はじめに
マイクロソフトは、Microsoft Windows インターネット ネーム サービス (WINS) のセキュリティの問題に関する報告について調査しています。このセキュリティの問題は、Microsoft Windows NT Server 4.0、Microsoft Windows NT Server 4.0 Terminal Server Edition、Microsoft Windows 2000 Server および Microsoft Windows Server 2003 に影響し、Microsoft Windows 2000 Professional、Microsoft Windows XP、Microsoft Windows Millennium Edition (Me) には影響しません。
詳細
Windows NT Server 4.0、Windows NT Server 4.0 Terminal Server Edition、Windows 2000 Server、Windows Server 2003 では、WINS はデフォルトでインストールされません。Microsoft Small Business Server 2000 および Microsoft Windows Small Business Server 2003 では、WINS がデフォルトでインストールされます。Microsoft Small Business Server のすべてのバージョンで、デフォルトでは、WINS コンポーネントの通信ポートがインターネットからブロックされており、WINS はローカル ネットワークでのみ利用できます。
以下の条件のいずれかに該当する場合、このセキュリティの問題により、WINS サーバーがリモートから攻撃を受ける可能性があります。
-
Windows NT Server 4.0、Windows NT Server 4.0 Terminal Server Edition、Windows 2000 Server または Windows Server 2003 でデフォルトの構成を変更して、WINS サーバーの役割をインストールしました。
-
Microsoft Small Business Server 2000 または Microsoft Windows Small Business Server 2003 を実行していて、攻撃者がローカル ネットワークにアクセスできます。
この潜在的な脆弱性からコンピュータを保護するには、以下の手順を実行します。
-
ファイアウォールで TCP ポート 42 および UDP ポート 42 をブロックします。
これらのポートは、リモート WINS サーバーとの接続を開始するために使用されます。ファイアウォールでこれらのポートをブロックすることにより、この脆弱性を利用する試みから、ファイアウォールの内側のコンピュータを保護することができます。TCP ポート 42 および UDP ポート 42 は、デフォルトの WINS レプリケーション ポートです。マイクロソフトでは、インターネットから着信する迷惑な通信をすべてブロックすることを推奨します。 -
IPSec (Internet Protocol Security) を使用して WINS サーバー レプリケーション パートナー間のトラフィックを保護します。これを行うには、以下のオプションのいずれかを使用します。
注意 : WINS のインフラストラクチャはそれぞれ異なるため、以下の変更を行うと、使用中のインフラストラクチャに予期しない影響を及ぼす場合があります。この対策の実施を決定する前に、リスク分析を実行することを強く推奨します。また、この対策の運用を開始する前に、十分なテストを行うことを強く推奨します。-
オプション 1 : IPSec フィルタを手動で構成する
IPSec フィルタを手動で構成し、次の「サポート技術情報」 (Microsoft Knowledge Base) の資料に記載されている手順を実行して、任意の IP アドレスから使用中のシステムの IP アドレスへのパケットをすべてブロックするブロック フィルタを追加します。813878 IPSec を使用して特定のネットワーク プロトコルとポートをブロックする方法
Windows 2000 Active Directory ドメイン環境で IPSec を使用する場合に、グループ ポリシーを使用して IPSec ポリシーを展開すると、ローカルで定義されたポリシーがすべてドメイン ポリシーによって置き換えられます。ローカルの IPSec フィルタの構成がドメイン ポリシーによって置き換えられると、このオプションを使用して目的のパケットをブロックできなくなります。
使用しているサーバーが Windows 2000 ドメインまたはそれ以降のバージョンから IPSec ポリシーを受け取っているかどうかを確認するには、「サポート技術情報」 (Microsoft Knowledge Base) の資料 813878 の「IPSec ポリシーが割り当てられているかどうかを確認する」を参照してください。
有効なローカル IPSec ポリシーを作成できることが確認できたら、IPSeccmd.exe ツールまたは IPSecpol.exe ツールをダウンロードします。
次のコマンドを実行すると、TCP ポート 42 および UDP ポート 42 への着信方向と送信方向のアクセスがブロックされます。
注 : 以下のコマンドで、%IPSEC_Command% は、Ipsecpol.exe (Windows 2000 の場合) または Ipseccmd.exe (Windows Server 2003 の場合) を示します。%IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK
%IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK
%IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK
%IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK次のコマンドを実行すると、競合するポリシーがない場合、IPSec ポリシーがすぐに有効になり、TCP ポート 42 および UDP ポート 42 への着信方向と送信方向のすべてのパケットのブロックが開始されます。これにより、このコマンドを実行したサーバーとすべての WINS レプリケーション パートナーとの間の WINS レプリケーションが実質的に発生しなくなります。
%IPSEC_Command% -w REG -p "Block WINS Replication" –x
この IPSec ポリシーを有効にした後にネットワークで問題が発生した場合、次のコマンドを使用して、ポリシーの割り当てを解除し、ポリシーを削除することができます。
%IPSEC_Command% -w REG -p "Block WINS Replication" -y
%IPSEC_Command% -w REG -p "Block WINS Replication" -o特定の WINS レプリケーション パートナー間で WINS レプリケーションを許可するには、これらのブロック ルールを許可ルールに置き換える必要があります。許可ルールでは、信頼している WINS レプリケーション パートナーの IP アドレスのみを指定する必要があります。
次のコマンドを使用すると、Block WINS Replication ポリシーを使用しているサーバーと特定の IP アドレスとの間の通信を許可するように、Block WINS Replication IPSec ポリシーを更新できます。
注 : 以下のコマンドで、%IPSEC_Command% は Ipsecpol.exe (Windows 2000 の場合) または Ipseccmd.exe (Windows Server 2003 の場合) を示し、%IP% はレプリケーション パートナーとなるリモート WINS サーバーの IP アドレスを示します。%IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS
%IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS
%IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS
%IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASSポリシーをすぐに割り当てるには、次のコマンドを使用します。
%IPSEC_Command% -w REG -p "Block WINS Replication" -x
-
オプション 2 : スクリプトを実行して IPSec フィルタを自動的に構成する
WINS Replication Blocker スクリプトをダウンロードして実行します。このスクリプトを実行すると、ポートをブロックする IPSec ポリシーが作成されます。この作業を行うには、次の手順を実行します。-
次の手順を実行して、.exe ファイルをダウンロードしてインストールします。
-
WINS Replication Blocker スクリプトをダウンロードします。
下記のファイルは、「Microsoft ダウンロード センター」からダウンロードできます。
リリース日 : 2004 年 12 月 3 日
マイクロソフトのサポート ファイルのダウンロード方法を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。119591 オンライン サービスからマイクロソフトのサポート ファイルを入手する方法
マイクロソフトでは、アップロード時点の最新のウイルス検査プログラムを使用して、配布ファイルのウイルス チェックを行っています。配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。WINS Replication Blocker スクリプトをフロッピー ディスクにダウンロードする場合は、フォーマット済みの空のディスクを使用します。WINS Replication Blocker スクリプトをハード ディスクにダウンロードする場合は、新しいフォルダを作成してファイルの一時的な保存先および展開元として使用します。
注意 : ファイルを直接 Windows フォルダにダウンロードしないでください。この操作を行うと、コンピュータが正しく動作するために必要なファイルが上書きされる可能性があります。 -
ファイルのダウンロード先フォルダでファイルを見つけ、自己解凍型 .exe ファイルをダブルクリックして、.exe ファイルの内容を一時フォルダに展開します。たとえば、C:\Temp に展開します。
-
-
コマンド プロンプトを開き、ファイルを展開したフォルダに移動します。
-
警告
-
WINS サーバーが攻撃を受けた疑いがあっても、攻撃を受けた WINS サーバーを特定できない場合や、現在の WINS サーバーが攻撃を受けたどうかが不明な場合は、手順 3. で IP アドレスを入力しないようにしてください。ただし、2004 年 11 月現在、マイクロソフトでは、この問題の影響を受けているユーザーがいることを確認していません。したがって、サーバーが正常に機能している場合は、記載されているとおりに手順を続行します。
