Poradce pro zabezpečení
Poradce microsoftu pro zabezpečení 906574
Objasnění jednoduchého sdílení souborů a vynuceníguest
Publikováno: 23. srpna 2005
Společnost Microsoft vydala tento informační zpravodaj zabezpečení, který objasnil informace o problému vyřešeného v bulletinu zabezpečení MS05-039 pro jiné než výchozí konfigurace aktualizace Windows XP Service Pack 1. Tato funkce se označuje jako "Jednoduché sdílení souborů a ForceGuest". Pokud používáte systém Windows XP Service Pack 2, povolení jednoduchého sdílení souborů a ForceGuest nezvyšuje úroveň ohrožení zabezpečení MS05-039. Tento problém nemá vliv také na zákazníky, kteří použili aktualizaci zabezpečení, která je součástí ms05-039. Doporučujeme, aby zákazníci dál dodržovali naše pokyny k ochraně počítače, které vám umožní povolit bránu firewall, získávat aktualizace softwaru a instalovat antivirový software. Další informace o těchto krocích můžou zákazníci získat na webu Chránit váš počítač.
Pokud je v systému Microsoft Windows XP povolené jednoduché sdílení souborů, který není připojený k doméně, budou všichni uživatelé, kteří k tomuto systému přistupují přes síť, nuceni používat účet hosta. Toto je nastavení zásad zabezpečení "Přístup k síti: Sdílení a model zabezpečení pro místní účty*"* a označuje se také jako ForceGuest*.*
Systém Windows XP zmírňuje několik ohrožení zabezpečení tím, že uživatelům, kteří nemají platné přihlašovací údaje, brání vzdálenému přístupu k systému. Příkladem je ohrožení zabezpečení, které je vyřešeno v bulletinu zabezpečení společnosti Microsoft MS05-039. Pokud však povolíte jednoduché sdílení souborů, účet hosta je také povolen a udělen oprávnění pro přístup k systému prostřednictvím sítě. Vzhledem k tomu, že účet hosta je platný účet, když je povolený a má udělená oprávnění pro přístup k systému přes síť, mohl by útočník použít účet hosta, jako by měl platný uživatelský účet.
Neexistuje žádný známý útok, který se snaží tento scénář zneužít. Poradenství je vydáno jako zvláštní opatření. Aktualizace v bulletinu zabezpečení MS05-039 se nezmění. Zákazníci, kteří tuto aktualizaci nainstalovali, jsou v tomto scénáři chráněni.
Zmírňující faktory:
- Aktualizace Windows XP Service Pack 2 není vzdáleně ohrožena problémem, který řeší ms05-039, i když jednoduché sdílení souborů umožňuje účet hosta. V systému Windows XP Service Pack 2 je dopad této chyby zabezpečení pouze zvýšení oprávnění místní oprávnění a zneužitelné pouze v případě, že má uživatel možnost přihlásit se místně k systému.
- Jednoduché sdílení souborů není k dispozici v systémech Windows XP, které jsou připojené k doméně. Systémy připojené k doméně používají standardní sdílení souborů, které nepovoluje účet hosta nebo mu udělí oprávnění pro přístup k systému prostřednictvím sítě. Windows XP Service Pack 2 není ohrožen vzdáleně v systémech připojených k doméně nebo v systémech připojených k pracovní skupině.
- Povolení jednoduchého sdílení souborů nezpřístupňuje zákazníkům, kteří použili aktualizace zabezpečení poskytované bulletinem zabezpečení společnosti Microsoft MS05-039 , na chybu zabezpečení, kterou tento bulletin zabezpečení řeší.
Obecné informace
Přehled
Účel rady: Objasnění účelu funkce Jednoduché sdílení souborů systému Windows XP a jeho použití účtu hosta.
Stav poradce: Poradce publikováno.
Doporučení: Projděte si doporučení a použijte příslušné změny konfigurace pro zvýšení zabezpečení.
| Reference | Identifikace |
|---|---|
| Web společnosti Microsoft | Jednoduché sdílení a vynuceníguest |
| Web společnosti Microsoft | Zabezpečení systému Windows XP v síťovém prostředí peer-to-peer |
| Tým pro analýzu hrozeb Symantec DeepSight a Symantec BID | 14513 |
| Bulletin zabezpečení | MS05-039 |
Tento poradce popisuje následující software.
| Související software |
| Microsoft Windows XP Service Pack 1 |
| Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) |
| Microsoft Windows XP Service Pack 2 |
| Microsoft Windows XP 64-Bit Edition verze 2003 (Itanium) |
| Microsoft Windows XP Professional x64 Edition |
Nejčastější dotazy
Jaký je rozsah poradenství?
Toto rady vysvětluje funkci jednoduchého sdílení souborů systému Windows XP a její použití účtu hosta. Tento proces, který se nazývá ForceGuest, nepředstavuje ohrožení zabezpečení. ForceGuest však automaticky povolí účet hosta a udělí mu oprávnění pro přístup k systému prostřednictvím sítě. Pokud používáte systém Windows XP Service Pack 2, povolení jednoduchého sdílení souborů a ForceGuest nezvyšuje úroveň ohrožení zabezpečení MS05-039.
