Microsoft 安全公告:使用 Windows 服务隔离绕过提升特权


简介


Microsoft 已为 IT 专业人员发布了针对此问题的 Microsoft 安全公告。安全公告包含附加的安全相关信息。要查看该安全公告,请访问下面的 Microsoft 网站:

更多信息


此公告中描述的 Windows 服务隔离功能不能消除安全漏洞。相反,它是一个深层防御功能,可能对某些客户很有用。例如,服务隔离允许访问特定的对象而不需要运行高权限的帐户或降低该对象的安全保护。通过使用包含服务 SID 的访问控制条目,SQL Server 服务可以限制对其资源的访问。



若要为 IIS 中的应用程序池手动配置工作进程标识 (WPI),请按照下列步骤操作:

对于 IIS 6.0
  1. 在 IIS 管理器中,展开本地计算机,再展开“应用程序池”,右键单击应用程序池,然后选择“属性”
  2. 单击“标识”选项卡,然后单击“可配置项”。在“用户名”和“密码”文本框中,键入您希望工作进程在其下运行的帐户的用户名和密码。
  3. 将选定的用户帐户添加到 IIS_WPG 组。
对于 IIS 7.0 和更高版本
  1. 在提升的命令提示符下,打开以下文件夹:

    %systemroot%\system32\inetsrv

    有关如何使用提升的权限运行命令的详细信息,请访问以下 Microsoft 网页:



  2. 键入 APPCMD.exe 命令,并在键入每个命令之后按 Enter:


    appcmd set config /section:applicationPools /
    [name='string'].processModel.identityType:SpecificUser /
    [name='string'].processModel.userName:string /
    [name='string'].processModel.password:string
    注意 您必须根据以下内容在命令中调整语法:


    • string 是应用程序池的名称
    • userName 是分配到应用程序池的帐户的用户名
    • password 是帐户的密码