Microsoft Security Advisory: Podniesienie uprawnień za pomocą pominięcia izolacji usług systemu Windows

WPROWADZENIE

Firma Microsoft wydała przeznaczony dla informatyków dokument Microsoft Security Advisory dotyczący tego problemu. Zawiera on dodatkowe informacje związane z zabezpieczeniami. Aby przeczytać ten dokument, odwiedź następującą witrynę firmy Microsoft w sieci Web:

Więcej informacji

Opisana w tym dokumencie funkcja izolacji usług systemu Windows nie służy do wyeliminowania konkretnej luki w zabezpieczeniach. Jest to funkcja kompleksowej ochrony, która może być bardzo użyteczna w przypadku niektórych klientów. Izolacja usług umożliwia na przykład dostęp do konkretnych obiektów bez potrzeby uruchamiania konta o wysokim poziomie uprawnień czy obniżania poziomu zabezpieczeń obiektów. Za pomocą wpisu kontroli dostępu zawierającego identyfikator usługi (SID), usługa programu SQL Server może ograniczyć dostęp do swoich zasobów.



Aby ręcznie skonfigurować tożsamość procesu roboczego dla pul aplikacji w programie IIS, wykonaj następujące czynności.

W przypadku programu IIS 6.0
  1. W Menedżerze usług IIS rozwiń węzeł komputera lokalnego, rozwiń węzeł Pule aplikacji, kliknij prawym przyciskiem myszy pulę aplikacji, a następnie wybierz polecenie Właściwości.
  2. Kliknij kartę Tożsamość, a następnie kliknij pozycję Konfigurowalne. W polach tekstowych Nazwa użytkownika i Hasło wpisz nazwę i hasło konta, w ramach którego ma działać proces roboczy.
  3. Dodaj wybrane konto użytkownika do grupy IIS _WPG.
W przypadku programu IIS 7.0 i nowszych wersji
  1. W wierszu polecenia z podwyższonym poziomem uprawnień otwórz następujący folder:

    %systemroot%\system32\inetsrv

    Aby uzyskać więcej informacji o uruchamianiu polecenia z podniesionymi uprawnieniami, odwiedź następującą stronę firmy Microsoft w sieci Web:



  2. Wpisz polecenia programu APPCMD.exe i po każdym z nich naciśnij klawisz ENTER:


    appcmd set config /section:applicationPools /
    [name='ciąg'].processModel.typ_tożsamości:konkretny_użytkownik /
    [name='ciąg'].processModel.nazwa_użytkownika:ciąg /
    [name='ciąg'].processModel.hasło:ciąg
    Uwaga Składnię tych poleceń należy dostosować zgodnie z tymi informacjami:

    • Zmienna ciąg to nazwa puli aplikacji.
    • Zmienna nazwa_użytkownika to nazwa użytkownika konta przypisanego do danej puli aplikacji.
    • Zmienna hasło to hasło tego konta.
Właściwości

Identyfikator artykułu: 2264072 — ostatni przegląd: 17.08.2010 — zmiana: 1

Opinia