Jedná se o ohrožení zabezpečení, které vyžaduje, aby společnost Microsoft vydala aktualizaci zabezpečení?
Ne. Funkce Jednoduché sdílení souborů je volitelná konfigurace, kterou si někteří zákazníci můžou povolit. Tato funkce není dostupná v systémech připojených k doméně. Další informace o této funkci a o tom, jak ji správně nakonfigurovat, najdete na následujícím webu. Pokud používáte systém Windows XP Service Pack 2, povolení jednoduchého sdílení souborů a ForceGuest nezvyšuje úroveň ohrožení zabezpečení MS05-039.
Jak se účet hosta povolí a povolí přístup k systému přes síť?
Systémy Windows XP Professional, které jsou členy pracovní skupiny a systémů Windows XP Home, používají funkci Jednoduché sdílení souborů. Při použití jednoduchého sdílení souborů musí uživatel ručně použít Průvodce instalací sítě, zdokumentovaný na následujícím webu nebo obejít Průvodce instalací sítě výběrem možnosti Pokud rozumíte rizikům zabezpečení, ale chcete sdílet soubory bez spuštění průvodce, kliknutím sem dokončete konfiguraci jednoduchého sdílení souborů. Tyto postupy povolí účet hosta a udělí mu oprávnění pro přístup k systému ze sítě odebráním účtu hosta z odepření přístupu k tomuto počítači z místních zásad zabezpečení sítě . Pokud účet hosta povolíte ručně, nebude mít oprávnění pro přístup k systému přes síť.
Nestačí jenom povolit sdílení souborů a tisku, aby měl účet hosta přístup k systému přes síť. Pokud chcete povolit účet hosta a povolit přístup k systému přes síť, musíte ručně provést kroky popsané v této části nejčastějších dotazů. Po provedení těchtokrokůch Další informace o jednoduchém sdílení souborů a jeho použití účtu Host naleznete na následujícím webu. Tento problém nemá vliv na systémy Windows XP Professional, které jsou členy domény. Systémy připojené k doméně nepoužívají jednoduché sdílení souborů. Sdílení souborů nebo tiskáren v systémech připojených k doméně nepovoluje účet hosta nebo mu udělí oprávnění pro přístup k systému prostřednictvím sítě. Pokud používáte systém Windows XP Service Pack 2, povolení jednoduchého sdílení souborů a ForceGuest nezvyšuje úroveň ohrožení zabezpečení MS05-039.
Můžou systémy, které nejsou připojené k doméně, povolit svůj účet hosta prostřednictvím jednoduchého sdílení souborů?
Systémy Windows XP Professional připojené k doméně neimplementují funkci Jednoduché sdílení souborů. Pokud však systém Windows XP Professional měl účet hosta povolený jednoduchým sdílením souborů před tím, než se připojí k doméně, zůstane účet Host povolen, pokud je tento systém později připojen k doméně. Chcete-li v těchto systémech zakázat účet hosta, proveďte kroky popsané na následujícím webu. Pokud používáte systém Windows XP Service Pack 2, povolení jednoduchého sdílení souborů a ForceGuest nezvyšuje úroveň ohrožení zabezpečení MS05-039.
Návody vědět, jestli používám systém, ve kterém byly tyto kroky provedeny?
Pokud používáte systém Windows XP Professional, který je členem pracovní skupiny nebo používáte systém Windows XP Home, můžete rychle zkontrolovat, jestli k tomuto problému může dojít pomocí následujícího příkazu. Na příkazovém řádku zadejte net User Guest. Pokud je v seznamu výsledků uvedený účet hosta jako aktivní – Ano, může být tento problém zranitelný, pokud byl účet hosta udělený také oprávnění pro přístup k systému prostřednictvím sítě. Pokud používáte aktualizaci Windows XP Service Pack 2, povolení jednoduchého sdílení souborů a ForceGuest nezvyšuje úroveň ohrožení zabezpečení MS05-039.
Zjistí Microsoft Baseline Security Analyzer (MBSA), jestli je účet hosta povolený v systému v rámci mé domény?
Ano. I když účet hosta není dostatečný, aby mu umožnil přístup k systému přes síť, zakázání účtu hosta je dobrým osvědčeným postupem a zablokovalo by nezamýšlený přístup k síti. Nástroj MBSA zkontroluje, jestli je v systému zakázaný účet hosta, a v závislosti na konfiguraci systému oznámí úspěch nebo selhání.
Pomáhá brána Windows Firewall blokovat přístup, když je účet hosta povolený prostřednictvím jednoduchého sdílení souborů?
I když jednoduché sdílení souborů automaticky povolí výjimku v bráně Windows Firewall, přístup je omezený na místní podsíť. Systémy Windows XP Service Pack 2 však nejsou vzdáleně ohroženy problémem, který je popsán v ms05-039 s povolenou bránou firewall nebo bez této brány firewall.
Návody zakázat účet hosta v systému Windows XP Home?
