แนะ นำ

เรากําลังตรวจสอบรายงานของปัญหาด้านความปลอดภัยกับ Microsoft Windows Internet Name Service (WINS) ปัญหานี้มีผลต่อ Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server และ Microsoft Windows Server 2003 ปัญหาด้านความปลอดภัยนี้ไม่ส่งผลกระทบต่อ Microsoft Windows 2000 Professional, Microsoft Windows XP หรือ Microsoft Windows Millennium Edition

ข้อมูลเพิ่มเติม

ตามค่าเริ่มต้น WINS จะไม่ถูกติดตั้งบน Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server หรือ Windows Server 2003 ตามค่าเริ่มต้น WINS จะถูกติดตั้งและทํางานบน Microsoft Small Business Server 2000 และ Microsoft Windows Small Business Server 2003 ตามค่าเริ่มต้น ใน Microsoft Small Business Server ทุกเวอร์ชัน พอร์ตการสื่อสารคอมโพเนนต์ WINS จะถูกบล็อกจากอินเทอร์เน็ต และ WINS จะพร้อมใช้งานบนเครือข่ายเฉพาะที่เท่านั้น ปัญหาด้านความปลอดภัยนี้อาจทําให้ผู้โจมตีสามารถบุกรุกเซิร์ฟเวอร์ WINS จากระยะไกลได้ หากเงื่อนไขใดเงื่อนไขหนึ่งต่อไปนี้เป็นจริง:

  • คุณได้เปลี่ยนการกําหนดค่าเริ่มต้นเพื่อติดตั้งบทบาทเซิร์ฟเวอร์ WINS บน Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server หรือ Windows Server 2003

  • คุณกําลังเรียกใช้ Microsoft Small Business Server 2000 หรือ Microsoft Windows Small Business Server 2003 และผู้โจมตีมีสิทธิ์เข้าถึงเครือข่ายภายในของคุณ

เมื่อต้องการป้องกันคอมพิวเตอร์ของคุณจากช่องโหว่ที่อาจเกิดได้นี้ ให้ทําตามขั้นตอนต่อไปนี้:

  1. บล็อกพอร์ต TCP 42 และพอร์ต UDP 42 ที่ไฟร์วอลล์พอร์ตเหล่านี้ใช้เริ่มต้นการเชื่อมต่อกับเซิร์ฟเวอร์ WINS ระยะไกล หากคุณบล็อกพอร์ตเหล่านี้ที่ไฟร์วอลล์ จะช่วยป้องกันไม่ให้คอมพิวเตอร์ที่อยู่เบื้องหลังไฟร์วอลล์นั้นพยายามใช้ช่องโหว่นี้ พอร์ต TCP 42 และพอร์ต UDP 42 เป็นพอร์ตการจําลองแบบ WINS เริ่มต้น เราขอแนะนําให้บล็อกการติดต่อสื่อสารที่ไม่พึงประสงค์ทั้งหมดจากอินเทอร์เน็ต

  2. ใช้ความปลอดภัยของอินเทอร์เน็ตโพรโทคอล (IPsec) เพื่อช่วยปกป้องปริมาณการใช้งานระหว่างคู่ค้าการจําลองแบบเซิร์ฟเวอร์ WINS เมื่อต้องการทําเช่นนี้ ให้ใช้หนึ่งในตัวเลือกต่อไปนี้ ข้อควรระวัง เนื่องจากโครงสร้างพื้นฐาน WINS แต่ละรายการไม่ซ้ํากัน การเปลี่ยนแปลงเหล่านี้อาจมีผลกระทบที่ไม่คาดคิดกับโครงสร้างพื้นฐานของคุณ เราขอแนะนําให้คุณทําการวิเคราะห์ความเสี่ยงก่อนที่คุณจะเลือกที่จะใช้การบรรเทานี้ นอกจากนี้ เราขอแนะนําให้คุณทําการทดสอบอย่างสมบูรณ์ก่อนที่คุณจะนําการบรรเทานี้ไปใช้ในการผลิต

