TechNet Sicherheit

Microsoft-Sicherheitsempfehlung (906574)

Erläuterung der einfachen Dateifreigabe und des Vorgangs „ForceGuest“

Veröffentlicht: 23.08.2005

Microsoft hat diese Sicherheitsempfehlung veröffentlicht, um Informationen hinsichtlich des Problems zu erläutern, das im Security Bulletin MS05-039 im Hinblick auf nicht standardmäßige Konfigurationen von Windows XP Service Pack 1 behandelt wird. Diese Funktion wird als „einfache Dateifreigabe“ und „ForceGuest“ bezeichnet. Unter Windows XP Service Pack 2 erhöht sich das Risiko für Ihr System nicht, wenn Sie die einfache Dateifreigabe und ForceGuest aktivieren. Des Weiteren sind auch jene Benutzer nicht von dem Problem betroffen, die das in MS05-039 enthaltene Sicherheitsupdate installiert haben. Wir raten unseren Kunden, die Anleitungen unter „Schützen Sie Ihren PC“ zu befolgen, also eine Firewall zu aktivieren, regelmäßig die Software zu aktualisieren und eine Virenschutzsoftware zu installieren. Mehr über diese drei Vorsichtsmaßnahmen erfahren Sie auf der Website „Schützen Sie Ihren PC“.

Wenn unter Microsoft Windows XP auf einem System, das mit keiner Domäne verbunden ist, die einfache Dateifreigabe aktiviert ist, werden alle Benutzer, die über das Netzwerk auf dieses System zugreifen, zur Verwendung des Gastkontos gezwungen. Dies ist die Einstellung für die Sicherheitsrichtlinie „Netzwerkzugriff: Modell für gemeinsame Nutzung und Sicherheitsmodell für lokale Konten, auch als ForceGuest bekannt.

Windows XP verringert verschiedene Sicherheitsanfälligkeiten, indem Benutzer ohne gültige Anmeldeinformationen daran gehindert werden, von einem Remotestandort aus auf das System zuzugreifen. Ein Beispiel dafür ist die Sicherheitsanfälligkeit, die im Microsoft Security Bulletin MS05-039 behandelt wird. Wenn Sie jedoch die einfache Dateifreigabe aktivieren, wird auch das Gastkonto aktiviert und erhält die Berechtigung, über das Netzwerk auf das System zuzugreifen. Da es sich bei dem Gastkonto um ein gültiges Konto handelt, wenn es aktiviert wird, und es die Berechtigung erhält, über das Netzwerk auf das System zuzugreifen, könnte ein Angreifer das Gastkonto wie ein gültiges Benutzerkonto nutzen.

Es ist keine Angriffsmethode bekannt, die dieses Szenario ausnutzt.  Die Empfehlung wird als besondere Vorsichtsmaßnahme veröffentlicht. Das Update im Security Bulletin MS05-039 wurde nicht geändert. Benutzer, die dieses Update installiert haben, sind vor diesem Szenario geschützt.

Schadensbegrenzende Faktoren:

Windows XP Service Pack 2 ist über Remotezugriff nicht anfällig für das in MS05-039 behandelte Problem, selbst dann wenn durch die einfache Dateifreigabe das Gastkonto aktiviert ist. Unter Windows XP Service Pack 2 wirkt sich diese Sicherheitsanfälligkeit nur auf die lokale Erhöhung von Berechtigungen aus und kann nur dann ausgenutzt werden, wenn sich ein Benutzer lokal am System anmelden kann.

Auf Systemen unter Windows XP, die mit einer Domäne verbunden sind, ist die einfache Dateifreigabe nicht verfügbar. Mit einer Domäne verbundene Systeme verwenden die standardmäßige Dateifreigabe, bei der das Gastkonto nicht aktiviert bzw. diesem keine Berechtigung erteilt wird, über das Netzwerk auf das System zuzugreifen. Windows XP Service Pack 2 ist, wenn das betreffende System mit einer Domäne bzw. einer Arbeitsgruppe verbunden ist, nicht anfällig für das beschriebene Problem.

Kunden, die die im Microsoft Security Bulletin MS05-039 bereitgestellten Sicherheitsupdates installiert haben, sind nicht von der im betreffenden Security Bulletin behandelten Sicherheitsanfälligkeit betroffen, selbst wenn sie die einfache Dateifreigabe aktiviert haben.

Allgemeine Informationen

Übersicht

Zweck dieser Sicherheitsempfehlung: Erläuterung des Zwecks der einfachen Dateifreigabe unter Windows XP und deren Verwendung des Gastkontos.

