MS02-070:SMB 签名中的缺陷可能允许修改组策略

文章翻译 文章翻译
文章编号: 329170 - 查看本文应用于的产品
展开全部 | 关闭全部

本文内容

症状

所有版本的 Windows 中都包括对服务器消息块 (SMB) 协议的支持。虽然 SMB 是文件共享协议,但是 SMB 还可用于其他用途。这些用途之一是将“组策略”设置从域控制器分发到登录的计算机。从 Windows 2000 开始,可以通过对会话中的所有数据包进行数字签名来改进 SMB 会话的完整性。Windows 2000 和 Windows XP 可以配置为始终签名、从不签名或者只在其他方要求时签名。

在 Windows 2000 和 Windows XP 中实现 SMB 签名的缺陷使得攻击者可以静默方式降低受影响计算机上的 SMB 签名设置。要这样做,攻击者必须在客户端与服务器交换会话协商数据时有权限访问这些数据,并且必须能够以利用该缺陷的方式修改这些数据。这可能导致任一计算机或者全部两台计算机都发送未经签名的数据,而无论管理员设置什么签名策略。在攻击者降低签名设置后,攻击者可以继续监视和更改会话中的数据。缺少签名会阻碍通信各方检测更改。

虽然可以利用此漏洞来公开任何 SMB 会话以进行篡改,但是最严重的情况涉及更改“组策略”设置,因为这些设置是从基于 Windows 2000 的域控制器分发到新登录的网络客户端的。通过这样做,攻击者可以采取一些操作,例如,向本地 Administrators 组添加用户或者在计算机上安装并运行代码。请注意,Windows XP 不能用作域控制器。因此,这种情况不适用于 Windows XP。这是与该漏洞相关联的风险最高的情况。

解决方案

Windows XP

下载信息

从 Microsoft 下载中心可以下载以下文件:
32 位:
收起这个图片展开这个图片
下载
立即下载 329170 软件包
64 位:
收起这个图片展开这个图片
下载
立即下载 329170 软件包
发布日期:2002 年 12 月 11 日

有关如何下载 Microsoft 支持文件的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591 如何从联机服务获取 Microsoft 支持文件
Microsoft 已对此文件进行了病毒扫描。Microsoft 使用的是该文件发布时可以获得的最新病毒检测软件。该文件存储在安全性已增强的服务器上,以防止在未经授权的情况下对其进行更改。

安装信息

应用此更新后,必须重新启动计算机。此更新支持以下安装开关:
  • /? 显示安装开关列表。
  • /u 使用“无人参与”模式。
  • /f 当计算机关闭时强制其他程序退出。
  • /n 不为删除备份文件。
  • /o 不给出提示即覆盖 OEM 文件。
  • /z 当安装完成时不重新启动。
  • /q 使用“安静”模式(无用户交互)。
  • /l 列出已安装的修复程序。
  • /x 解压缩文件但不运行安装程序。
例如,下面的命令行在安装此更新程序时不需要任何用户干预并且不强制计算机重新启动:
q329170_wxp_sp2_x86_CHS /q /u /z
警告:计算机在重新启动之前易受攻击。

文件信息

此修补程序的英文版具有下表中列出的文件属性(或更新的属性)。这些文件的日期和时间按协调通用时间 (UTC) 列出。当您查看文件信息时,该时间将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用“控制面板”中的“日期和时间”工具中的时区选项卡。

下列文件安装在 %Windir%\System32\Drivers 文件夹中。

Windows XP

日期		时间	版本		大小	   文件名
--------------------------------------------------------------
31-Oct-2002	19:45	5.1.2600.105	322,304	   Srv.sys

Windows XP SP1, Windows XP Tablet PC Edition

日期		时间	版本		大小	   文件名
--------------------------------------------------------------
20-Dec-2002	17:36	5.1.2600.1154	322,048    Srv.sys

Windows XP 64 位版本

日期		时间	版本		大小	   文件名
--------------------------------------------------------------
31-Oct-2002	19:45	5.1.2600.105	1,142,016  Srv.sys

