보안 권고
Microsoft 보안 권고 906574
간단한 파일 공유 및 ForceGuest의 설명
게시 날짜: 2005년 8월 23일
Microsoft는 Windows XP 서비스 팩 1의 기본이 아닌 구성에 대해 보안 게시판 MS05-039에서 해결된 문제에 대한 정보를 명확히 하기 위해 이 보안 권고를 발표했습니다. 이 기능을 "단순 파일 공유 및 ForceGuest"라고 합니다. Windows XP 서비스 팩 2를 사용하는 경우 간단한 파일 공유 및 ForceGuest를 사용하도록 설정해도 MS05-039 보안 취약성에 대한 노출 수준이 증가하지 않습니다. 또한 MS05-039에 포함된 보안 업데이트를 적용한 고객은 이 문제의 영향을 받지 않습니다. 고객은 방화벽을 사용하도록 설정하고 소프트웨어 업데이트를 받고 바이러스 백신 소프트웨어를 설치하는 PC 보호 지침을 계속 따르는 것이 좋습니다. 고객은 PC 보호 웹 사이트를 방문하여 이러한 단계에 대해 자세히 알아볼 수 있습니다.
do기본 조인되지 않은 Microsoft Windows XP 시스템에서 단순 파일 공유를 사용하도록 설정하면 네트워크를 통해 이 시스템에 액세스하는 모든 사용자가 게스트 계정을 사용해야 합니다. 이는 "네트워크 액세스: 로컬 계정에 대한 공유 및 보안 모델*"* 보안 정책 설정이며 ForceGuest*라고도 합니다.*
Windows XP는 유효한 로그온 자격 증명이 없는 사용자가 원격으로 시스템에 액세스하지 못하도록 하여 여러 보안 취약성을 완화합니다. 예를 들어 Microsoft 보안 게시판 MS05-039에서 해결된 취약성이 있습니다. 그러나 단순 파일 공유를 사용하도록 설정하면 게스트 계정도 사용하도록 설정되고 네트워크를 통해 시스템에 액세스할 수 있는 권한이 부여됩니다. 게스트 계정은 사용하도록 설정된 경우 유효한 계정이며 네트워크를 통해 시스템에 액세스할 수 있는 권한이 부여되므로 공격자는 유효한 사용자 계정이 있는 것처럼 게스트 계정을 사용할 수 있습니다.
이 시나리오를 악용하려는 알려진 공격은 없습니다. 권고는 특별한 예방 조치로 발행되고있다. 보안 게시판 MS05-039의 업데이트는 변경되지 않습니다. 이 업데이트를 적용한 고객은 이 시나리오에서 보호됩니다.
완화 요소:
- Windows XP 서비스 팩 2는 간단한 파일 공유를 통해 게스트 계정을 사용하도록 설정한 경우에도 MS05-039에서 해결된 문제에 원격으로 취약하지 않습니다. Windows XP 서비스 팩 2에서 이 취약성의 영향은 로컬 권한 상승에 불과하며 사용자가 시스템에 로컬로 로그온할 수 있는 경우에만 악용할 수 있습니다.
- do기본 조인된 Windows XP 시스템에서는 간단한 파일 공유를 사용할 수 없습니다. 기본 가입된 시스템은 게스트 계정을 사용하도록 설정하거나 네트워크를 통해 시스템에 액세스할 수 있는 권한을 부여하지 않는 표준 파일 공유를 사용합니다. Windows XP 서비스 팩 2는 do기본 조인 시스템 또는 작업 그룹 조인 시스템에서 원격으로 취약하지 않습니다.
- 간단한 파일 공유를 사용하도록 설정해도 Microsoft 보안 공 지 MS05-039 에서 제공하는 보안 업데이트를 적용한 고객은 해당 보안 공지에서 해결되는 취약성에 노출되지 않습니다.
일반 정보
개요
권고의 목적: Windows XP의 단순 파일 공유 기능의 목적과 게스트 계정의 사용을 명확히 하기 위한 것입니다.
권고 상태: 공지 게시됨.
