MS00-047: NetBIOS 弱點可能會造成重複的名稱在網路衝突

文章翻譯 文章翻譯
文章編號: 269239 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

徵狀

Microsoft 已發行的補充程式,可以改善防範拒絕服務攻擊 Windows NT 4.0 和 Windows 2000 電腦系統管理員的能力。

透過 TCP/IP NBT 通訊協定 NetBIOS 都,透過設計未經驗證,因此容易受 「 詐騙]。惡意使用者可能濫用未經驗證要傳送到目標電腦,使它放棄其名稱後,停止回應查詢的名稱衝突的資料包通訊協定的本質。

在收到來路不明的名稱衝突資料包,電腦停止回應至發生衝突,NetBIOS 名稱,因此它可能會顯示錯誤訊息,指出在網路上存在重複的名稱。而且,受影響的電腦可能會遇到一或多個下列徵狀:

發生連線斷斷續續的問題

電腦可能有間歇性問題與另一台電腦進行通訊。

NetBIOS 名稱服務衝突

  • 網路上的芳鄰] 等工具無法運作。
  • net send 命令對等用法無法運作。
  • 網域登入不會受影響的伺服器授權。
  • 您可能無法取得共用資源,並等 NetBIOS 名稱解析的基本 NetBIOS 服務的存取。
而且,nbtstat-n 命令可能旁邊顯示的 「 衝突 」 狀態之 NetBIOS 名稱服務。

這個補充程式會變更 Windows 接受只能在名稱登錄嘗試直接回應中的名稱衝突資料包的行為。

發生的原因

發生連線斷斷續續的問題

電腦會接收並接著會在遠端的 NetBIOS 名稱快取中來路不明的 NetBT 資料包服務資料包快取與來路不明的資料包中所指定的 TCP/IP 位址。

資料包服務資料包用來傳輸不同電腦之間的資料和傳送及由 NetBT 僅透過 UDP 連接埠 138 接收。

NetBIOS 名稱服務衝突

一個電腦收到名稱服務資料包具有名稱,在本機登錄的來路不明的負名稱登錄回應。比方說下列清單說明某些受此問題的 NetBIOS 名稱服務:
  • 電腦瀏覽器服務名稱衝突可呈現工具,例如網路上的芳鄰] 無法使用。
  • 信差服務名稱衝突可以導致 網路傳送 對等的命令無法使用。
  • NetLogon 服務名稱衝突可以拒絕網域服務。
  • 伺服器服務和工作站服務名稱衝突可以拒絕存取共用資源。
名稱服務資料包會使用主要來登錄及解析在網路上的名稱,並傳送及由 NetBT 及 WINS 只透過 TCP/UDP 連接埠 137 接收。

解決方案

如果要解決這些問題,使用適當的方法:

發生連線斷斷續續的問題

套用適當受此問題的作業系統本文稍後所列的 Hotfix。在另外預載機密的 NetBIOS 名稱在 Lmhosts 檔案會導致捨棄封包嘗試覆寫快取項目,預先載入的 Lmhosts 名稱的 NetBIOS 中, 保留其位址對應。

NetBIOS 名稱服務衝突

套用適當的 Hotfix 受到這個問題會造成不執行來自 Windows 網際網路名稱服務 (WINS) 伺服器,電腦會使用註冊被忽略的來路不明的名稱登錄回應的作業系統。

注意: 這個問題的 Hotfix 只有受影響的電腦設定成使用 WINS。

重要: Microsoft 建議的此 Hotfix 只會套用到特別需要,也就是播放重要的角色,在網路和系統管理員 judges 可能是這類攻擊的目標的電腦的電腦。Microsoft 不建議您套用此 Hotfix 全域未在特定環境中測試。

重要這個區段、 方法或任務包含告訴您如何修改登錄的步驟。然而,如果您不當修改登錄,可能會發生嚴重的問題。因此,執行這些步驟時請務必小心。為加強保護,修改登錄之前,請務必將它備份起來。以後您就可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
322756如何備份和還原在 Windows 登錄
請依照下列步驟執行:
  1. 使用 「 登錄編輯程式 」 (Regedt32.exe) 來檢視下列登錄機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\Parameters
  2. 修改下列的登錄值,或新增值如果不存在:
    數值名稱: NoNameReleaseOnDemand
    實值型別: REG_DWORD 布林值
    值的資料: 0、 1 為 False (True)
    預設值: 0 (假)
    建議: 1
    描述: 此參數會決定電腦是否在從網路收到名稱釋放要求時釋放它的 NetBIOS 名稱。它已加入允許系統管理員以防止電腦遭受惡意的名稱釋放攻擊。

Windows 2000

如果要解決這個問題,取得最新的 Service Pack 為 Windows 2000。如需詳細資訊按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
260910如何取得最新的 Windows 2000 Service Pack
從 「 Microsoft 下載中心 」 下載下列檔案有:
摺疊此圖像展開此圖像
Download
English Language Version