Windows XP 64 位版本 SP1

日期		时间	版本		大小	   文件名
--------------------------------------------------------------
20-Dec-2002	17:36	5.1.2600.1154	1,140,480  Srv.sys
注意:如果您的网络受影响,必须在网络中所有基于 Windows XP 的客户端上安装此修复程序。

Windows 2000 Service Pack 信息

要解决此问题,请获取最新的 Microsoft Windows 2000 Service Pack。有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
260910 如何获取最新的 Windows 2000 Service Pack

Windows 2000 修复程序信息

下载信息

从 Microsoft 下载中心可以下载以下文件:
除 NEC 日语以外的所有语言:
收起这个图片展开这个图片
下载
立即下载 329170 软件包
NEC 日语:
收起这个图片展开这个图片
下载
立即下载 329170 软件包
发布日期:2002 年 12 月 11 日

有关如何下载 Microsoft 支持文件的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591 如何从联机服务获取 Microsoft 支持文件
Microsoft 已对此文件进行了病毒扫描。Microsoft 使用的是该文件发布时可以获得的最新病毒检测软件。该文件存储在安全性已增强的服务器上,以防止在未经授权的情况下对其进行更改。

安装信息

由于文件依赖性,此更新需要 Windows 2000 Service Pack 2 (SP2) 或 Service Pack 3 (SP3)。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
260910 如何获取最新的 Windows 2000 Service Pack

安装信息

应用此更新后,必须重新启动计算机。此更新支持以下安装开关:
  • /? 显示安装开关列表。
  • /u 使用“无人参与”模式。
  • /f 当计算机关闭时强制其他程序退出。
  • /n 不为删除备份文件。
  • /o 不给出提示即覆盖 OEM 文件。
  • /z 当安装完成时不重新启动。
  • /q 使用“安静”模式(无用户交互)。
  • /l 列出已安装的修复程序。
  • /x 解压缩文件但不运行安装程序。
例如,下面的命令行在安装此更新程序时不需要任何用户干预并且不强制计算机重新启动:
q329170_w2k_sp4_x86_CHS /q /u /z
警告:计算机在重新启动之前易受攻击。

文件信息

此修补程序的英文版具有下表中列出的文件属性(或更新的属性)。这些文件的日期和时间按协调通用时间 (UTC) 列出。当您查看文件信息时,该时间将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用“控制面板”中的“日期和时间”工具中的时区选项卡。

下列文件安装在 %Windir%\System32\ 文件夹中。

日期		时间	版本		 大小	   文件名
------------------------------------------------------------
01-Nov-2002	16:55   5.0.2195.6090   250,640   Localspl.dll
01-Nov-2002	16:55   5.0.2195.6023   381,712   Printui.dll
23-Oct-2002	15:05   5.0.2195.6100   138,752   Sp3res.dll
01-Nov-2002	16:55   5.0.2195.6047    79,632   Spoolss.dll
31-Oct-2002	00:45   5.0.2195.6110   237,456   Srv.sys
01-Nov-2002	16:55   5.0.2195.6110    74,000   Srvsvc.dll
01-Nov-2002	16:55   5.0.2195.6044    84,752   Win32spl.dll
01-Nov-2002	16:55   5.0.2195.6032   114,448   Winspool.drv
01-Nov-2002	16:55   5.0.2195.6103    55,056   Wlnotify.dll

状态

Microsoft 已经确认此问题可能导致本文开头列出的 Microsoft 产品中存在某种程度的安全漏洞。 此问题最早是在 Microsoft Windows 2000 Service Pack 4 中解决的。

更多信息

有关此漏洞的更多信息,请访问下面的 Microsoft Web 站点:
http://www.microsoft.com/technet/security/bulletin/MS02-070.asp

属性

文章编号: 329170 - 最后修改: 2007年12月1日 - 修订: 12.3
这篇文章中的信息适用于:
  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
关键字:?
kbbug kbfix kbwin2000presp4fix kbqfe kbenv kbsecurity kbwinxpsp2fix kbwinxppresp2fix kbwin2ksp4fix kbhotfixserver KB329170
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com