Avviso di sicurezza
Microsoft Security Advisory 906574
Chiarimento della condivisione di file semplice e forceGuest
Pubblicato: 23 agosto 2005
Microsoft ha rilasciato questo avviso di sicurezza per chiarire le informazioni sul problema risolto nel bollettino sulla sicurezza MS05-039 per le configurazioni non predefinite di Windows XP Service Pack 1. Questa funzionalità è nota come "Condivisione file semplice e ForceGuest". Se si usa Windows XP Service Pack 2, l'abilitazione della condivisione file semplice e ForceGuest non aumenta il livello di esposizione alla vulnerabilità di sicurezza MS05-039. Inoltre, i clienti che hanno applicato l'aggiornamento della sicurezza incluso in MS05-039 non sono interessati da questo problema. È consigliabile che i clienti continuino a seguire le linee guida per proteggere il PC per abilitare un firewall, ottenere gli aggiornamenti software e installare software antivirus. I clienti possono saperne di più su questi passaggi visitando il sito Web Proteggi pc.
Se la condivisione file semplice è abilitata in un sistema Microsoft Windows XP che non è aggiunto a un dominio, tutti gli utenti che accedono a questo sistema tramite la rete sono costretti a usare l'account guest. Si tratta dell'impostazione dei criteri di sicurezza "Accesso alla rete: Condivisione e sicurezza per gli account locali*"* e nota anche come ForceGuest*.*
Windows XP riduce diverse vulnerabilità di sicurezza impedendo agli utenti che non dispongono di credenziali di accesso valide di accedere al sistema in remoto. Un esempio è la vulnerabilità risolta nel bollettino microsoft sulla sicurezza MS05-039. Tuttavia, quando si abilita la condivisione file semplice, l'account guest viene abilitato e viene concessa l'autorizzazione per accedere al sistema tramite la rete. Poiché l'account guest è un account valido quando è abilitato e viene concessa l'autorizzazione per accedere al sistema tramite la rete, un utente malintenzionato potrebbe usare l'account guest come se avesse un account utente valido.
Non esiste un attacco noto che sta cercando di sfruttare questo scenario. L'avviso viene emesso come precauzione speciale. Non viene apportata alcuna modifica all'aggiornamento nel bollettino sulla sicurezza MS05-039. I clienti che hanno applicato questo aggiornamento sono protetti in questo scenario.
Fattori di mitigazione:
- Windows XP Service Pack 2 non è vulnerabile in remoto al problema risolto da MS05-039 anche quando la condivisione file semplice abilita l'account Guest. In Windows XP Service Pack 2 l'impatto di questa vulnerabilità è solo l'elevazione dei privilegi locali e può essere sfruttata solo se un utente ha la possibilità di accedere localmente al sistema.
- La condivisione file semplice non è disponibile nei sistemi Windows XP aggiunti a un dominio. I sistemi aggiunti a un dominio usano la condivisione file standard che non abilita l'account guest o concede le autorizzazioni per accedere al sistema tramite la rete. Windows XP Service Pack 2 non è vulnerabile in remoto nei sistemi aggiunti a un dominio o nei sistemi aggiunti a gruppi di lavoro.
- L'abilitazione della condivisione file semplice non espone i clienti che hanno applicato gli aggiornamenti della sicurezza forniti da Microsoft Security Bulletin MS05-039 alla vulnerabilità risolta da tale bollettino sulla sicurezza.
Informazioni generali
Panoramica
Scopo dell'avviso: per chiarire lo scopo della funzionalità Di condivisione file semplice di Windows XP e dell'uso dell'account Guest.
Stato avviso: avviso pubblicato.
Raccomandazione: esaminare l'avviso e applicare le modifiche di configurazione appropriate per aumentare la sicurezza.
| Riferimenti | Identificazione |
|---|---|
| Sito Web Microsoft | Condivisione semplice e ForceGuest |
| Sito Web Microsoft | Protezione di Windows XP in un ambiente di rete peer-to-peer |
| Symantec DeepSight Threat Analysis Team e Symantec BID | 14513 |
| Bollettino sulla sicurezza | MS05-039 |
Questo avviso illustra il software seguente.
| Software correlato |
| Microsoft Windows XP Service Pack 1 |
| Microsoft Windows XP 64 Bit Edition Service Pack 1 (Itanium) |
| Microsoft Windows XP Service Pack 2 |
| Microsoft Windows XP 64 Bit Edition versione 2003 (Itanium) |
| Microsoft Windows XP Professional x64 Edition |
Domande frequenti
Qual è l'ambito dell'avviso?
Questo avviso chiarisce la funzionalità Di condivisione file semplice di Windows XP e l'uso dell'account Guest. Questo processo, denominato ForceGuest, non introduce una vulnerabilità di sicurezza. Tuttavia, ForceGuest abilita automaticamente l'account Guest e viene concessa l'autorizzazione per accedere al sistema tramite la rete. Se si usa Windows XP Service Pack 2, l'abilitazione della condivisione file semplice e ForceGuest non aumenta il livello di esposizione alla vulnerabilità di sicurezza MS05-039.
