Asesoría de seguridad de Microsoft (906574)

Aclaración sobre el uso compartido simple de archivos y ForceGuest

Publicado: 23/08/2005

Microsoft publicó esta Asesoría de seguridad para aclarar la información del problema resuelto en el Boletín se seguridad MS05-039 para las configuraciones no predeterminadas de Windows XP Service Pack 1. Esta función se conoce como "Uso compartido simple de archivos y ForceGuest.” Si usted utiliza Windows XP Service Pack 2, la habilitación del Uso compartido simple de archivos y ForceGuest no incrementa su nivel de exposición a la vulnerabilidad de seguridad MS05-039. De igual manera, los clientes que aplicaron la actualización de seguridad que se incluye con MS05-039 no se vieron afectados por este problema. Recomendamos que los clientes sigan utilizando nuestra guía Proteja su PC para habilitar un firewall, y para obtener actualizaciones de software e instalar software antivirus. Los clientes pueden conocer más acerca de estos pasos al visitar el sitio Web Proteja su PC.

Si se habilita el Uso compartido simple de archivos en un sistema Microsoft Windows XP que no está unido a un dominio, entonces todos los usuarios que acceden a este sistema a través de la red se ven forzados a utilizar la cuenta Invitado. Esta es la configuración de la política de seguridad “Acceso a la red: Modelo de uso compartido y seguridad para las cuentas locales,” y también se le conoce como ForceGuest.

Windows XP mitiga varias vulnerabilidades de seguridad al impedir que los usuarios que no tienen una credencial válida de inicio de sesión accedan al sistema de manera remota. Un ejemplo de esto es la vulnerabilidad que se abordó en el Boletín de seguridad de Microsoft MS05-039. Sin embargo, cuando usted habilita el Uso compartido simple de archivos, la cuenta Invitado también se habilita y se le otorga permiso para acceder al sistema a través de la red. Debido a que la cuenta Invitado es una cuenta válida cuando se habilita y se le otorga permiso para acceder al sistema a través de la red, un agresor podría utilizar la cuenta Invitado como si tuviera una cuenta de usuario válida.

No se conoce un ataque que busque explotar este escenario. La Asesoría se publica como una precaución especial. No se realizó cambio alguno a la actualización en el Boletín de seguridad MS05-039. Los clientes que aplicaron esta actualización están protegidos contra este escenario.

Factores de mitigación:

• Windows XP Service Pack 2 no es vulnerable de manera remota al problema abordado por MS05-039 aun cuando el Uso compartido simple de archivos habilita la cuenta Invitado. En Windows XP Service Pack 2, el impacto de esta vulnerabilidad es sólo la Elevación de privilegios locales, y sólo se puede explotar si un usuario tiene la capacidad de iniciar sesión de manera local en el sistema.

• El Uso compartido simple de archivos no está disponible en los sistemas Windows XP que están unidos a un dominio. Los sistemas unidos a un dominio emplean un uso compartido estándar de archivos que no habilita la cuenta Invitado ni otorga permisos para acceder al sistema a través de la red. Windows XP Service Pack 2 no es vulnerable de manera remota en los sistemas unidos a un dominio ni en sistemas unidos a un grupo de trabajo.

• La habilitación del Uso compartido simple de archivos no expone a los clientes que aplicaron las actualizaciones de seguridad que se proporcionan en el Boletín de seguridad de Microsoft MS05-039 para la vulnerabilidad que se abordó en ese boletín de seguridad.

Información General

Descripción general

Objetivo de la asesoría: Aclarar el objetivo de la función Uso compartido simple de archivos de Windows XP y su uso de la cuenta Invitado.

Estado de la asesoría: Asesoría publicada.

Recomendación: Revise la asesoría y aplique los cambios apropiados a la configuración para elevar la seguridad.

