安全公告
Microsoft 安全咨询906574
简单文件共享和 ForceGuest 的说明
发布时间: 2005 年 8 月 23 日
Microsoft 发布了此安全公告,以阐明安全公告 MS05-039 中针对 Windows XP Service Pack 1 的非默认配置中解决的问题的信息。 此功能称为“简单文件共享和 ForceGuest”。 如果使用 Windows XP Service Pack 2,则启用简单文件共享和 ForceGuest 不会增加对 MS05-039 安全漏洞的暴露级别。 此外,已应用 MS05-039 附带安全更新的客户不受此问题的影响。 我们建议客户继续遵循“保护电脑”指南,了解如何启用防火墙、获取软件更新和安装防病毒软件。 客户可以通过访问 “保护电脑”网站了解有关这些步骤的详细信息。
如果在未加入域的 Microsoft Windows XP 系统上启用简单文件共享,则通过网络访问此系统的所有用户强制使用来宾帐户。 这是“网络访问:本地帐户共享和安全模型*”* 安全策略设置,也称为 ForceGuest*。*
Windows XP 通过阻止没有有效登录凭据的用户远程访问系统来缓解多个安全漏洞。 例如,Microsoft 安全公告 MS05-039 中已解决的漏洞。 但是,启用简单文件共享时,还会启用来宾帐户并授予通过网络访问系统的权限。 由于来宾帐户在启用时是有效的帐户,并且被授予通过网络访问系统的权限,因此攻击者可以使用来宾帐户,就好像他们拥有有效的用户帐户一样。
没有已知的攻击正在寻求利用此方案。 公告将作为特别预防措施发布。 安全公告 MS05-039 中的更新没有更改。 应用此更新的客户在此方案中受到保护。
缓解因素:
- 即使简单文件共享启用来宾帐户,Windows XP Service Pack 2 也不会受到 MS05-039 所解决的问题的远程攻击。 在 Windows XP Service Pack 2 上,此漏洞的影响只是本地特权提升,并且仅当用户能够本地登录到系统时才被利用。
- 简单文件共享在加入域的 Windows XP 系统上不可用。 加入域的系统使用标准文件共享,该共享不启用来宾帐户或授予它通过网络访问系统的权限。 在已加入域的系统或工作组加入的系统中,Windows XP Service Pack 2 不会受到远程攻击。
- 启用简单文件共享不会向该安全公告解决的漏洞公开已应用 Microsoft 安全公告 MS05-039 提供的安全更新的客户。
常规信息
概述
咨询目的: 阐明 Windows XP 的简单文件共享功能及其使用来宾帐户的目的。
公告状态: 已发布公告。
建议: 查看公告并应用适当的配置更改以提高安全性。
| 参考 | 标识 |
|---|---|
| Microsoft 网站 | 简单共享和 ForceGuest |
| Microsoft 网站 | 保护对等网络环境中的 Windows XP |
| Symantec DeepSight 威胁分析团队和 Symantec BID | 14513 |
| 安全公告 | MS05-039 |
此公告讨论以下软件。
| 相关软件 |
| Microsoft Windows XP Service Pack 1 |
| Microsoft Windows XP 64 位版 Service Pack 1 (Itanium) |
| Microsoft Windows XP Service Pack 2 |
| Microsoft Windows XP 64 位版本 2003 (Itanium) |
| Microsoft Windows XP Professional x64 版本 |
常见问题
公告的范围是什么?
此公告阐明了 Windows XP 的简单文件共享功能及其来宾帐户的使用。 此过程称为 ForceGuest,不会引入安全漏洞。 但是, ForceGuest 会自动启用来宾帐户,并被授予通过网络访问系统的权限。 如果使用 Windows XP Service Pack 2,则启用简单文件共享和 ForceGuest 不会增加对 MS05-039 安全漏洞的暴露级别。
这是否是要求 Microsoft 发出安全更新的安全漏洞?
否。 简单文件共享功能是一种可选配置,某些客户可以选择启用。 此功能在加入域的系统上不可用。 有关此功能以及如何适当配置此功能的详细信息,请访问以下 网站。 如果使用 Windows XP Service Pack 2,则启用简单文件共享和 ForceGuest 不会增加对 MS05-039 安全漏洞的暴露级别。
来宾帐户如何启用并允许通过网络访问系统?
工作组成员和 Windows XP 家庭系统成员的 Windows XP Professional 系统使用简单文件共享。 使用简单文件共享时,用户必须手动使用在以下 网站上记录的网络设置向导,或者通过选择“ 如果你了解安全风险,但想要在不运行向导的情况下共享文件”,请单击此处 选项以完成简单文件共享的配置。 这些过程允许来宾帐户,并通过从 网络 本地安全策略中删除“拒绝访问此计算机”中的来宾帐户,授予它从网络访问系统的权限。 如果手动启用来宾帐户,则无权通过网络访问系统。
只需启用文件和打印共享即可使来宾帐户能够通过网络访问它们系统是不够的。 必须手动执行本常见问题解答部分中介绍的步骤,以启用来宾帐户并允许它通过网络访问系统。 执行这些步骤后,任何文件或打印共享连接请求都将成功作为来宾帐户进行身份验证。 有关简单文件共享及其来宾帐户的使用的详细信息,请访问以下网站。 此问题不会影响属于域成员的 Windows XP Professional 系统。 已加入域的系统不使用简单文件共享。 在已加入域的系统上共享文件或打印机不会启用来宾帐户或授予它通过网络访问系统的权限。 如果使用 Windows XP Service Pack 2,则启用简单文件共享和 ForceGuest 不会增加对 MS05-039 安全漏洞的暴露级别。
未加入域的系统是否可以通过简单文件共享启用其来宾帐户?