Si tratta di una vulnerabilità di sicurezza che richiede a Microsoft di eseguire un aggiornamento della sicurezza?
No. La funzionalità Condivisione file semplice è una configurazione facoltativa che alcuni clienti possono scegliere di abilitare. Questa funzionalità non è disponibile nei sistemi aggiunti a un dominio. Per altre informazioni su questa funzionalità e su come configurarla in modo appropriato, visitare il sito Web seguente. Se si usa Windows XP Service Pack 2, l'abilitazione della condivisione file semplice e ForceGuest non aumenta il livello di esposizione alla vulnerabilità di sicurezza MS05-039.
In che modo l'account guest diventa abilitato e autorizzato ad accedere al sistema tramite la rete?
I sistemi Windows XP Professional che sono membri di un gruppo di lavoro e i sistemi Windows XP Home usano la condivisione file semplice. Con la condivisione file semplice, un utente deve usare manualmente l'Installazione guidata di rete, documentato nel sito Web seguente oppure ignorare l'Installazione guidata rete selezionando se si conoscono i rischi per la sicurezza, ma si desidera condividere file senza eseguire la procedura guidata, fare clic qui opzione per completare la configurazione di Condivisione file semplice. Queste procedure consentono all'account Guest di concedere l'autorizzazione per accedere al sistema dalla rete rimuovendo l'account guest dal criterio nega l'accesso al computer dal criterio di sicurezza locale di rete . Se si abilita manualmente l'account guest, non si dispone dell'autorizzazione per accedere al sistema tramite la rete.
Non è sufficiente avere solo la condivisione file e stampa abilitata per consentire all'account guest di avere accesso al sistema tramite la rete. È necessario eseguire manualmente i passaggi documentati in questa sezione delle domande frequenti per abilitare l'account Guest e consentire l'accesso al sistema tramite la rete. Dopo aver eseguito questi passaggi, qualsiasi richiesta di connessione di condivisione file o stampa verrà autenticata correttamente come account guest. Per altre informazioni sulla condivisione file semplice e sull'uso dell'account Guest, visitare il sito Web seguente. Questo problema non influisce sui sistemi Windows XP Professional membri di un dominio. I sistemi aggiunti a un dominio non usano la condivisione file semplice. La condivisione di file o stampanti nei sistemi aggiunti a un dominio non abilita l'account guest o concede l'autorizzazione per accedere al sistema tramite la rete. Se si usa Windows XP Service Pack 2, l'abilitazione della condivisione file semplice e ForceGuest non aumenta il livello di esposizione alla vulnerabilità di sicurezza MS05-039.
I sistemi non aggiunti a un dominio possono avere l'account guest abilitato tramite condivisione file semplice?
I sistemi Windows XP Professional aggiunti a un dominio non implementano la funzionalità Condivisione file semplice. Tuttavia, se un sistema Windows XP Professional dispone dell'account Guest abilitato dalla condivisione file semplice, prima di essere aggiunto a un dominio, l'account guest rimane abilitato quando tale sistema viene aggiunto successivamente al dominio. Per disabilitare l'account guest in questi sistemi, seguire la procedura descritta nel sito Web seguente. Se si usa Windows XP Service Pack 2, l'abilitazione della condivisione file semplice e ForceGuest non aumenta il livello di esposizione alla vulnerabilità di sicurezza MS05-039.
Ricerca per categorie sapere se si usa un sistema in cui sono stati eseguiti questi passaggi?
Se usi un sistema Windows XP Professional membro di un gruppo di lavoro o se usi un sistema Windows XP Home, puoi verificare rapidamente se potresti essere vulnerabile a questo problema usando il comando seguente. Al prompt dei comandi digitare Net User Guest. Nell'elenco dei risultati, se l'account guest è elencato come Account attivo - Sì, potrebbe essere vulnerabile a questo problema se all'account guest è stata concessa anche l'autorizzazione per accedere al sistema tramite la rete. Inoltre, se si usa Windows XP Service Pack 2, l'abilitazione della condivisione file semplice e ForceGuest non aumenta il livello di esposizione alla vulnerabilità di sicurezza MS05-039.
Microsoft Baseline Security Analyzer (MBSA) rileva se l'account guest è stato abilitato in un sistema all'interno del dominio?
Sì. Anche se l'account guest abilitato non è sufficiente per consentire l'accesso al sistema attraverso la rete, la disabilitazione dell'account guest è una procedura consigliata e blocca l'accesso alla rete non previsto. MBSA verificherà che un account guest sia stato disabilitato in un sistema e segnala l'esito positivo o negativo a seconda della configurazione di sistema.
Windows Firewall consente di bloccare l'accesso quando l'account guest è stato abilitato tramite condivisione file semplice?
Mentre la condivisione file semplice abilita automaticamente un'eccezione in Windows Firewall, l'accesso è limitato alla subnet locale. Tuttavia, i sistemi Windows XP Service Pack 2 non sono vulnerabili in remoto al problema descritto in MS05-039 con o senza il firewall abilitato.
Ricerca per categorie disabilitare l'account guest in un sistema Windows XP Home?
