Sicherheitsempfehlung
Microsoft Security Advisory 906574
Klärung einfacher Dateifreigabe und ForceGuest
Veröffentlicht: 23. August 2005
Microsoft hat diese Sicherheitsempfehlung herausgegeben, um Informationen über das Problem zu klären, das im Sicherheitsbulletin MS05-039 für nicht standardmäßige Konfigurationen von Windows XP Service Pack 1 behoben wurde. Dieses Feature wird als "Einfache Dateifreigabe und ForceGuest" bezeichnet. Wenn Sie Windows XP Service Pack 2 verwenden, erhöht die Aktivierung der einfachen Dateifreigabe und ForceGuest nicht das Risiko für die MS05-039-Sicherheitsanfälligkeit. Außerdem sind Kunden, die das in MS05-039 enthaltene Sicherheitsupdate angewendet haben, von diesem Problem nicht betroffen. Wir empfehlen, dass Kunden weiterhin unseren Richtlinien zum Schutz Ihres PCs befolgen, um eine Firewall zu aktivieren, Softwareupdates zu erhalten und Antivirensoftware zu installieren. Kunden können mehr über diese Schritte erfahren, indem Sie die Website "Schützen Ihres PCs" besuchen.
Wenn die einfache Dateifreigabe auf einem Microsoft Windows XP-System aktiviert ist, das nicht mit einer Do verbunden ist Standard, werden alle Benutzer, die über das Netzwerk auf dieses System zugreifen, gezwungen, das Gastkonto zu verwenden. Dies ist die Sicherheitsrichtlinieneinstellung "Netzwerkzugriff: Freigabe und Sicherheitsmodell für lokale Konten*"* und wird auch als ForceGuest*.* bezeichnet.
Windows XP entschärft mehrere Sicherheitsrisiken, indem Benutzer, die keine gültigen Anmeldeinformationen besitzen, remote auf das System zugreifen können. Ein Beispiel hierfür ist die Sicherheitsanfälligkeit, die in Microsoft Security Bulletin MS05-039 behoben wird. Wenn Sie jedoch die einfache Dateifreigabe aktivieren, ist das Gastkonto ebenfalls aktiviert und erhält die Berechtigung für den Zugriff auf das System über das Netzwerk. Da das Gastkonto ein gültiges Konto ist, wenn es aktiviert ist, und ihm die Berechtigung zum Zugriff auf das System über das Netzwerk gewährt wird, könnte ein Angreifer das Gastkonto wie ein gültiges Benutzerkonto verwenden.
Es gibt keinen bekannten Angriff, der dieses Szenario ausnutzen möchte. Die Empfehlung wird als besondere Vorsichtsmaßnahme ausgestellt. Es gibt keine Änderung am Update im Sicherheitsbulletin MS05-039. Kunden, die dieses Update angewendet haben, sind in diesem Szenario geschützt.
Mildernde Faktoren:
- Windows XP Service Pack 2 ist nicht remote anfällig für das Problem, das von MS05-039 behoben wurde, auch wenn die einfache Dateifreigabe das Gastkonto aktiviert. Unter Windows XP Service Pack 2 ist die Auswirkung dieser Sicherheitsanfälligkeit nur lokale Rechteerweiterung und kann nur ausgenutzt werden, wenn sich ein Benutzer lokal beim System anmelden kann.
- Die einfache Dateifreigabe ist auf Windows XP-Systemen, die mit einer Do verbunden sind Standard nicht verfügbar. Do Standard-join systems use standard file sharing which does not enable the Guest account or give it permissions to access the system through the network. Windows XP Service Pack 2 ist nicht remote anfällig Standard eingebundene Systeme oder in arbeitsgruppengefügten Systemen.
- Das Aktivieren der einfachen Dateifreigabe macht Kunden, die die Sicherheitsupdates von Microsoft Security Bulletin MS05-039 angewendet haben, nicht für die Sicherheitsanfälligkeit verfügbar, die von diesem Sicherheitsbulletin behoben wird.
Allgemeine Informationen
Übersicht
Zweck der Empfehlung: Zweck der Klärung des Zwecks der einfachen Dateifreigabe-Funktion von Windows XP und deren Verwendung des Gastkontos.
Advisory Status: Advisory published.