Status der Empfehlung: Die Mitteilung wurde veröffentlicht.

Empfehlung: Lesen Sie die Empfehlung und ändern Sie dementsprechend zur Erhöhung der Sicherheit die Konfiguration.

ReferenzenIdentifizierung

Microsoft-Website

Einfache Dateifreigabe und der Vorgang „ForceGuest“

Das Symantec DeepSight-Team zur Bedrohungsanalyse und Symantec BID

 14513

Sicherheitsbulletin

MS05-039

Diese Empfehlung betrifft die folgende Software.

Betroffene Software

Microsoft Windows XP Service Pack 1

Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)

Microsoft Windows XP Service Pack 2

Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)

Microsoft Windows XP Professional x64 Edition

Top of sectionTop of section

Häufig gestellte Fragen (FAQ)

Was genau umfasst diese Empfehlung?
Diese Empfehlung erläutert die Funktion „Einfache Dateifreigabe“ von Windows XP sowie deren Verwendung des Gastkontos. Dieser „ForceGuest“ genannte Vorgang bringt keine Sicherheitsanfälligkeiten mit sich. ForceGuest aktiviert jedoch automatisch das Gastkonto, welches die Berechtigung erhält, über das Netzwerk auf das System zuzugreifen. Unter Windows XP Service Pack 2 erhöht sich das Risiko für Ihr System nicht, wenn Sie die einfache Dateifreigabe und ForceGuest aktivieren.

Ist dies eine Sicherheitsanfälligkeit, für die ein Sicherheitsupdate von Microsoft erforderlich ist?
Nein. Die einfache Dateifreigabe ist eine optionale Konfiguration, die manche Benutzer je nach dem aktivieren könnten. Auf Systemen, die mit einer Domäne verbunden sind, ist diese Funktion ist nicht verfügbar. Weitere Informationen zu dieser Funktion und ihrer richtigen Konfiguration finden Sie auf der folgenden Website. Unter Windows XP Service Pack 2 erhöht sich das Risiko für Ihr System nicht, wenn Sie die einfache Dateifreigabe und ForceGuest aktivieren.

Wie wird das Gastkonto aktiviert, und wie erhält es die Berechtigung, über das Netzwerk auf das System zuzugreifen?
Systeme unter Windows XP Professional, die Mitglieder einer Arbeitsgruppe sind, sowie Systeme unter Windows XP Home verwenden die einfache Dateifreigabe. Bei der einfachen Dateifreigabe muss ein Benutzer manuell den Netzwerkinstallations-Assistenten ausführen, der auf der folgenden Website dokumentiert ist. Der Netzwerkinstallations-Assistent kann auch mit der Option Klicken Sie hier, wenn Sie sich des Sicherheitsrisikos bewusst sind, aber Dateien dennoch freigeben möchten, ohne den Assistenten auszuführen umgangen werden, um die Konfiguration der einfachen Dateifreigabe abzuschließen. Durch diese Vorgänge wird das Gastkonto aktiviert und erhält die Berechtigung, vom Netzwerk aus auf das System zuzugreifen, denn das Gastkonto wird aus der lokalen Sicherheitsrichtlinie Zugriff vom Netzwerk auf diesen Computer verweigern entfernt. Wenn Sie das Gastkonto manuell aktivieren, erhält es keine Berechtigung, über das Netzwerk auf das System zuzugreifen.

Die Aktivierung der Datei- und Druckerfreigabe allein reicht nicht aus, um dem Gastkonto über das Netzwerk Zugriff auf das System zu gewähren. Sie müssen die im Abschnitt „Häufig gestellte Fragen (FAQ)“ dokumentierten Schritte manuell durchführen, um das Gastkonto zu aktivieren und diesem über das Netzwerk Zugriff auf das System zu gestatten. Sobald diese Schritte durchgeführt wurden, wird jede Verbindungsanforderung zur Datei- oder Druckerfreigabe erfolgreich als Gastkonto authentifiziert. Weitere Informationen über die einfache Dateifreigabe und deren Verwendung des Gastkontos finden Sie auf der folgenden Website. Systeme unter Windows XP Professional, die mit einer Domäne verbunden sind, sind nicht von diesem Problem betroffen. Systeme, die mit einer Domäne verbunden sind, verwenden die einfache Dateifreigabe nicht. Durch die Freigabe von Dateien oder Druckern auf Systemen, die mit einer Domäne verbunden sind, wird das Gastkonto nicht aktiviert und erhält auch keine Berechtigung, über das Netzwerk auf das System zuzugreifen. Unter Windows XP Service Pack 2 erhöht sich das Risiko für Ihr System nicht, wenn Sie die einfache Dateifreigabe und ForceGuest aktivieren.

