Microsofts sikkerhetsveiledning: Heving av tilgangsnivå med omgåelse for Windows Service Isolation


INNLEDNING


Microsoft har gitt ut en sikkerhetsveiledning for IT-teknikere om dette problemet. Sikkerhetsveiledningen inneholder ytterligere sikkerhetsrelaterte opplysninger. Hvis du vil vise sikkerhetsveiledningen, kan du gå til følgende Microsoft-webområde:

Mer informasjon


Funksjonen Windows Service Isolation som er beskrevet i denne veiledningen, løser ikke et sikkerhetsproblem. Det er i stedet en omfattende funksjon som kan være nyttig for enkelte kunder. Med Service Isolation får du for eksempel tilgang til bestemte objekter uten at du trenger å bruke en konto med høyt tilgangsnivå eller senke sikkerhetsbeskyttelsen til objektet. Ved hjelp av en tilgangskontrolloppføringen som inneholder en tjeneste-SID, kan en SQL Server-tjeneste begrense tilgangen til ressursene.



Følg trinnene nedenfor hvis du vil konfigurere arbeidsprosessidentiteten for applikasjonsutvalg i IIS manuelt.

For IIS 6.0
  1. I IIS-behandling utvider du den lokale datamaskinen og deretter Applikasjonsutvalg, høyreklikker applikasjonsutvalget og velger deretter Egenskaper.
  2. Klikk kategorien Identitet og deretter Konfigurerbar. I tekstboksene Brukernavn og Passord skriver du inn brukernavnet og passordet for kontoen der du vil arbeidsprosessen skal være.
  3. Legg til valgt brukerkonto i gruppen IIS_WPG.
For IIS 7.0 og nyere versjoner
  1. Åpne følgende mappe ved en uthevet ledeteks:

    %systemroot%\system32\inetsrv

    Hvis du vil ha mer informasjon om hvordan du kjører en kommando med hevet tilgangsnivå, går du til følgende Microsoft-webside:



  2. Skriv inn APPCMD.exe-kommandoene, og trykk Enter etter hver kommando:


    appcmd set config /section:applicationPools /
    [name='streng'].processModel.identitetstype:bestemtBruker /
    [name='streng'].processModel.brukernavn:streng /
    [name='streng'].processModel.passord:streng
    Obs!  Du må justere syntaksen i kommandoene, avhengig av følgende:


    • streng er navnet på applikasjonsutvalget
    • brukernavn er brukernavnet for kontoen som er tilordet til applikasjonsutvalget
    • passord er passordet for kontoen