MS00 047: NetBIOS 漏洞会导致重复名称在网络冲突

文章翻译 文章翻译
文章编号: 269239 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

症状

Microsoft 发布了一个修补程序,提高了管理员的能力,防止对 Windows NT 4.0 和基于 Windows 2000 的计算机的拒绝服务攻击。

通过 TCP/IP (NBT) 协议 NetBIOS 是由设计决定未经身份验证,并因此易受"欺骗。恶意用户可能滥用未经身份验证要发送到目标计算机以使其放弃它的名称和停止对查询的响应的名称冲突的数据报协议的性质。

收到一个未经请求的名称冲突数据报,计算机停止响应中冲突的 NetBIOS 名称,它可能会显示一条错误消息,声明在网络上存在重复的名称。此外,在受影响的计算机可能会遇到一个或多个以下症状:

间歇的连接问题

计算机可能具有与另一台计算机进行通信的间歇性问题。

NetBIOS 名称服务冲突

  • 工具 (如网上邻居不起作用。
  • net send 命令对等项不起作用。
  • 域登录不需要通过在受影响的服务器身份验证。
  • 您可能无法访问共享资源和如 NetBIOS 名称解析的基本 NetBIOS 服务。
可能还,nbtstat-n 命令旁边显示"冲突"的状态将 NetBIOS 名称服务。

此修补程序更改为接受仅在名称注册尝试直接响应中的一个名称冲突的数据报的 Windows 的行为。

原因

间歇的连接问题

一台计算机接收,然后将一个未经请求的 NetBT 数据报服务数据报,其远程的 NetBIOS 名称缓存中缓存的未经请求的数据报中指定的 TCP/IP 地址。

数据报服务数据报用于传输不同的计算机之间的数据,它们是由发送和接收 NetBT 仅通过 UDP 端口 138。

NetBIOS 名称服务冲突

一台计算机接收名称服务数据报并未经请求的负名称注册响应为本地注册的名称。例如对于下面的列表描述了一些受此问题的 NetBIOS 名称服务:
  • 计算机浏览器服务名称冲突可呈现工具 (如网上邻居不可用。
  • 信使服务名称冲突可呈现 net send 命令对等项不可用。
  • NetLogon 服务名称冲突可以拒绝域服务。
  • 服务器服务和工作站服务的名称冲突可以拒绝对共享资源的访问。
名称服务数据报主要用于注册和解析到网上的名称,它们是由发送和接收 NetBT 和 WINS 只能通过 TCP/UDP 端口 137。

解决方案

若要解决这些问题,使用适当的方法:

间歇的连接问题

应用于受此问题的影响的操作系统本文内下文中列出此相应的修复程序。此外,预加载敏感的 NetBIOS 名称将导致放弃尝试覆盖预加载的 Lmhosts 名称的缓存项的数据包的 NetBIOS,Lmhosts 文件中保留其地址的映射。

NetBIOS 名称服务冲突

应用于受此问题导致的不会发生从 Windows Internet 名称服务 (WINS) 服务器的计算机进行注册以便将其忽略未经请求的名称注册响应的影响的操作系统适当的修补程序。

: 对于此问题,该修补程序仅在有效受影响的计算机被配置为使用 WINS。

重要提示: Microsoft 建议仅给专门需要它,也就是播放了重要的角色,在 $ 网络中和 $ 管理员法官可能是此类攻击的目标的计算机的计算机应用此修补程序。Microsoft 不建议您应用此修补程序全局无需在特定环境中测试它。

重要此分区、 方法,或任务包含告诉您如何修改注册表的步骤。但是,如果注册表修改不当可能会出现严重问题。因此,请确保您仔细按照这些步骤。附加的保护注册表之前先备份您对其进行修改。然后,您可以在出现问题时还原注册表。有关如何备份和还原注册表的详细信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
322756如何备份和还原在 Windows 注册表
请按照下列步骤操作:
  1. 使用注册表编辑器 (Regedt32.exe) 来查看以下注册表项:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
  2. 修改下面的注册表值或添加值,如果不存在,则请执行以下操作:
    值名称: NoNameReleaseOnDemand
    值类型: REG_DWORD 布尔值
    值数据: 0,1 (假,真)
    默认值: 0 (false)
    建议: 1
    说明: 此参数确定当它从网络接收到的名称释放请求时,计算机是否发布其 NetBIOS 名称。它已添加到允许管理员保护计算机免受恶意的名称释放攻击。

Windows 2000

若要解决此问题,获得最新的 service pack,对于 Windows 2000。有关更多的信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
260910如何获取最新的 Windows 2000 服务软件包
可从 Microsoft 下载中心下载以下文件:
收起这个图片展开这个图片
Download
English Language Version

