WINS 보안 문제로부터 보호하는 방법

소개

MICROSOFT WINS(Windows Internet Name Service)의 보안 문제에 대한 보고서를 조사하고 있습니다. 이 보안 문제는 Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server 및 Microsoft Windows Server 2003에 영향을 줍니다. 이 보안 문제는 Microsoft Windows 2000 Professional, Microsoft Windows XP 또는 Microsoft Windows Millennium Edition에 영향을 주지 않습니다.

기타 정보

기본적으로 WINS는 Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server 또는 Windows Server 2003에 설치되지 않습니다. 기본적으로 WINS는 Microsoft Small Business Server 2000 및 Microsoft Windows Small Business Server 2003에 설치되고 실행됩니다. 기본적으로 모든 버전의 Microsoft Small Business Server에서는 WINS 구성 요소 통신 포트가 인터넷에서 차단되고 WINS는 로컬 네트워크에서만 사용할 수 있습니다.

이 보안 문제로 인해 다음 조건 중 하나가 true인 경우 공격자가 WINS 서버를 원격으로 손상시킬 수 있습니다.

• 기본 구성을 변경하여 Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server 또는 Windows Server 2003에 WINS 서버 역할을 설치했습니다.

• Microsoft Small Business Server 2000 또는 Microsoft Windows Small Business Server 2003을 실행하고 있으며 공격자가 로컬 네트워크에 액세스할 수 있습니다.

이 잠재적 취약성으로부터 컴퓨터를 보호하려면 다음 단계를 수행합니다.

1. 방화벽에서 TCP 포트 42 및 UDP 포트 42를 차단합니다.
   
   
   이러한 포트는 원격 WINS 서버와의 연결을 시작하는 데 사용됩니다. 방화벽에서 이러한 포트를 차단하는 경우 해당 방화벽 뒤에 있는 컴퓨터가 이 취약성을 사용하지 못하도록 방지할 수 있습니다. TCP 포트 42 및 UDP 포트 42는 기본 WINS 복제 포트입니다. 인터넷에서 들어오는 모든 원치 않는 통신을 차단하는 것이 좋습니다.

2. IPsec(인터넷 프로토콜 보안)을 사용하여 WINS 서버 복제 파트너 간의 트래픽을 보호합니다. 이렇게 하려면 다음 옵션 중 하나를 사용합니다.
   
   주의 각 WINS 인프라는 고유하기 때문에 이러한 변경 내용이 인프라에 예기치 않은 영향을 미칠 수 있습니다. 이 완화를 구현하기 전에 위험 분석을 수행하는 것이 좋습니다. 또한 이 완화를 프로덕션 환경에 배치하기 전에 완전한 테스트를 수행하는 것이 좋습니다.
   

   • 옵션 1: IPSec 필터를 수동으로 구성 IPSec 필터
     를 수동으로 구성한 다음 다음 Microsoft 기술 자료 문서의 지침에 따라 모든 IP 주소의 모든 패킷을 시스템의 IP 주소로 차단하는 블록 필터를 추가합니다.

     813878 IPSec
     
     을 사용하여 특정 네트워크 프로토콜 및 포트를 차단하는 방법 Windows 2000 Active Directory 도메인 환경에서 IPSec을 사용하고 그룹 정책 사용하여 IPSec 정책을 배포하는 경우 도메인 정책은 로컬로 정의된 정책을 재정의합니다. 이렇게 하면 이 옵션이 원하는 패킷을 차단할 수 없습니다.
     
     서버가 Windows 2000 도메인 또는 이후 버전에서 IPSec 정책을 수신하는지 여부를 확인하려면 기술 자료 문서 813878 "IPSec 정책이 할당되었는지 확인" 섹션을 참조하세요.
     
     효과적인 로컬 IPSec 정책을 만들 수 있다고 결정한 경우 IPSeccmd.exe 도구 또는 IPSecpol.exe 도구를 다운로드합니다.
     
     다음 명령은 TCP 포트 42 및 UDP 포트 42에 대한 인바운드 및 아웃바운드 액세스를 차단합니다.
     
     참고 이러한 명령에서 %IPSEC_Command%는 Ipsecpol.exe(Windows 2000) 또는 Ipseccmd.exe(Windows Server 2003)를 나타냅니다.

