소개
Microsoft는 Microsoft WINS(Windows 인터넷 이름 서비스)의 보안 문제에 대한 보고서를 조사하는 중입니다. 이 보안 문제는 Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server 및 Microsoft Windows Server 2003에 영향을 주며 Microsoft Windows 2000 Professional, Microsoft Windows XP 또는 Microsoft Windows Millennium Edition에는 영향을 주지 않습니다.
추가 정보
기본적으로 WINS는 Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server 또는 Windows Server 2003에 설치되지 않고, Microsoft Small Business Server 2000 및 Microsoft Windows Small Business Server 2003에 설치되어 실행됩니다. 기본적으로 Microsoft Small Business Server의 모든 버전에서 WINS 구성 요소 통신 포트는 인터넷에서 차단되며 WINS는 로컬 네트워크에서만 사용할 수 있습니다.
이 보안 문제로 인해 다음 조건 중 하나에 해당되는 경우 침입자가 원격으로 WINS 서버의 보안을 손상시킬 수 있습니다.
-
기본 구성을 변경하여 Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server 또는 Windows Server 2003에 WINS 서버 역할을 설치했습니다.
-
Microsoft Small Business Server 2000 또는 Microsoft Windows Small Business Server 2003을 실행 중이며 침입자가 로컬 네트워크에 액세스할 수 있습니다.
이러한 잠재적인 취약점으로부터 컴퓨터를 보호하려면 다음 단계를 수행하십시오.
-
방화벽에서 TCP 포트 42 및 UDP 포트 42를 차단합니다.
이러한 포트는 원격 WINS 서버에 연결하는 데 사용됩니다. 방화벽에서 이 두 포트를 차단하면 방화벽 뒤의 컴퓨터에서 이 취약점을 사용하지 못하도록 할 수 있습니다. TCP 포트 42 및 UDP 포트 42는 기본 WINS 복제 포트입니다. 인터넷에서 들어오는 원하지 않는 통신을 모두 차단하는 것이 좋습니다. -
IPsec(인터넷 프로토콜 보안)을 사용하여 WINS 서버 복제 파트너 간의 트래픽을 보호할 수 있습니다. 이렇게 하려면 다음 방법 중 하나를 사용하십시오.
주의 각 WINS 인프라는 고유하기 때문에 이러한 변경은 사용자 인프라에 예기치 않은 영향을 줄 수 있습니다. 이 문제 완화 방법을 구현하기 전에 이로 인해 수반되는 위험을 분석하는 것이 좋습니다. 또한 프로덕션 환경에 적용하기 전에 완벽한 테스트를 수행하는 것이 좋습니다.-
옵션 1: IPSec 필터를 수동으로 구성
IPSec 필터를 수동으로 구성한 후 다음 Microsoft 기술 자료 문서의 지시를 따라 모든 IP 주소에서 사용자 시스템의 IP 주소로 들어오는 패킷을 모두 차단하는 차단 필터를 추가하십시오.813878 IPSec을 사용하여 특정 네트워크 프로토콜 및 포트를 차단하는 방법
Windows 2000 Active Directory 도메인 환경에서 IPSec을 사용하고 그룹 정책을 사용하여 IPSec을 배포하는 경우 도메인 정책이 로컬로 정의된 정책보다 우선합니다. 이로 인해 이 옵션이 사용자가 원하는 패킷을 차단하지 못하게 됩니다.
서버가 Windows 2000 도메인 또는 이후 버전에서 IPSec 정책을 받는지 확인하려면 기술 자료 문서 813878의 “IPSec 정책 할당 여부 확인” 절을 참조하십시오.
효과적인 로컬 IPSec 정책을 만들 수 있다는 것이 확인되면 IPSeccmd.exe 도구 또는 IPSecpol.exe 도구를 다운로드하십시오.
다음 명령은 TCP 포트 42 및 UDP 포트 42에 대한 인바운드와 아웃바운드 액세스를 차단합니다.
참고 이러한 명령에서 %IPSEC_Command%는 Ipsecpol.exe(Windows 2000) 또는 Ipseccmd.exe(Windows Server 2003)를 나타냅니다.%IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK
%IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK
%IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK
%IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK다음 명령은 충돌하는 정책이 없을 경우 즉시 IPSec 정책을 적용합니다. 이 명령은 모든 인바운드/아웃바운드 TCP 포트 42 및 UDP 포트 42 패킷을 차단하므로 명령이 실행되는 서버와 WINS 복제 파트너 간에 WINS 복제가 발생하는 것을 효과적으로 방지합니다.
