TechNet セキュリティ > マイクロソフト セキュリティ アドバイザリ

マイクロソフト セキュリティ アドバイザリ (906574)

簡易ファイルの共有および ForceGuest についての説明

公開日: 2005年8月24日
要訳

お知らせ内容

その他のセキュリティに関する情報

セキュリティ更新プログラム

対象外

被害報告

対象外

回避策

対象外

対応方法

「推奨するアクション」をご確認ください。

マイクロソフトは、Windows XP Service Pack 1 の既定以外の構成について、セキュリティ情報 MS05-039 で解決された問題についての情報を明確にするために、このセキュリティ アドバイザリをリリースしました。

この機能は 「簡易ファイルの共有および ForceGuest」 (英語情報) として知られています。Windows XP Service Pack 2 を使用している場合、簡易ファイルの共有および ForceGuest を有効にしても MS05-039 で説明されているセキュリティ上の脆弱性の危険にさらされる度合いを増大することにはなりません。また、MS05-039 に含まれているセキュリティ更新プログラムを適用しているお客様はこの問題による影響は受けません。マイクロソフトは引き続きお客様に、ファイアウォールを有効にする、ソフトウェアの更新を入手する、ウイルス対策ソフトウェアをインストールするなどのマイクロソフトの Protect Your PC ガイダンスに従うことを推奨します。これらのステップについては、Protect Your PC Web サイトをご覧ください。

簡易ファイルの共有が、ドメインに参加していない Microsoft Windows XP コンピュータで有効にされている場合、ネットワークを介しこのコンピュータにアクセスするすべてのユーザーは Guest アカウントの使用が強制されます。これは、[ネットワークアクセス:ローカル アカウントの共有とセキュリティモデル] のセキュリティ ポリシーの設定で、また ForceGuest としても知られています。

Windows XP は、有効なログオン資格情報を持たないユーザーがリモートでコンピュータにアクセスすることを防ぐことにより、いくつかのセキュリティ上の脆弱性を緩和します。この例として、マイクロソフト セキュリティ情報 MS05-039 で解決される脆弱性があります。しかし、簡易ファイルの共有を有効にしている場合、Guest アカウントもまた有効となっており、ネットワークを介しコンピュータへアクセスするためのアクセス許可が与えられています。Guest アカウントは有効にされている場合、有効なアカウントであり、ネットワークを介しコンピュータへアクセスするためのアクセス許可が与えられているため、攻撃者は有効なユーザー アカウントを所有しているように、Guest アカウントを悪用する可能性があります。

このシナリオを悪用しようとする既知の攻撃はありません。このアドバイザリは特別な予防措置としてリリースされています。セキュリティ情報 MS05-039 の更新プログラムについての変更はありません。この更新プログラムを適用しているお客様はこのシナリオでの攻撃に対し保護されています。

問題を緩和する要素:

Windows XP Service Pack 2 は、簡易ファイルの共有が Guest アカウントを有効にしている場合でも、MS05-039 で解決された問題について、リモートで影響を受けることはありません。Windows XP Service Pack 2 で、この脆弱性の影響はローカルでの特権の昇格のみで、ユーザーがコンピュータにローカルでログオンできない限り、悪用されません。

簡易ファイルの共有は、ドメインに参加している Windows XP コンピュータでは利用可能ではありません。ドメインに参加しているコンピュータは標準のファイルの共有を使用し、これは Guest アカウントを有効にしません。または、ネットワークを介しコンピュータにアクセスするためのアクセス許可を与えません。Windows XP Service Pack 2 はドメインに参加している、またはワークグループに参加しているコンピュータでリモートで影響を受けません。

簡易ファイルの共有を有効にしても、MS05-039 で提供されたセキュリティ更新プログラムを適用しているお客様が、MS05-039 で解決される脆弱性の影響を受けることはありません。