권장 사항: 권고를 검토하고 보안 강화를 위해 적절한 구성 변경 내용을 적용합니다.
| 참조 | ID |
|---|---|
| Microsoft 웹 사이트 | 단순 공유 및 ForceGuest |
| Microsoft 웹 사이트 | 피어 투 피어 네트워킹 환경에서 Windows XP 보안 설정 |
| Symantec DeepSight 위협 분석 팀 및 Symantec BID | 14513 |
| 보안 게시판 | MS05-039 |
이 권고에서는 다음 소프트웨어에 대해 설명합니다.
| 관련 소프트웨어 |
| Microsoft Windows XP 서비스 팩 1 |
| Microsoft Windows XP 64비트 버전 서비스 팩 1(Itanium) |
| Microsoft Windows XP 서비스 팩 2 |
| Microsoft Windows XP 64비트 버전 2003(Itanium) |
| Microsoft Windows XP Professional x64 Edition |
질문과 대답
권고의 범위는 무엇입니까?
이 권고는 Windows XP의 간단한 파일 공유 기능과 게스트 계정의 사용을 명확히 합니다. ForceGuest라고 하는 이 프로세스는 보안 취약성을 도입하지 않습니다. 그러나 ForceGuest 는 게스트 계정을 자동으로 사용하도록 설정하고 네트워크를 통해 시스템에 액세스할 수 있는 권한이 부여됩니다. Windows XP 서비스 팩 2를 사용하는 경우 간단한 파일 공유 및 ForceGuest를 사용하도록 설정해도 MS05-039 보안 취약성에 대한 노출 수준이 증가하지 않습니다.
Microsoft에서 보안 업데이트를 실행해야 하는 보안 취약성인가요?
아니요. 간단한 파일 공유 기능은 일부 고객이 사용하도록 선택할 수 있는 선택적 구성입니다. 이 기능은 할 일기본 조인된 시스템에서는 사용할 수 없습니다. 이 기능 및 적절하게 구성하는 방법에 대한 자세한 내용은 다음 웹 사이트를 방문하세요. Windows XP 서비스 팩 2를 사용하는 경우 간단한 파일 공유 및 ForceGuest를 사용하도록 설정해도 MS05-039 보안 취약성에 대한 노출 수준이 증가하지 않습니다.
게스트 계정은 어떻게 사용하도록 설정되고 네트워크를 통해 시스템에 액세스할 수 있나요?
작업 그룹의 구성원인 Windows XP Professional 시스템 및 Windows XP 홈 시스템은 간단한 파일 공유를 사용합니다. 간단한 파일 공유를 사용하면 사용자는 다음 웹 사이트에 설명된 네트워크 설정 마법사를 수동으로 사용하거나 보안 위험을 이해하지만 마법사를 실행하지 않고 파일을 공유하려는 경우를 선택하여 네트워크 설정 마법사를 우회해야 합니다. 간단한 파일 공유 구성을 완료하려면 여기 옵션을 클릭하십시오. 이러한 절차를 통해 게스트 계정을 사용하도록 설정하고 네트워크 로컬 보안 정책에서 이 컴퓨터에 대한 거부 액세스에서 게스트 계정을 제거하여 네트워크에서 시스템에 액세스할 수 있는 권한을 부여합니다. 게스트 계정을 수동으로 사용하도록 설정하면 네트워크를 통해 시스템에 액세스할 수 있는 권한이 없습니다.
게스트 계정이 네트워크를 통해 시스템에 액세스할 수 있도록 파일 및 인쇄 공유를 사용하도록 설정하는 것만으로는 충분하지 않습니다. 게스트 계정을 사용하도록 설정하고 네트워크를 통해 시스템에 액세스할 수 있도록 하려면 이 FAQ 섹션에 설명된 단계를 수동으로 수행해야 합니다. 이러한 단계가 수행되면 모든 파일 또는 인쇄 공유 연결 요청이 게스트 계정으로 성공적으로 인증됩니다. 간단한 파일 공유 및 게스트 계정 사용에 대한 자세한 내용은 다음 웹 사이트를 방문하세요. 이 문제는 do기본 멤버인 Windows XP Professional 시스템에는 영향을 주지 않습니다. do기본 조인 시스템은 단순 파일 공유를 사용하지 않습니다. 할기본 조인된 시스템에서 파일 또는 프린터를 공유해도 게스트 계정을 사용할 수 없거나 네트워크를 통해 시스템에 액세스할 수 있는 권한이 부여되지 않습니다. Windows XP 서비스 팩 2를 사용하는 경우 간단한 파일 공유 및 ForceGuest를 사용하도록 설정해도 MS05-039 보안 취약성에 대한 노출 수준이 증가하지 않습니다.
비-할기본 조인된 시스템에서 단순 파일 공유를 통해 게스트 계정을 사용하도록 설정할 수 있나요?