已加入域的 Windows XP Professional 系统不实现简单文件共享功能。 但是,如果 Windows XP Professional 系统启用了简单文件共享的来宾帐户,则在加入域之前,来宾帐户在以后加入域时仍保持启用状态。 若要在这些系统上禁用来宾帐户,请执行以下 网站所述的步骤。 如果使用 Windows XP Service Pack 2,则启用简单文件共享和 ForceGuest 不会增加对 MS05-039 安全漏洞的暴露级别。
如何实现知道我是否正在使用执行这些步骤的系统?
如果你使用的是属于工作组成员的 Windows XP Professional 系统,或者你使用的是 Windows XP 家庭系统,则可以快速检查查看你是否容易受到此问题的使用以下命令。 在命令提示符下键入 Net User Guest。 在结果列表中,如果来宾帐户被 列为“帐户活动”-“是”,则如果来宾帐户也被授予通过网络访问系统的权限,则可能会容易受到此问题的侵害。 此外,如果使用 Windows XP Service Pack 2,则启用简单文件共享和 ForceGuest 不会增加对 MS05-039 安全漏洞的暴露级别。
Microsoft 基线安全分析器(MBSA)是否在我的域中的系统上启用了来宾帐户?
是的。 虽然启用来宾帐户不足以允许它通过网络访问系统,但禁用来宾帐户是一个很好的最佳做法,并会阻止意外的网络访问。 MBSA 将检查已在系统上禁用来宾帐户,并根据系统配置报告成功或失败。
当通过简单文件共享启用来宾帐户时,Windows 防火墙是否有助于阻止访问?
虽然简单文件共享自动在 Windows 防火墙中启用异常,但访问仅限于本地子网。 但是,Windows XP Service Pack 2 系统不容易受到 MS05-039 中讨论的问题(启用或未启用防火墙)的远程攻击。
如何实现禁用 Windows XP 家庭系统上的来宾帐户?
在命令提示符下,键入 Net User Guest /Active:No 在已加入工作组的系统上禁用来宾帐户。 禁用来宾帐户将阻止简单文件共享,因此对于未加入域的系统,但希望使用简单文件共享时增强保护,建议为来宾帐户设置密码。 有关设置此密码的详细信息,请参阅下面的“建议的操作”部分。 如果使用 Windows XP Service Pack 2,则启用简单文件共享和 ForceGuest 不会增加对 MS05-039 安全漏洞的暴露级别。
如何使用组策略强制在域中禁用来宾帐户?
虽然启用来宾帐户不足以允许它通过网络访问系统,但禁用来宾帐户是一个很好的最佳做法,并会阻止意外的网络访问。 通过组策略可以禁用来宾帐户,方法是确保 帐户:来宾帐户状态设置为 在域中已禁用 。
建议的操作
查看以下 Microsoft 网站。
有关 Windows XP 和 ForceGuest 过程的简单文件共享功能的详细信息,请访问以下网站。
无法禁用来宾帐户的 Windows XP Professional 客户应更改来宾帐户上的默认密码。
如果无法禁用来宾帐户,建议为来宾帐户配置密码。 这将要求网络上的所有系统提供此密码以相互连接。 Windows XP Professional 客户可以按照以下 https 中列出的说明配置此密码: 在来宾帐户上配置密码有助于防止这些系统受到尝试使用来宾帐户凭据进行身份验证的问题的远程攻击。
在防火墙中阻止 TCP 端口 139 和 445:
这些端口用于启动与受影响协议的连接。 在防火墙(入站和出站)阻止它们将有助于防止防火墙后面的系统尝试利用此漏洞。 建议阻止来自 Internet 的所有未经请求的入站通信,以帮助防止可能使用其他端口的攻击。 有关端口的详细信息,请访问以下 网站。
按照“保护电脑”指南操作。
我们将继续鼓励客户遵循“保护你的电脑”指南,了解如何启用防火墙、获取软件更新和安装防病毒软件。 客户可以通过访问 “保护电脑”网站了解有关这些步骤的详细信息。
有关在 Internet 上保持安全的详细信息,客户可以访问 Microsoft 安全主页。
使 Windows 保持更新。
所有 Windows 用户都应应用最新的 Microsoft 安全更新,以帮助确保其计算机尽可能受到保护。 如果不确定软件是否是最新的,请访问Windows 更新网站,扫描计算机以获取可用更新,并安装提供给你的任何高优先级更新。 如果启用了自动汇报,则更新会在发布时传送给你,但你必须确保安装它们。
其他信息
资源:
- 可以通过访问以下 网站完成表单来提供反馈。
- 美国和加拿大的客户可以从 Microsoft 产品支持服务获得技术支持。 有关可用支持选项的详细信息,请参阅 Microsoft 帮助和支持网站。
- 国际客户可以从其本地 Microsoft 子公司获得支持。 有关如何联系 Microsoft 以获取国际支持问题的详细信息,请访问 国际支持网站。
- Microsoft TechNet 安全网站提供有关 Microsoft 产品安全性的其他信息。
免责声明:
此公告中提供的信息“按原样”提供,没有任何担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修改:
- 2005 年 8 月 23 日:已发布公告
构建于 2014-04-18T13:49:36Z-07:00</https:>