詳細

概要

アドバイザリの目的:Windows XP の簡易ファイルの共有の機能およびその Guest アカウントの使用の目的について明確にするものです。

アドバイザリの状況:アドバイザリを公開しました。

推奨事項:アドバイザリを検討し、セキュリティを強化するために適切な構成の変更を適用してください。

参照情報番号

マイクロソフトの Web サイト

Simple Sharing and ForceGuest (英語情報)

マイクロソフトの Web サイト

Securing Windows XP in a Peer-to-Peer Networking Environment (英語情報)

Symantec DeepSight Threat Analysis Team および Symantec BID

 14513 (英語情報)

セキュリティ情報

MS05-039

このアドバイザリは次のソフトウェアについて説明しています。

関連するソフトウェア

Microsoft Windows XP Service Pack 1

Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)

Microsoft Windows XP Service Pack 2

Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)

Microsoft Windows XP Professional x64 Edition

Top of sectionTop of section

よく寄せられる質問

このアドバイザリの目的は何ですか?
このアドバイザリの目的は、Windows XP の簡易ファイルの共有の機能およびその Guest アカウントの使用の目的について明確にするものです。このプロセスは ForceGuest と呼ばれ、セキュリティ上の脆弱性をお知らせするものではありません。しかし、ForceGuest は自動的に Guest アカウントを有効にし、ネットワークを介しコンピュータにアクセスするためのアクセス許可が与えられます。Windows XP Service Pack 2 を使用している場合、簡易ファイルの共有および ForceGuest を有効にしても MS05-039 で説明されているセキュリティ上の脆弱性の危険にさらされる度合いを増大することにはなりません。

これはマイクロソフトがセキュリティ更新プログラムをリリースする必要があるセキュリティ上の脆弱性ですか?
いいえ。簡易ファイルの共有の機能は、一部のお客様が有効にすることを選択する可能性のあるオプションの構成です。この機能はドメインに参加しているコンピュータでは利用できません。この機能およびこの機能の適切な構成方法に関する詳細情報は、次の Web サイト (英語情報) をご覧ください。Windows XP Service Pack 2 を使用している場合、簡易ファイルの共有および ForceGuest を有効にしても MS05-039 で説明されているセキュリティ上の脆弱性の危険にさらされる度合いを増大することにはなりません。

Guest アカウントはどのように有効にされ、ネットワークを介すコンピュータへのアクセスが許可されるのですか?
ワークグループのメンバである Windows XP Professional および Windows XP Home コンピュータは簡易ファイルの共有を使用します。簡易ファイルの共有で、ユーザーは手動でネットワークのセットアップ ウィザードを使用する必要があります。(これは次の Web サイト (英語情報) に説明されています。) または、[危険を認識した上で、ウィザードを使わないでファイルを共有する場合はここをクリックしてください。] のオプションを選択することにより、ネットワークのセットアップ ウィザードを無視し、簡易ファイルの共有の構成を完了する必要があります。これらの手順は Guest アカウントを有効にし、Guest アカウントを [ネットワーク経由でコンピュータへアクセスを拒否する] のローカル セキュリティ ポリシーから削除することにより、Guest アカウントにネットワークからコンピュータへアクセスするためのアクセス許可を与えます。Guest アカウントを手動で有効にした場合、Guest アカウントはネットワークを介しコンピュータへアクセスするためのアクセス許可を持たない可能性があります。

Guest アカウントがネットワークを介すコンピュータへのアクセスを所有できるためには、単に [ファイルとプリンタの共有] が有効にされているだけでは十分ではありません。Guest アカウントを有効にし、その Guest アカウントにネットワークを介すコンピュータへのアクセスを許可するためには、この「よく寄せられる質問」に説明されているステップを手動で行なう必要があります。これらのステップが実行されると、すべてのファイルまたはプリンタの共有の接続リクエストは正常に Guest アカウントとして認証します。簡易ファイルの共有とその Guest アカウントの使用に関する詳細情報については、次の Web サイトをご覧ください。この問題は、ドメインのメンバである Windows XP Professional コンピュータには影響を及ぼしません。ドメインに参加しているコンピュータは簡易ファイルの共有を使用しません。ドメインに参加しているコンピュータでファイルまたはプリンタを共有しても、Guest アカウントを有効にすることにはなりません。または、Guest アカウントにネットワークを介すコンピュータへのアクセスを許可することにはなりません。Windows XP Service Pack 2 を使用している場合、簡易ファイルの共有および ForceGuest を有効にしても MS05-039 で説明されているセキュリティ上の脆弱性の危険にさらされる度合いを増大することにはなりません。

