はじめに

Microsoft Windows Internet Name Service (WINS) に関するセキュリティの問題の報告を調査しています。 このセキュリティの問題は、Microsoft Windows NT Server 4.0、Microsoft Windows NT Server 4.0 ターミナル サーバー エディション、Microsoft Windows 2000 Server、Microsoft Windows Server 2003 に影響します。 このセキュリティの問題は、Microsoft Windows 2000 Professional、Microsoft Windows XP、または Microsoft Windows ミレニアム エディションには影響しません。

その他の情報

既定では、WINS は Windows NT Server 4.0、Windows NT Server 4.0 ターミナル サーバー エディション、Windows 2000 Server、または Windows Server 2003 にはインストールされません。 既定では、WINS がインストールされ、Microsoft Small Business Server 2000 と Microsoft Windows Small Business Server 2003 で実行されます。 既定では、すべてのバージョンの Microsoft Small Business Server では、WINS コンポーネント通信ポートがインターネットからブロックされ、WINS はローカル ネットワークでのみ使用できます。 このセキュリティの問題により、次のいずれかの条件に該当する場合、攻撃者が WINS サーバーをリモートで侵害する可能性があります。

  • 既定の構成を変更して、WINDOWS NT Server 4.0、Windows NT Server 4.0 ターミナル サーバー エディション、Windows 2000 Server、または Windows Server 2003 に WINS サーバーの役割をインストールしました。

  • Microsoft Small Business Server 2000 または Microsoft Windows Small Business Server 2003 を実行しており、攻撃者はローカル ネットワークにアクセスできます。

この潜在的な脆弱性からコンピューターを保護するには、次の手順に従います。

  1. ファイアウォールで TCP ポート 42 と UDP ポート 42 をブロックします。これらのポートは、リモート WINS サーバーとの接続を開始するために使用されます。 ファイアウォールでこれらのポートをブロックする場合は、そのファイアウォールの背後にあるコンピューターがこの脆弱性の使用を試みるのを防ぐことができます。 TCP ポート 42 と UDP ポート 42 は、既定の WINS レプリケーション ポートです。 インターネットからの未承諾の通信をすべてブロックすることをお勧めします。

  2. インターネット プロトコル セキュリティ (IPsec) を使用して、WINS サーバー レプリケーション パートナー間のトラフィックを保護します。 これを行うには、次のいずれかのオプションを使用します。 注意 各 WINS インフラストラクチャは一意であるため、これらの変更はインフラストラクチャに予期しない影響を与える可能性があります。 この軽減策を実装する前に、リスク分析を実行することを強くお勧めします。 また、この軽減策を運用環境に導入する前に、完全なテストを実行することを強くお勧めします。

    • オプション 1: IPSec フィルターを手動で構成する IPSec フィルターを手動で構成し、次の Microsoft サポート技術情報の記事の手順に従って、任意の IP アドレスからシステムの IP アドレスにすべてのパケットをブロックするブロック フィルターを追加します。

      813878 IPSec を使用して特定のネットワーク プロトコルとポートをブロックする方法 Windows 2000 Active Directory ドメイン環境で IPSec を使用し、グループ ポリシーを使用して IPSec ポリシーを展開すると、ドメイン ポリシーによってローカルで定義されたポリシーがオーバーライドされます。 この発生により、このオプションによって必要なパケットがブロックされなくなります。サーバーが Windows 2000 ドメインまたはそれ以降のバージョンから IPSec ポリシーを受け取っているかどうかを確認するには、サポート技術情報の記事 813878の「IPSec ポリシーが割り当てられているかどうかを判断する」セクションを参照してください。 有効なローカル IPSec ポリシーを作成できることを確認したら、IPSeccmd.exe ツールまたは IPSecpol.exe ツールをダウンロードします。 次のコマンドは、TCP ポート 42 と UDP ポート 42 への受信および送信アクセスをブロックします。注 これらのコマンドでは、%IPSEC_Command% は (Windows 2000 では) Ipsecpol.exe または Ipseccmd.exe (Windows Server 2003) を参照します。

