Avis de sécurité
Conseils de sécurité Microsoft 906574
Clarification du partage de fichiers simple et forceGuest
Publication : 23 août 2005
Microsoft a publié cet avis de sécurité pour clarifier les informations sur le problème résolu dans le Bulletin de sécurité MS05-039 pour les configurations non par défaut de Windows XP Service Pack 1. Cette fonctionnalité est appelée « Partage de fichiers simple et ForceGuest ». Si vous utilisez Windows XP Service Pack 2, l’activation du partage de fichiers simple et de ForceGuest n’augmente pas votre niveau d’exposition à la vulnérabilité de sécurité MS05-039. En outre, les clients qui ont appliqué la mise à jour de sécurité incluse dans MS05-039 ne sont pas affectés par ce problème. Nous vous recommandons de continuer à suivre nos conseils de protection de votre PC pour activer un pare-feu, obtenir des mises à jour logicielles et installer des logiciels antivirus. Les clients peuvent en savoir plus sur ces étapes en visitant le site Web Protéger votre PC.
Si le partage de fichiers simple est activé sur un système Microsoft Windows XP qui n’est pas joint à un domaine, tous les utilisateurs qui accèdent à ce système via le réseau sont obligés d’utiliser le compte invité. Il s’agit du paramètre de stratégie de sécurité « Accès réseau : partage et sécurité pour les comptes locaux*»* et est également appelé ForceGuest*.*
Windows XP atténue plusieurs vulnérabilités de sécurité en empêchant les utilisateurs qui n’ont pas d’informations d’identification d’ouverture de session valides d’accéder au système à distance. Voici un exemple de vulnérabilité qui est traitée dans le Bulletin de sécurité Microsoft MS05-039. Toutefois, lorsque vous activez le partage de fichiers simple, le compte invité est également activé et autorisé à accéder au système via le réseau. Étant donné que le compte invité est un compte valide lorsqu’il est activé et qu’il est autorisé à accéder au système via le réseau, un attaquant peut utiliser le compte invité comme s’il avait un compte d’utilisateur valide.
Il n’existe aucune attaque connue qui cherche à exploiter ce scénario. L’avis est émis en tant que précaution particulière. Aucune modification n’est apportée à la mise à jour dans le Bulletin de sécurité MS05-039. Les clients qui ont appliqué cette mise à jour sont protégés dans ce scénario.
Facteurs d’atténuation :
- Windows XP Service Pack 2 n’est pas vulnérable à distance au problème résolu par MS05-039, même lorsque le partage de fichiers simple active le compte invité. Sur Windows XP Service Pack 2, l’impact de cette vulnérabilité n’est que l’élévation de privilèges locaux et n’est exploitable que si un utilisateur a la possibilité de se connecter localement au système.
- Le partage de fichiers simple n’est pas disponible sur les systèmes Windows XP joints à un domaine. Les systèmes joints à un domaine utilisent le partage de fichiers standard qui n’active pas le compte invité ou lui donne les autorisations nécessaires pour accéder au système via le réseau. Windows XP Service Pack 2 n’est pas vulnérable à distance dans les systèmes joints à un domaine ou dans les systèmes joints à un groupe de travail.
- L’activation du partage de fichiers simple n’expose pas les clients qui ont appliqué les mises à jour de sécurité fournies par le Bulletin de sécurité Microsoft MS05-039 à la vulnérabilité qui est traitée par ce bulletin de sécurité.
Informations générales
Vue d’ensemble
Objectif de l’avis : Pour clarifier l’objectif de la fonctionnalité Partage de fichiers simple de Windows XP et son utilisation du compte invité.
État de l’avis : avis publié.
Recommandation : passez en revue l’avis et appliquez les modifications de configuration appropriées pour renforcer la sécurité.
| Références | Identification |
|---|---|
| Site web Microsoft | Partage simple et ForceGuest |
| Site web Microsoft | Sécurisation de Windows XP dans un environnement de mise en réseau d’égal à égal |
| L’équipe Symantec DeepSight Threat Analysis Team et Symantec BID | 14513 |
| Bulletin de sécurité | MS05-039 |
Cet avis traite du logiciel suivant.
| Logiciel associé |
| Microsoft Windows XP Service Pack 1 |
| Microsoft Windows XP 64 Bits Edition Service Pack 1 (Itanium) |
| Microsoft Windows XP Service Pack 2 |
| Microsoft Windows XP version 64 bits version 2003 (Itanium) |
| Microsoft Windows XP Professional x64 Edition |
Forums Aux Questions (FAQ)
Quelle est la portée de l’avis ?
Cet avis précise la fonctionnalité Partage de fichiers simple de Windows XP et son utilisation du compte invité. Ce processus, appelé ForceGuest, n’introduit pas de vulnérabilité de sécurité. Toutefois, ForceGuest active automatiquement le compte invité et il est autorisé à accéder au système via le réseau. Si vous utilisez Windows XP Service Pack 2, l’activation du partage de fichiers simple et de ForceGuest n’augmente pas votre niveau d’exposition à la vulnérabilité de sécurité MS05-039.