Empfehlung: Überprüfen Sie die Empfehlung, und wenden Sie die entsprechenden Konfigurationsänderungen für erhöhte Sicherheit an.
| References | Identifikation |
|---|---|
| Microsoft-Website | Einfache Freigabe und ForceGuest |
| Microsoft-Website | Schützen von Windows XP in einer Peer-to-Peer-Netzwerkumgebung |
| Das Symantec DeepSight Threat Analysis Team und Symantec BID | 14513 |
| Sicherheitsbulletin | MS05-039 |
In dieser Empfehlung wird die folgende Software erläutert.
| Verwandte Software |
| Microsoft Windows XP Service Pack 1 |
| Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium) |
| Microsoft Windows XP Service Pack 2 |
| Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium) |
| Microsoft Windows XP Professional x64 Edition |
Häufig gestellte Fragen
Was ist der Umfang der Beratung?
In diesem Hinweis wird das Feature "Einfache Dateifreigabe" von Windows XP und die Verwendung des Gastkontos erläutert. Dieser Prozess, der als ForceGuest bezeichnet wird, führt keine Sicherheitslücke ein. ForceGuest aktiviert jedoch automatisch das Gastkonto und erhält die Berechtigung für den Zugriff auf das System über das Netzwerk. Wenn Sie Windows XP Service Pack 2 verwenden, erhöht die Aktivierung der einfachen Dateifreigabe und ForceGuest nicht das Risiko für die MS05-039-Sicherheitsanfälligkeit.
Ist dies eine Sicherheitslücke, die erfordert, dass Microsoft ein Sicherheitsupdate ausgibt?
Nein Das Feature "Einfache Dateifreigabe" ist eine optionale Konfiguration, die von einigen Kunden aktiviert werden kann. Dieses Feature ist nicht auf Systemen verfügbar, die mit einer Do Standard verbunden sind. Weitere Informationen zu diesem Feature und zur entsprechenden Konfiguration finden Sie auf der folgenden Website. Wenn Sie Windows XP Service Pack 2 verwenden, erhöht die Aktivierung der einfachen Dateifreigabe und ForceGuest nicht das Risiko für die MS05-039-Sicherheitsanfälligkeit.
Wie wird das Gastkonto aktiviert und kann über das Netzwerk auf das System zugreifen?
Windows XP Professional-Systeme, die Mitglieder einer Arbeitsgruppe sind, und Windows XP Home-Systeme verwenden einfache Dateifreigabe. Bei der einfachen Dateifreigabe muss ein Benutzer den Netzwerkeinrichtungs-Assistenten manuell verwenden, auf der folgenden Website dokumentiert oder den Netzwerkeinrichtungs-Assistenten umgehen, indem Sie die Sicherheitsrisiken auswählen, aber Dateien freigeben möchten, ohne den Assistenten auszuführen, klicken Sie hier , um die Konfiguration der einfachen Dateifreigabe abzuschließen. Diese Verfahren ermöglichen das Gastkonto und erteilen ihm die Berechtigung für den Zugriff auf das System aus dem Netzwerk, indem das Gastkonto aus der lokalen Netzwerksicherheitsrichtlinie entfernt wird. Wenn Sie das Gastkonto manuell aktivieren, verfügt es nicht über die Berechtigung für den Zugriff auf das System über das Netzwerk.
Es reicht nicht aus, nur die Datei- und Druckfreigabe aktiviert zu haben, um dem Gastkonto Zugriff auf das System über das Netzwerk zu ermöglichen. Sie müssen die Schritte, die in diesem HÄUFIG gestellten Abschnitt dokumentiert sind, manuell ausführen, um das Gastkonto zu aktivieren und den Zugriff auf das System über das Netzwerk zu ermöglichen. Sobald diese Schritte ausgeführt wurden, authentifiziert sich jede Datei- oder Druckfreigabeverbindungsanforderung erfolgreich als Gastkonto. Weitere Informationen zur einfachen Dateifreigabe und deren Verwendung des Gastkontos finden Sie auf der folgenden Website. Dieses Problem wirkt sich nicht auf Windows XP Professional-Systeme aus, die Mitglieder einer Do Standard sind. Do Standard-join systems do do not use Simple File Sharing. Das Freigeben von Dateien oder Druckern auf do Standard eingebundenen Systemen aktiviert das Gastkonto nicht oder erteilt ihm die Berechtigung für den Zugriff auf das System über das Netzwerk. Wenn Sie Windows XP Service Pack 2 verwenden, erhöht die Aktivierung der einfachen Dateifreigabe und ForceGuest nicht das Risiko für die MS05-039-Sicherheitsanfälligkeit.
Können nicht in Standard eingebundene Systeme ihr Gastkonto über die einfache Dateifreigabe aktiviert haben?
