Avis de sécurité Microsoft (906574)
Clarification des fonctions Partage simple et ForceGuest
Microsoft a publié cet avis de sécurité pour apporter des précisions sur le problème traité dans le bulletin de sécurité MS05-039 concernant les configurations non-standard de Windows XP Service Pack 1. Cette fonctionnalité est appelée “Partage simple et ForceGuest 
.” Si vous utilisez Windows XP Service Pack 2, l'activation de Partage simple et de ForceGuest n'augmente pas votre risque d'être exposé à la vulnérabilité de sécurité MS05-039. Par ailleurs, les clients qui ont appliqué la mise à jour de sécurité incluse au bulletin MS05-039 ne sont pas concernés par ce problème. Nous encourageons nos clients à suivre les conseils de la section Protégez votre PC concernant l'activation d'un pare-feu, l'obtention de mises à jour logicielles et l'installation de logiciels antivirus. Pour en savoir plus à ce sujet, consultez le site Web Protégez votre PC.
Si Partage simple est activé sur un système Microsoft Windows XP qui n'est pas associé à un domaine, alors tous les utilisateurs qui accèdent au système par le biais du réseau sont forcés d'utiliser le compte Invité. Il s'agit du paramètre de stratégie de sécurité “Accès réseau : modèle de partage et de permission pour les comptes locaux”, également appelé ForceGuest.
Windows XP atténue plusieurs vulnérabilités de sécurité en empêchant les utilisateurs qui n'ont pas d'informations d'identification valides d'accéder au système à distance. Vous en trouverez un exemple dans la vulnérabilité corrigée du bulletin de sécurité Microsoft MS05-039. Toutefois, lorsque vous activez Partage simple, le compte Invité est également activé et il est autorisé à accéder au système via le réseau. Le compte Invité étant un compte valide lorsqu'il est activé, et la permission d'accéder au système via le réseau lui étant accordée, un attaquant pourrait utiliser le compte Invité comme s'il avait un compte utilisateur valide.
Aucune attaque n'a tenté d'exploiter ce scénario. Cet avis est publié à titre préventif. Il n'y aucun changement à la mise à jour dans le bulletin de sécurité MS05-039. Les clients qui ont appliqué cette mise à jour sont protégés contre cette vulnérabilité.
Facteurs atténuants :
| • | Windows XP Service Pack 2 n'est pas vulnérable à distance par le problème traité dans le bulletin de sécurité MS05-039 même lorsque Partage simple active le compte Invité. Sur Windows XP Service Pack 2, l'impact de cette vulnérabilité consiste uniquement en une élévation locale des privilèges, et n'est exploitable que si un utilisateur a la possibilité de se connecter localement au système. |
| • | Partage simple n'est pas disponible sur les systèmes Windows XP qui ne sont pas associés à un domaine. Les systèmes associés à un domaine utilisent le partage de fichiers standard qui n'active pas le compte Invité ou ne l'autorise pas à accéder au système via le réseau. Windows XP Service Pack 2 n'est pas vulnérable à distance dans les systèmes associés à un domaine ou dans les systèmes associés à un groupe de travail. |
| • | L'activation de Partage simple n'expose pas les clients qui ont appliqué les mises à jour de sécurité fournies dans le bulletin de sécurité Microsoft MS05-039 à la vulnérabilité qui est corrigée dans ce bulletin de sécurité. |
Informations générales
Présentation |
But de cet avis : Expliquer le rôle de la fonctionnalité Partage simple de Windows XP et son utilisation du compte Invité.
État de l'avis : Avis publié.
Recommandation : Consultez l'avis et apportez les changements appropriés à la configuration pour renforcer la sécurité.
| Références | Identification |
Site Web Microsoft | |
Site Web Microsoft | Sécurisation de Windows XP dans un environnement réseau poste à poste |
L'équipe Symantec DeepSight Threat Analysis, et Symantec BID | |
Bulletin de sécurité |
Cet avis porte sur les logiciels suivants.
| Logiciels apparentés |
Microsoft Windows XP Service Pack 1 |
Microsoft Windows XP Édition 64 bits Service Pack 1 (Itanium) |
Microsoft Windows XP Service Pack 2 |
Microsoft Windows XP Édition 64 bits version 2003 (Itanium) |
Microsoft Windows XP Professionnel Édition 64 bits |
Forum aux questions |
Quelle est la portée de cet avis ?
Cet avis porte sur la fonctionnalité Partage simple de Windows XP et son utilisation du compte Invité. Ce processus, appelé ForceGuest, n'introduit pas de vulnérabilité de sécurité. Toutefois, ForceGuest active automatiquement le compte Invité et lui accorde la permission d'accéder au système via le réseau. Si vous utilisez Windows XP Service Pack 2, l'activation de Partage simple et de ForceGuest n'augmente pas votre risque d'être exposé à la vulnérabilité de sécurité MS05-039.
Cette vulnérabilité nécessite-t-elle la publication par Microsoft d'une mise à jour de sécurité ?
