NetBIOS-Anfälligkeit kann zu Namenskonflikten führen

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 269239 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D43151
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
269239 NetBIOS Vulnerability May Cause Name Conflicts
Alles erweitern | Alles schließen

Zusammenfassung

WICHTIG: Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Bevor Sie die Registrierung bearbeiten, erstellen Sie eine Sicherungskopie der Dateien System.dat und User.dat. Vergewissern Sie sich, dass Sie die Registrierung wiederherstellen können, wenn ein Problem auftritt. Informationen hierzu finden Sie unter dem Hilfethema "Wiederherstellen der Registrierung" in "Regedit.exe" oder unter "Wiederherstellen eines Registrierungsschlüssels" in "Regedt32.exe". Wenn Sie mit Windows NT oder Windows 2000 arbeiten, sollten Sie zudem Ihre Notfalldiskette (ERD) aktualisieren.

Problembeschreibung

Microsoft hat einen Patch freigegeben, der die Möglichkeiten eines Administrators verbessert, Schutzmaßnahmen gegen Attacken auf Windows 2000-Computer zu treffen, mit denen diese lahmgelegt werden sollen.

Protokolle des Typs "NetBIOS über TCP/IP" (NBT-Protokolle) arbeiten konstruktionsbedingt ohne Authentifizierung und sind daher anfällig für Datenmanipulationen. Ein böswilliger Benutzer könnte die fehlende Authentifizierung des Protokolls dazu missbrauchen, ein Datagramm, das einen Namenskonflikt verursacht, an einen Zielcomputer zu senden und diesen somit zu veranlassen, seinen Namen aufzugeben und auf Anfragen nicht mehr zu reagieren.

Beim Empfang eines solchen nicht angeforderten Namenskonfliktdatagramms reagiert der Computer nicht mehr auf den NetBIOS-Namen, für den ein Konflikt vorliegt, und zeigt möglicherweise eine Fehlermeldung an, die besagt, dass ein gleicher Name im Netzwerk bereits vorhanden ist. Außerdem können auf dem attackierten Computer eines oder mehrere der folgenden Symptome auftreten:

Zeitweilig auftretende Verbindungsprobleme:
Der Computer hat eventuell zeitweise Schwierigkeiten, mit einem anderen Computer zu kommunizieren.

NetBIOS-Namensdienstkonflikte:
  • Hilfsprogramme, wie zum Beispiel "Netzwerkumgebung", funktionieren nicht mehr.
  • Befehle des Typs NET SEND sind wirkungslos.
  • Domänenanmeldungen werden durch den betroffenen Server nicht authentifiziert.
  • Sie sind möglicherweise nicht in der Lage, auf freigegebene Ressourcen und fundamentale NetBIOS-Dienste, wie zum Beispiel die NetBIOS-Namensauflösung, zuzugreifen.
Außerdem kann bei Verwendung des Befehls "nbtstat -n" neben dem NetBIOS-Namensdienst der Status "Konflikt" angezeigt werden.

Durch den hier beschriebenen Patch wird das Verhalten von Windows so geändert, dass es Namenskonfliktdatagramme nur als direkte Antwort auf Namensregistrierungsversuche akzeptiert.

Ursache

Zeitweilig auftretende Verbindungsprobleme:
Ein Computer empfängt ein nicht angefordertes NetBT-Datagrammdienstdatagramm und speichert dieses dann in seinem NetBIOS-Namenszwischenspeicher mit der TCP/IP-Adresse, die in dem nicht angeforderten Datagramm angegeben ist.
Datagrammdienstdatagramme werden eingesetzt, um Daten zwischen verschiedenen Computern zu transportieren. Solche Datagramme werden von NetBT ausschließlich über den UDP-Anschluss 138 gesendet und empfangen.

NetBIOS-Namensdienstkonflikte:
Ein Computer empfängt ein Namensdienstdatagramm mit einer nicht angeforderten negativen Antwort auf den Versuch einer Namensregistrierung für einen Namen, der lokal registriert ist.
In der folgenden Liste werden einige NetBIOS-Namensdienste beschrieben, die von diesem Problem betroffen sein können:
  • Namenskonflikte in Bezug auf den Computerbrowserdienst können zur Folge haben, das Hilfsprogramme, wie zum Beispiel "Netzwerkumgebung", nicht mehr einsetzbar sind.
  • Namenskonflikte beim Nachrichtendienst können dazu führen, dass Befehle des Typs NET SEND wirkungslos bleiben.
  • Namenskonflikte beim NetLogon-Dienst können zur Folge haben, dass Domänendienste nicht mehr ausgeführt werden.
  • Namenskonflikte bei Serverdienst und Arbeitsstationsdienst können dazu führen, dass Sie nicht mehr auf freigegebene Ressourcen zugreifen können.
Namensdienstdatagramme dienen primär der Registrierung und Auflösung von Namen im Netzwerk und werden von NetBT und WINS nur über den TCP/UDP-Anschluss 137 gesendet oder empfangen.