     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK 
     

     다음 명령은 충돌하는 정책이 없는 경우 IPSec 정책을 즉시 적용합니다. 이 명령은 모든 인바운드/아웃바운드 TCP 포트 42 및 UDP 포트 42 패킷 차단을 시작합니다. 이렇게 하면 이러한 명령이 실행된 서버와 WINS 복제 파트너 간에 WINS 복제가 발생하지 않습니다.

     %IPSEC_Command% -w REG -p "Block WINS Replication" –x 

     이 IPSec 정책을 사용하도록 설정한 후 네트워크에서 문제가 발생하는 경우 정책을 할당 취소한 다음, 다음 명령을 사용하여 정책을 삭제할 수 있습니다.

     %IPSEC_Command% -w REG -p "Block WINS Replication" -y 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -o 

     특정 WINS 복제 파트너 간에 WINS 복제가 작동하도록 허용하려면 허용 규칙을 사용하여 이러한 블록 규칙을 재정의해야 합니다. 허용 규칙은 신뢰할 수 있는 WINS 복제 파트너의 IP 주소만 지정해야 합니다.
     
     
     다음 명령을 사용하여 특정 IP 주소가 WINS 복제 차단 정책을 사용하는 서버와 통신할 수 있도록 WINS 복제 IPSec 차단 정책을 업데이트할 수 있습니다.
     
     참고 이러한 명령에서 %IPSEC_Command%는 Ipsecpol.exe(Windows 2000의 경우) 또는 Ipseccmd.exe(Windows Server 2003의 경우)를 참조하고%IP%는 복제하려는 원격 WINS 서버의 IP 주소를 나타냅니다.

     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS 
     

     정책을 즉시 할당하려면 다음 명령을 사용합니다.

     %IPSEC_Command% -w REG -p "Block WINS Replication" -x

   • 옵션 2: 스크립트를 실행하여 IPSec 필터
     다운로드를 자동으로 구성한 다음, 포트를 차단하는 IPSec 정책을 만드는 WINS 복제 차단 스크립트를 실행합니다. 이렇게 하려면 다음 단계를 수행합니다.
     

     1. .exe 파일을 다운로드하고 추출하려면 다음 단계를 수행합니다.
        

        1. WINS 복제 차단 스크립트를 다운로드합니다.
           
           다음 파일은 Microsoft 다운로드 센터에서 다운로드할 수 있습니다.
           
           WINS 복제 차단 스크립트 패키지를 지금 다운로드합니다.
           
           릴리스 날짜: 2004
           
           년 12월 2일 Microsoft 지원 파일을 다운로드하는 방법에 대한 추가 정보를 보려면 다음 문서 번호를 클릭하여 Microsoft 기술 자료의 문서를 확인합니다.

           119591 Microsoft에서 Microsoft 지원 파일을 가져오는 방법 온라인 서비스
           이 파일에서 바이러스를 검사했습니다. Microsoft는 파일을 게시한 날짜에 사용할 수 있는 최신 바이러스 예방 소프트웨어로 이 파일을 검사했습니다. 파일은 파일에 대한 무단 변경을 방지하는 데 도움이 되는 보안 강화 서버에 저장됩니다.
           

           WINS 복제 차단 스크립트를 플로피 디스크에 다운로드하는 경우 서식이 지정된 빈 디스크를 사용합니다. WINS 복제 차단 스크립트를 하드 디스크에 다운로드하는 경우 파일을 임시로 저장하고 파일을 추출할 새 폴더를 만듭니다.
           
           
           주의 Windows 폴더에 파일을 직접 다운로드하지 마세요. 이 작업은 컴퓨터가 올바르게 작동하는 데 필요한 파일을 덮어쓸 수 있습니다.

        2. 다운로드한 폴더에서 파일을 찾은 다음, 자체 추출 .exe 파일을 두 번 클릭하여 임시 폴더에 콘텐츠를 추출합니다. 예를 들어 C:\Temp에 콘텐츠를 추출합니다.

     2. 명령 프롬프트를 연 다음 파일이 추출되는 디렉터리로 이동합니다.

     3. 경고

        • WINS 서버가 감염되었을 수 있지만 어떤 WINS 서버가 손상되었는지 또는 현재 WINS 서버가 손상되었는지 확실하지 않은 경우 3단계에서 IP 주소를 입력하지 마세요. 그러나 2004년 11월을 기준으로 이 문제의 영향을 받은 고객은 알 수 없습니다. 따라서 서버가 예상대로 작동하는 경우 설명된 대로 계속합니다.

