Un problema di protezione a livello di NetBIOS pu˛ causare conflitti di nomi duplicati sulla rete

Traduzione articoli Traduzione articoli
Identificativo articolo: 269239 - Visualizza i prodotti a cui si riferisce l?articolo.
Questo articolo Ŕ stato precedentemente pubblicato con il codice di riferimento I269239
Espandi tutto | Chiudi tutto

In questa pagina

Sintomi

IMPORTANTE: in questo articolo sono contenute informazioni su come modificare il Registro di configurazione. Prima di modificare il Registro di configurazione, assicurarsi tuttavia di sapere come ripristinarlo in caso di problemi. Per informazioni su come eseguire questa operazione, vedere l'argomento della Guida relativo al ripristino del Registro di configurazione in Regedit.exe oppure l'argomento relativo al ripristino di una chiave del Registro di configurazione in Regedt32.exe.
Microsoft ha rilasciato una patch che consente all'amministratore di proteggere pi¨ facilmente i computer che eseguono Windows NT 4.0 e Windows 2000 da attacchi di tipo rifiuto di servizio o "denial of service".

Per impostazione predefinita, i protocolli NetBIOS su TCP/IP (NBT) non sono autenticati, pertanto sono soggetti a simulazione, o spoofing. Un utente malintenzionato potrebbe infatti approfittare della mancata autenticazione del protocollo per inviare un datagramma di nome in conflitto a un computer di destinazione, affinchÚ questo abbandoni il proprio nome e non risponda pi¨ alle richieste.

Quando riceve un datagramma di nome in conflitto non richiesto, il computer non risponde pi¨ al nome NetBIOS che risulta in conflitto ed Ŕ possibile che venga visualizzato un messaggio di errore per informare che sulla rete esiste un nome duplicato. ╚ inoltre possibile che il computer in questione presenti uno o pi¨ problemi seguenti:

Problemi di connessione intermittente

╚ possibile che il computer presenti problemi intermittenti di comunicazione con altri computer.

Conflitti del servizio dei nomi NetBIOS

  • Alcuni strumenti, come Risorse di rete, non funzionano.
  • I comandi equivalenti di net send non funzionano.
  • Gli accessi al dominio non vengono autenticati dal server interessato.
  • Potrebbe risultare impossibile ottenere l'accesso alle risorse condivise e ai servizi fondamentali del NetBIOS, come ad esempio la risoluzione dei nomi NetBIOS.
Inoltre, Ŕ possibile che il comando nbtstat -n visualizzi uno stato di "Conflitto" accanto al servizio dei nomi NetBIOS.

Con questa patch si modifica il comportamento di Windows, in modo che un datagramma di nome in conflitto venga accettato solo in risposta diretta a un tentativo di registrazione di un nome.

Cause

Problemi di connessione intermittente

Un computer riceve e memorizza un datagramma non richiesto del servizio datagrammi NetBTA nella cache dei nomi NetBIOS remota con l'indirizzo TCP/IP specificato nel datagramma non richiesto.

I datagrammi del servizio datagrammi vengono utilizzati per il trasferimento dei dati tra diversi computer e vengono inviati e ricevuti da NetBT solo attraverso la porta UDP 138.

Conflitti del servizio dei nomi NetBIOS

Un computer riceve un datagramma del servizio nomi con una risposta negativa non richiesta di registrazione per un nome registrato localmente. Nell'elenco seguente sono ad esempio riportati alcuni servizi dei nomi NetBIOS che possono essere soggetti a questo problema:
  • I conflitti dei nomi del servizio Browser di computer possono rendere inutilizzabili strumenti quale Risorse di rete.
  • I conflitti dei nomi del servizio Messenger possono rendere inutilizzabili i comandi equivalenti di net send.
  • I conflitti dei nomi del servizio NetLogon possono causare il rifiuto dei servizi del dominio.
  • I conflitti dei nomi del servizio server e del servizio workstation possono causare il rifiuto dell'accesso alle risorse condivise.
I datagrammi del servizio dei nomi vengono utilizzati principalmente per registrare e risolvere i nomi sulla rete e vengono inviati e ricevuti da NetBT e WINS solo attraverso la porta TCP/UDP 137.

Risoluzione

ATTENZIONE: l'errato utilizzo dell'Editor del Registro di configurazione pu˛ causare seri problemi che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non garantisce che i problemi derivanti dall'errato utilizzo dell'Editor del Registro di configurazione possano essere risolti. L'utilizzo dell'Editor del Registro Ŕ a rischio e pericolo dell'utente.