%IPSEC_Command% -w REG -p "Block WINS Replication" –x
이 IPSec 정책을 사용한 후에 네트워크에 문제가 발생하는 경우 다음 명령을 사용하여 정책을 해제한 후 삭제할 수 있습니다.
%IPSEC_Command% -w REG -p "Block WINS Replication" -y
%IPSEC_Command% -w REG -p "Block WINS Replication" -o특정 WINS 복제 파트너 간에 WINS 복제가 작동하도록 허용하려면 허용 규칙을 사용하여 이러한 차단 규칙을 무시하면 됩니다. 허용 규칙은 신뢰할 수 있는 WINS 복제 파트너의 IP 주소만 지정해야 합니다.
다음 명령으로 Block WINS Replication IPSec 정책을 업데이트하여 특정 IP 주소가 Block WINS Replication 정책을 사용하는 서버와 통신하도록 허용할 수 있습니다.
참고 이러한 명령에서 %IPSEC_Command%는 Ipsecpol.exe(Windows 2000) 또는 Ipseccmd.exe(Windows Server 2003)를 나타내며 %IP%는 복제할 원격 WINS 서버의 IP 주소를 나타냅니다.%IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS
%IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS
%IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS
%IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS정책을 즉시 할당하려면 다음 명령을 사용하십시오.
%IPSEC_Command% -w REG -p "Block WINS Replication" -x
-
옵션 2: 스크립트를 실행하여 IPSec 필터 자동 구성
포트를 차단하는 IPSec 정책을 만드는 WINS Replication Blocker 스크립트를 다운로드한 다음 실행합니다. 이렇게 하려면 다음과 같이 하십시오.-
.exe 파일을 다운로드하고 압축을 풀려면 다음 단계를 수행하십시오.
-
WINS Replication Blocker 스크립트를 다운로드합니다.
Microsoft 다운로드 센터에서 다음 파일을 다운로드할 수 있습니다.
릴리스 날짜: 2004년 12월 3일
Microsoft 지원 파일을 다운로드하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.119591 온라인 서비스로부터 Microsoft 지원 파일을 구하는 방법
Microsoft는 파일을 게시한 날짜에 사용할 수 있는 최신의 바이러스 예방 프로그램으로 이 파일을 검사했습니다. 이 파일은 무단 변경을 방지하기 위해 보안이 강화된 서버에 저장됩니다.WINS Replication Blocker 스크립트를 플로피 디스크로 다운로드할 때는 포맷된 빈 디스크를 사용하십시오. WINS Replication Blocker 스크립트를 하드 디스크로 다운로드할 때는 새 폴더를 만들어 파일을 임시로 저장하고 파일 압축을 푸십시오.
주의 파일을 직접 Windows 폴더로 다운로드하지 마십시오. 이렇게 하면 컴퓨터가 올바로 작동하는 데 필요한 파일을 덮어쓸 수 있습니다. -
파일을 다운로드한 폴더에서 해당 파일을 찾은 다음 자동 압축 풀기 .exe 파일을 두 번 눌러 임시 폴더에 압축을 풉니다. 예를 들어, C:\Temp에 압축을 풉니다.
-
-
명령 프롬프트를 연 다음 파일 압축이 풀린 디렉터리로 이동합니다.
-
경고
-
WINS 서버가 감염되었다고 생각되지만 어떤 WINS 서버가 손상되었는지 또는 현재 사용 중인 WINS 서버가 손상되었는지 잘 모르는 경우에는 3단계에서 IP 주소를 입력하지 마십시오. 그러나 2004년 11월부터는 이 문제의 영향을 받은 고객이 보고되지 않았습니다. 따라서 서버가 예상대로 작동하는 경우 설명에 따라 진행하십시오.
-
IPsec을 잘못 설정한 경우 회사 네트워크에 심각한 WINS 복제 문제가 발생할 수 있습니다. IPsec 보안 고려 사항에 대한 자세한 내용은 다음 Microsoft 웹 사이트를 참조하십시오.
http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sag_ipsecsec_con.mspx(영문)
Block_Wins_Replication.cmd 파일을 실행합니다. TCP 포트 42 및 UDP 포트 42 인바운드/아웃바운드 차단 규칙을 만들려면 원하는 옵션을 선택하라는 메시지가 나타날 때 1을 입력한 다음 Enter 키를 눌러 옵션 1을 선택합니다.