Al prompt dei comandi digitare Net User Guest /Active:No per disabilitare l'account guest nei sistemi aggiunti al gruppo di lavoro. La disabilitazione dell'account guest bloccherà la condivisione file semplice, quindi l'azione consigliata per i sistemi che non sono aggiunti a un dominio, ma desidera una protezione avanzata durante l'uso della condivisione file semplice, consiste nell'impostare una password per l'account guest. Per altre informazioni sull'impostazione di questa password, vedere la sezione Azioni suggerite di seguito. Se si usa Windows XP Service Pack 2, l'abilitazione della condivisione file semplice e ForceGuest non aumenta il livello di esposizione alla vulnerabilità di sicurezza MS05-039.
Come è possibile imporre che l'account guest sia disabilitato all'interno del dominio tramite Criteri di gruppo?
Anche se l'account guest abilitato non è sufficiente per consentire l'accesso al sistema tramite la rete, la disabilitazione dell'account guest è una procedura consigliata e blocca l'accesso alla rete non previsto. L'account guest può essere disabilitato tramite Criteri di gruppo assicurandosi che lo statoAccount: account guest sia impostato su Disabilitato nel dominio.
Azioni suggerite
Esaminare il seguente sito Web Microsoft.
Per ulteriori informazioni sulla funzionalità Di condivisione file semplice di Windows XP e il processo ForceGuest, visitare il sito Web seguente.
I clienti di Windows XP Professional che non possono disabilitare l'account guest devono modificare la password predefinita nell'account guest.
Se non è possibile disabilitare l'account guest, è consigliabile configurare una password per l'account guest. Questo richiederà che tutti i sistemi della rete forniscano questa password per connettersi tra loro. I clienti di Windows XP Professional possono configurare questa password seguendo le istruzioni elencate nel seguente https:. La configurazione di una password nell'account guest consentirà di evitare che questi sistemi diventino vulnerabili in remoto a problemi che tentano di eseguire l'autenticazione usando le credenziali dell'account guest.
Bloccare le porte TCP 139 e 445 nel firewall:
Queste porte vengono usate per avviare una connessione con il protocollo interessato. Bloccarli nel firewall, sia in ingresso che in uscita, consentirà di impedire ai sistemi protetti da tale firewall di tentare di sfruttare questa vulnerabilità. È consigliabile bloccare tutte le comunicazioni in ingresso non richieste da Internet per evitare attacchi che potrebbero usare altre porte. Per altre informazioni sulle porte, visitare il sito Web seguente.
Seguire il materiale sussidiario Proteggi il PC.
Continuiamo a incoraggiare i clienti a seguire le linee guida per proteggere il PC per abilitare un firewall, ottenere gli aggiornamenti software e installare software antivirus. I clienti possono saperne di più su questi passaggi visitando il sito Web Proteggi pc.
Per ulteriori informazioni sulla sicurezza su Internet, i clienti possono visitare la home page di Microsoft Security.
Mantenere Windows aggiornato.
Tutti gli utenti di Windows devono applicare gli aggiornamenti della sicurezza Microsoft più recenti per assicurarsi che i computer siano protetti il più possibile. Se non si è certi che il software sia aggiornato, visitare il sito Web di Windows Update, analizzare il computer per gli aggiornamenti disponibili e installare eventuali aggiornamenti ad alta priorità offerti all'utente. Se è abilitato il Aggiornamenti automatico, gli aggiornamenti vengono recapitati quando vengono rilasciati, ma è necessario assicurarsi di installarli.
Altre informazioni
Risorse:
- È possibile fornire commenti e suggerimenti completando il modulo visitando il sito Web seguente.
- I clienti negli Stati Uniti e in Canada possono ricevere supporto tecnico dai servizi di supporto tecnico Microsoft. Per altre informazioni sulle opzioni di supporto disponibili, vedere il sito Web guida e supporto tecnico Microsoft.
- I clienti internazionali possono ricevere supporto dalle filiali Microsoft locali. Per altre informazioni su come contattare Microsoft per problemi di supporto internazionale, visitare il sito Web del supporto internazionale.
- Il sito Web Microsoft TechNet Security fornisce informazioni aggiuntive sulla sicurezza nei prodotti Microsoft.
Declinazione di responsabilità:
Le informazioni fornite in questo avviso vengono fornite "così com'è" senza garanzia di alcun tipo. Microsoft dichiara tutte le garanzie, espresse o implicite, incluse le garanzie di commerciabilità e idoneità per uno scopo specifico. In nessun caso, Microsoft Corporation o i suoi fornitori saranno responsabili di qualsiasi danno, incluso diretto, indiretto, accidentale, consequenziale, perdita di profitti aziendali o danni speciali, anche se Microsoft Corporation o i suoi fornitori sono stati informati della possibilità di tali danni. Alcuni stati non consentono l'esclusione o la limitazione della responsabilità per danni consequenziali o accidentali, pertanto la limitazione precedente potrebbe non essere applicata.
Revisioni:
- 23 agosto 2005: Avviso pubblicato
Costruito al 2014-04-18T13:49:36Z-07:00</https:>