Per informazioni su come modificare il Registro di configurazione, vedere l'argomento della Guida "Modifica di chiavi e valori" nell'Editor del registro di configurazione (Regedit.exe) oppure gli argomenti relativi all'aggiunta e all'eliminazione di informazioni nel Registro di configurazione e alla modifica dei dati del Registro di configurazione in Regedt32.exe. Si raccomanda di eseguire una copia di backup del Registro di configurazione prima di modificarlo. Se si utilizzano Windows NT o Windows 2000 occorre inoltre aggiornare il disco di ripristino.

Per risolvere questi problemi, utilizzare il metodo pi¨ appropriato:

Problemi di connessione intermittente

Applicare la correzione rapida appropriata per il sistema operativo interessato da questo problema riportato nell'elenco pi¨ avanti in questo articolo. Precaricare inoltre i nomi NetBIOS critici nel file Lmhosts, in modo che i pacchetti che tentano di sovrascrivere la voce di cache dei nomi precaricati del file Lmhosts vengano scartati, conservando il relativo mapping degli indirizzi.

Conflitti del servizio dei nomi NetBIOS

Applicare la correzione rapida appropriata per il sistema operativo interessato da questo problema, in modo che vengano ignorate le risposte di registrazione dei nomi non richieste che non hanno origine da un server Windows Internet Name Service (WINS) con cui Ŕ registrato il computer.

NOTA: per questo problema la correzione rapida funziona solo se il computer interessato Ŕ configurato per l'utilizzo di WINS.

IMPORTANTE: si consiglia di applicare la correzione rapida solo ai computer per i quali esista una reale necessitÓ, ossia i computer che svolgono un ruolo centrale sulla rete e che, secondo l'amministratore, potrebbero essere soggetti a questo tipo di attacco. Evitare pertanto di applicare questa correzione globalmente senza effettuare i test necessari per un ambiente specifico.

Attenersi alla seguente procedura:
  1. Utilizzare l'Editor del registro di configurazione (Regedt32.exe) per visualizzare la seguente chiave del registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
  2. Modificare il seguente valore del registro oppure aggiungere il valore qualora non fosse presente:
    Nome valore: NoNameReleaseOnDemand
    Tipo valore: REG_DWORD-Boolean
    Dati valore: 0, 1 (False, True)
    Valore predefinito: 0 (False)
    Suggerimento: 1
    Descrizione: questo parametro determina o meno il rilascio del nome NetBIOS quando riceve una richiesta di rilascio del nome dalla rete. ╚ stato aggiunto per consentire all'amministratore di proteggere il computer da attacchi di rilascio del nome.

Windows 2000

Microsoft ha messo attualmente a disposizione una correzione che risolve questo problema. PoichÚ tale correzione non Ŕ ancora stata completamente testata, deve essere utilizzata solo per i sistemi in cui si verifica questo problema specifico. Se il problema in questione non costituisce una seria minaccia per il proprio sistema, si consiglia di attendere il rilascio del prossimo Service Pack per Windows 2000 che contiene questa correzione.

Per risolvere subito il problema, scaricare la correzione come indicato di seguito oppure contattare il Servizio Supporto Tecnico Microsoft. Per un elenco completo dei servizi di supporto Microsoft e sui costi di assistenza, visitare il seguente sito Web:
http://support.microsoft.com/contactus/?ws=support (informazioni in lingua inglese)
Il seguente file Ŕ disponibile per il download dall'Area download Microsoft. Fare clic sul nome del file sotto riportato per scaricarlo:
Q269239_W2K_SP2_x86_en.exe
Per informazioni su come scaricare file dall'Area download Microsoft, vedere l'Area download Microsoft al seguente indirizzo:
http://www.microsoft.com/downloads/Search.aspx?LangID=12LangDIR=IT
e fare clic su Informazioni sull'utilizzo dell'Area download Microsoft. La versione in lingua inglese di questa correzione deve avere i seguenti attributi di file o successivi:
   Data       Ora      Versione    Dimensione    Nome file
   --------------------------------------------------------
   20/07/2000  16.09.13  5.0.2195.2103  142.832  Netbt.sys
 

Per ulteriori informazioni su come installare contemporaneamente Windows 2000 e le relative correzioni, fare clic sul numero dell'articolo della Knowledge Base riportato di seguito (informazioni in lingua inglese):
249149Installazione contemporanea di Microsoft Windows 2000 e delle correzioni rapide di Windows 2000

Windows NT 4.0

Microsoft ha messo attualmente a disposizione una correzione che risolve questo problema. PoichÚ tale correzione non Ŕ ancora stata completamente testata, deve essere utilizzata solo per i sistemi in cui si verifica questo problema specifico. Se il problema in questione non costituisce una seria minaccia per il proprio sistema, si consiglia di attendere il rilascio del prossimo Service Pack per Windows NT 4.0 che contiene questa correzione.