Kann bei Systemen, die nicht mit einer Domäne verbunden sind, das Gastkonto über die einfache Dateifreigabe aktiviert werden?
Systeme unter Windows XP Professional, die mit einer Domäne verbunden sind, implementieren die Funktion „einfache Dateifreigabe“ nicht. Wenn jedoch unter Windows XP Professional durch die einfache Dateifreigabe das Gastkonto aktiviert worden ist, bevor das System mit einer Domäne verbunden wurde, bleibt das Gastkonto auch dann aktiviert, wenn das System später mit einer Domäne verbunden wird. Führen Sie die auf der folgenden Website dokumentierten Schritte durch, um das Gastkonto auf solchen Systemen zu deaktivieren. Unter Windows XP Service Pack 2 erhöht sich das Risiko für Ihr System nicht, wenn Sie die einfache Dateifreigabe und ForceGuest aktivieren.

Woran kann ich erkennen, ob diese Schritte auf meinem System durchgeführt worden sind?
Unter Windows XP Professional als Mitglied einer Arbeitsgruppe oder unter Windows XP Home können Sie mit dem folgenden Befehl schnell herausfinden, ob Ihr System für dieses Problem anfällig ist. Geben Sie an der Eingabeaufforderung Net User Gast ein. Wenn das Gastkonto in der Ergebnisliste als Konto aktiv – Ja aufgeführt ist, könnte Ihr System für dieses Problem anfällig sein, wenn dem Gastkonto außerdem die Berechtigung gewährt wurde, über das Netzwerk auf das System zuzugreifen. Unter Windows XP Service Pack 2 erhöht sich das Risiko für Ihr System nicht, wenn Sie die einfache Dateifreigabe und ForceGuest aktivieren.

Erkennt der Microsoft Baseline Security Analyzer (MBSA), ob auf einem System innerhalb meiner Domäne das Gastkonto aktiviert wurde?
Ja. Dass das Gastkonto aktiviert ist, heißt noch nicht, dass es über das Netzwerk Zugriff auf das System hat. Es empfiehlt sich jedoch, das Gastkonto zu deaktivieren, um unbeabsichtigte Netzwerkzugriffe zu blockieren. MBSA überprüft, ob auf einem System ein Gastkonto deaktiviert wurde, und meldet je nach Systemkonfiguration Erfolg oder Fehler.

Blockiert die Windows-Firewall etwaige Zugriffe, wenn das Gastkonto durch die einfache Dateifreigabe aktiviert worden ist?
Die einfache Dateifreigabe aktiviert automatisch eine Ausnahme in der Windows-Firewall, doch der Zugriff ist auf das lokale Subnetz begrenzt. Systeme unter Windows XP Service Pack 2 sind jedoch nicht anfällig für das in MS05-019 behandelte Problem, gleichgültig, ob die Firewall aktiviert ist oder nicht.

Wie deaktiviere ich das Gastkonto unter Windows XP Home?
Geben Sie an der Eingabeaufforderung Net User Gast /Active:No ein, um das Gastkonto auf Systemen zu deaktivieren, die mit einer Arbeitsgruppe verbunden sind. Durch die Deaktivierung des Gastkontos wird die einfache Dateifreigabe blockiert. Für Systeme, die nicht mit einer Domäne verbunden sind, die jedoch bei der Verwendung der einfachen Dateifreigabe verstärkt geschützt werden sollen, empfiehlt sich die Einrichtung eines Kennworts für das Gastkonto. Weitere Informationen zum Einrichten dieses Kennworts finden Sie im Abschnitt „Empfohlene Maßnahmen“ weiter unten. Unter Windows XP Service Pack 2 erhöht sich das Risiko für Ihr System nicht, wenn Sie die einfache Dateifreigabe und ForceGuest aktivieren.

Wie kann ich in meiner Domäne durch die Verwendung einer Gruppenrichtlinie erzwingen, dass das Gastkonto deaktiviert wird?
Dass das Gastkonto aktiviert ist, heißt noch nicht, dass es über das Netzwerk Zugriff auf das System hat. Es empfiehlt sich jedoch, das Gastkonto zu deaktivieren, um unbeabsichtigte Netzwerkzugriffe zu blockieren. Das Gastkonto kann durch eine Gruppenrichtlinie deaktiviert werden, indem sichergestellt wird, dass Konten: Gastkontenstatusin Ihrer Domäne auf Deaktiviert eingestellt ist.

Top of sectionTop of section

Empfohlene Maßnahmen

Besuchen Sie die folgende Microsoft-Website.