Do Standard-eingebundene Windows XP Professional-Systeme implementieren das Feature "Einfache Dateifreigabe" nicht. Wenn jedoch ein Windows XP Professional-System das Gastkonto durch einfache Dateifreigabe aktiviert hatte, bevor es einer Do Standard beigetreten ist, wird das Gast Standard konto erneut aktiviert, wenn dieses System später mit der Do verbunden ist Standard. Um das Gastkonto auf diesen Systemen zu deaktivieren, führen Sie die schritte aus, die auf der folgenden Website dokumentiert sind. Wenn Sie Windows XP Service Pack 2 verwenden, erhöht die Aktivierung der einfachen Dateifreigabe und ForceGuest nicht das Risiko für die MS05-039-Sicherheitsanfälligkeit.
Gewusst wie wissen, ob ich ein System verwende, in dem diese Schritte ausgeführt wurden?
Wenn Sie ein Windows XP Professional-System verwenden, das Mitglied einer Arbeitsgruppe ist oder wenn Sie ein Windows XP Home-System verwenden, können Sie schnell überprüfen, ob Sie möglicherweise anfällig für dieses Problem sind, indem Sie den folgenden Befehl verwenden. Geben Sie an einer Eingabeaufforderung net User Guest ein. Wenn das Gastkonto in der Liste der Ergebnisse als "Konto aktiv" aufgeführt ist – Ja, könnten Sie anfällig für dieses Problem sein, wenn dem Gastkonto auch die Berechtigung zum Zugriff auf das System über das Netzwerk gewährt wurde. Wenn Sie auch Windows XP Service Pack 2 verwenden, erhöht die Aktivierung der einfachen Dateifreigabe und ForceGuest nicht die Gefährdungsstufe für die MS05-039-Sicherheitsanfälligkeit.
Erkennt der Microsoft Baseline Security Analyzer (MBSA), ob das Gastkonto auf einem System in meiner Aufgabe aktiviert wurde Standard?
Ja. Obwohl das Gastkonto nicht ausreicht, um den Zugriff auf das System über das Netzwerk zu ermöglichen, ist das Deaktivieren des Gastkontos eine bewährte Methode und würde unbeabsichtigten Netzwerkzugriff blockieren. MBSA überprüft, ob ein Gastkonto auf einem System deaktiviert wurde, und meldet abhängig von der Systemkonfiguration Erfolg oder Fehler.
Blockiert die Windows-Firewall den Zugriff, wenn das Gastkonto über die einfache Dateifreigabe aktiviert wurde?
Während die einfache Dateifreigabe automatisch eine Ausnahme in der Windows-Firewall aktiviert, ist der Zugriff auf das lokale Subnetz beschränkt. Windows XP Service Pack 2-Systeme sind jedoch nicht remote anfällig für das problem, das in MS05-039 mit oder ohne die Firewall aktiviert wurde.
Gewusst wie das Gastkonto auf einem Windows XP Home-System deaktivieren?
Geben Sie an einer Eingabeaufforderung "Net User Guest /Active:No " ein, um das Gastkonto für in Arbeitsgruppen eingebundene Systeme zu deaktivieren. Wenn Sie das Gastkonto deaktivieren, wird die einfache Dateifreigabe blockiert. Die empfohlene Aktion für Systeme, die nicht mit einer Aktion verbunden sind Standard, möchten aber den erweiterten Schutz bei verwendung der einfachen Dateifreigabe verwenden, ist das Festlegen eines Kennworts für das Gastkonto. Weitere Informationen zum Festlegen dieses Kennworts finden Sie im Abschnitt "Vorgeschlagene Aktionen" weiter unten. Wenn Sie Windows XP Service Pack 2 verwenden, erhöht die Aktivierung der einfachen Dateifreigabe und ForceGuest nicht das Risiko für die MS05-039-Sicherheitsanfälligkeit.
Wie kann ich erzwingen, dass das Gastkonto innerhalb meiner Aufgaben deaktiviert wird Standard mithilfe von Gruppenrichtlinien?
Obwohl das Gastkonto nicht ausreicht, um den Zugriff auf das System über das Netzwerk zu ermöglichen, ist das Deaktivieren des Gastkontos eine bewährte Methode und würde den unbeabsichtigten Netzwerkzugriff blockieren. Das Gastkonto kann über Gruppenrichtlinien deaktiviert werden, indem sichergestellt wird, dass der Kontostatus"Gastkonto" in Ihrer Funktion auf "Deaktiviert" festgelegt ist Standard.
Vorgeschlagene Aktionen
Überprüfen Sie die folgende Microsoft-Website.