Lösung

Wenden Sie bitte eine der folgenden Methoden an, um diese Probleme zu beheben:
Bei zeitweilig auftretenden Verbindungsproblemen:
Wenden Sie das an späterer Stelle in diesem Artikel genannte Hotfix für das Betriebssystem an, das von diesem Problem betroffen ist. Außerdem sollten Sie wichtige NetBIOS-Namen in die Datei "Lmhosts" laden, was NetBIOS dazu veranlasst, Pakete zu verwerfen, die versuchen, den Cache-Eintrag geladener Lmhosts-Namen zu überschreiben. Die Adressenzuordnung wird so bewahrt.

NetBIOS-Namensdienstkonflikte:
Wenden Sie das Hotfix für das Betriebssystem an, das von diesem Problem betroffen ist. Dieses Hotfix bewirkt, dass nicht angeforderte Antworten zu Namensregistrierungsversuchen, die nicht von einem WINS-Server stammen, bei dem der jeweilige Computer registriert ist, ignoriert werden.

HINWEIS: Durch dieses Hotfix wird das Problem nur dann behoben, wenn der betroffene Computer auf die Verwendung von WINS konfiguriert ist.

WICHTIG: Microsoft empfiehlt, das Hotfix nur auf Computern anzuwenden, bei denen dies wirklich erforderlich ist. Das heißt es sollte nur bei Computern angewendet werden, die im Netzwerk eine zentrale Rolle spielen und von denen der Administrator annimmt, dass sie das Ziel einer Attacke werden könnten, wie sie in diesem Artikel beschrieben ist. Microsoft rät davon ab, das Hotfix allgemein anzuwenden, ohne es in der spezifischen Umgebung getestet zu haben.

Führen Sie bitte die folgenden Schritte aus:
  1. Sehen Sie mit dem Registrierungseditor (Regedt32.exe) den folgenden Registrierungsschlüssel ein:
       HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
  2. Modifizieren Sie den folgenden Registrierungswert oder fügen Sie ihn hinzu, falls er noch nicht existiert:
       Wertname: NoNameReleaseOnDemand
       Werttyp: REG_DWORD?Boolean
       Wertdaten: 0, 1 (Falsch, Wahr)
       Standard: 0 (Falsch)
       Empfehlung: 1
       Beschreibung: Dieser Parameter legt fest, ob der Computer seinen NetBIOS-Namen
       freigibt, wenn er eine Namensfreigabeaufforderung aus dem Netzwerk
       erhält. Dieser Parameter wurde hinzugefügt, um dem Administrator die
       Möglichkeit zu eröffnen, den Computer vor böswilligen Attacken mit
       Namensfreigabeaufforderungen zu schützen.
Windows NT 4.0 und Windows 2000:
Ein Update zur Behebung dieses Problems ist inzwischen von Microsoft erhältlich. Dieses Update ist jedoch noch nicht auf allen Betriebssystemen überprüft worden und sollte daher nur bei Systemen angewendet werden, bei denen dieses spezielle Problem auftritt. Wenn Ihr System durch dieses Problem nicht schwer wiegend beeinträchtigt ist, empfiehlt Microsoft, auf das nächste Service Pack zu warten, das dieses Update enthält.

Um dieses Problem sofort zu beheben, wenden Sie sich an den Microsoft Software Service, um das Update anzufordern. Eine vollständige Liste mit Telefonnummern des Microsoft Software Service finden Sie unter der folgenden Adresse im World Wide Web:
   http://support.microsoft.com/default.aspx?scid=fh;DE;PHONENUMBERS
Weitere Informationen zum gleichzeitigen Installieren von Windows 2000 und Windows 2000-Hotfixes finden Sie im folgenden Artikel der deutschen Microsoft Knowledge Base:
   ARTIKEL-ID: D42122
   TITEL     : Installation von Microsoft Windows 2000 und Windows 2000-Hotfixes
Windows 95/Windows 98:
Seit dem 26.07.2000 ist für diese Betriebssysteme kein derartiger Hotfix mehr verfügbar, weil es sich bei den Computern, die von diesem Problem betroffen sind, hauptsächlich um Server handelt und Computer auf Windows 95- oder Windows 98-Basis nur sehr selten als Server eingesetzt werden.

Um die hier beschriebenen Probleme zu umgehen, konfigurieren Sie einen Firewall, mit dem Sie die Anschlüsse 137-139 blockieren. Dadurch wird verhindert, dass externe Benutzer die in diesem Artikel beschriebene NetBIOS-Anfälligkeit böswillig ausnutzen können.

