Esporta (0) Stampa
Espandi tutto

Advisory Microsoft sulla sicurezza 906574

Spiegazioni riguardo alla condivisione file semplice e a ForceGuest

Data di pubblicazione: martedì 23 agosto 2005

Microsoft ha emesso questo advisory sulla sicurezza per chiarire le informazioni riguardo al problema trattato nel bollettino di protezione MS05-039 per configurazioni non predefinite di Windows XP Service Pack 1. Questa funzionalità è nota come “Simple File Sharing and ForceGuest”. Se si utilizza Windows XP Service Pack 2, l'abilitazione della condivisione file semplice e di ForceGuest non aumenta il livello di esposizione alla vulnerabilità della sicurezza descritta nel bollettino MS05-039. Inoltre, questo problema non ha effetto sui clienti che hanno applicato l'aggiornamento di protezione incluso con il bollettino MS05-039. Microsoft incoraggia i clienti a seguire le indicazioni disponibili in Proteggi il tuo PC per attivare un firewall, acquisire aggiornamenti software e installare software antivirus. Per ulteriori informazioni su questi passaggi, visitare il sito Web Proteggi il tuo PC.

Se la condivisione file semplice è abilitata su un sistema Microsoft Windows XP che non fa parte di un dominio, a tutti gli utenti che vi accedono attraverso la rete viene imposto l'utilizzo dell'account Guest. Questa è l'impostazione del criterio di protezione “Accesso di rete: modello di condivisione e protezione per gli account locali ed è conosciuta come ForceGuest.

Windows XP mitiga numerose vulnerabilità nella sicurezza, impedendo a utenti privi di credenziali di accesso valide di accedere in modo remoto al sistema. Ne è esempio la vulnerabilità trattata nel bollettino di protezione Microsoft MS05-039. Tuttavia, quando si abilita la condivisione file semplice, viene abilitato anche l'account Guest, che dispone dell'accesso al sistema attraverso la rete. Poiché l'account Guest, quando abilitato, è un account valido e possiede le autorizzazioni per accedere al sistema attraverso la rete, potrebbe essere sfruttato da parte di un utente non autorizzato.

Non vi è un attacco noto che tenti di sfruttare questo scenario.  L'advisory viene emesso a scopo precauzionale. Non vi è modifica all'aggiornamento del bollettino di protezione MS05-039. In questo scenario, i clienti che hanno applicato tale aggiornamento sono protetti.

Fattori attenuanti:

  • Windows XP Service Pack 2 non è vulnerabile in modo remoto rispetto al problema trattato nel bollettino MS05-039, anche quando la condivisione file semplice abilita l'account Guest. In Windows XP Service Pack 2, questa vulnerabilità ha impatto solamente per quanto riguarda l'elevazione dei privilegi locali, e può essere sfruttata solo da un utente in grado di accedere localmente al sistema.
  • La condivisione file semplice non è disponibile su sistemi Windows XP che fanno parte di un dominio. I sistemi che fanno parte di domini usano la condivisione file standard, che non abilita l'account Guest, né fornisce a tale account le autorizzazioni per accedere al sistema attraverso la rete. Windows XP Service Pack 2 non è vulnerabile in modo remoto in sistemi che fanno parte di domini o gruppi di lavoro.
  • L'abilitazione della condivisione file semplice non espone alla vulnerabilità trattata dal bollettino di protezione di Microsoft MS05-039 i clienti che hanno applicato gli aggiornamenti di protezione in esso contenuti.

Informazioni generali

Scopo dell'advisory: Chiarire lo scopo della funzionalità condivisione file semplice di Windows XP e il relativo utilizzo dell'account Guest.

Stato dell'advisory: pubblicazione dell'advisory

Raccomandazione: Esaminare l'advisory e applicare le modifiche di configurazione appropriate per migliorare la sicurezza.

RiferimentiIdentificazione
Sito Web Microsoft Condivisione semplice e ForceGuest
Sito Web Microsoft Securing Windows XP in a Peer-to-Peer Networking Environment
The Symantec DeepSight Threat Analysis Team , and Symantec BID 14513
Bollettino sulla sicurezza MS05-039

In questo advisory vengono presi in esame i seguenti prodotti software.

Software correlato
Microsoft Windows XP Service Pack 1
Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)
Microsoft Windows XP Service Pack 2
Microsoft Windows XP 64-Bit Edition versione 2003 (Itanium)
Microsoft Windows XP Professional x64 Edition

Qual è lo scopo di questo advisory?
Questo advisory spiega la funzionalità condivisione file semplice di Windows XP e il relativo utilizzo dell'account Guest. Questo processo, denominato ForceGuest, non introduce una vulnerabilità nella sicurezza. Tuttavia, ForceGuest abilita automaticamente l'account Guest, a cui fornisce l'autorizzazione ad accedere al sistema attraverso la rete. Se si utilizza Windows XP Service Pack 2, l'abilitazione della condivisione file semplice e di ForceGuest non aumenta il livello di esposizione alla vulnerabilità della sicurezza descritta nel bollettino MS05-039.