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK

      次のコマンドは、競合するポリシーがない場合に、IPSec ポリシーをすぐに有効にします。 このコマンドは、すべての受信/送信 TCP ポート 42 および UDP ポート 42 パケットのブロックを開始します。 これにより、これらのコマンドが実行されたサーバーと WINS レプリケーション パートナーとの間で WINS レプリケーションが発生するのを効果的に防ぐことができます。

      %IPSEC_Command% -w REG -p "Block WINS Replication" –x

      この IPSec ポリシーを有効にした後にネットワークで問題が発生した場合は、ポリシーの割り当てを解除し、次のコマンドを使用してポリシーを削除できます。

      %IPSEC_Command% -w REG -p "Block WINS Replication" -y %IPSEC_Command% -w REG -p "Block WINS Replication" -o

      WINS レプリケーションを特定の WINS レプリケーション パートナー間で機能させるには、これらのブロック規則を許可ルールでオーバーライドする必要があります。 許可規則では、信頼された WINS レプリケーション パートナーの IP アドレスのみを指定する必要があります。次のコマンドを使用して、ブロック WINS レプリケーション IPSec ポリシーを更新して、特定の IP アドレスがブロック WINS レプリケーション ポリシーを使用しているサーバーと通信できるようにします。注 これらのコマンドでは、%IPSEC_Command% は (Windows 2000 では) Ipsecpol.exe または Ipseccmd.exe (Windows Server 2003) を参照し、%IP% はレプリケートするリモート WINS サーバーの IP アドレスを指します。

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS

      ポリシーをすぐに割り当てるには、次のコマンドを使用します。

      %IPSEC_Command% -w REG -p "Block WINS Replication" -x

    • オプション 2: IPSec フィルターを自動的に構成するスクリプトを実行し ポートをブロックする IPSec ポリシーを作成する WINS レプリケーション ブロッカー スクリプトをダウンロードして実行します。 これを行うには、次の手順に従います。

      1. .exe ファイルをダウンロードして抽出するには、次の手順に従います。

        1. WINS レプリケーション ブロッカー スクリプトをダウンロードします。 次のファイルは、Microsoft ダウンロード センターからダウンロードできます:ダウンロードWINS レプリケーション ブロッカー スクリプト パッケージを今すぐダウンロードします。リリース日: 2004 年 12 月 2 日 Microsoft サポート ファイルをダウンロードする方法の詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を参照してください。

          119591 Microsoftがこのファイルをスキャンしてウイルスをスキャンしたオンライン サービスからMicrosoftサポートファイルを取得する方法。 配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。 配布ファイルはセキュリティで保護されたサーバー上に置かれており、権限のない第三者が無断でファイルを変更できないようになっています。

          WINS レプリケーション ブロッカー スクリプトをフロッピー ディスクにダウンロードする場合は、フォーマットされた空のディスクを使用します。 WINS レプリケーション ブロッカー スクリプトをハード ディスクにダウンロードする場合は、ファイルを一時的に保存してからファイルを抽出する新しいフォルダーを作成します。 注意 ファイルを Windows フォルダーに直接ダウンロードしないでください。 この操作により、コンピューターが正しく動作するために必要なファイルが上書きされる可能性があります。

        2. ダウンロード先のフォルダー内のファイルを探し、自己展開 .exe ファイルをダブルクリックして、一時フォルダーに内容を抽出します。 たとえば、内容を C:\Temp に抽出します。

      2. コマンド プロンプトを開き、ファイルが抽出されるディレクトリに移動します。

      3. 警告

        • WINS サーバーが感染している可能性があり、どの WINS サーバーが侵害されているか、現在の WINS サーバーが侵害されているかどうかがわからない場合は、手順 3 で IP アドレスを入力しないでください。 ただし、2004 年 11 月現在、この問題の影響を受けたお客様は認識されていません。 そのため、サーバーが期待どおりに機能している場合は、説明に従って続行します。