Do기본 조인된 Windows XP Professional 시스템은 간단한 파일 공유 기능을 구현하지 않습니다. 그러나 Windows XP Professional 시스템에서 간단한 파일 공유를 통해 게스트 계정을 사용하도록 설정한 경우 할 일기본 조인되기 전에 해당 시스템이 나중에 할 일기본 조인될 때 게스트 계정을 다시 사용하도록 기본. 이러한 시스템에서 게스트 계정을 사용하지 않도록 설정하려면 다음 웹 사이트에 설명된 단계를 수행합니다. Windows XP 서비스 팩 2를 사용하는 경우 간단한 파일 공유 및 ForceGuest를 사용하도록 설정해도 MS05-039 보안 취약성에 대한 노출 수준이 증가하지 않습니다.
이러한 단계가 수행된 시스템을 사용하고 있는지 어떻게 할까요? 알고 있나요?
작업 그룹의 구성원인 Windows XP Professional 시스템을 사용하거나 Windows XP 홈 시스템을 사용하는 경우 다음 명령을 사용하여 이 문제에 취약할 수 있는지 신속하게 검사 수 있습니다. 명령 프롬프트에서 Net User Guest를 입력 합니다. 결과 목록에서 게스트 계정이 계정 활성으로 나열된 경우 - 예, 게스트 계정에 네트워크를 통해 시스템에 액세스할 수 있는 권한도 부여된 경우 이 문제에 취약할 수 있습니다. 또한 Windows XP 서비스 팩 2를 사용하는 경우 간단한 파일 공유 및 ForceGuest를 사용하도록 설정해도 MS05-039 보안 취약성에 대한 노출 수준이 증가하지 않습니다.
Microsoft 기준 보안 분석기(MBSA)가 내 작업 내 시스템에서 게스트 계정을 사용하도록 설정했는지 감지하나요기본
예. 게스트 계정을 사용하도록 설정하는 것만으로는 네트워크를 통해 시스템에 액세스할 수 없지만 게스트 계정을 사용하지 않도록 설정하는 것이 가장 좋은 모범 사례이며 의도하지 않은 네트워크 액세스를 차단합니다. MBSA는 시스템에서 게스트 계정이 비활성화되었음을 검사 시스템 구성에 따라 성공 또는 실패를 보고합니다.
간단한 파일 공유를 통해 게스트 계정을 사용하도록 설정한 경우 Windows 방화벽이 액세스를 차단하는 데 도움이 됩니까?
단순 파일 공유는 Windows 방화벽에서 자동으로 예외를 사용하도록 설정하지만 액세스는 로컬 서브넷으로 제한됩니다. 그러나 Windows XP 서비스 팩 2 시스템은 방화벽을 사용하거나 사용하지 않고 MS05-039에서 설명한 문제에 원격으로 취약하지 않습니다.
Windows XP 홈 시스템에서 게스트 계정을 사용하지 않도록 설정할 어떻게 할까요? 있나요?
명령 프롬프트에서 Net User Guest /Active:No를 입력하여 작업 그룹 가입 시스템에서 게스트 계정을 사용하지 않도록 설정합니다. 게스트 계정을 사용하지 않도록 설정하면 단순 파일 공유가 차단되므로 do기본에 가입되지 않지만 간단한 파일 공유를 사용하는 동안 보호가 강화되는 시스템에 권장되는 작업은 게스트 계정의 암호를 설정하는 것입니다. 이 암호 설정에 대한 자세한 내용은 아래 제안 작업 섹션을 참조하세요. Windows XP 서비스 팩 2를 사용하는 경우 간단한 파일 공유 및 ForceGuest를 사용하도록 설정해도 MS05-039 보안 취약성에 대한 노출 수준이 증가하지 않습니다.
그룹 정책을 사용하여 내 작업기본 내에서 게스트 계정을 사용하지 않도록 설정하려면 어떻게 해야 하나요?
게스트 계정을 사용하도록 설정하는 것만으로는 네트워크를 통해 시스템에 액세스할 수 없지만 게스트 계정을 사용하지 않도록 설정하는 것이 가장 좋은 모범 사례이며 의도하지 않은 네트워크 액세스를 차단합니다. 게스트 계정은 그룹 정책을 통해 사용하지 않도록 설정할 수 있습니다. 계정: 게스트 계정 상태사용에서 사용하지 않도록 설정기본.
제안된 작업
다음 Microsoft 웹 사이트를 검토합니다.