Il problema descritto è una vulnerabilità a livello di sicurezza che richiede la pubblicazione di un aggiornamento Microsoft?
No. La funzionalità condivisione file semplice è una configurazione facoltativa che alcuni clienti potrebbero voler abilitare. Tale funzionalità non è disponibile nei sistemi che fanno parte di un dominio. Per ulteriori informazioni su questa funzionalità e su come configurarla, visitare il seguente sito Web. Se si utilizza Windows XP Service Pack 2, l'abilitazione della condivisione file semplice e di ForceGuest non aumenta il livello di esposizione alla vulnerabilità della sicurezza descritta nel bollettino MS05-039.

Come avviene l'abilitazione e l'autorizzazione ad accedere al sistema attraverso la rete dell'account Guest?
I sistemi Windows XP Professional che fanno parte di un gruppo di lavoro e i sistemi Windows XP Home usano la condivisione file semplice. Con la condivisione file semplice, un utente deve usare manualmente Installazione guidata rete, come descritto nel seguente Sito Web, oppure saltare Installazione guidata rete selezionando l'opzione Se pur comprendendo i rischi in termini di protezione si desidera condividere i file senza eseguire la procedura, fare clic qui per completare la configurazione della condivisione file semplice. Tali procedure abilitano l'account Guest, a cui forniscono l'autorizzazione ad accedere al sistema dalla rete, rimuovendo l'account Guest dal criterio di protezione locale Nega accesso al computer dalla rete. Se si abilita manualmente l'account Guest, non avrà l'autorizzazione ad accedere al sistema attraverso la rete.

Non è sufficiente abilitare Condivisione file e stampanti per consentire all'account Guest l'accesso al sistema attraverso la rete. Per abilitare l'account Guest con le relative autorizzazioni ad accedere al sistema attraverso la rete, è necessario eseguire manualmente la procedura documentata in questa sezione, Domande frequenti. Dopo aver eseguito questi passaggi, ogni richiesta di connessione per la condivisione di file e stampanti verrà autenticata correttamente con l'account Guest. Per ulteriori informazioni sulla condivisione file semplice e il relativo uso dell'account Guest, visitare il seguente sito Web. Questo problema non ha effetto sui sistemi Windows XP Professional che fanno parte di un dominio. I sistemi che fanno parte di domini non usano la condivisione file semplice. La condivisione di file o stampanti in sistemi che fanno parte di domini non abilita l'account Guest, né le relative autorizzazioni ad accedere al sistema attraverso la rete. Se si utilizza Windows XP Service Pack 2, l'abilitazione della condivisione file semplice e di ForceGuest non aumenta il livello di esposizione alla vulnerabilità della sicurezza descritta nel bollettino MS05-039.

È possibile, per i sistemi che non fanno parte di domini, che l'account Guest sia abilitato attraverso la condivisione file semplice?
I sistemi Windows XP Professional che fanno parte di domini non implementano la funzionalità condivisione file semplice. Tuttavia, se un sistema Windows XP Professional aveva l'account Guest abilitato da condivisione file semplice prima di essere unito a un dominio, tale account rimane abilitato quando, successivamente, il sistema diviene parte del dominio. Per disabilitare l'account Guest su questi sistemi, eseguire la procedura descritta nel seguente sito Web. Se si utilizza Windows XP Service Pack 2, l'abilitazione della condivisione file semplice e di ForceGuest non aumenta il livello di esposizione alla vulnerabilità della sicurezza descritta nel bollettino MS05-039.

Come è possibile sapere se si sta utilizzando un sistema su cui è stata eseguita questa procedura?
Se si sta usando un sistema Windows XP Professional che fa parte di un gruppo di lavoro o un sistema Windows XP Home, usando il comando seguente è possibile controllare in modo rapido se è presente questo tipo di vulnerabilità. Nel prompt dei comandi, immettere Net User Guest. Nell'elenco dei risultati, se l'account Guest è elencato come Account attivo – Sì, se l'account Guest dispone anche dell'autorizzazione ad accedere al sistema attraverso alla rete, è possibile che si sia vulnerabili a questo problema. Inoltre, se si utilizza Windows XP Service Pack 2, l'abilitazione della condivisione file semplice e di ForceGuest non aumenta il livello di esposizione alla vulnerabilità della sicurezza descritta nel bollettino MS05-039.

MBSA (Microsoft Baseline Security Analyzer) può rilevare se l'account Guest è stato abilitato su un sistema all'interno del dominio?
Sì. Anche se l'abilitazione dell'account Guest non è sufficiente perché acceda al sistema attraverso la rete, disabilitarlo è la procedura ottimale e consente di bloccare gli accessi indesiderati dalla rete. MBSA controlla la disabilitazione di un account Guest in un sistema e riporta l'esito positivo o negativo, a seconda della configurazione del sistema.