        • IPsec を誤って設定すると、企業ネットワークで重大な WINS レプリケーションの問題が発生する可能性があります。

        Block_Wins_Replication.cmd ファイルを実行します。 TCP ポート 42 と UDP ポート 42 の受信および送信ブロック規則を作成するには、「 1」と入力し、Enter キーを押して、目的のオプションを選択するように求められたらオプション 1 を選択します。

        オプション 1 を選択すると、信頼された WINS レプリケーション サーバーの IP アドレスを入力するように求められます。 入力した各 IP アドレスは、ブロッキング TCP ポート 42 および UDP ポート 42 ポリシーから除外されます。 ループでメッセージが表示され、必要な数の IP アドレスを入力できます。 WINS レプリケーション パートナーのすべての IP アドレスがわからない場合は、後でスクリプトを再度実行できます。 信頼された WINS レプリケーション パートナーの IP アドレスの入力を開始するには、「 2 」と入力し、Enter キーを押して、目的のオプションを選択するように求められたら、オプション 2 を選択します。 セキュリティ更新プログラムを展開した後、IPSec ポリシーを削除できます。 これを行うには、スクリプトを実行します。 「3」と入力し、Enter キーを押して、必要なオプションを選択するように求められたら、オプション 3 を選択します。IPsec とフィルターを適用する方法の詳細については、次の記事番号をクリックして、Microsoft サポート技術情報の記事を表示します。

        313190 Windows 2000 で IPsec IP フィルター リストを使用する方法

  3. 必要ない場合は WINS を削除します。 WINS が不要になった場合は、次の手順に従って削除します。 これらの手順は、Windows 2000、Windows Server 2003、およびこれらのオペレーティング システムの以降のバージョンに適用されます。 Windows NT Server 4.0 の場合は、製品ドキュメントに記載されている手順に従ってください。 重要 多くの組織では、ネットワーク上で単一ラベルまたはフラットな名前の登録と解決機能を実行する必要があります。 管理者は、次のいずれかの条件が当てはまる場合を除き、WINS を削除しないでください。

    • 管理者は、WINS を削除するとネットワークに与える影響を完全に理解しています。

    • 管理者は、完全修飾ドメイン名と DNS ドメイン サフィックスを使用して同等の機能を提供するように DNS を構成しました。

    また、管理者がネットワーク上の共有リソースを引き続き提供するサーバーから WINS 機能を削除する場合、管理者は、ローカル ネットワーク上の DNS などの残りの名前解決サービスを使用するようにシステムを正しく再構成する必要があります。 WINS の詳細については、次の Microsoft Web サイトを参照してください。

    http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true NETBIOS または WINS の名前解決と DNS 構成が必要かどうかを判断する方法の詳細については、次の Microsoft Web サイトを参照してください。

    http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxWINS を削除するには、次の手順に従います。

    1. コントロール パネルで、[プログラムの追加と削除] を開きます

    2. [Windows コンポーネントの追加と削除] をクリックします。

    3. [Windows コンポーネント ウィザード] ページの [Components] で、[ ネットワーク サービス] をクリックし、[ 詳細] をクリックします。

    4. [Windows インターネット ネーム サービス (WINS) チェック] ボックスをオフにして WINS を削除します。

    5. 画面の指示に従って、Windows コンポーネント ウィザードを完了します。

定期的な更新プロセスの一環として、このセキュリティの問題に対処するための更新プログラムに取り組んでいます。 更新プログラムが適切なレベルの品質に達したら、Windows Updateを通じて更新プログラムを提供します。影響を受けていると思われる場合は、製品サポート サービスにお問い合わせください。海外のお客様は、次の Microsoft Web サイトに記載されている任意の方法を使用して、製品サポート サービスに問い合わせる必要があります。

http://support.microsoft.com

Facebook LinkedIn メール
RSS フィードを購読する

ヘルプを表示

その他のオプションが必要ですか?

サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。

Microsoft 365 サブスクリプションの特典

Microsoft 365 のトレーニング

Microsoft Security

アクセシビリティ センター