Non. La fonctionnalité Partage simple est offerte en option. Son activation est laissée à la discrétion de l'utilisateur. Cette fonctionnalité n'est pas disponible sur les systèmes qui sont associés à un domaine. Pour plus d'informations sur cette fonctionnalité et sur la manière de la configurer correctement, visitez le site Web suivant. Si vous utilisez Windows XP Service Pack 2, l'activation de Partage simple et de ForceGuest n'augmente pas votre risque d'être exposé à la vulnérabilité de sécurité MS05-039.
Comment le compte Invité est-il activé et autorisé à accéder au système via le réseau ?
Les systèmes Windows XP Professionnel qui sont membres d'un groupe de travail et les systèmes Windows XP Édition familiale utilisent Partage simple. Avec Partage simple, un utilisateur doit manuellement exécuter l’Assistant Configuration du réseau, décrit sur le site Web suivant, ou contourner l’Assistant Configuration du réseau en sélectionnant l'option Si vous êtes conscient des risques de sécurité mais que vous voulez partager les fichiers sans exécuter l'Assistant, cliquez ici pour terminer la configuration de Partage simple. Ces procédures activent le compte Invité et lui accorde la permission d'accéder au système via le réseau en supprimant le compte Invité de la stratégie de sécurité locale Refuser l'accès à cet ordinateur à partir du réseau. Si vous activez le compte Invité manuellement, il n'aura pas les permissions d'accès au système via le réseau.
L'activation du partage de fichiers et d'imprimantes n'est pas suffisante pour autoriser le compte Invité à accéder au système via le réseau. Vous devez réaliser les étapes documentées dans ce Forum aux questions manuellement pour activer le compte Invité et l'autoriser à accéder au système via le réseau. Une fois ces étapes réalisées, toute requête de connexion au partage de fichiers ou d'imprimantes sera authentifiée comme le compte Invité. Pour plus d'informations sur Partage simple et son utilisation du compte Invité, visitez le site Web suivant. Ce problème n'affecte pas les systèmes Windows XP Professionnel qui sont membres d'un domaine. Les systèmes associés à un domaine n'utilisent pas Partage simple. Le partage de fichiers ou d'imprimantes sur des systèmes associés à un domaine n'active pas le compte Invité et ne l'autorise pas à accéder au système via le réseau. Si vous utilisez Windows XP Service Pack 2, l'activation de Partage simple et de ForceGuest n'augmente pas votre risque d'être exposé à la vulnérabilité de sécurité MS05-039.
Le compte Invité des systèmes n'étant pas associés à un domaine peut-il être activé via Partage simple ?
Les systèmes Windows XP Professionnel associés à un domaine n'utilisent pas la fonction de Partage simple. Toutefois, si le compte Invité d'un système Windows XP Professionnel est activé par Partage simple avant d'être associé à un domaine, le compte Invité reste alors activé lorsque ce système est associé ultérieurement au domaine. Pour désactiver le compte Invité sur ces systèmes, suivez les étapes documentées sur le site Web suivant. Si vous utilisez Windows XP Service Pack 2, l'activation de Partage simple et de ForceGuest n'augmente pas votre risque d'être exposé à la vulnérabilité de sécurité MS05-039.
Comment savoir si ces étapes ont été réalisées sur le système que j'utilise ?
Si vous utilisez un système Windows XP Professionnel membre d'un groupe de travail, ou si vous utilisez un système Windows XP Édition familiale, vous pouvez utiliser la commande suivante pour déterminer si vous êtes ou non vulnérable à ce problème. À l'invite de commande, tapez Net User Guest. Dans la liste des résultats, si le compte Invité est listé comme Compte actif – Oui, vous pouvez être vulnérable à cette attaque si le compte Invité a également reçu l'autorisation d'accéder au système via le réseau. En outre, si vous utilisez Windows XP Service Pack 2, l'activation de Partage simple et de ForceGuest n'augmente pas le risque d'être exposé à la vulnérabilité de sécurité MS05-039.
Le Microsoft Baseline Security Analyzer (MBSA) détecte-t-il si le compte Invité a été activé sur un système de mon domaine ?
Oui. Bien que l'activation du compte Invité ne soit pas suffisante pour autoriser l'accès au système via le réseau, la désactivation du compte Invité est fortement recommandée car elle bloque les accès involontaires au réseau. MBSA vérifie que le compte Invité a été désactivé sur un système, et indique le succès ou l'échec en fonction de la configuration du système.
Le pare-feu Windows permet-il de bloquer l'accès lorsque le compte Invité a été activé via Partage simple ?
Bien que Partage simple active automatiquement une exception dans le pare-feu Windows, l'accès est limité au sous-réseau local. Toutefois, les systèmes Windows XP Service Pack 2 ne sont pas vulnérables à distance au problème abordé dans le bulletin MS05-019, que le pare-feu soit activé ou non.
Comment désactiver le compte Invité sur un système Windows XP Édition familiale ?