S’agit-il d’une vulnérabilité de sécurité qui oblige Microsoft à émettre une mise à jour de sécurité ?
Non. La fonctionnalité Partage de fichiers simple est une configuration facultative que certains clients peuvent choisir d’activer. Cette fonctionnalité n’est pas disponible sur les systèmes joints à un domaine. Pour plus d’informations sur cette fonctionnalité et sur la façon de la configurer de manière appropriée, visitez le site web suivant. Si vous utilisez Windows XP Service Pack 2, l’activation du partage de fichiers simple et de ForceGuest n’augmente pas votre niveau d’exposition à la vulnérabilité de sécurité MS05-039.
Comment le compte invité est-il activé et autorisé à accéder au système via le réseau ?
Les systèmes Windows XP Professionnel membres d’un groupe de travail et des systèmes Windows XP Famille utilisent le partage de fichiers simple. Avec le partage de fichiers simple, un utilisateur doit utiliser manuellement l’Assistant Configuration du réseau, documenté sur le site web suivant ou ignorer l’Assistant Installation du réseau en sélectionnant l’Option Si vous comprenez les risques de sécurité, mais que vous souhaitez partager des fichiers sans exécuter l’Assistant, cliquez ici pour terminer la configuration du partage de fichiers simple. Ces procédures permettent au compte invité et lui donnent l’autorisation d’accéder au système du réseau en supprimant le compte invité de l’accès refusé à cet ordinateur à partir de la stratégie de sécurité locale du réseau . Si vous activez manuellement le compte invité, il n’aurait pas l’autorisation d’accéder au système via le réseau.
Il n’est pas suffisant que le partage de fichiers et d’impression soit activé pour permettre au compte invité d’avoir accès à celui-ci via le réseau. Vous devez effectuer manuellement les étapes décrites dans cette section FAQ pour activer le compte invité et lui permettre d’accéder au système via le réseau. Une fois ces étapes effectuées, toute demande de connexion de partage de fichier ou d’impression s’authentifie correctement en tant que compte invité. Pour plus d’informations sur le partage de fichiers simple et son utilisation du compte invité, visitez le site web suivant. Ce problème n’affecte pas les systèmes Windows XP Professionnel membres d’un domaine. Les systèmes joints à un domaine n’utilisent pas le partage de fichiers simple. Le partage de fichiers ou d’imprimantes sur des systèmes joints à un domaine n’active pas le compte invité ni lui donne l’autorisation d’accéder au système via le réseau. Si vous utilisez Windows XP Service Pack 2, l’activation du partage de fichiers simple et de ForceGuest n’augmente pas votre niveau d’exposition à la vulnérabilité de sécurité MS05-039.
Les systèmes non joints à un domaine peuvent-ils activer leur compte invité via le partage de fichiers simple ?
Les systèmes Windows XP Professional joints à un domaine n’implémentent pas la fonctionnalité De partage de fichiers simple. Toutefois, si un système Windows XP Professionnel avait le compte invité activé par le partage de fichiers simple, avant d’être joint à un domaine, le compte invité reste activé lorsque ce système est joint ultérieurement au domaine. Pour désactiver le compte invité sur ces systèmes, effectuez les étapes documentées sur le site web suivant. Si vous utilisez Windows XP Service Pack 2, l’activation du partage de fichiers simple et de ForceGuest n’augmente pas votre niveau d’exposition à la vulnérabilité de sécurité MS05-039.
Comment faire savoir si j’utilise un système où ces étapes ont été effectuées ?
Si vous utilisez un système Windows XP Professionnel membre d’un groupe de travail ou si vous utilisez un système Windows XP Famille, vous pouvez rapidement case activée pour voir si vous êtes vulnérable à ce problème à l’aide de la commande suivante. À l’invite de commandes, tapez Net User Guest. Dans la liste des résultats, si le compte invité est répertorié en tant que compte actif - Oui, vous pouvez être vulnérable à ce problème si le compte invité a également reçu l’autorisation d’accéder au système via le réseau. En outre, si vous utilisez Windows XP Service Pack 2, l’activation du partage de fichiers simple et forceGuest n’augmente pas votre niveau d’exposition à la vulnérabilité de sécurité MS05-039.
Microsoft Baseline Security Analyzer (Mo SA) détecte-t-il si le compte invité a été activé sur un système au sein de mon domaine ?
Oui. Bien que le compte invité soit activé n’est pas suffisant pour lui permettre d’accéder au système via le réseau, la désactivation du compte invité est une bonne pratique et bloque l’accès réseau involontaire. Mo SA case activée qu’un compte invité a été désactivé sur un système et signale la réussite ou l’échec en fonction de la configuration du système.
Le Pare-feu Windows permet-il de bloquer l’accès lorsque le compte invité a été activé via le partage de fichiers simple ?
Bien que le partage de fichiers simple active automatiquement une exception dans le Pare-feu Windows, l’accès est limité au sous-réseau local. Toutefois, les systèmes Windows XP Service Pack 2 ne sont pas vulnérables à distance au problème abordé dans MS05-039 avec ou sans le pare-feu activé.
Comment faire désactiver le compte invité sur un système Windows XP Famille ?