Do příkazového řádku zadejte net User Guest /Active:No , pokud chcete zakázat účet hosta v systémech připojených k pracovní skupině. Zakázáním účtu hosta se zablokuje jednoduché sdílení souborů, takže doporučená akce pro systémy, které nejsou připojené k doméně, ale při použití jednoduchého sdílení souborů by chtěla rozšířenou ochranu, je nastavit heslo pro účet hosta. Další informace o nastavení tohoto hesla najdete v části Navrhované akce níže. Pokud používáte systém Windows XP Service Pack 2, povolení jednoduchého sdílení souborů a ForceGuest nezvyšuje úroveň ohrožení zabezpečení MS05-039.
Jak můžu vynutit, aby byl účet hosta v rámci domény zakázaný pomocí zásad skupiny?
Pokud je účet hosta povolený, nestačí k tomu, aby měl přístup k systému přes síť, zakázání účtu hosta je dobrým osvědčeným postupem a zablokovalo by nezamýšlený síťový přístup. Účet hosta je možné zakázat prostřednictvím zásad skupiny tím, že zajistí, že účty: Stavúčtu hosta je ve vaší doméně zakázaný.
Navrhované akce
Zkontrolujte následující web společnosti Microsoft.
Další informace o funkci jednoduchého sdílení souborů systému Windows XP a procesu ForceGuest naleznete na následujícím webu.
Zákazníci se systémem Windows XP Professional, kteří nemohou zakázat účet hosta, by měli změnit výchozí heslo pro účet hosta.
Pokud účet Hosta nemůžete zakázat, doporučujeme nakonfigurovat heslo pro účet hosta. To bude vyžadovat, aby všechny systémy ve vaší síti poskytly toto heslo pro vzájemné připojení. Zákazníci se systémem Windows XP Professional můžou toto heslo nakonfigurovat podle pokynů uvedených na následujícím https:. Konfigurace hesla pro účet hosta pomůže zabránit vzdáleným problémům, které se pokusí ověřit pomocí přihlašovacích údajů účtu hosta.
Zablokujte porty TCP 139 a 445 v bráně firewall:
Tyto porty slouží k zahájení připojení s ovlivněným protokolem. Blokováním v bráně firewall( příchozí i odchozí) zabráníte systémům, které jsou za touto bránou firewall, aby se pokusily tuto chybu zabezpečení zneužít. Doporučujeme blokovat veškerou nevyžádanou příchozí komunikaci z internetu, abyste zabránili útokům, které můžou používat jiné porty. Další informace o portech najdete na následujícím webu.
Postupujte podle pokynů k ochraně počítače.
Nadále doporučujeme zákazníkům postupovat podle našich pokynů k ochraně počítače, které umožňují bránu firewall, získávat aktualizace softwaru a instalovat antivirový software. Další informace o těchto krocích můžou zákazníci získat na webu Chránit váš počítač.
Další informace o tom, jak zůstat v bezpečí na internetu, mohou zákazníci navštívit domovskou stránku zabezpečení společnosti Microsoft.
Udržujte Systém Windows aktualizovaný.
Všichni uživatelé Systému Windows by měli použít nejnovější aktualizace zabezpečení společnosti Microsoft, aby zajistili, že jsou jejich počítače co nejvíce chráněné. Pokud si nejste jistí, jestli je váš software aktuální, navštivte web služba Windows Update, vyhledejte v počítači dostupné aktualizace a nainstalujte všechny aktualizace s vysokou prioritou, které jsou vám nabízeny. Pokud máte povolenou automatickou Aktualizace, aktualizace se vám doručí při jejich vydání, ale musíte se ujistit, že je nainstalujete.
Další informace
Zdroje:
- Svůj názor můžete poskytnout vyplněním formuláře na následujícím webu.
- Zákazníci v USA a Kanadě můžou získat technickou podporu ze služeb technické podpory společnosti Microsoft. Další informace o dostupných možnostech podpory naleznete na webu Nápověda a podpora společnosti Microsoft.
- Mezinárodní zákazníci můžou získat podporu od místních poboček Microsoftu. Další informace o tom, jak kontaktovat Společnost Microsoft o problémech s mezinárodní podporou, naleznete na webu mezinárodní podpory.
- Web Microsoft TechNet Security poskytuje další informace o zabezpečení v produktech Společnosti Microsoft.
Právní omezení:
Informace uvedené v tomto poradenství jsou poskytovány "tak, jak jsou" bez záruky jakéhokoli druhu. Společnost Microsoft odmítá všechny záruky, ať už výslovné nebo předpokládané, včetně záruk prodejnosti a vhodnosti pro určitý účel. V žádném případě společnost Microsoft Corporation nebo její dodavatelé nenese odpovědnost za jakékoli škody, včetně přímých, nepřímých, náhodných, následných, ztrát obchodních zisků nebo zvláštních škod, a to i v případě, že společnost Microsoft Corporation nebo její dodavatelé byli upozorněni na možnost těchto škod. Některé státy neumožňují vyloučení nebo omezení odpovědnosti za následné nebo náhodné škody, takže výše uvedené omezení nemusí platit.
Revize:
- 23. srpna 2005: Poradce publikováno
Postaveno v 2014-04-18T13:49:36Z-07:00</https:>