Per risolvere subito il problema, scaricare la correzione come indicato di seguito oppure contattare il Servizio Supporto Tecnico Microsoft. Per un elenco completo dei servizi di supporto Microsoft e sui costi di assistenza, visitare il seguente sito Web:
http://support.microsoft.com/contactus/?ws=support (informazioni in lingua inglese)
Il seguente file Ŕ disponibile per il download dall'Area download Microsoft. Fare clic sul nome del file sotto riportato per scaricarlo:
Q269239i.exe
Per informazioni su come scaricare file dall'Area download Microsoft, vedere l'Area download Microsoft al seguente indirizzo:
http://www.microsoft.com/downloads/Search.aspx?LangID=12LangDIR=IT
e fare clic su Informazioni sull'utilizzo dell'Area download Microsoft. La versione in lingua inglese di questa correzione deve avere i seguenti attributi di file o successivi:
   Data       Ora     Dimensione      Nome file     Piattaforma
   ---------------------------------------------------------
   29/08/2000  16.39  123.600         Netbt.sys     x86
 

Windows 95/Windows 98

Alla data del 26/07/00 non era disponibile una correzione rapida per questi sistemi operativi, poichÚ sono pi¨ facilmente i server a essere soggetti a questo tipo di problemi e i computer che eseguono Windows 95 e Windows 98 vengono difficilmente configurati con questo ruolo.

Per risolvere questi problemi, configurare un firewall che blocchi le porte 137-139, in modo tale che gli utenti esterni non possano sfruttare questo problema di protezione del NetBIOS.

Il problema causato dai conflitti del servizio nomi NetBIOS pu˛ anche essere risolto eseguendo un'operazione che consenta allo stack TCP/IP di rimuovere quindi inviare di nuovo le notifiche degli indirizzi TCP/IP. Questa impostazione pu˛ essere attivata utilizzando uno dei seguenti metodi:
  • Se il computer interessato Ŕ un client Dynamic Host Configuration Protocol (DHCP), rilasciare quindi rinnovare l'indirizzo TCP/IP.
  • Imporre la disconnessione del supporto sulla scheda di rete in questione, quindi ristabilire la connessione.
  • Riavviare il computer.

Status

Si tratta di un comportamento legato alla progettazione del prodotto.

Informazioni

Per impostazione predefinita, i protocolli NetBIOS su TCP/IP non sono autenticati, pertanto sono soggetti a simulazione, o spoofing. Questo problema di protezione non Ŕ causato da un difetto di uno qualsiasi dei sistemi operativi menzionati, ma Ŕ semplicemente una conseguenza della natura del protocollo standard utilizzato. Un utente malintenzionato potrebbe infatti approfittare della mancata autenticazione del protocollo per inviare un datagramma del servizio nomi a un computer di destinazione, affinchÚ questo abbandoni il proprio nome e non risponda pi¨ alle richieste.

I conflitti dei nomi NetBIOS specificati nella RFC 1001 (sezione 15.1.3.5) si verificano quando un nome NetBIOS univoco viene registrato da pi¨ nodi. In normali circostanze i conflitti dei nomi vengono rilevati durante il processo di ricerca del nome NetBIOS. Il conflitto di un nome NetBIOS dovrebbe essere segnalato solo quando esso Ŕ in fase di risoluzione da parte di un nodo finale.

L'invio di un datagramma del servizio nomi NetBIOS non richiesto a un computer che esegue uno dei sistemi operativi Microsoft Windows elencati in questo articolo fa sý che un nome NetBIOS registrato venga contrassegnato da uno stato di conflitto. I nomi NetBIOS in conflitto vengono in effetti disattivati, in quanto non sono in grado di rispondere alle richieste di ricerca dei nomi da utilizzare per stabilire una sessione o per inviare e ricevere datagrammi NetBIOS.

Per i nomi non protetti, ossia i nomi che non sono stati precaricati nel file Lmhosts, il problema ha effetto solo sulle comunicazioni con nomi il cui indirizzo TCP/IP viene modificato da datagrammi non richiesti. Il nome in questione viene scaricato dalla cache NetBIOS entro 5 secondi. Per continuare a danneggiare la cache dei nomi remota, l'utente malintenzionato dovrebbe comunque inviare un flusso di datagrammi non richiesti, rischiando in tal modo di rivelare la propria identitÓ. Ai clienti che hanno la necessitÓ di mantenere attiva al 100% la protezione contro gli attacchi di tipo "spoofing" si consiglia di considerare l'utilizzo del protocollo IP Security Protocol (IPSec) di Windows 2000 per stabilire sessioni autenticate attraverso le porte 137-139.

ProprietÓ

Identificativo articolo: 269239 - Ultima modifica: mercoledý 18 luglio 2007 - Revisione: 5.1
Le informazioni in questo articolo si applicano a
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows NT Server 4.0 Enterprise Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows 95
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 2000 Datacenter Server
Chiavi:á
kbtshoot kbnetwork win2000sp2fix win2000postsp1fix KB269239
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com