ドメインに参加していないコンピュータは、簡易ファイルの共有により Guest アカウントを有効にすることはできますか?
ドメインに参加している Windows XP Professional コンピュータは簡易ファイルの共有の機能を実装しません。しかし、Windows XP Professional コンピュータが、ドメインに参加する前に簡易ファイルの共有により Guest アカウントを有効にしている場合、Guest アカウントはコンピュータが後にドメインに参加した時、その Guest アカウントは有効のままです。これらのコンピュータで Guest アカウントを無効にするためには、次の Web サイト (英語情報) に説明されているステップを実行してください。Windows XP Service Pack 2 を使用している場合、簡易ファイルの共有および ForceGuest を有効にしても MS05-039 で説明されているセキュリティ上の脆弱性の危険にさらされる度合いを増大することにはなりません。

これらのステップが実行されたコンピュータを使用しているかどうかはどのように分かるのですか?
ワークグループのメンバである Windows XP Professional を使用している場合、または Windows XP Home コンピュータを使用している場合、次のコマンドを使用することにより、この問題の影響を受ける可能性があるかどうかを迅速にチェックすることができます。コマンド プロンプトで Net User Guest と入力します。結果の一覧で、Guest アカウントが アカウントの有効 - Yesと表示されており、また、その Guest アカウントにネットワークを介しコンピュータにアクセスするためのアクセス許可も与えられている場合、この問題の影響を受ける可能性があります。Windows XP Service Pack 2 を使用している場合、簡易ファイルの共有および ForceGuest を有効にしても MS05-039 で説明されているセキュリティ上の脆弱性の危険にさらされる度合いを増大することにはなりません。

Microsoft Baseline Security Analyzer (MBSA) はドメイン内のコンピュータで Guest アカウントが有効にされているかどうかを検出しますか?
はい。Guest アカウントが有効にされていても、その Guest アカウントにネットワークを介しコンピュータにアクセスすることを許可するに十分ではありませんが、Guest アカウントを無効にすることは有効な最善策であり、意図されないネットワーク アクセスがブロックされます。MBSA は Guest アカウントがコンピュータで無効にされていることをチェックし、コンピュータの構成により、成功または失敗を報告します。

Windows ファイアウォールは Guest アカウントが簡易ファイルの共有により有効にされている場合、アクセスをブロックする手助けとなりますか?
簡易ファイルの共有は自動的に Windows ファイアウォールの例外を有効にしますが、アクセスはローカル サブネットに制限されます。しかし、Windows XP Service Pack 2 コンピュータは、ファイアウォールが有効であるかどうかにかかわらず、MS05-019 で説明された問題にリモートでは影響を受けません。

Windows XP Home コンピュータで Guest アカウントをどのように無効にするのですか?
ワークグループに参加しているコンピュータで Guest アカウントを無効にするためには、コマンド プロンプトで Net User Guest /Active:Noと入力します。Guest アカウントを無効にすると簡易ファイルの共有がブロックされるため、ドメインに参加していないコンピュータについて推奨される操作ですが、簡易ファイルの共有の使用時に高度な保護が必要な場合は Guest アカウントにパスワードを設定してください。このパスワードの設定に関する詳細情報は、下記の「推奨するアクション」の欄をご覧ください。Windows XP Service Pack 2 を使用している場合、簡易ファイルの共有および ForceGuest を有効にしても MS05-039 で説明されているセキュリティ上の脆弱性の危険にさらされる度合いを増大することにはなりません。

