.
  3. Agregue la cuenta de usuario seleccionada al grupo IIS_WPG.
Para IIS 7.0 y versiones posteriores
  1. En un símbolo del sistema con privilegios elevados, abra la siguiente carpeta:

    %systemroot%\system32\inetsrv

    Para obtener más información acerca de cómo ejecutar un comando con privilegios elevados, visite la siguiente página web de Microsoft:



  2. Escriba los comandos APPCMD.exe y presione ENTRAR después de cada uno:


    appcmd set config /section:applicationPools /
    [name='cadena'].processModel.TipoIdentidad:UsuarioEspecífico /
    [name='cadena'].processModel.nombreUsuario:cadena /
    [name='cadena'].processModel.contraseña:cadena
    Nota: debe ajustar la sintaxis de los comandos en función de lo siguiente:


    • cadena es el nombre del grupo de aplicaciones
    • nombreUsuario es el nombre de usuario de la cuenta asignada al grupo de aplicaciones
    • contraseña es la contraseña de la cuenta
Propiedades

Id. de artículo: 2264072 - Última revisión: 18 ago. 2010 - Revisión: 1

Comentarios