摺疊此圖像展開此圖像
Download
Arabic Language Version

摺疊此圖像展開此圖像
Download
Chinese (Simplified) Language Version

摺疊此圖像展開此圖像
Download
Chinese (Traditional) Language Version

摺疊此圖像展開此圖像
Download
Czech Language Version

摺疊此圖像展開此圖像
Download
Danish Language Version

摺疊此圖像展開此圖像
Download
Dutch Language Version

摺疊此圖像展開此圖像
Download
Finnish Language Version

摺疊此圖像展開此圖像
Download
French Language Version

摺疊此圖像展開此圖像
Download
German Language Version

摺疊此圖像展開此圖像
Download
Greek Language Version

摺疊此圖像展開此圖像
Download
Hebrew Language Version

摺疊此圖像展開此圖像
Download
Hungarian Language Version

摺疊此圖像展開此圖像
Download
Italian Language Version

摺疊此圖像展開此圖像
Download
Japanese Language Version

摺疊此圖像展開此圖像
Download
Japanese NEC Language Version

摺疊此圖像展開此圖像
Download
Korean Language Version

摺疊此圖像展開此圖像
Download
Norwegian Language Version

摺疊此圖像展開此圖像
Download
Polish Language Version

摺疊此圖像展開此圖像
Download
Portuguese (Brazilian) Language Version

摺疊此圖像展開此圖像
Download
Portuguese Language Version

摺疊此圖像展開此圖像
Download
Russian Language Version

摺疊此圖像展開此圖像
Download
Spanish Language Version

摺疊此圖像展開此圖像
Download
Swedish Language Version

摺疊此圖像展開此圖像
Download
Turkish Language Version

如需有關如何下載 Microsoft 支援檔案的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
119591如何從線上服務取得 Microsoft 支援檔案
Microsoft 已掃描這個檔案有無病毒。Microsoft 使用已張貼檔案的日期中的 [可用的最新病毒偵測軟體。檔案儲存在安全性強化的伺服器上,以避免任何未經授權的更改至檔案。 此修正程式的英文版應該具有下列檔案屬性或更新版本:
   Date        Time       Version        Size     File name
   --------------------------------------------------------
   07/20/2000  4:09:13pm  5.0.2195.2103  142,832  Netbt.sys
				

如需有關如何一次安裝 Windows 2000 和 Windows 2000 的 Hotfix 的詳細資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
249149安裝 Microsoft Windows 2000 和 Windows 2000 的 Hotfix

Windows NT 4.0

解決這個問題、 取得參考以下的個別封裝或取得 Windows NT 4.0 安全性彙總套件。 如需 [SRP 上的詳細資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
299444post-Windows NT 4.0 服務封裝 6a 安全彙總套件 (SRP)
下列檔案是可以從 Microsoft 下載中心 」 下載:
摺疊此圖像展開此圖像
Download
Download Q269239i.exe now
如需有關如何下載 Microsoft 支援檔案的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
119591如何從線上服務取得 Microsoft 支援檔案
Microsoft 已掃描這個檔案有無病毒。Microsoft 使用已張貼檔案的日期中的 [可用的最新病毒偵測軟體。檔案儲存在安全的伺服器上,以避免任何未經授權的更改至檔案。

此修正程式的英文版應該具有下列檔案屬性或更新版本:
   Date        Time    Size     File name  Platform
   -----------------------------------------------------
   08/29/2000  4:39pm  123,600  Netbt.sys  x86
				

Windows NT Server 4.0,終端機伺服器版本

如果要解決這個問題,任一個取得此區段或 Windows NT Server 4.0,終端機伺服器版安全性積存套件 (SRP) 中所參考的 Hotfix。 取得更多資訊有關 [SRP 按一下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
317636Windows NT Server 4.0,終端機伺服器版安全性彙總套件
修正程式現在可以從 Microsoft,但它只用來修正本文所述的問題。因此只提供給已遭遇此特定問題的電腦。

如果要解決這個問題,洽詢 Microsoft 技術支援部以取得此修正程式。如需 Microsoft 產品支援服務電話號碼及支援成本的相關資訊的完整清單,請造訪下列 Microsoft 網站]:
http://support.microsoft.com/default.aspx?scid=fh;EN-US;CNTACTMS
注意: 在特殊情況中通常會因支援電話所產生的費用如果,可能就不收取 Microsoft 支援人員認為某特定更新程式可以解決您的問題。平常的支援成本將會套用到其他支援問題是所做不限定特定有問題的更新程式。

下列檔案是可以從 Microsoft 下載中心 」 下載:
摺疊此圖像展開此圖像
Download
Download Q269239i.exe now
如需有關如何下載 Microsoft 支援檔案的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
119591如何從線上服務取得 Microsoft 支援檔案
Microsoft 已掃描這個檔案有無病毒。Microsoft 使用已張貼檔案的日期中的 [可用的最新病毒偵測軟體。檔案儲存在安全的伺服器上,以避免任何未經授權的更改至檔案。

