マイクロソフト セキュリティ アドバイザリ: Windows サービスの分離バイパスの使用により、特権が昇格される

はじめに

マイクロソフトでは、この問題に関して、IT 担当者向けのマイクロソフト セキュリティ アドバイザリをリリースしました。セキュリティ アドバイザリには、この問題に関連する追加のセキュリティ関連の情報が含まれています。セキュリティ アドバイザリを参照するには、次のマイクロソフト Web サイトにアクセスしてください。

詳細

このアドバイザリで説明されている Windows Service Isolation 機能は、セキュリティの脆弱性を修正するものではありません。これは高度な防御機能であり、ユーザーにとって役に立つ場合があります。たとえば、Service Isolation を使用すると、高い特権を持ったアカウントを実行したり、オブジェクトのセキュリティ保護を弱体化させたりすることなく、特定のオブジェクトにアクセスできます。サービス SID を含むアクセス制御エントリを使用することで、SQL Server サービスでリソースへのアクセスを制限できます。



IIS のアプリケーション プールのワーカー プロセス ID (WPI) を手動で構成するには、次の手順を実行します。

IIS 6.0 の場合
  1. IIS マネージャーでローカル コンピューターを展開し、[アプリケーション プール] を展開します。次にアプリケーション プールを右クリックし、[プロパティ] をクリックします。
  2. [ID] タブをクリックし、[構成可能] をクリックします。[ユーザー名] ボックスと [パスワード] ボックスに、ワーカー プロセスを操作するアカウントのユーザー名とパスワードを入力します。
  3. 選択したユーザー アカウントを IIS_WPG グループに追加します。
IIS 7.0 以降のバージョンの場合
  1. 管理者特権を持つコマンド プロンプトで、次のフォルダーを開きます。

    %systemroot%\system32\inetsrv

    管理者特権でコマンドを実行する方法の詳細については、次のマイクロソフト Web ページを参照してください。



  2. APPCMD.exe コマンドを入力し、各コマンドの後で Enter キーを押します。


    appcmd set config /section:applicationPools /
    [name='string'].processModel.identityType:SpecificUser /
    [name='string'].processModel.userName:string /
    [name='string'].processModel.password:string
    : コマンドの構文には次の情報を適宜指定する必要があります。


    • string は、アプリケーション プールの名前です。
    • userName は、アプリケーション プールに割り当てられたアカウントのユーザー名です。
    • password は、アカウントのパスワードです。
プロパティ

文書番号:2264072 - 最終更新日: 2010/08/18 - リビジョン: 1

フィードバック