Anwendungen, also auch SharePoint, sollten IMMER nach dem Prinzip der „geringsten Privilegien“ ausgeführt werden, sodass kein Prozess mit mehr als dem absoluten Minimum an Zugriffsrechten arbeitet, die er zum Erfüllen seiner Aufgabe benötigt.
Eventuelle Angreifer können, sollten sie Zugriff auf den Benutzerkontext einer Anwendung erhalten die über lokale Administrative Rechte verfügt, an die Anmeldedaten anderer Benutzer gelangen. Diese können aus dem Speicher ausgelesen werden oder auch einfach durch Windows Bordmittel.
Ein einfaches Beispiel hierfür ist das IIS, mit dem Befehl “appcmd.exe list apppool /text:*” (Verzeichnis C:WindowsSystem32inetsrv), werden die Konfiguration und Anmeldedaten aller Applikationspools angezeigt:
Also bitte die Meldung “Accounts used by application pools or service identities are in the local machine Administrators group” nicht auf die leichte Schulter nehmen und sie ignorieren.