À l’invite de commandes, tapez Net User Guest /Active :No pour désactiver le compte invité sur les systèmes joints au groupe de travail. La désactivation du compte invité bloque le partage de fichiers simple. Par conséquent, l’action recommandée pour les systèmes qui ne sont pas joints à un domaine, mais qui souhaite une protection renforcée lors de l’utilisation du partage de fichiers simple, consiste à définir un mot de passe pour le compte invité. Pour plus d’informations sur la définition de ce mot de passe, consultez la section Actions suggérées ci-dessous. Si vous utilisez Windows XP Service Pack 2, l’activation du partage de fichiers simple et de ForceGuest n’augmente pas votre niveau d’exposition à la vulnérabilité de sécurité MS05-039.
Comment puis-je appliquer la désactivation du compte invité dans mon domaine à l’aide de la stratégie de groupe ?
Bien que le compte invité soit activé n’est pas suffisant pour lui permettre d’accéder au système via le réseau, la désactivation du compte invité est une bonne pratique et bloque l’accès réseau involontaire. Le compte invité peut être désactivé par le biais d’une stratégie de groupe en veillant à ce que l’état du compte invité soit défini sur Désactivé dans votre domaine.
Actions suggérées
Passez en revue le site web Microsoft suivant.
Pour plus d’informations sur la fonctionnalité De partage de fichiers simple de Windows XP et le processus ForceGuest, visitez le site web suivant.
Les clients Windows XP Professional qui ne peuvent pas désactiver le compte invité doivent modifier le mot de passe par défaut sur le compte invité.
Si vous ne pouvez pas désactiver le compte invité, nous vous recommandons de configurer un mot de passe pour le compte invité. Cela nécessite que tous les systèmes de votre réseau fournissent ce mot de passe pour se connecter les uns aux autres. Les clients Windows XP Professionnel peuvent configurer ce mot de passe en suivant les instructions répertoriées à l’adresse https suivante : La configuration d’un mot de passe sur le compte invité permet d’empêcher ces systèmes de devenir à distance vulnérables aux problèmes qui tentent de s’authentifier à l’aide des informations d’identification du compte invité.
Bloquez les ports TCP 139 et 445 sur le pare-feu :
Ces ports sont utilisés pour lancer une connexion avec le protocole affecté. Les blocages au niveau du pare-feu, tant entrants que sortants, empêchent les systèmes qui se trouvent derrière ce pare-feu d’exploiter cette vulnérabilité. Nous vous recommandons de bloquer toutes les communications entrantes non sollicitées à partir d’Internet pour empêcher les attaques susceptibles d’utiliser d’autres ports. Pour plus d’informations sur les ports, visitez le site web suivant.
Suivez les instructions de Protection de votre PC.
Nous continuons à encourager les clients à suivre nos conseils de protection de votre PC pour activer un pare-feu, obtenir des mises à jour logicielles et installer des logiciels antivirus. Les clients peuvent en savoir plus sur ces étapes en visitant le site Web Protéger votre PC.
Pour plus d’informations sur la sécurité sur Internet, les clients peuvent visiter la page d’accueil de la sécurité Microsoft.
Conservez Windows mis à jour.
Tous les utilisateurs Windows doivent appliquer les dernières mises à jour de sécurité Microsoft pour vous assurer que leurs ordinateurs sont aussi protégés que possible. Si vous ne savez pas si votre logiciel est à jour, visitez le site web Windows Update, analysez votre ordinateur pour connaître les mises à jour disponibles et installez les mises à jour de haute priorité qui vous sont proposées. Si les Mises à jour automatiques sont activées, les mises à jour sont remises à vous lorsqu’elles sont publiées, mais vous devez vous assurer que vous les installez.
Autres informations
Ressources :
- Vous pouvez fournir des commentaires en remplissant le formulaire en visitant le site web suivant.
- Les clients aux États-Unis et au Canada peuvent recevoir un support technique de Microsoft Product Support Services. Pour plus d’informations sur les options de support disponibles, consultez le site Web aide et support Microsoft.
- Les clients internationaux peuvent recevoir du support de leurs filiales Microsoft locales. Pour plus d’informations sur la façon de contacter Microsoft pour connaître les problèmes de support international, visitez le site web du support international.
- Le site web Microsoft TechNet Security fournit des informations supplémentaires sur la sécurité dans les produits Microsoft.
Exclusion de responsabilité :
Les informations fournies dans cet avis sont fournies « tel quel » sans garantie quelconque. Microsoft exclut toutes les garanties, expresses ou implicites, y compris les garanties de marchandabilité et d’adéquation à un usage particulier. En aucun cas, Microsoft Corporation ou ses fournisseurs ne sont responsables de dommages-intérêts, y compris les dommages directs, indirects, accessoires, accessoires, les pertes de bénéfices commerciaux ou les dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été informés de la possibilité de tels dommages- intérêts. Certains États n’autorisent pas l’exclusion ou la limitation de responsabilité pour des dommages indirects ou accessoires afin que la limitation ci-dessus ne s’applique pas.
Révisions:
- 23 août 2005 : Avis publié
Construit à 2014-04-18T13 :49 :36Z-07 :00</https :>