    • ตัวเลือกที่ 1: กําหนดค่าตัวกรอง IPSec ด้วยตนเอง กําหนดค่าตัวกรอง IPSec ด้วยตนเอง แล้วทําตามคําแนะนําในบทความฐานความรู้ของ Microsoft ต่อไปนี้เพื่อเพิ่มตัวกรองบล็อกที่บล็อกแพคเก็ตทั้งหมดจากที่อยู่ IP ไปยังที่อยู่ IP ของระบบของคุณ:

      813878 วิธีการบล็อกโพรโทคอลเครือข่ายและพอร์ตเฉพาะโดยใช้ IPSecถ้าคุณใช้ IPSec ในสภาพแวดล้อมโดเมน Active Directory ของ Windows 2000 และคุณปรับใช้นโยบาย IPSec ของคุณโดยใช้นโยบายกลุ่ม นโยบายโดเมนจะแทนที่นโยบายที่กําหนดภายในเครื่องใดๆ เหตุการณ์นี้ป้องกันไม่ให้ตัวเลือกนี้บล็อกแพคเก็ตที่คุณต้องการเมื่อต้องการตรวจสอบว่าเซิร์ฟเวอร์ของคุณได้รับนโยบาย IPSec จากโดเมน Windows 2000 หรือเวอร์ชันที่ใหม่กว่า ให้ดูส่วน "ระบุว่ามีการกําหนดนโยบาย IPSec หรือไม่" ในบทความฐานความรู้ 813878 เมื่อคุณทราบว่าคุณสามารถสร้างนโยบาย IPSec ภายในที่มีประสิทธิภาพ ให้ดาวน์โหลดเครื่องมือ IPSeccmd.exe หรือเครื่องมือ IPSecpol.exe คําสั่งต่อไปนี้บล็อกการเข้าถึงขาเข้าและขาออกไปยังพอร์ต TCP 42 และพอร์ต UDP 42หมายเหตุ ในคําสั่งเหล่านี้ %IPSEC_Command% หมายถึง Ipsecpol.exe (บน Windows 2000) หรือ Ipseccmd.exe (บน Windows Server 2003)

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK

      คําสั่งต่อไปนี้ทําให้นโยบาย IPSec มีผลทันทีถ้าไม่มีนโยบายที่ขัดแย้งกัน คําสั่งนี้จะเริ่มต้นบล็อกพอร์ต TCP ขาเข้า/ขาออก 42 และแพคเก็ตพอร์ต UDP 42 ทั้งหมด ซึ่งป้องกันการจําลองแบบ WINS อย่างมีประสิทธิภาพไม่ให้เกิดขึ้นระหว่างเซิร์ฟเวอร์ที่คําสั่งเหล่านี้ทํางานอยู่และคู่ค้าการจําลองแบบ WINS

      %IPSEC_Command% -w REG -p "Block WINS Replication" –x

      ถ้าคุณพบปัญหาบนเครือข่ายหลังจากที่คุณเปิดใช้งานนโยบาย IPSec นี้ คุณสามารถยกเลิกการกําหนดนโยบาย แล้วลบนโยบาย โดยใช้คําสั่งต่อไปนี้:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -y %IPSEC_Command% -w REG -p "Block WINS Replication" -o

      เมื่อต้องการอนุญาตให้การจําลองแบบ WINS ทํางานระหว่างคู่ค้าการจําลองแบบ WINS เฉพาะ คุณต้องแทนที่กฎการบล็อกเหล่านี้ด้วยกฎอนุญาต กฎอนุญาตควรระบุที่อยู่ IP ของคู่ค้าการจําลองแบบ WINS ที่เชื่อถือได้ของคุณเท่านั้นคุณสามารถใช้คําสั่งต่อไปนี้เพื่ออัปเดตนโยบาย IPSec การจําลองแบบ WINS บล็อกเพื่ออนุญาตให้ที่อยู่ IP เฉพาะสื่อสารกับเซิร์ฟเวอร์ที่ใช้นโยบายการจําลองแบบ WINS บล็อกหมายเหตุ ในคําสั่งเหล่านี้ %IPSEC_Command% หมายถึง Ipsecpol.exe (บน Windows 2000) หรือ Ipseccmd.exe (บน Windows Server 2003) และ %IP% อ้างอิงไปยังที่อยู่ IP ของเซิร์ฟเวอร์ WINS ระยะไกลที่คุณต้องการจําลอง

