Biztonsági tanácsokat tartalmazó dokumentum (Microsoft Security Advisory): Jogosultságemelés a Windows szolgáltatáselkülönítésének megkerülésével

BEVEZETÉS

A Microsoft kiadott egy informatikai szakembereknek szóló, biztonsági tanácsokat tartalmazó dokumentumot (Microsoft Security Advisory) a címbeli témában. A dokumentum biztonsági kérdésekkel kapcsolatos információt nyújt, és a Microsoft következő weblapján tekinthető meg:

További információ

A Windows szolgáltatáselkülönítési funkciójának a cikkben ismertetett sajátossága nem biztonsági rés, hanem egyes ügyfelek számára hasznos, mélyre ágyazott védelmi funkció. A szolgáltatáselkülönítés lehetővé teszi például, hogy bizonyos objektumok ne csak magas jogosultságú fiókokkal, vagy az adott objektum biztonsági szintjének csökkentésével legyenek elérhetők. Egy szolgáltatásazonosítót is tartalmazó hozzáférés-vezérlési listabejegyzéssel az SQL Server szolgáltatásai korlátozhatják a hozzáférést az erőforrásaikhoz.



Az IIS alkalmazáskészleteihez tartozó munkavégző folyamatok identitása az alábbi módszerekkel konfigurálható manuálisan.

IIS 6.0
  1. Az IIS-kezelőben bontsa ki a helyi számítógép csomópontját és az Alkalmazáskészletek csomópontot, kattintson a jobb gombbal az érintett alkalmazáskészlet nevére, majd kattintson a Tulajdonságok parancsra.
  2. Kattintson az Identitás fülre, és válassza a Konfigurálható lehetőséget. A Felhasználónév és a Jelszó mezőbe írja be annak a fióknak a felhasználónevét és jelszavát, amelynek kontextusában a munkavégző folyamatot futtatni szeretné.
  3. Ezt a fiókot vegye fel az IIS_WPG csoportba.
IIS 7.0 és újabb verziók
  1. Nyisson egy rendszergazdai parancssori ablakot, és lépjen a következő mappába:

    %systemroot%\system32\inetsrv

    A parancssor emelt jogosultságú megnyitásának módjáról a Microsoft következő weblapján tájékozódhat:



  2. Írja be a következő APPCMD-parancsokat, és mindegyik után nyomja le az ENTER billentyűt:


    appcmd set config /section:applicationPools /
    [name='készletnév'].processModel.identityType:SpecificUser /
    [name='készletnév'].processModel.userName:felhasználónév /
    [name='készletnév'].processModel.password:jelszó
    Megjegyzés: A parancsszintaxisban szereplő paraméterek értelmezése:


    • A készletnév az alkalmazáskészlet neve.
    • A felhasználónév annak a fióknak a felhasználóneve, melyet az alkalmazáskészlethez szeretne rendelni.
    • A jelszó a választott fiók jelszava.
Tulajdonságok

Cikkazonosító: 2264072 - Utolsó ellenőrzés: 2010. aug. 17. - Verziószám: 1

Visszajelzés