Weitere Informationen zur einfachen Dateifreigabe unter Windows XP und zum Vorgang ForceGuest finden Sie auf der folgenden Website.

Benutzer von Windows XP Professional, die das Gastkonto nicht deaktivieren können, sollten das Standardkennwort des Gastkontos ändern.

Wenn Sie das Gastkonto nicht deaktivieren können, wird empfohlen, ein Kennwort für das Konto zu konfigurieren. Dadurch müssen alle Systeme in Ihrem Netzwerk dieses Kennwort bereitstellen, um eine Verbindung zueinander herzustellen. Benutzer von Windows XP Professional können dieses Kennwort konfigurieren, indem sie die Anweisungen auf der folgenden Website befolgen. Wenn für das Gastkonto ein Kennwort konfiguriert wird, sind die jeweiligen Systeme vor Angriffen geschützt, bei denen eine Authentifizierung mit Hilfe der Anmeldeinformationen des Gastkontos versucht wird.

Blockieren Sie die TCP-Ports 139 und 445 an der Firewall:

Diese Ports werden zum Einleiten einer Verbindung mit dem betroffenen Protokoll verwendet. Das Blockieren dieser Ports an der Firewall (sowohl in eingehender als auch ausgehender Richtung) verhindert, dass Systeme hinter dieser Firewall Angriffen ausgesetzt werden, die diese Sicherheitsanfälligkeit auszunutzen versuchen. Wir empfehlen das Blockieren der gesamten unerwünschten eingehenden Kommunikation aus dem Internet. So können Sie Angriffe verhindern, bei denen möglicherweise andere Ports verwendet werden. Weitere Informationen zu Ports finden Sie auf der folgenden Website.

Befolgen Sie die Anleitungen auf der Website „Schützen Sie Ihren PC“.

Wir raten unseren Kunden auch weiterhin, die Anleitungen unter „Schützen Sie Ihren PC“ zu befolgen, also eine Firewall zu aktivieren, regelmäßig die Software zu aktualisieren und eine Virenschutzsoftware zu installieren. Mehr über diese drei Vorsichtsmaßnahmen erfahren Sie auf der Website „Schützen Sie Ihren PC“.

Weitere Informationen über Sicherheit im Internet finden Sie auf der Microsoft Sicherheits-Portal.

Aktualisieren Sie Windows regelmäßig.

Alle Windows-Benutzer sollten die neuesten Sicherheitsupdates von Microsoft installieren, um den größtmöglichen Schutz des Computer zu erzielen. Wenn Sie nicht sicher sind, ob Ihre Software auf dem neuesten Stand ist, rufen Sie die Windows Update-Website auf, lassen Sie Ihren Computer auf verfügbare Updates überprüfen, und installieren Sie alle angezeigten Updates mit hoher Priorität. Wenn Sie die automatischen Updates aktiviert haben, werden Ihnen die Updates bei Veröffentlichung automatisch zugestellt. Sie müssen allerdings sicherstellen, dass die Updates installiert werden.

Top of sectionTop of section

Ressourcen:

Sie können uns über das Formular auf folgender Website Ihr Feedback zukommen lassen.

Technischer Support ist über die Microsoft Support Services erhältlich. Weitere Informationen zu verfügbaren Supportoptionen finden Sie auf der Microsoft-Website „Hilfe und Support“.

Das Microsoft Security Portal bietet weitere Informationen zur Sicherheit von Microsoft-Produkten.

Verzichtserklärung:

Die Informationen in dieser Empfehlung werden wie besehen und ohne jede Gewährleistung bereitgestellt. Microsoft schließt alle anderen Garantien, gleich ob ausdrücklich oder konkludent, einschließlich der Garantien der Handelsüblichkeit oder Eignung für einen bestimmten Zweck aus. In keinem Fall kann Microsoft Corporation und/oder deren jeweilige Lieferanten haftbar gemacht werden für Schäden irgendeiner Art, einschließlich direkter, indirekter, zufällig entstandener Schäden, Folgeschäden, Folgen entgangenen Gewinns oder spezieller Schäden, selbst dann nicht, wenn Microsoft Corporation und/oder deren jeweilige Lieferanten auf die mögliche Entstehung dieser Schäden hingewiesen wurde. Weil in einigen Staaten/Rechtsordnungen der Ausschluss oder die Beschränkung einer Haftung für zufällig entstandene Schäden oder Folgeschäden nicht gestattet ist, gilt die obige Einschränkung eventuell nicht für sie.

Revisionen: 

23. August 2005: Die Empfehlung wurde veröffentlicht.


Zum SeitenanfangZum Seitenanfang