Sie können das Problem mit NetBIOS-Namensdienstkonflikten auch umgehen, indem Sie eine Operation durchführen, die den TCP/IP-Stack dazu veranlasst, TCP/IP-Adressenbenachrichtigungen zu entfernen und dann erneut zu versenden.
Dies können Sie durch Anwendung eines der folgenden Verfahren erreichen:
  • Handelt es sich bei dem betroffenen Computer um einen Dynamic Host Configuration Protocol-Client (DHCP-Client), geben Sie die TCP/IP-Adresse frei und erneuern Sie sie dann.
  • Erzwingen Sie eine Medientrennung auf dem betroffenen Netzwerkadapter und stellen Sie dann die Verbindung wieder her.
  • Starten Sie den Computer neu.

Status

Es handelt sich hierbei um ein beabsichtigtes Verhalten.

Weitere Informationen

Protokolle des Typs "NetBIOS über TCP/IP" arbeiten von Haus aus ohne Authentifizierung und sind daher für Datenmanipulationen anfällig. Diese Anfälligkeit ist keine Folge eines Produktfehlers in einem der betroffenen Betriebssysteme, sondern einfach eine Folge der Beschaffenheit des Protokolls, das als Industriestandard verwendet wird. Ein böswilliger Benutzer könnte die Tatsache, dass das Protokoll ohne Authentifizierung arbeitet, dazu nutzen, ein Namensdienstdatagramm an einen Zielcomputer zu senden und diesen somit zu veranlassen, seinen Namen aufzugeben und auf Anfragen nicht mehr zu reagieren.

NetBIOS-Namenskonflikte gemäß RFC 1001 (Abschnitt 15.1.3.5) treten auf, wenn ein eindeutiger NetBIOS-Name durch mehr als einen Knoten registriert wird. Bei typischen Konfigurationen werden Namenskonflikte im Rahmen des NetBIOS-Namenserkennungsprozesses entdeckt; für einen NetBIOS-Namen sollte nur dann ein Konflikt festgestellt werden, wenn ein Endknoten gerade aktiv einen NetBIOS-Namen auflöst.
Die Übermittlung nicht angeforderter NetBIOS-Namensdienstdatagramme an einen Computer, auf dem eines der an früherer Stelle in diesem Artikel genannten Microsoft Windows-Betriebssysteme ausgeführt wird, führt dazu, dass für einen registrierten NetBIOS-Namen ein Konflikt eintritt. NetBIOS-Namen, für die ein Konflikt besteht, sind außer Funktion gesetzt, weil der jeweilige Computer auf Namenserkennungsanfragen nicht mehr reagieren kann und der NetBIOS-Name für das Einrichten einer Sitzung oder das Senden und Empfangen von NetBIOS-Datagrammen nicht mehr verwendet werden kann.

Bei ungeschützten Namen (Namen, die nicht in die Datei "Lmhosts" geladen wurden), ist nur die Kommunikation mit dem Namen beeinträchtigt, dessen TCP/IP-Adresse durch das nicht angeforderte Datagramm modifiziert wurde. Dieser Name wird innerhalb von 5 Sekunden aus dem NetBIOS-Zwischenspeicher gelöscht. Hat der Angreifer das Ziel, dass der Namenszwischenspeicher dauerhaft beschädigt bleibt, muss er eine Vielzahl nicht angeforderter Datagramme versenden und so das Risiko eingehen, seine Identität preiszugeben.

Kunden, die zu 100 Prozent gegen derartige Attacken (spoofing) geschützt sein müssen, sollten in Erwägung ziehen, das IP-Sicherheitsprotokoll (IPSec) in Windows 2000 einzusetzen, um authentifizierte Sitzungen über die Anschlüsse 137-139 einzurichten.

Weitere Suchbegriffe: netbios netbios-name datagram resolve tcp/ip stack spoofing

WARNUNG: Die unkorrekte Verwendung des Registrierungseditors kann schwer wiegende, das gesamte System betreffende Probleme verursachen, die eine Neuinstallierung Ihres Betriebssystems erforderlich machen. Microsoft kann nicht dafür garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Benutzen Sie den Registrierungseditor auf eigene Verantwortung. Microsoft kann keine Gewährleistungen oder Support für Probleme übernehmen, welche durch eine Manipulation der Windows oder Windows NT Registrierung verursacht wurden. Es ist Ihr eigenes Risiko, den Windows oder Windows NT Registrierungseditor Regedit.exe oder ähnliche Werkzeuge zur Manipulation der Windows oder Windows NT Registrierung zu verwenden.

Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.

Eigenschaften

Artikel-ID: 269239 - Geändert am: Dienstag, 21. Dezember 2004 - Version: 2.5
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows NT Server 4.0 Enterprise Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0 Terminal Server
  • Microsoft Windows 95
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows Millennium Edition
Keywords: 
kbhowto kbnetwork KB269239
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com