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS

      เมื่อต้องการกําหนดนโยบายทันที ให้ใช้คําสั่งต่อไปนี้:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -x

    • ตัวเลือกที่ 2: เรียกใช้สคริปต์เพื่อกําหนดค่าตัวกรอง IPSec โดยอัตโนมัติ ดาวน์โหลด แล้วเรียกใช้สคริปต์ตัวบล็อกการจําลองแบบ WINS ที่สร้างนโยบาย IPSec เพื่อบล็อกพอร์ต โดยทําตามขั้นตอนต่อไปนี้:

      1. เมื่อต้องการดาวน์โหลดและแยกไฟล์ .exe ให้ทําตามขั้นตอนต่อไปนี้:

        1. ดาวน์โหลดสคริปต์ตัวบล็อกการจําลองแบบ WINS ไฟล์ต่อไปนี้จะพร้อมใช้งานสําหรับการดาวน์โหลดจากศูนย์ดาวน์โหลด Microsoft:ดาวน์โหลดดาวน์โหลดแพคเกจสคริปต์ตัวบล็อกการจําลองแบบ WINS ในขณะนี้ วันที่เผยแพร่: 2 ธันวาคม 2004 สําหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการดาวน์โหลดไฟล์ฝ่ายสนับสนุนของ Microsoft ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความใน Microsoft Knowledge Base:

          119591 วิธีการขอรับแฟ้มสนับสนุนของ Microsoft จากบริการออนไลน์ Microsoft สแกนแฟ้มนี้เพื่อหาไวรัส Microsoft ใช้ซอฟต์แวร์ตรวจหาไวรัสล่าสุด ณ วันที่มีการโพสต์แฟ้มนั้นๆ แฟ้มดังกล่าวจะถูกเก็บไว้บนเซิร์ฟเวอร์เพิ่มความปลอดภัยที่ช่วยป้องกันการเปลี่ยนแปลงแฟ้มโดยไม่ได้รับอนุญาต

          หากคุณกําลังดาวน์โหลดสคริปต์ตัวบล็อกการจําลองแบบ WINS ลงในฟลอปปีดิสก์ ให้ใช้ดิสก์เปล่าที่ฟอร์แมตแล้ว หากคุณกําลังดาวน์โหลดสคริปต์ตัวบล็อกการจําลองแบบ WINS ลงในฮาร์ดดิสก์ของคุณ ให้สร้างโฟลเดอร์ใหม่เพื่อบันทึกไฟล์ไว้ชั่วคราวและแยกไฟล์ออกมา ข้อควรระวัง ห้ามดาวน์โหลดไฟล์ลงในโฟลเดอร์ Windows โดยตรง การกระทํานี้อาจเขียนทับแฟ้มที่จําเป็นสําหรับคอมพิวเตอร์ของคุณเพื่อให้ทํางานได้อย่างถูกต้อง

        2. ค้นหาไฟล์ในโฟลเดอร์ที่คุณดาวน์โหลดไฟล์ไว้ แล้วดับเบิลคลิกที่ไฟล์ .exe ที่แยกด้วยตนเองเพื่อแยกเนื้อหาไปยังโฟลเดอร์ชั่วคราว ตัวอย่างเช่น แยกเนื้อหาไปยัง C:\Temp

