Microsoft 資訊安全諮詢:使用 Windows 服務隔離略過功能來提高權限

Microsoft 已經針對這個問題為 IT 專業人員發佈 Microsoft 資訊安全諮詢。此資訊安全諮詢包含其他安全性相關資訊。如果要檢視此資訊安全諮詢,請造訪下列 Microsoft 網站:

http://www.microsoft.com/technet/security/advisory/2264072.mspx (英文)

簡介

本諮詢中所述的「Windows 服務隔離」(Windows Service Isolation) 功能不會修正安全性弱點,反之,其所提供的深入防禦功能對於某些客戶而言有時會非常實用。例如,服務隔離可讓您存取特定物件,而無須執行高權限帳戶或是犧牲物件的安全性防護。SQL Server 只要使用內含服務 SID 的存取控制項目,即可限制其本身資源的存取權限。



若要手動設定 IIS 應用程式集區的「工作處理序識別」(WPI),請遵循以下步驟。

針對 IIS 6.0

  1. 在 IIS Manager 中,展開本機電腦,再展開 [應用程式集區],用滑鼠右鍵按一下應用程式集區,然後再選取 [內容]

  2. 按一下 [身分識別] 索引標籤,然後再按一下 [可設定]。在 [使用者名稱][密碼] 文字方塊中,針對要執行工作處理序的帳戶,輸入使用者名稱和密碼。

  3. 將選取的使用者帳戶新增至 IIS_WPG 群組。

針對 IIS 7.0 和更新版本

  1. 在提高權限的命令提示字元下,開啟下列資料夾:

    %systemroot%\system32\inetsrv
    如需有關如何執行提高權限之命令的詳細資訊,請造訪下列 Microsoft 網頁:

    http://windows.microsoft.com/zh-TW/windows7/Command-Prompt-frequently-asked-questions



  2. 輸入 APPCMD.exe 命令,並在各命令之後按下 ENTER:


    appcmd set config /section:applicationPools /
    [name='string'].processModel.identityType:SpecificUser /
    [name='string'].processModel.userName:string /
    [name='string'].processModel.password:string
    注意 您必須根據下列項目來調整命令語法:


    • string 是應用程式集區的名稱

    • userName 是指派至應用程式集區之帳戶的使用者名稱

    • password 是帳戶的密碼

其他相關資訊

Need more help?

Expand your skills
Explore Training
Get new features first
Join Microsoft Insiders

Was this information helpful?

Thank you for your feedback!

Thank you for your feedback! It sounds like it might be helpful to connect you to one of our Office support agents.

×