Microsoft-beveiligingsadvies: Misbruik van bevoegdheden door het negeren van Windows Service Isolation

Inleiding

Microsoft heeft een Microsoft-beveiligingsadvies voor IT-professionals over dit probleem uitgebracht. Dit beveiligingsadvies bevat aanvullende beveiligingsinformatie. Het beveiligingsadvies kunt u vinden op de volgende website van Microsoft:

Meer informatie

De functie Windows Service Isolation die in dit advies wordt beschreven, is niet bedoeld om een beveiligingsprobleem op te lossen. De functie biedt daarentegen extra beveiliging die nuttig kan zijn voor bepaalde klanten. Via Service Isolation kan bijvoorbeeld toegang worden verleend tot bepaalde objecten zonder dat er een account met hoge machtigingen nodig is of de beveiliging van het object moet worden verzwakt. Door een Access Control Entry te gebruiken die een service-SID bevat, kan via een SQL Server-service de toegang tot bronnen op deze server worden beperkt.



Als u de Worker Process Identity (WPI) voor groepen van toepassingen in IIS handmatig wilt configureren, gaat u als volgt te werk.

Voor IIS 6.0:
  1. U vouwt in IIS Manager de lokale computer uit, u vouwt Groepen van toepassingen uit, u klikt met de rechtermuisknop op de groep van toepassingen en u selecteert Eigenschappen .
  2. U klikt op het tabblad Identiteit en vervolgens op Configureerbaar. In de tekstvakken Gebruikersnaam en Wachtwoord typt u de gebruikersnaam en het wachtwoord van het account waarmee u het werkproces wilt laten werken.
  3. Voeg het geselecteerde gebruikersaccount toe aan de groep IIS_WPG.
Voor IIS 7.0 en latere versies
  1. Bij een opdrachtprompt met verhoogde bevoegdheden opent u de volgende map:

    %systemroot%\system32\inetsrv

    Voor meer informatie over hoe u een opdracht uitvoert met verhoogde bevoegdheden, gaat u naar de volgende webpagina van Microsoft:



  2. Typ de APPCMD.exe-opdrachten en druk na elke opdracht op Enter:


    appcmd set config /section:applicationPools /
    [name='tekenreeks'].processModel.identiteitstype:specifiekegebruiker /
    [name='tekenreeks'].processModel.gebruikersnaam:tekenreeks /
    [name='tekenreeks'].processModel.wachtwoord:tekenreeks /
    Opmerking U moet de syntaxis van de opdrachten aanpassen, afhankelijk van het volgende:


    • tekenreeks is de naam van de groep van toepassingen
    • gebruikersnaam is de gebruikersnaam van het account dat is toegewezen aan de groep van toepassingen
    • wachtwoord is het wachtwoord voor het account
Eigenschappen

Artikel-id: 2264072 - Laatst bijgewerkt: 19 aug. 2010 - Revisie: 1

Feedback