此修正程式的英文版應該具有下列檔案屬性或更新版本:
   Date        Time    Size     File name  Platform
   -----------------------------------------------------
   08/29/2000  06:23p  123,536  Netbt.sys  x86
				

Windows 千禧版

作為的 2000 年 8 月 14,沒有 Hotfix 可供使用此作業系統。

如果要解決這些問題,設定防火牆來封鎖連接埠 137-139 其中保存外部使用者利用此 NetBIOS 弱點。

您也可以解決 NetBIOS 名稱服務衝突問題所執行的作業會造成 TCP/IP 堆疊,以移除然後再重新傳送 TCP/IP 位址通知。您可以使用下列方法其中觸發:
  • 如果受影響的電腦是動態主機設定通訊協定 (DHCP) 用戶端釋放並再更新 [TCP/IP 位址。
  • 強制為媒體受影響的網路] 介面卡上中斷連線並再重新連接。
  • 重新啟動電腦。

Windows 95、 Windows 95 OSR 2、 Windows 98 和 Windows 98 第二版

此修正程式的英文版應該具有下列檔案屬性或更新版本:
  Date       Time    Version    Size    File Name Platform
  -------------------------------------------------------------------------
  07/31/2000 11:11a  4.10.1659  87,769  Vnbt.386  Windows 95, all versions
  07/10/2000 11:23a  4.10.1721  87,749  Vnbt.386  Windows 98
  07/10/2000 11:36a  4.10.2149  90,893  Vnbt.386  Windows 98 Second Edition
				

狀況說明

這個問題已經先在 Windows 2000 Service Pack 2 中獲得修正。

其他相關資訊

如需詳細資訊,請參閱下列 Microsoft 安全性公告:
http://www.microsoft.com/technet/security/bulletin/MS00-047.mspx
TCP/IP 通訊協定透過 NetBIOS 經過設計規劃,未經驗證的認證,因此容易受 「 詐騙]。這項弱點不會造成從產品瑕疵,在任何受影響的作業系統中,只是一個正在使用的業界標準通訊協定的本質的結果。惡意使用者可能濫用未經驗證傳送給目標電腦的名稱服務資料包通訊協定的本質使其放棄其名稱,並停止回應查詢。

唯一的 NetBIOS 名稱註冊由一個以上的節點時,就會發生在 RFC 1001 (區段 15.1.3.5) 中指定的 NetBIOS 名稱衝突。在一般情況下 NetBIOS 名稱探索程序期間偵測到名稱衝突 ; NetBIOS 名稱應該只被標示衝突中結束節點主動解決 NetBIOS 名稱時。

來路不明的 NetBIOS 名稱服務資料包傳遞至執行 Microsoft Windows 作業系統所列出的任何本文稍早的電腦會將已註冊的 NetBIOS 名稱放入一個發生衝突的狀態。下有效地關閉發生衝突的 NetBIOS 名稱,因為它們是無法回應名稱探索要求,用來進行工作階段建立,或用於傳送和接收 NetBIOS 資料包。

對於未受保護的名稱 (不預先載入 Lmhosts 檔案中的名稱),名稱為來路不明的資料包由修改其 TCP/IP 位址的通訊會受影響,這個名稱從 NetBIOS 快取排清 5 秒內。若要將遠端名稱快取損毀疑似攻擊者要傳送來路不明的資料包的資料流擔心公開他或她的身分識別。

需要 100%的防護來對抗詐騙攻擊的客戶可能要考慮在 Windows 2000 中使用 IP 安全性通訊協定 (IPSec) 來建立已驗證的工作階段透過連接埠 137-139。

在某些情況下此修正程式可能會造成幾個 4320 錯誤記錄在系統事件日誌,看起來可能會混淆使用者中由 NetBT。原因是 [發行] 要求至通用群組的名稱,正在廣播到子網路從其他機器關機,期間,如果 'b node' 或設定不當 'h node' 機器是在相同的子網路上。

取得更多資訊有關 Windows 95 Hotfix 按一下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
161020實作 Windows 95 更新
取得更多資訊有關 Windows 98 和 Windows 98 第二版的快速補充程式按一下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
206071Windows 98 和 SE 快速補充程式的一般資訊

屬性

文章編號: 269239 - 上次校閱: 2007年2月20日 - 版次: 8.3
這篇文章中的資訊適用於:
  • Microsoft Windows NT Server 4.0, Terminal Server Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows NT Server 4.0 Enterprise Edition
  • Microsoft Windows NT Workstation 4.0 Developer Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
  • Microsoft Windows Millennium Edition
  • Microsoft Windows 98 Second Edition
  • Microsoft Windows 98 Standard Edition
  • Microsoft Windows 95
關鍵字:?
kbmt kbhotfixserver kbqfe kbbug kbfix kbgraphxlinkcritical kbnetwork kbsecbulletin kbsecurity kbsecvulnerability kbwin2000presp2fix KB269239 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:269239
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com