Referencias

Sitio Web de Microsoft. Uso compartido simple de archivos y ForceGuest

Sitio Web de Microsoft. Protege Windows XP en un entorno de red de igual a igual

El Equipo de análisis de amenazas DeepSight de Symantec y Symantec BID. 14513

Boletín de seguridad. MS05-039

Software relacionado

Microsoft Windows XP Service Pack 1

Microsoft Windows XP Edición de 64 bits con Service Pack 1 (Itanium)

Microsoft Windows XP Service Pack 2

Microsoft Windows XP Edición de 64 bits Versión 2003 (Itanium)

Microsoft Windows XP Professional x64 Edition

Preguntas más frecuentes

•	¿Cuál es el alcance de la asesoría? Esta asesoría aclara la función Uso compartido simple de archivos de Windows XP y su uso de la cuenta Invitado. Este proceso, denominado ForceGuest, no presenta una vulnerabilidad de seguridad. Sin embargo, ForceGuest habilita automáticamente la cuenta Invitado y se le otorga permiso para acceder al sistema a través de la red. Si usted utiliza Windows XP Service Pack 2, la habilitación del Uso compartido simple de archivos y ForceGuest no incrementa su nivel de exposición a la vulnerabilidad de seguridad MS05-039.
•	¿Esta es una vulnerabilidad de seguridad que requiere que Microsoft publique una actualización de seguridad? No. La función Uso compartido simple de archivos es una configuración opcional que posiblemente elegirán habilitar algunos clientes. Esta función no está disponible en sistemas que están unidos a un dominio. Para mayores informes acerca de esta función y cómo configurarla de manera apropiada, visite el siguiente sitio Web. Si usted utiliza Windows XP Service Pack 2, la habilitación del Uso compartido simple de archivos y ForceGuest no incrementa su nivel de exposición a la vulnerabilidad de seguridad MS05-039.
•	¿De qué manera se habilita la cuenta Invitado y se le permite acceder al sistema a través de la red? Los sistemas Windows XP Professional que son miembros de un grupo de trabajo y los sistemas Windows emplean el Uso compartido simple de archivos. Con el Uso compartido simple de archivos, un usuario debe utilizar manualmente el Asistente para configuración de red, que se documenta en el siguiente sitio Web, o evitar el Asistente para configuración de red al seleccionar la opción Si comprende los riesgos de seguridad pero desea compartir archivos sin ejecutar el asistente, haga clic aquí para completar la configuración del Uso compartido simple de archivos. Estos procedimientos habilitan la cuenta Invitado y le otorgan permiso para acceder al sistema desde la red al eliminar la cuenta Invitado desde la política de seguridad local Denegar acceso a este PC desde la red. Si usted habilita manualmente la cuenta Invitado no tendrá permiso para acceder al sistema a través de la red. No basta con sólo habilitar el Uso compartido de archivo e impresión para habilitar la cuenta Invitado para que tenga acceso al sistema a través de la red. Usted debe realizar manualmente los pasos que están documentados en esta sección de Preguntas frecuentes para habilitar la cuenta Invitado y permitirle el acceso al sistema a través de la red. Una vez que se realizaron estos pasos, cualquier solicitud de conexión de uso compartido de archivo e impresión se autenticará con éxito como la cuenta Invitado. Para mayores informes acerca del Uso compartido simple de archivos y su uso de la cuenta Invitado, visite el siguiente sitio Web. Este problema no afecta los sistemas Windows XP Professional que son miembros de un dominio. Los sistemas unidos a un dominio no utilizan el Uso compartido simple de archivos. Compartir archivos o impresoras en sistemas unidos a un dominio no habilita la cuenta Invitado ni otorga permiso para acceder al sistema a través de la red. Si usted utiliza Windows XP Service Pack 2, la habilitación del Uso compartido simple de archivos y ForceGuest no eleva su nivel de exposición a la vulnerabilidad de seguridad MS05-039.
•	¿Los sistemas que no están unidos a un dominio habilitan su cuenta Invitado a través del Uso compartido simple de archivos? Los sistemas Windows XP Professional que están unidos a un dominio no implementan la función Uso compartido simple de archivos. Sin embargo, si un sistema Windows XP Professional habilitó la cuenta Invitado mediante el Uso compartido simple de archivos, antes de unirse a un dominio, entonces la cuenta Invitado sigue habilitada cuando ese sistema se une posteriormente al dominio. Para deshabilitar la cuenta Invitado en estos sistemas, realice los pasos documentados en el siguiente sitio Web. Si usted utiliza Windows XP Service Pack 2, la habilitación del Uso compartido simple de archivos y ForceGuest no eleva su nivel de exposición a la vulnerabilidad de seguridad MS05-039.
•	¿Cómo se si estoy utilizando un sistema en el que se realizaron estos pasos? Si está utilizando un sistema Windows XP Professional que es miembro de un grupo de trabajo, o si está utilizando un sistema Windows XP Home, puede revisarlo rápidamente para ver si usted podría estar vulnerable a este problema utilizando el siguiente comando. En el símbolo del sistema escriba Invitado usuario de la red. En la lista de resultados, si la cuenta Invitado aparece como Cuenta activa – Si, podría estar vulnerable a este problema si a la cuenta Invitado también se le otorgó permiso para acceder al sistema a través de la red. Así mismo, si utiliza Windows XP Service Pack 2, la habilitación del Uso compartido simple de archivos y ForceGuest no eleva su nivel de exposición a la vulnerabilidad de seguridad MS05-039.
•	¿Microsoft Baseline Security Analyzer (MBSA) detecta si se habilitó la cuenta Invitado en un sistema dentro de mi dominio? Sí. Mientras que la habilitación de la cuenta Invitado no basta para permitirle el acceso al sistema a través de la red, deshabilitar la cuenta Invitado es una mejor práctica recomendable y bloqueará el acceso a la red no deseado. MBSA verificará que se haya deshabilitado una cuenta Invitado en un sistema e informará el éxito o fracaso dependiendo de la configuración del sistema.
•	¿Windows Firewall ayuda a bloquear el acceso cuando se habilita la cuenta Invitado a través del Uso compartido simple de archivos? Mientras que el Uso compartido simple de archivos habilita una excepción en Windows Firewall, el acceso se limita a la subred local. Sin embargo, los sistemas Windows XP Service Pack 2 no son vulnerables remotamente al problema que se analiza en MS05-030 con o sin el firewall habilitado.
•	¿Cómo deshabilito la cuenta Invitado en un sistema Windows XP Home? En el símbolo del sistema, escriba Invitado usuario de la red /Activo: No para deshabilitar la cuenta Invitado en los sistemas unidos al grupo de trabajo. Deshabilitar la cuenta Invitado bloqueará el Uso compartido simple de archivos, así que la acción recomendada para los sistemas que no están unidos a un dominio, pero que les gustaría una protección mejorada mientras utilizan el Uso compartido simple de archivos, es establecer una contraseña para la cuenta Invitado. Consulte la sección Acciones sugeridas a continuación para obtener mayores informes sobre la configuración de esta contraseña. Si usted utiliza Windows XP Service Pack 2, la habilitación del Uso compartido simple de archivos y ForceGuest no eleva su nivel de exposición a la vulnerabilidad de seguridad MS05-039.
•	¿Cómo puedo imponer que la cuenta Invitado se deshabilite dentro de mi dominio utilizando la Política de grupo? Mientras que el tener habilitada la cuenta Invitado no es suficiente para permitirle el acceso al sistema a través de la red, deshabilitar la cuenta Invitado es una mejor práctica recomendable y bloqueará el acceso a la red no deseado. La cuenta Invitado se puede deshabilitar a través de la Política de grupo al asegurarse de que Cuentas: Estado de la cuenta Invitado esté Deshabilitada en su dominio.