Windows XP 및 ForceGuest 프로세스의 간단한 파일 공유 기능에 대한 자세한 내용은 다음 웹 사이트를 방문하세요.
게스트 계정을 사용하지 않도록 설정할 수 없는 Windows XP Professional 고객은 게스트 계정의 기본 암호를 변경해야 합니다.
게스트 계정을 사용하지 않도록 설정할 수 없는 경우 게스트 계정에 대한 암호를 구성하는 것이 좋습니다. 이렇게 하려면 네트워크의 모든 시스템이 서로 연결하기 위해 이 암호를 제공해야 합니다. Windows XP Professional 고객은 다음 https:에 나열된 지침에 따라 이 암호를 구성할 수 있습니다. 게스트 계정에서 암호를 구성하면 이러한 시스템이 게스트 계정 자격 증명을 사용하여 인증을 시도하는 문제에 원격으로 취약해지는 것을 방지할 수 있습니다.
방화벽에서 TCP 포트 139 및 445를 차단합니다.
이러한 포트는 영향을 받는 프로토콜과의 연결을 시작하는 데 사용됩니다. 인바운드 및 아웃바운드 모두 방화벽에서 차단하면 해당 방화벽 뒤에 있는 시스템이 이 취약성을 악용하려는 시도를 방지하는 데 도움이 됩니다. 다른 포트를 사용할 수 있는 공격을 방지하려면 인터넷에서 원치 않는 인바운드 통신을 모두 차단하는 것이 좋습니다. 포트에 대한 자세한 내용은 다음 웹 사이트를 방문하세요.
PC 보호 지침을 따릅니다.
고객이 방화벽을 사용하도록 설정하고, 소프트웨어 업데이트를 받고, 바이러스 백신 소프트웨어를 설치하는 PC 보호 지침을 따르도록 계속 권장합니다. 고객은 PC 보호 웹 사이트를 방문하여 이러한 단계에 대해 자세히 알아볼 수 있습니다.
인터넷에서 안전하게 지내는 방법에 대한 자세한 내용은 Microsoft 보안 홈페이지를 방문하세요.
Windows를 업데이트된 상태로 유지합니다.
모든 Windows 사용자는 최신 Microsoft 보안 업데이트를 적용하여 컴퓨터가 최대한 보호되도록 해야 합니다. 소프트웨어가 최신 상태인지 확실하지 않은 경우 Windows 업데이트 웹 사이트를 방문하여 컴퓨터에서 사용 가능한 업데이트를 검색하고 사용자에게 제공되는 우선 순위가 높은 업데이트를 설치합니다. 자동 업데이트 사용하도록 설정된 경우 업데이트가 릴리스될 때 사용자에게 전달되지만 설치해야 합니다.
기타 정보
리소스:
- 다음 웹 사이트를 방문하여 양식을 작성하여 피드백을 제공할 수 있습니다.
- 미국과 캐나다의 고객은 Microsoft 제품 지원 서비스에서 기술 지원을 받을 수 있습니다. 사용 가능한 지원 옵션에 대한 자세한 내용은 Microsoft 도움말 및 지원 웹 사이트를 참조 하세요.
- 해외 고객은 현지 Microsoft 자회사로부터 지원을 받을 수 있습니다. Microsoft에 국제 지원 문제를 문의하는 방법에 대한 자세한 내용은 국제 지원 웹 사이트를 방문 하세요.
- Microsoft TechNet Security 웹 사이트는 Microsoft 제품의 보안에 대한 추가 정보를 제공합니다.
고지 사항:
이 권고에 제공된 정보는 어떠한 종류의 보증도 없이 "있는 그대로" 제공됩니다. Microsoft는 특정 목적에 대한 상품성 및 적합성에 대한 보증을 포함하여 명시적이거나 묵시적인 모든 보증을 부인합니다. 어떠한 경우에도 Microsoft Corporation 또는 해당 공급업체는 Microsoft Corporation 또는 공급업체가 이러한 손해의 가능성을 통보한 경우에도 직접, 간접, 부수적, 결과적, 비즈니스 이익 손실 또는 특별 손해를 포함한 모든 손해에 대해 책임을 지지 않습니다. 일부 주에서는 결과적 또는 부수적 손해에 대한 책임의 배제 또는 제한을 허용하지 않으므로 앞에서 설명한 제한이 적용되지 않을 수 있습니다.
개정:
- 2005년 8월 23일: 공지
2014-04-18T13:49:36Z-07:00</https에 빌드되었습니다.>