Weitere Informationen zum Feature "Einfache Dateifreigabe" von Windows XP und zum ForceGuest-Prozess finden Sie auf der folgenden Website.
Windows XP Professional-Kunden, die das Gastkonto nicht deaktivieren können, sollten das Standardkennwort für das Gastkonto ändern.
Wenn Sie das Gastkonto nicht deaktivieren können, empfehlen wir, ein Kennwort für das Gastkonto zu konfigurieren. Dies erfordert, dass alle Systeme in Ihrem Netzwerk dieses Kennwort angeben, um eine Verbindung zueinander herzustellen. Windows XP Professional-Kunden können dieses Kennwort konfigurieren, indem Sie den anweisungen folgen, die unter folgendem https:- aufgeführt sind. Durch das Konfigurieren eines Kennworts für das Gastkonto wird verhindert, dass diese Systeme remote anfällig für Probleme werden, die versuchen, sich mit den Gastkontoanmeldeinformationen zu authentifizieren.
Blockieren sie die TCP-Ports 139 und 445 an der Firewall:
Diese Ports werden verwendet, um eine Verbindung mit dem betroffenen Protokoll zu initiieren. Durch das Blockieren der Firewall, sowohl eingehend als auch ausgehend, können Systeme, die sich hinter dieser Firewall befinden, daran gehindert werden, diese Sicherheitsanfälligkeit auszunutzen. Es wird empfohlen, alle unerwünschten eingehenden Kommunikationen aus dem Internet zu blockieren, um Angriffe zu verhindern, die möglicherweise andere Ports verwenden. Weitere Informationen zu Ports finden Sie auf der folgenden Website.
Befolgen Sie die Richtlinien zum Schützen Ihres PCs.
Wir ermutigen kunden weiterhin, unseren Schutz Your PC-Richtlinien zu befolgen, eine Firewall zu aktivieren, Softwareupdates zu erhalten und Antivirensoftware zu installieren. Kunden können mehr über diese Schritte erfahren, indem Sie die Website "Schützen Ihres PCs" besuchen.
Weitere Informationen zum Sicheren im Internet finden Kunden auf der Microsoft Security Home Page.
Halten Sie Windows auf dem neuesten Stand.
Alle Windows-Benutzer sollten die neuesten Microsoft-Sicherheitsupdates anwenden, um sicherzustellen, dass ihre Computer so geschützt wie möglich sind. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, besuchen Sie die Windows Update-Website, scannen Sie Ihren Computer nach verfügbaren Updates, und installieren Sie alle updates mit hoher Priorität, die Ihnen angeboten werden. Wenn Sie automatische Updates aktiviert haben, werden die Updates an Sie übermittelt, wenn sie veröffentlicht werden, aber Sie müssen sicherstellen, dass Sie sie installieren.
Sonstige Informationen
Ressourcen:
- Sie können Feedback geben, indem Sie das Formular ausfüllen, indem Sie die folgende Website besuchen.
- Kunden in den USA und Kanada können technischen Support von Microsoft Product Support Services erhalten. Weitere Informationen zu den verfügbaren Supportoptionen finden Sie auf der Microsoft-Hilfe- und Supportwebsite.
- Internationale Kunden können Support von ihren lokalen Microsoft-Tochtergesellschaften erhalten. Weitere Informationen zum Kontaktieren von Microsoft für internationale Supportprobleme finden Sie auf der Website für den internationalen Support.
- Die Microsoft TechNet Security-Website enthält zusätzliche Informationen zur Sicherheit in Microsoft-Produkten.
Haftungsausschluss:
Die in dieser Empfehlung bereitgestellten Informationen werden ohne Jegliche Garantie bereitgestellt. Microsoft lehnt alle Gewährleistungen ab, entweder ausdrücklich oder impliziert, einschließlich der Gewährleistungen der Händlerbarkeit und Eignung für einen bestimmten Zweck. In keinem Fall haftet die Microsoft Corporation oder seine Lieferanten für jegliche Schäden, einschließlich direkter, indirekter, zufälliger, Folgeschäden, Verlust von Geschäftsgewinnen oder sonderschäden, auch wenn die Microsoft Corporation oder ihre Lieferanten über die Möglichkeit solcher Schäden informiert wurden. Einige Staaten lassen den Ausschluss oder die Haftungsbeschränkung für Folge- oder Nebenschäden nicht zu, sodass die vorstehende Einschränkung möglicherweise nicht gilt.
Revisionen:
- 23. August 2005: Empfehlung veröffentlicht
Gebaut am 2014-04-18T13:49:36Z-07:00</https:>