Советы корпорации Майкрософт по безопасности: Несанкционированное получение прав путем обхода изоляции службы Windows

ВВЕДЕНИЕ

Корпорация Майкрософт выпустила советы по безопасности для ИТ-специалистов, посвященные этой проблеме. Они содержат дополнительные сведения, связанные с безопасностью. Чтобы просмотреть эти советы, посетите веб-сайт корпорации Майкрософт по следующему адресу:

Дополнительная информация

Функция изоляции служб Windows, описываемая в этом документе, не устраняет уязвимость. Вместо этого для некоторых пользователей может оказаться полезной стратегия эшелонированной обороны. В частности, изоляция служб открывает доступ к отдельным объектам без необходимости запуска учетной записи с высоким уровнем привилегий или ослабления системы безопасности данного объекта. Используя запись управления доступом, в которой содержится ИД безопасности, служба SQL Server может ограничивать доступ к своим ресурсам.



Чтобы настроить удостоверение рабочего процесса (WPI) для пулов приложений в IIS вручную, выполните описанные ниже действия.

Для IIS 6.0
  1. В диспетчере служб IIS раскройте узел локального компьютера, разверните папку Пулы приложений, щелкните правой кнопкой мыши строку пула приложений и выберите пункт Свойства.
  2. Щелкните вкладку Удостоверения и нажмите кнопку Настраиваемые. В текстовых полях Имя пользователя и Пароль введите имя пользователя и пароль учетной записи, которые будут использоваться рабочим процессом.
  3. Добавьте выбранную учетную запись пользователя в группу IIS_WPG.
Для IIS 7.0 и более поздних версий
  1. Из командной строки с повышенными привилегиями откройте следующую папку:

    %systemroot%\system32\inetsrv

    Дополнительные сведения о запуске командной строки с повышенными привилегиями см. на следующей странице веб-сайта корпорации Майкрософт:



  2. Введите следующие команды APPCMD.exe, нажимая после каждой из них клавишу ВВОД:


    appcmd set config /section:applicationPools /
    [name='строка'].processModel.identityType:SpecificUser /
    [name='строка'].processModel.имя_пользователя:строка /
    [name='строка'].processModel.пароль:строка
    Примечание. Внесите изменения в синтаксис команд с учетом следующих условий:


    • строка — имя пула приложений;
    • имя_пользователя — имя пользователя учетной записи, назначенной пулу приложений;
    • пароль — пароль учетной записи.
Свойства

Номер статьи: 2264072 — последний просмотр: 18 авг. 2010 г. — редакция: 1

Отзывы и предложения