收起这个图片展开这个图片
Download
Arabic Language Version

收起这个图片展开这个图片
Download
Chinese (Simplified) Language Version

收起这个图片展开这个图片
Download
Chinese (Traditional) Language Version

收起这个图片展开这个图片
Download
Czech Language Version

收起这个图片展开这个图片
Download
Danish Language Version

收起这个图片展开这个图片
Download
Dutch Language Version

收起这个图片展开这个图片
Download
Finnish Language Version

收起这个图片展开这个图片
Download
French Language Version

收起这个图片展开这个图片
Download
German Language Version

收起这个图片展开这个图片
Download
Greek Language Version

收起这个图片展开这个图片
Download
Hebrew Language Version

收起这个图片展开这个图片
Download
Hungarian Language Version

收起这个图片展开这个图片
Download
Italian Language Version

收起这个图片展开这个图片
Download
Japanese Language Version

收起这个图片展开这个图片
Download
Japanese NEC Language Version

收起这个图片展开这个图片
Download
Korean Language Version

收起这个图片展开这个图片
Download
Norwegian Language Version

收起这个图片展开这个图片
Download
Polish Language Version

收起这个图片展开这个图片
Download
Portuguese (Brazilian) Language Version

收起这个图片展开这个图片
Download
Portuguese Language Version

收起这个图片展开这个图片
Download
Russian Language Version

收起这个图片展开这个图片
Download
Spanish Language Version

收起这个图片展开这个图片
Download
Swedish Language Version

收起这个图片展开这个图片
Download
Turkish Language Version

有关如何下载 Microsoft 支持文件的其他信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591如何从联机服务获得 Microsoft 支持文件
Microsoft 扫描此文件的病毒。Microsoft 使用该文件已过帐的日期上获得的最新病毒检测软件。该文件存储在安全性得到增强的服务器,这有助于防止未经授权的情况下对其进行更改文件上。 此修复程序的英文版应具有以下文件属性或更高版本:
   Date        Time       Version        Size     File name
   --------------------------------------------------------
   07/20/2000  4:09:13pm  5.0.2195.2103  142,832  Netbt.sys
				

有关如何一次安装 Windows 2000 和 Windows 2000 修补程序的其他信息请单击下面文章编号,以查看 Microsoft 知识库中相应的文章:
249149安装 Microsoft Windows 2000 和 Windows 2000 程序修补程序

Windows 4.0 NT

若要解决此问题,获取下面提到的单个程序包或获取 Windows NT 4.0 安全汇总包。 SRP 上的其他信息,请单击下面文章编号,以查看 Microsoft 知识库中相应的文章:
299444post-Windows NT 4.0 服务包 6a 安全汇总包 (SRP)
以下文件是可从 Microsoft 下载中心下载:
收起这个图片展开这个图片
Download
Download Q269239i.exe now
有关如何下载 Microsoft 支持文件的其他信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591如何从联机服务获得 Microsoft 支持文件
Microsoft 扫描此文件的病毒。Microsoft 使用该文件已过帐的日期上获得的最新病毒检测软件。该文件存储在安全的服务器上,以防止未经授权的情况下对其进行更改,对该文件。

此修复程序的英文版应具有以下文件属性或更高版本:
   Date        Time    Size     File name  Platform
   -----------------------------------------------------
   08/29/2000  4:39pm  123,600  Netbt.sys  x86
				

Windows NT Server 4.0,终端服务器版

若要解决此问题,或者获取在此节或 Windows NT Server 4.0,终端服务器版,安全汇总包 (SRP) 中引用该修补程序。 SRP 有关的其他信息,请单击下面文章编号,以查看 Microsoft 知识库中相应的文章:
317636Windows NT Server 4.0,终端服务器版安全汇总包
现在可以从 Microsoft,获得一个受支持的修复程序,但它只用于解决本文所述的问题。它仅应用于出现这一特定问题的计算机。

若要解决此问题,请与 Microsoft 产品支持服务以获取此修复程序。有关 Microsoft 产品支持服务电话号码和关于支持费用的信息的完整列表,请访问下面的 Microsoft 网站:
http://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS
: 在特殊的情况通常会导致支持电话的费用可能会被取消如果 Microsoft 支持专业人员确定某个特定更新才能解决您的问题。将正常收取支持费用将应用于其他支持问题和不需要进行专门更新的问题。

以下文件是可从 Microsoft 下载中心下载:
收起这个图片展开这个图片
Download
Download Q269239i.exe now
有关如何下载 Microsoft 支持文件的其他信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591如何从联机服务获得 Microsoft 支持文件
Microsoft 扫描此文件的病毒。Microsoft 使用该文件已过帐的日期上获得的最新病毒检测软件。该文件存储在安全的服务器上,以防止未经授权的情况下对其进行更改,对该文件。

