Microsoft-säkerhetsmeddelande: Rättighetsökning med hjälp av ignorering av Windows tjänstisolering

INLEDNING

Microsoft har gett ut ett Microsoft-säkerhetsmeddelande om det här problemet för IT-proffs. Säkerhetsmeddelandet, som innehåller ytterligare säkerhetsrelaterad information, finns på följande Microsoft-webbplats:

Mer Information

Funktionen för tjänstisolering i Windows som beskrivs i det här säkerhetsmeddelandet åtgärdar inget säkerhetsproblem. Det är i stället en funktion för djupgående skydd som kan vara användbar för vissa kunder. Tjänstisolering möjliggör exempelvis tillgång till vissa objekt utan att ett konto med hög behörighet behöver köras och utan att säkerhetsskyddet för objekten behöver försämras. Genom att använda en åtkomstkontrollpost som innehåller en tjänst-SID kan en SQL Server-tjänst begränsa åtkomsten till sina resurser.



Så här konfigurerar du manuellt jobbprocessidentiteten för programpooler i IIS:

För IIS 6.0
  1. I IIS-hanteraren expanderar du den lokala datorn, expanderar Programpooler, högerklickar på programpoolen och väljer Egenskaper.
  2. Klicka på fliken Identitet och sedan på Kan konfigureras. I textrutorna Användarnamn och Lösenord anger du användarnamn och lösenord för det konto som jobbprocessen ska drivas under.
  3. Lägg till det valda användarkontot i IIS_WPG-gruppen.
För IIS 7.0 och senare versioner
  1. Öppna följande mapp i en kommandotolk för kommandon med förhöjd behörighet:

    %systemroot%\system32\inetsrv

    Mer information om hur du kör ett kommando med förhöjd behörighet finns på följande Microsoft-webbsida:



  2. Skriv in APPCMD.exe-kommandona och tryck på RETUR efter varje kommando:


    appcmd set config /section:applicationPools /
    [name='sträng'].processModel.identitetstyp:särskildanvändare /
    [name='sträng'].processModel.användarnamn:sträng /
    [name='sträng'].processModel.lösenord:sträng
    Obs! Du måste ändra syntaxen i kommandona enligt följande:


    • sträng är namnet på programpoolen
    • användarnamn är användarnamnet för kontot som programpoolen hör till
    • lösenord är kontots lösenord
Egenskaper

Artikel-id: 2264072 – senaste granskning 17 aug. 2010 – revision: 1

Feedback