Acciones sugeridas

• Revise el siguiente sitio Web de Microsoft.

Para mayores informes acerca de la función Uso compartido simple de archivos de Windows XP y el proceso ForceGuest, visite el siguiente sitio Web.

• Los clientes Windows XP Professional que no pueden deshabilitar la cuenta Invitado deben cambiar la contraseña predeterminada en la cuenta Invitado.

Si no puede deshabilitar la cuenta Invitado, le recomendamos que configure una contraseña para la cuenta Invitado. Esto requerirá que todos los sistemas de su red proporcionen esta contraseña para conectarse entre sí. Los clientes Windows XP Professional pueden configurar esta contraseña al seguir las instrucciones que se incluyen en el siguiente sitio Web. Configurar una contraseña en la cuenta Invitado ayudará a impedir que estos sistemas se vuelvan vulnerables de manera remota a los problemas que intentan autenticarse utilizando las credenciales de la cuenta Invitado.

• Bloquear puertos TCP 139 y 445 en el firewall:

Estos puertos se utilizar para iniciar una conexión con el protocolo afectado. Bloquearlos en el firewall, tanto cuando entran como cuando salen, ayudará a impedir que los sistemas que están detrás de ese firewall traten de explotar esta vulnerabilidad. Le recomendamos que bloquee todas las comunicaciones entrantes no solicitadas desde Internet para ayudar a prevenir ataques que puedan utilizar otros puertos. Para mayores informes sobre los puertos, visite el siguiente sitio Web.

