Microsoft פרסמה עלון יידוע של Microsoft בנושא אבטחה המיועד לאנשי IT ושנושאו בעיה זו. עלון היידוע כולל תוספת מידע בנושא אבטחה. כדי להציג את עלון היידוע בנושא אבטחה, בקר באתר האינטרנט הבא של Microsoft:
http://www.microsoft.com/technet/security/advisory/2264072.mspx
מבוא
תכונת Windows Service Isolation המתוארת בעלון יידוע זה אינה מתקנת פגיעות אבטחה. במקום זאת, היא תכונת עומק להגנה שעשויה להיות שימושית עבור לקוחות מסוימים. לדוגמה, בידוד שירות מאפשר גישה לאובייקטים מסוימים בלי צורך להריץ חשבון בעל הרשאות גישה גבוהות או להחליש את הגנת האבטחה של האובייקט. על-ידי שימוש בערך בקרת גישה שמכיל SID שירות, שירות של שרת SQL יכול להגביל גישה למשאבים שלו.
כדי להגדיר ידנית את WPI (Worker Process Identity) עבור מאגרי יישומים ב- IIS, בצע את הפעולות הבאות.
עבור IIS 6.0
-
ב- IIS Manager, הרחב את המחשב המקומי, הרחב את מאגרי יישומים, לחץ לחיצה ימנית על מאגר היישומים, ובחר מאפיינים.
-
לחץ על הכרטיסייה זהות ולאחר מכן לחץ על ניתן להגדרה. בתיבות הטקסט שם משתמש וסיסמה, הקלד את שם המשתמש ואת הסיסמה של החשבון שתחתיו אתה רוצה שתהליך העובד יפעל.
-
הוסף את חשבון המשתמש שבחרת לקבוצה IIS_WPG.
עבור IIS 7.0 וגירסאות מאוחרות יותר
-
בשורת פקודה בעלת הרשאות גבוהות, פתח את התיקייה הבאה:
%systemroot%\system32\inetsrv
למידע נוסף אודות אופן הפעלת פקודה עם הרשאות גבוהות, בקר בדף האינטרנט של Microsoft בכתובת הבאה:http://windows.microsoft.com/he-IL/windows7/Command-Prompt-frequently-asked-questions?bb244028
-
הקלד את פקודות APPCMD.exe והקש ENTER לאחר כל פקודה:appcmd set config /section:applicationPools /
[name='string'].processModel.identityType:SpecificUser /
[name='string'].processModel.userName:string /
[name='string'].processModel.password:string
הערה עליך להתאים את התחביר של הפקודות, בהתאם לפרטים הבאים:-
string הוא שם מאגר היישומים
-
userName הוא שם המשתמש של החשבון המוקצה למאגר היישומים
-
password היא הסיסמה של החשבון
-