-
IPSec の設定を誤ると、企業ネットワークで WINS レプリケーションに関する深刻な問題が発生する可能性があります。IPSec のセキュリティ情報については、次のマイクロソフト Web サイトを参照してください。
Block_Wins_Replication.cmd ファイルを実行します。TCP ポート 42 および UDP ポート 42 の着信方向と送信方向のブロック ルールを作成するには、使用するオプションを選択するプロンプトが表示されたときに、1 と入力し、Enter キーを押してオプション 1 を選択します。
オプション 1 を選択すると、信頼している WINS レプリケーション サーバーの IP アドレスを入力するためのプロンプトが表示されます。
入力した各 IP アドレスは、TCP ポート 42 と UDP ポート 42 をブロックするポリシーから除外されます。入力するたびに同じプロンプトが表示され、必要な数の IP アドレスを入力することができます。WINS レプリケーション パートナーの中に IP アドレスが不明なものがある場合は、別の機会にこのスクリプトを実行することができます。信頼している WINS レプリケーション パートナーの IP アドレスの入力を開始するには、使用するオプションを選択するプロンプトが表示されたときに 2 と入力し、Enter キーを押してオプション 2 を選択します。
セキュリティ更新プログラムを展開した後、IPSec ポリシーを削除することができます。IPSec ポリシーを削除するには、スクリプトを実行し、使用するオプションを選択するプロンプトが表示されたときに 3 と入力し、Enter キーを押してオプション 3 を選択します。
IPSec およびフィルタの適用方法の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。313190 Windows 2000 で IPSec の IP フィルタ一覧を使用する方法
-
-
-
-
不要な場合は、WINS を削除します。
WINS が必要ない場合は、次の手順を実行して WINS を削除します。以下の手順は、Windows 2000、Windows Server 2003、およびこれらのオペレーティング システムの新しいバージョンに適用されます。Windows NT Server 4.0 の場合は、製品ドキュメントに記載されている手順を実行してください。
重要 : 多くの組織では、ネットワークで単一ラベル (フラット名) の登録機能と解決機能を実行するために WINS が必要です。次の条件のいずれかに該当しない限り、管理者は WINS を削除しないでください。-
WINS の削除がネットワークに及ぼす影響を十分に理解している。
-
完全修飾ドメイン名および DNS ドメイン サフィックスを使用して同等の機能を提供するように DNS を構成している。
また、サーバーから WINS 機能を削除した後もその共有リソースをネットワーク上で引き続き提供する場合、管理者は、ローカル ネットワークに残っている DNS などの名前解決サービスを使用するように、システムを正しく再構成する必要があります。
WINS の詳細については、次のマイクロソフト Web サイトを参照してください。http://www.microsoft.com/resources/documentation/WindowsServ/2003/enterprise/proddocs/ja-jp/sag_WINS_ovr_WhatIs.aspNetBIOS (WINS) 名前解決が必要かどうかを判断する方法および DNS の構成の詳細については、次のマイクロソフト Web サイトを参照してください。
http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxWINS を削除するには、次の手順を実行します。
-
コントロール パネルの [プログラムの追加と削除] (または [アプリケーションの追加と削除]) をダブルクリックします。
-
[Windows コンポーネントの追加と削除] をクリックします。
-
Windows コンポーネント ウィザードで、[コンポーネント] ボックスの一覧の [ネットワーク サービス] をクリックし、[詳細] をクリックします。
-
WINS を削除するには、[Windows インターネット ネーム サービス (WINS)] チェック ボックスをオフにします。
-
画面の指示に従って、Windows コンポーネント ウィザードを完了します。
-
マイクロソフトでは、通常の更新処理の一環として、このセキュリティの問題に対処するための更新プログラムを作成しています。この更新プログラムの品質が適切なレベルに到達した時点で、Windows Update 経由で更新プログラムを提供する予定です。
この問題の影響を受けている疑いがある場合は、Microsoft Product Support Services にお問い合わせください。北米でセキュリティの更新の問題やウイルスに関して Product Support Services に問い合わせるには、次の PC Safety の電話番号を使用します。
1-866-PCSAFETY
注 : 北米では、この番号への電話に料金はかかりません。
他の地域のユーザーは、次のマイクロソフト Web サイトに掲載されている方法のいずれかを使用して、Product Support Services にお問い合わせください。
