Microsoft 已經針對這個問題為 IT 專業人員發佈 Microsoft 資訊安全諮詢。此資訊安全諮詢包含其他安全性相關資訊。如果要檢視此資訊安全諮詢,請造訪下列 Microsoft 網站:
http://www.microsoft.com/technet/security/advisory/2264072.mspx (英文)
簡介
本諮詢中所述的「Windows 服務隔離」(Windows Service Isolation) 功能不會修正安全性弱點,反之,其所提供的深入防禦功能對於某些客戶而言有時會非常實用。例如,服務隔離可讓您存取特定物件,而無須執行高權限帳戶或是犧牲物件的安全性防護。SQL Server 只要使用內含服務 SID 的存取控制項目,即可限制其本身資源的存取權限。 若要手動設定 IIS 應用程式集區的「工作處理序識別」(WPI),請遵循以下步驟。針對 IIS 6.0
-
在 IIS Manager 中,展開本機電腦,再展開 [應用程式集區],用滑鼠右鍵按一下應用程式集區,然後再選取 [內容]。
-
按一下 [身分識別] 索引標籤,然後再按一下 [可設定]。在 [使用者名稱] 和 [密碼] 文字方塊中,針對要執行工作處理序的帳戶,輸入使用者名稱和密碼。
-
將選取的使用者帳戶新增至 IIS_WPG 群組。
針對 IIS 7.0 和更新版本
-
在提高權限的命令提示字元下,開啟下列資料夾:
%systemroot%\system32\inetsrv如需有關如何執行提高權限之命令的詳細資訊,請造訪下列 Microsoft 網頁:
http://windows.microsoft.com/zh-TW/windows7/Command-Prompt-frequently-asked-questions
-
輸入 APPCMD.exe 命令,並在各命令之後按下 ENTER:
appcmd set config /section:applicationPools /[name='string'].processModel.identityType:SpecificUser /[name='string'].processModel.userName:string /[name='string'].processModel.password:string注意 您必須根據下列項目來調整命令語法:
-
string 是應用程式集區的名稱
-
userName 是指派至應用程式集區之帳戶的使用者名稱
-
password 是帳戶的密碼
-