      2. เปิดพร้อมท์คําสั่ง แล้วย้ายไปยังไดเรกทอรีที่แยกไฟล์ไว้

      3. คำเตือน

        • หากคุณสงสัยว่าเซิร์ฟเวอร์ WINS ของคุณอาจติดไวรัส แต่คุณไม่แน่ใจว่าเซิร์ฟเวอร์ WINS ใดที่ถูกโจมตี หรือเซิร์ฟเวอร์ WINS ปัจจุบันของคุณถูกโจมตี อย่าป้อนที่อยู่ IP ใดๆ ในขั้นตอนที่ 3 อย่างไรก็ตาม ตั้งแต่เดือนพฤศจิกายน 2004 เราจะไม่ทราบว่าลูกค้ารายใดได้รับผลกระทบจากปัญหานี้ ดังนั้น หากเซิร์ฟเวอร์ของคุณทํางานตามที่คาดไว้ ให้ดําเนินการต่อตามที่อธิบายไว้

        • หากคุณตั้งค่า IPsec อย่างไม่ถูกต้อง อาจทําให้เกิดปัญหาการจําลองแบบ WINS อย่างร้ายแรงบนเครือข่ายองค์กรของคุณ

        เรียกใช้ไฟล์ Block_Wins_Replication.cmd เมื่อต้องการสร้างพอร์ต TCP 42 และพอร์ต UDP 42 กฎบล็อกขาเข้าและขาออก ให้พิมพ์ 1 แล้วกด ENTER เพื่อเลือกตัวเลือก 1 เมื่อคุณได้รับพร้อมท์ให้เลือกตัวเลือกที่คุณต้องการ

        หลังจากที่คุณเลือกตัวเลือกที่ 1 สคริปต์จะพร้อมท์ให้คุณใส่ที่อยู่ IP ของเซิร์ฟเวอร์การจําลองแบบ WINS ที่เชื่อถือได้ ที่อยู่ IP แต่ละที่อยู่ที่คุณป้อนจะได้รับการยกเว้นจากนโยบายบล็อกพอร์ต TCP 42 และพอร์ต UDP 42 คุณจะได้รับพร้อมท์แบบวนรอบ และคุณสามารถใส่ที่อยู่ IP ได้มากเท่าที่ต้องการ ถ้าคุณไม่ทราบที่อยู่ IP ทั้งหมดของคู่ค้าการจําลองแบบ WINS คุณสามารถเรียกใช้สคริปต์อีกครั้งในอนาคต เมื่อต้องการเริ่มใส่ที่อยู่ IP ของคู่ค้าการจําลองแบบ WINS ที่เชื่อถือได้ ให้พิมพ์ 2 แล้วกด ENTER เพื่อเลือกตัวเลือก 2 เมื่อคุณได้รับพร้อมท์ให้เลือกตัวเลือกที่คุณต้องการ หลังจากที่คุณปรับใช้ปรับปรุงการรักษาความปลอดภัย คุณสามารถเอานโยบาย IPSec เมื่อต้องการทําเช่นนี้ ให้เรียกใช้สคริปต์ พิมพ์ 3 แล้วกด ENTER เพื่อเลือกตัวเลือก 3 เมื่อคุณได้รับพร้อมท์ให้เลือกตัวเลือกที่คุณต้องการสําหรับข้อมูลเพิ่มเติมเกี่ยวกับ IPsec และเกี่ยวกับวิธีการใช้ตัวกรอง ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:

        313190 วิธีใช้รายการตัวกรอง IP ของ IPsec ใน Windows 2000

  3. เอา WINS ออกถ้าคุณไม่ต้องการ หากคุณไม่ต้องการ WINS อีกต่อไป ให้ทําตามขั้นตอนเหล่านี้เพื่อลบ WINS ออก ขั้นตอนเหล่านี้ใช้ได้กับระบบปฏิบัติการเหล่านี้ใน Windows 2000, Windows Server 2003 และรุ่นที่ใหม่กว่า สําหรับ Windows NT Server 4.0 ให้ทําตามขั้นตอนที่รวมอยู่ในเอกสารประกอบผลิตภัณฑ์ สิ่งสําคัญ หลายองค์กรกําหนดให้ WINS ต้องลงทะเบียนป้ายชื่อเดียวหรือชื่อแบบแฟลตและฟังก์ชันการแก้ปัญหาบนเครือข่ายของตน ผู้ดูแลระบบไม่ควรลบ WINS ยกเว้นกรณีที่มีเงื่อนไขใดเงื่อนไขหนึ่งต่อไปนี้เป็นจริง:

    • ผู้ดูแลระบบเข้าใจถึงผลดีที่การลบ WINS นี้จะมีอยู่บนเครือข่ายของพวกเขา

    • ผู้ดูแลระบบได้กําหนดค่า DNS เพื่อให้หน้าที่การใช้งานที่เทียบเท่ากันโดยใช้ชื่อโดเมนแบบเต็มและส่วนต่อท้ายโดเมน DNS

    นอกจากนี้ ถ้าผู้ดูแลระบบกําลังเอาฟังก์ชัน WINS ออกจากเซิร์ฟเวอร์ที่จะให้ทรัพยากรที่ใช้ร่วมกันบนเครือข่ายต่อไป สําหรับข้อมูลเพิ่มเติมเกี่ยวกับ WINS โปรดแวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:

    http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true สําหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการตรวจสอบว่าคุณต้องการการจําแนกชื่อ NETBIOS หรือ WINS และการกําหนดค่า DNS แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:

    http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxเมื่อต้องการเอา WINS ออก ให้ทําตามขั้นตอนต่อไปนี้:

    1. ใน แผงควบคุม ให้เปิด เพิ่มหรือเอาโปรแกรมออก

    2. คลิก เพิ่ม/ลบคอมโพเนนต์ของ Windows

    3. บนหน้า ตัวช่วยสร้างคอมโพเนนต์ของ Windows ภายใต้คอมโพเนนต์ ให้คลิก บริการระบบเครือข่าย แล้วคลิก รายละเอียด

    4. คลิกเพื่อล้างกล่องกาเครื่องหมาย Windows Internet Naming Service (WINS) เพื่อเอา WINS ออก

    5. ทําตามคําแนะนําบนหน้าจอเพื่อดําเนินการตัวช่วยสร้างคอมโพเนนต์ของ Windows ให้เสร็จสมบูรณ์

เรากําลังทําการอัปเดตเพื่อแก้ไขปัญหาด้านความปลอดภัยนี้โดยเป็นส่วนหนึ่งของกระบวนการอัปเดตปกติของเรา เมื่อการอัปเดตมีคุณภาพถึงระดับที่เหมาะสม เราจะให้การอัปเดตผ่าน Windows Updateหากคุณเชื่อว่าคุณได้รับผลกระทบ ติดต่อบริการสนับสนุนผลิตภัณฑ์ลูกค้าต่างประเทศควรติดต่อบริการสนับสนุนผลิตภัณฑ์โดยใช้วิธีการใดๆ ที่ระบุไว้ที่เว็บไซต์ต่อไปนี้ของ Microsoft:

http://support.microsoft.com

Facebook LinkedIn อีเมล
สมัครใช้งานฟีด RSS

ต้องการความช่วยเหลือเพิ่มเติมหรือไม่

ต้องการตัวเลือกเพิ่มเติมหรือไม่

สํารวจสิทธิประโยชน์ของการสมัครใช้งาน เรียกดูหลักสูตรการฝึกอบรม เรียนรู้วิธีการรักษาความปลอดภัยอุปกรณ์ของคุณ และอื่นๆ

ประโยชน์ของการสมัครใช้งาน Microsoft 365

การฝึกอบรม Microsoft 365

ความปลอดภัยของ Microsoft

ศูนย์การช่วยสําหรับการเข้าถึง