옵션 1을 선택하면 신뢰할 수 있는 WINS 복제 서버의 IP 주소를 입력하라는 메시지가 나타납니다.
사용자가 입력한 모든 IP 주소는 TCP 포트 42 및 UDP 포트 42 정책 차단에서 제외됩니다. IP 주소 입력 메시지는 계속 반복되어 나타나므로 필요하면 IP 주소를 여러 개 입력할 수 있습니다. WINS 복제 파트너의 IP 주소를 모를 경우에는 나중에 스크립트를 다시 실행할 수 있습니다. 신뢰할 수 있는 WINS 복제 파트너의 IP 주소를 입력하려면 원하는 옵션을 선택하라는 메시지가 나타날 때 2를 입력한 다음 Enter 키를 눌러 옵션 2를 선택합니다.
보안 업데이트를 배포한 후 IPSec 정책을 제거할 수 있습니다. IPSec 정책을 제거하려면 스크립트를 실행합니다. 원하는 옵션을 선택하라는 메시지가 나타날 때 3을 입력한 다음 Enter 키를 눌러 옵션 3을 선택합니다.
IPSec 및 필터를 적용하는 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.313190 HOWTO: Windows 2000에서 IPSec IP 필터 목록 사용
-
-
-
-
필요하지 않으면 WINS를 제거합니다.
WINS가 더 이상 필요하지 않으면 다음 단계를 수행하여 제거하십시오. 이 단계는 Windows 2000, Windows Server 2003 및 이후 버전의 운영 체제에 적용됩니다. Windows NT Server 4.0의 경우 제품 설명서에 포함된 절차를 수행하십시오.
중요 많은 조직에서 WINS를 사용하여 네트워크에서 단일 레이블이나 기본 이름 등록과 확인 기능을 수행합니다. 관리자는 다음 조건 중 하나 이상에 해당하는 경우에만 WINS를 제거해야 합니다.-
관리자는 WINS를 제거할 경우 네트워크에 주는 영향을 완벽하게 이해하고 있습니다.
-
관리자는 정규화된 도메인 이름과 DNS 도메인 접미사를 사용하여 동일 기능을 제공하도록 DNS를 구성했습니다.
또한 서버에서 WINS 기능을 제거한 후에도 네트워크의 공유 리소스를 계속 제공하도록 하려면 로컬 네트워크에서 DNS와 같은 다른 이름 확인 서비스를 사용하도록 시스템을 올바르게 다시 구성해야 합니다.
WINS에 대한 자세한 내용을 보려면 다음 Microsoft 웹 사이트를 방문하십시오.http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true(영문) NETBIOS 또는 WINS 이름 확인과 DNS 구성이 필요한지 여부를 확인하는 방법에 대한 자세한 내용을 보려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspx(영문)WINS를 제거하려면 다음 단계를 수행하십시오.
-
제어판에서 프로그램 추가/제거를 엽니다.
-
Windows 구성 요소 추가/제거를 누릅니다.
-
Windows 구성 요소 마법사 페이지의 구성 요소에서 네트워킹 서비스를 누른 다음 자세히를 누릅니다.
-
WINS(Windows 인터넷 이름 서비스) 확인란 선택을 취소하여 WINS를 제거합니다.
-
화면의 지시를 따라 Windows 구성 요소 마법사를 완료합니다.
-
현재 일반 업데이트 과정의 일환으로 이 보안 문제를 해결하는 업데이트를 준비하고 있습니다. 업데이트 품질이 적정 수준에 도달하면 Windows Update를 통해 제공할 예정입니다.
영향을 받는다고 생각되는 고객은 고객기술지원부에 문의하십시오. 북미 지역에서는 다음 PC Safety 전화 번호를 사용하면 보안 업데이트 문제나 바이러스에 대해 고객기술지원부에 문의할 수 있습니다.
1-866-PCSAFETY참고 이 전화는 무료입니다.
북미 이외 지역의 고객은 다음 Microsoft 웹 사이트에 나열된 방법을 사용하여 고객기술지원부에 문의하십시오.
http://support.microsoft.com
Microsoft 제품 관련 기술 전문가들과 온라인으로 정보를 교환하시려면 Microsoft 뉴스 그룹에 참여하시기 바랍니다.