Windows Firewall consente di bloccare l'accesso se l'account Guest è stato abilitato mediante la condivisione file semplice?
Anche se la condivisione file semplice abilita automaticamente un'eccezione in Windows Firewall, l'accesso è limitato alla subnet locale. Tuttavia, i sistemi Windows XP Service Pack 2 non sono vulnerabili in modo remoto al problema trattato nel bollettino MS05-019, indipendentemente dal fatto che il firewall sia abilitato o meno.

Come si disabilita l'account Guest su un sistema Windows XP Home?
Nel prompt dei comandi, immettere Net User Guest /Active:No per disabilitare l'account Guest su sistemi che fanno parte di gruppi di lavoro. La disabilitazione dell'account Guest blocca la condivisione file semplice, pertanto l'azione consigliata per i sistemi che non sono parte di domini ma necessitano di una migliore protezione durante l'uso della condivisione file semplice consiste nell'impostazione di una password per l'account Guest. Vedere la sezione Interventi consigliati per ulteriori informazioni sull'impostazione della password. Se si utilizza Windows XP Service Pack 2, l'abilitazione della condivisione file semplice e di ForceGuest non aumenta il livello di esposizione alla vulnerabilità della sicurezza descritta nel bollettino MS05-039.

Come è possibile imporre la disabilitazione dell'account Guest nel dominio usando i criteri di gruppo?
Anche se l'abilitazione dell'account Guest non è sufficiente perché acceda al sistema attraverso la rete, disabilitarlo è la procedura ottimale e consente di bloccare gli accessi indesiderati dalla rete. L'account Guest può essere disabilitato mediante i criteri di gruppo, assicurandosi che Account: stato account Guestsia impostato su Disattivato nel proprio dominio.

  • Esaminare il seguente sito Web Microsoft.

    Per ulteriori informazioni sulla funzionalità condivisione file semplice di Windows XP e sul processo ForceGuest, visitare il seguente sito Web.

  • I clienti Windows XP Professional che non possono disabilitare l'account Guest dovrebbero modificare la relativa password.

    Se non è possibile disabilitare l'account Guest, si consiglia di configurare una password per tale account. Ciò richiederà a tutti i sistemi della rete di fornire tale password per connettersi tra loro. I clienti di Windows XP Professional possono configurare la password seguendo le istruzioni contenute nel seguente sito Web. La configurazione di una password per l'account Guest può aiutare a ridurre la vulnerabilità di tali sistemi a tentativi inappropriati di autenticazione mediante le credenziali dell'account Guest.

  • Bloccare le porte TCP 139 e 445 a livello del firewall:

    Queste porte vengono utilizzate per avviare una connessione con il protocollo interessato. Bloccandole a livello di firewall, sia in ingresso che in uscita, è quindi possibile evitare che i sistemi protetti dal firewall subiscano attacchi mirati a sfruttare la vulnerabilità. Si consiglia di bloccare tutte le comunicazioni in ingresso non richieste provenienti da Internet per impedire gli attacchi che potrebbero utilizzare altre porte. Per ulteriori informazioni sulle porte, visitare il seguente sito Web.

  • Seguire le istruzioni in Proteggi il tuo PC.

    Microsoft incoraggia a seguire le indicazioni disponibili in Proteggi il tuo PC per attivare un firewall, acquisire aggiornamenti software e installare software antivirus. Per ulteriori informazioni su questi passaggi, visitare il sito Web Proteggi il tuo PC.

  • Per ulteriori informazioni sulla protezione in Internet, visitare la home page del sito Microsoft Security.
  • Aggiornamento regolare di Windows

    Si consiglia a tutti gli utenti di Windows di applicare gli ultimi aggiornamenti per la protezione Microsoft al fine di garantire la massima sicurezza del computer. Per verificare se il software è aggiornato, visitare il sito Web Windows Update per eseguire la scansione del computer e installare eventuali aggiornamenti ad alta priorità. Se la funzionalità Aggiornamenti automatici è attivata, gli aggiornamenti vengono inviati al computer al momento del rilascio, ma è comunque necessario assicurarsi di installarli.

Altre informazioni

Risorse:

Dichiarazione di non responsabilità:

Le informazioni disponibili in questo advisory sono fornite "come sono" senza garanzie di alcun tipo. Conseguentemente, Microsoft non rilascia alcuna garanzia, esplicita o implicita, inclusa la garanzia di commerciabilità e di idoneità per uno scopo specifico. Microsoft Corporation o i suoi fornitori non saranno, in alcun caso, responsabili per danni di qualsiasi tipo, inclusi i danni diretti, indiretti, incidentali, consequenziali, la perdita di profitti e i danni speciali, anche qualora Microsoft Corporation o i suoi fornitori siano stati informati della possibilità del verificarsi di tali danni. Alcuni stati non consentono l'esclusione o la limitazione di responsabilità per danni diretti o indiretti e, dunque, la sopracitata limitazione potrebbe non essere applicabile.

Versioni:

  • 23 agosto 2005: pubblicazione dell'advisory

Built at 2014-04-18T01:50:00Z-07:00

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.
Mostra:
© 2015 Microsoft