此修复程序的英文版应具有以下文件属性或更高版本:
   Date        Time    Size     File name  Platform
   -----------------------------------------------------
   08/29/2000  06:23p  123,536  Netbt.sys  x86
				

Windows Millennium 版

作为的 2000 年 8 月 14 没有任何修补程序可用于此操作系统。

若要解决这些问题,一个防火墙配置为阻止端口 137-139 防止利用此 NetBIOS 外部用户的漏洞。

您也可以通过执行的操作将导致删除,然后重新发送 TCP/IP 地址通知 TCP/IP 堆栈处理周围 NetBIOS 名称服务冲突问题。您可以触发这通过使用下列方法之一:
  • 如果受影响的计算机是一个动态主机配置协议 (DHCP) 客户释放,然后更新 TCP/IP 地址。
  • 强制一个媒体受影响的网卡上断开连接,然后重新连接。
  • 重新启动计算机。

windows 95、 Windows 95 OSR 2、 Windows 98 和 Windows 98 第二版

此修复程序的英文版应具有以下文件属性或更高版本:
  Date       Time    Version    Size    File Name Platform
  -------------------------------------------------------------------------
  07/31/2000 11:11a  4.10.1659  87,769  Vnbt.386  Windows 95, all versions
  07/10/2000 11:23a  4.10.1721  87,749  Vnbt.386  Windows 98
  07/10/2000 11:36a  4.10.2149  90,893  Vnbt.386  Windows 98 Second Edition
				

状态

Windows 2000 Service Pack 2 中,第一次已得到纠正此问题。

更多信息

有关详细的信息,请参阅以下 Microsoft 安全公告:
http://www.microsoft.com/technet/security/bulletin/MS00-047.mspx
通过 TCP/IP 协议 NetBIOS 设计,未经过身份验证,因此它们是易受"欺骗。从任何受影响的操作系统中的产品缺陷不会生成此漏洞,它只是一个正在使用的行业标准协议的性质的结果。恶意用户可能滥用未经身份验证要发送到目标的计算机的名称服务的数据报协议的性质使其放弃它的名称和停止对查询的响应。

由一个以上的节点注册一个唯一的 NetBIOS 名称时,发生在 RFC 1001 (部分 15.1.3.5) 中指定的 NetBIOS 名称冲突。典型的情况下在 NetBIOS 名称发现过程中检测到名称冲突 ; 仅 NetBIOS 名称应标记在冲突中,一个结束节点主动解决 NetBIOS 名称时。

向运行任何列出的 Microsoft Windows 操作系统本文内上文中的计算机提供的一个未经请求的 NetBIOS 名称服务数据报将已注册的 NetBIOS 名称置于发生冲突的状态。下有效地关闭冲突的 NetBIOS 名称,因为它们是无法响应名称查询请求,用于进行会话建立或要用于发送和接收 NetBIOS 数据报。

对于未受保护的名称 (不预先加载 Lmhosts 文件中的名称) 仅使用其 TCP/IP 地址被未经请求的数据报修改的名称的通讯会受到影响 ; 此名称从 NetBIOS 缓存刷新在 5 秒内。若要将已损坏的远程名称缓存怀疑有问题的攻击者需要发送未经请求的数据报的流冒公开他或她的标识。

客户需要 100%的防范欺骗攻击可能要考虑使用 Windows 2000 中的 IP 安全协议 (IPSec) 端口 137 139 通过建立经过身份验证的会话。

某些情况下,此修复程序可能会导致由 NetBT 可能看起来令人困惑,用户在系统事件日志中记录的几个 4320 错误。如果 b node 或未正确配置 h 节点的计算机位于同一子网,其原因是被广播到子网从其它计算机关闭,过程中的通用组的名称释放请求。

有关 Windows 95 的修复程序的其他信息,请单击下面文章编号,以查看 Microsoft 知识库中相应的文章:
161020实施 Windows 95 更新
有关 Windows 98 和 Windows 98 第二版修补程序的其他信息,请单击下面文章编号,以查看 Microsoft 知识库中相应的文章:
206071有关 Windows 98 和 SE 修补程序的常规信息

属性

文章编号: 269239 - 最后修改: 2007年2月20日 - 修订: 8.3
这篇文章中的信息适用于:
  • Microsoft Windows NT Server 4.0 Terminal Server(终端服务器)
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows NT Server 4.0 企业版
  • Microsoft Windows NT Workstation 4.0 开发员版
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows Millennium Edition
  • Microsoft Windows 98 第二版
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 95
关键字:?
kbmt kbhotfixserver kbqfe kbbug kbfix kbgraphxlinkcritical kbnetwork kbsecbulletin kbsecurity kbsecvulnerability kbwin2000presp2fix KB269239 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 269239
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com