• Siga la guía Proteja su PC.

Seguimos invitando a los clientes a que utilicen nuestra guía Proteja su PC para habilitar un firewall, obtener actualizaciones de software e instalar software antivirus. Los clientes pueden conocer más acerca de estos pasos al visitar el sitio Web de Proteja su PC.

Para mayores informes acerca de mantenerse protegido en Internet, los clientes pueden visitar la Página principal de Seguridad de Microsoft

• Mantenga Windows actualizado.

Todos los usuarios de Windows deberán solicitar las actualizaciones de seguridad más recientes de Microsoft para asegurarse de que sus PCs están tan protegidas como es posible. Si no está seguro de que su software está actualizado, visite el Sitio Web Actualizaciones de Windows, analice su PC para conocer las actualizaciones disponibles e instale cualquier actualización de alta prioridad que se le ofrezca. Si usted tiene habilitadas Actualizaciones automáticas, las actualizaciones se le enviarán cuando se liberen, pero tiene que asegurarse de instalarlas.

Recursos:

• Usted puede proporcionar retroalimentación al completar el formulario y visitar el siguiente sitio Web.

• Los clientes de Estados Unidos y Canadá pueden recibir soporte técnico de los Servicios de soporte de productos Microsoft. Para mayores informes acerca de las opciones de soporte disponibles, consulte el sitio Web Ayuda y soporte de Microsoft.

• Los clientes internacionales pueden recibir soporte de las subsidiarias locales de Microsoft. Para mayores informes sobre cómo ponerse en contacto con Microsoft para resolver problemas de soporte en el extranjero, visite el sitio Web Soporte internacional.

• El sitio Web Seguridad de Microsoft TechNet proporciona información adicional sobre la seguridad en los productos Microsoft.

Renuncia:

La información que se proporciona en esta asesoría se proporciona “como está” sin garantía alguna. Microsoft renuncia a cualquier garantía, ya sea expresa o implícita, incluyendo las garantías de comerciabilidad o adecuación para un propósito específico. En ningún caso Microsoft Corporation o sus proveedores serán responsables por ningún tipo de daños por pérdidas comerciales directas, indirectas, incidentales o consiguientes ni daños especiales, incluso si Microsoft Corporation o sus proveedores han advertido la posibilidad de dichos daños. Algunos estados no permiten la exclusión ni limitación de responsabilidad por daños consiguientes o incidentales por lo que las anteriores limitaciones pueden no aplicar.

Revisiones:

• Agosto 23, 2005: Asesoría publicada.

Principio de la página

•	Otros artículos de TechNet Newsletter

•	Entrevista a Jorge Cabeza

•	Microsoft adquiere a la empresa de VoIP Teleo

•	AMD e Intel lanzan chips dual core

•	Nuevas funcionalidades para MSN

•	Tales from the Lab: Microsoft Research investiga

•	Microsoft completa la adquisición de FrontBridge Technologies

•	Creadores de virus a prisión
•	AMD contrata nuevo CTO
•	ABN Amro Bank contrata outsourcing por US$ 2.000 millones
•	Jóvenes, latinos y exitosos
•	MS Cono Sur: Mejor subsidiaria de Latinoamérica
•	Caso de Éxito: Consejo de Coordinación Empresarial de México (CCE)
•	Fabián Pazmiño U: Los webcasts me permiten interactuar y aprender más
•	Hasta la Vista, Windows
•	Para tener en cuenta
•	64 Bits para Windows XP
•	Verifique el modo de instalación de Microsoft Office
•	Sugerencia rápida: Registre los paquetes con el Reporteador de puertos
•	Sugerencia rápida: Usar la Política de grupo para controlar las configuraciones del Firewall de Windows
•	Software de prueba de Live Communications Server 2005
•	Implemente ISA Server 2004 en unos cuantos minutos con las soluciones de hardware
•	Asesoría de seguridad de Microsoft (906574)
•	Descripción general de Microsoft Office Communicator 2005
•	Aplicaciones para Windows SharePoint Services
•	Artículos de la base del conocimiento: Agosto 31, 2005
•	Laboratorio virtual de TechNet: Microsoft Office Live Communications Server 2005
•	Laboratorio virtual de TechNet: Seguridad
•	Asegurar los Mensajes instantáneos empresariales con Live Communications Server 2005
•	SQL 2005 está en camino