À l'invite de commande, tapez Net User Guest /Active:No pour désactiver le compte Invité sur des systèmes associés à un groupe de travail. La désactivation du compte Invité bloquera le Partage simple. Pour les systèmes qui ne sont pas associés à un domaine, mais qui souhaiteraient bénéficier d'une sécurité renforcée en utilisant Partage simple, il est conseillé de définir un mot de passe pour le compte Invité. Voir la section Actions suggérées ci-dessous pour plus d'informations sur la définition de ce mot de passe. Si vous utilisez Windows XP Service Pack 2, l'activation de Partage simple et de ForceGuest n'augmente pas votre risque d'être exposé à la vulnérabilité de sécurité MS05-039.
Comment puis-je m'assurer que le compte Invité est désactivé au sein de mon domaine à l'aide de la stratégie de groupe ?
Bien que l'activation du compte Invité ne soit pas suffisante pour autoriser l'accès au système via le réseau, la désactivation du compte Invité est fortement recommandée car elle bloque les accès involontaires au réseau. Le compte Invité peut être désactivé via la stratégie de groupe en veillant à ce que le paramètre Comptes : état de compte d'invité soit réglé sur Désactivé dans votre domaine.
Actions suggérées |
| • | Consultez le site Web Microsoft suivant. Pour plus d'informations sur la fonctionnalité Partage simple de Windows XP et du processus ForceGuest, visitez le site Web suivant. |
| • | Les utilisateurs de Windows XP Professionnel qui ne peuvent pas désactiver le compte Invité doivent changer le mot de passe par défaut sur le compte Invité. Si vous ne pouvez pas désactiver le compte Invité, nous vous recommandons de définir un mot de passe pour le compte Invité. Tous les systèmes sur votre réseau devront fournir un mot de passe pour se connecter les uns aux autres. Les utilisateurs de Windows XP Professionnel peuvent définir ce mot de passe en suivant les instructions listées dans le site Web |
| • | Bloquez les ports TCP 139 et 445 au niveau du pare-feu : Ces ports servent à établir une connexion au protocole affecté. En les bloquant au niveau du pare-feu, à la fois en entrée et en sortie, vous protégerez les systèmes situés derrière ce pare-feu des tentatives d’exploitation de cette vulnérabilité. Nous vous recommandons de bloquer toute communication entrante non sollicitée en provenance d’Internet, afin de renforcer la protection contre des attaques qui pourraient utiliser les autres ports. Pour plus d’informations sur les ports, visitez le site Web |
| • | Suivez les conseils de la section Protégez votre PC. Nous encourageons nos clients à suivre les conseils de la section Protégez votre PC concernant l'activation d'un pare-feu, l'obtention de mises à jour logicielles et l'installation de logiciels antivirus. Pour en savoir plus à ce sujet, consultez le site Web Protégez votre PC. |
| • | Pour plus d'informations sur la manière de surfer sur le Web en toute sécurité, rendez-vous sur la page d'accueil de Microsoft Sécurité |
| • | Tenez à jour vos logiciels Windows. Si vous utilisez Windows, vous devez installer les dernières mises à jour de sécurité Microsoft pour protéger au maximum votre ordinateur. Pour ce faire, rendez-vous sur le site Web Windows Update, effectuez la vérification des mises à jour requises sur votre ordinateur et installez toutes les mises à jour prioritaires qui vous sont proposées. Si vous avez activé la fonction Mises à jour automatiques, les mises à jour vous seront fournies dès leur publication ; toutefois, il vous appartiendra de veiller à les installer. |
Ressources :
| • | Vous pouvez nous envoyer des commentaires par l'intermédiaire du formulaire figurant sur le site Web |
| • | En cas de problème, contactez les services de support produits de Microsoft. Pour plus d'informations sur les options de support disponibles, consultez le site Web d'aide et de support Microsoft. |
| • | Nos clients internationaux peuvent joindre le Support technique de leur filiale Microsoft locale. Pour savoir comment contacter le Support Microsoft, consultez le site Web International Support. |
| • | Le site Web Espace Sécurité Technet fournit des informations complémentaires sur la sécurité dans les produits Microsoft. |
Dédit de responsabilité :
Les informations contenues dans cet avis sont fournies « en l’état », sans garantie d’aucune sorte. Microsoft exclut toute garantie, expresse ou implicite, notamment toute garantie de qualité et d’adéquation à un usage particulier. En aucun cas la société Microsoft ou ses fournisseurs ne pourront être tenus pour responsables de quelque dommage que ce soit, y compris toute perte de bénéfices directe, indirecte ou accessoire, ou de dommages spéciaux, même si la société Microsoft a été prévenue de l’éventualité de tels dommages. Certains pays n’autorisent pas l’exclusion ou la limitation de responsabilité pour les dommages indirects ou accessoires, de sorte que la limitation ci-dessus peut ne pas vous concerner.
Révisions :
| • | 23 août 2005 : Avis publié |