        • IPsec을 잘못 설정한 경우 회사 네트워크에서 심각한 WINS 복제 문제가 발생할 수 있습니다.

        Block_Wins_Replication.cmd 파일을 실행합니다. TCP 포트 42 및 UDP 포트 42 인바운드 및 아웃바운드 블록 규칙을 만들려면 1을 입력
        한 다음 Enter 키를 눌러 원하는 옵션을 선택하라는 메시지가 표시되면 옵션 1을 선택합니다.

        옵션 1을 선택하면 스크립트에서 신뢰할 수 있는 WINS 복제 서버의 IP 주소를 입력하라는 메시지를 표시합니다.
        
        
        입력하는 각 IP 주소는 차단 TCP 포트 42 및 UDP 포트 42 정책에서 제외됩니다. 루프에서 메시지가 표시되고 필요에 따라 많은 IP 주소를 입력할 수 있습니다. WINS 복제 파트너의 IP 주소를 모두 모르는 경우 나중에 스크립트를 다시 실행할 수 있습니다. 신뢰할 수 있는 WINS 복제 파트너의 IP 주소 입력을 시작하려면 2 를 입력한 다음 Enter 키를 눌러 원하는 옵션을 선택하라는 메시지가 표시되면 옵션 2를 선택합니다.
        
        
        보안 업데이트를 배포한 후 IPSec 정책을 제거할 수 있습니다. 이렇게 하려면 스크립트를 실행합니다. 3을 입력한 다음 Enter 키를 눌러 원하는 옵션을 선택하라는 메시지가 표시되면 옵션 3을 선택합니다.
        
        IPsec 및 필터를 적용하는 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료에서 문서를 확인합니다.
        
        

        313190 Windows 2000에서 IPsec IP 필터 목록을 사용하는 방법
        
        

3. 필요하지 않은 경우 WINS를 제거합니다.
   
   WINS가 더 이상 필요하지 않은 경우 다음 단계에 따라 제거합니다. 이러한 단계는 Windows 2000, Windows Server 2003 이상 버전의 이러한 운영 체제에 적용됩니다. Windows NT Server 4.0의 경우 제품 설명서에 포함된 절차를 따릅니다.
   
   중요 많은 조직에서 네트워크에서 단일 레이블 또는 플랫 이름 등록 및 확인 기능을 수행하려면 WINS가 필요합니다. 관리자는 다음 조건 중 하나가 충족되지 않는 한 WINS를 제거해서는 안 됩니다.
   

   • 관리자는 WINS를 제거하면 네트워크에 미치는 영향을 완전히 이해합니다.

   • 관리자는 정규화된 도메인 이름 및 DNS 도메인 접미사를 사용하여 동등한 기능을 제공하도록 DNS를 구성했습니다.

   또한 관리자가 네트워크에서 공유 리소스를 계속 제공할 서버에서 WINS 기능을 제거하는 경우 관리자는 로컬 네트워크의 DNS와 같은 나머지 이름 확인 서비스를 사용하도록 시스템을 올바르게 다시 구성해야 합니다.
   
   WINS에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 방문하세요.

   http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true NETBIOS 또는 WINS 이름 확인 및 DNS 구성이 필요한지 여부를 확인하는 방법에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하세요.

   http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxWINS를 제거하려면 다음 단계를 수행합니다.
   

   1. 제어판 프로그램 추가 또는 제거를 엽니다.

   2. Windows 구성 요소 추가/제거를 클릭합니다.
      

   3. Windows 구성 요소 마법사 페이지의구성 요소에서
      네트워킹 서비스를 클릭한 다음 세부 정보를 클릭합니다.

   4. WINS(Windows Internet Naming Service) 검사 상자를 선택 취소하여 WINS를 제거합니다.

   5. 화면의 지침에 따라 Windows 구성 요소 마법사를 완료합니다.

정기적인 업데이트 프로세스의 일환으로 이 보안 문제를 해결하기 위해 업데이트를 진행하고 있습니다. 업데이트가 적절한 품질 수준에 도달하면 Windows 업데이트 통해 업데이트를 제공합니다.


영향을 받았다고 생각되는 경우 제품 지원 서비스에 문의하세요.

국제 고객은 다음 Microsoft 웹 사이트에 나열된 모든 방법을 사용하여 제품 지원 서비스에 문의해야 합니다.

http://support.microsoft.com