グループポリシーを使用して、どのようにドメイン内で Guest アカウントを無効にすることを強制できるのですか?
Guest アカウントが有効にされていても、その Guest アカウントがネットワークを介しコンピュータにアクセスすることを許可するに十分ではありませんが、Guest アカウントを無効にすることは有効な最善策であり、意図されないネットワーク アクセスがブロックされます。ドメインで [アカウント: Guest アカウントの状態] が [無効] に設定されていることを確認することにより、グループ ポリシーにより Guest アカウントを無効にすることができます。

Top of sectionTop of section

推奨するアクション

次のマイクロソフトの Web サイトをご覧ください。

簡易ファイルの共有とその Guest アカウントの使用に関する詳細情報については、次の Web サイトをご覧ください。

Windows XP Professional を使用しているお客様で Guest アカウントを無効にできない場合は Guest アカウントの既定のパスワードを変更してください。

Guest アカウントを無効にできない場合、マイクロソフトは Guest アカウントにパスワードを設定することを推奨します。 これで、ネットワークのすべてのコンピュータが互いに接続するためにこのパスワードを提供することが必要となります。Windows XP Professional を使用しているお客様は、次の Web サイト (英語情報) に記載されている説明に従い、このパスワードを構成することができます。Guest アカウントにパスワードを構成すると、これらのコンピュータが Guest アカウントの資格情報を使用して認証しようとする問題にリモートで影響を受けるようになることを防ぐ手助けとなります。

TCP ポート 139 および 445 をファイアウォールでブロックする

これらのポートは、影響を受けるプロトコルとの接続を開始するために使用されます。送信および受信で、ファイアウォールでこれらのポートをブロックすると、ファイアウォールの後方のコンピュータを、この脆弱性を悪用した攻撃から保護する手助けとなります。そのほかのポートを悪用する可能性のある攻撃を防ぐため、すべてのインターネットからの受信者側が送信を要求していない受信通信をブロックすることを推奨します。ポートに関する詳細情報は、次の Web サイト (英語情報) をご覧下さい。

Protect Your PC ガイダンスに従う

マイクロソフトは引き続きお客様に、ファイアウォールを有効にする、ソフトウェアの更新を入手する、ウイルス対策ソフトウェアをインストールするなどのマイクロソフトの Protect Your PC ガイダンスに従うことを推奨します。これらのステップについては、Protect Your PC Web サイトをご覧ください。

インターネットで安全であるための詳細情報は、マイクロソフト セキュリティ ホーム ページをご覧下さい。

Windows を更新された状態に保つ

すべての Windows ユーザーは、最新のマイクロソフトのセキュリティ更新プログラムを適用してください。これは、ユーザーのコンピュータが可能な限り保護されることを手助けするものです。ご使用のソフトウェアが最新のものかどうか定かでない場合、Microsoft Update Web サイトで、利用可能な更新プログラムがあるかどうかコンピュータをスキャンし、提供されている優先度の高い更新プログラムをインストールして下さい。自動更新を有効にした場合は、更新プログラムがリリースされると配信されますが、インストールしたことを確認しなければなりません。

Top of sectionTop of section

リソース:

US マイクロソフト セキュリティ アドバイザリ (906574)
http://www.microsoft.com/technet/security/advisory/906574.mspx

テクニカル サポートならびに利用可能なサポート オプションに関する詳細はマイクロソフト サポート オンラインをご覧ください。

セキュリティ関連、およびセキュリティ更新プログラムに関するご質問や、ご不明な点などありましたら、マイクロソフト セキュリティ情報センターまでご連絡ください。利用可能なサポート オプションに関する詳細は マイクロソフト サポート オンラインをご覧ください。

その他、製品に関するご質問は、マイクロソフト プロダクト サポートへの連絡方法はこちらをご覧ください。

Microsoft TechNet Security センターでは、製品に関するセキュリティ情報を提供しています。

免責:

この文書に含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。

更新履歴:

2005/08/24:アドバイザリを公開しました。


ページのトップへページのトップへ