Home
  •  

處理應用程式集區的工作者處理序不再受到 WAS 信任

Microsoft.Windows.InternetInformationServices.10.0.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS (Rule)

Knowledge Base article:

摘要

網站和 Web 應用程式相依於 Internet Information Services (IIS) 應用程式集區的可用性。IIS 應用程式集區則繼而相依於 Windows 處理序啟用服務 (WAS)。如果 WAS 不在執行中,或在應用程式集區啟動或關閉期間發生錯誤,則網站和 Web 應用程式可能會無法使用。

解決方式

檢查未受信任的工作者處理序

工作者處理序已將某些資料傳送給非預期的 Windows 處理序啟用服務 (WAS)。使用者程式碼可能會嘗試進行工作者處理序中的惡意活動,且可能已接管通訊管道。例如,使用者程式碼可能正在針對工作者處理序傳送第二個處理序識別碼給 WAS,或是正在傳送格式錯誤的效能計數器數字。這可能是嘗試在 WAS 中建立緩衝區溢位。

若要解決此問題,請檢查工作者處理序以查看其是否包含可疑的使用者程式碼。 檢查載入的模組。如果 ISAPI 或協力廠商模組正在執行中,請聯絡模組的廠商以取得詳細資訊。

Element properties:

TargetMicrosoft.Windows.InternetInformationServices.10.0.ApplicationPool
CategoryAlert
EnabledTrue
Alert GenerateFalse
RemotableTrue

Member Modules:

ID Module Type TypeId RunAs 
DS DataSource Microsoft.Windows.Server.IIS.10.0.WarningAndErrorEventProvider Default
Filter ConditionDetection Microsoft.Windows.InternetInformationServices.10.0.ApplicationPool.EventFilter Default
WA WriteAction Microsoft.Windows.Server.IIS.10.0.GenerateAlertAction.SuppressedByDescription Default

Source Code:

<Rule ID="Microsoft.Windows.InternetInformationServices.10.0.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS" Enabled="true" Target="Microsoft.Windows.InternetInformationServices.10.0.ApplicationPool" ConfirmDelivery="false" Remotable="true" Priority="Normal" DiscardLevel="100">

  <Category>Alert</Category>

  <DataSources>

    <DataSource ID="DS" TypeID="Microsoft.Windows.Server.IIS.10.0.WarningAndErrorEventProvider">

      <LogName>System</LogName>

    </DataSource>

  </DataSources>

  <ConditionDetection ID="Filter" TypeID="Microsoft.Windows.InternetInformationServices.10.0.ApplicationPool.EventFilter">

    <Expression>

      <And>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery>EventDisplayNumber</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value>5127</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

        <Expression>

          <SimpleExpression>

            <ValueExpression>

              <XPathQuery Type="String">PublisherName</XPathQuery>

            </ValueExpression>

            <Operator>Equal</Operator>

            <ValueExpression>

              <Value Type="String">Microsoft-Windows-WAS</Value>

            </ValueExpression>

          </SimpleExpression>

        </Expression>

      </And>

    </Expression>

  </ConditionDetection>

  <WriteActions>

    <WriteAction ID="WA" TypeID="Microsoft.Windows.Server.IIS.10.0.GenerateAlertAction.SuppressedByDescription">

      <Priority>1</Priority>

      <Severity>1</Severity>

      <AlertMessageId>$MPElement[Name="Microsoft.Windows.InternetInformationServices.10.0.Worker.process.serving.the.application.pool.is.no.longer.trusted.by.WAS.AlertMessage"]$</AlertMessageId>

    </WriteAction>

  </WriteActions>

</Rule>