你目前正处于脱机状态,正在等待 Internet 重新连接

MS02-070:SMB 签名中的缺陷可能允许修改组策略

Support for Windows XP has ended

Microsoft ended support for Windows XP on April 8, 2014. This change has affected your software updates and security options. Learn what this means for you and how to stay protected.

症状
所有版本的 Windows 中都包括对服务器消息块 (SMB) 协议的支持。虽然 SMB 是文件共享协议,但是 SMB 还可用于其他用途。这些用途之一是将“组策略”设置从域控制器分发到登录的计算机。从 Windows 2000 开始,可以通过对会话中的所有数据包进行数字签名来改进 SMB 会话的完整性。Windows 2000 和 Windows XP 可以配置为始终签名、从不签名或者只在其他方要求时签名。

在 Windows 2000 和 Windows XP 中实现 SMB 签名的缺陷使得攻击者可以静默方式降低受影响计算机上的 SMB 签名设置。要这样做,攻击者必须在客户端与服务器交换会话协商数据时有权限访问这些数据,并且必须能够以利用该缺陷的方式修改这些数据。这可能导致任一计算机或者全部两台计算机都发送未经签名的数据,而无论管理员设置什么签名策略。在攻击者降低签名设置后,攻击者可以继续监视和更改会话中的数据。缺少签名会阻碍通信各方检测更改。

虽然可以利用此漏洞来公开任何 SMB 会话以进行篡改,但是最严重的情况涉及更改“组策略”设置,因为这些设置是从基于 Windows 2000 的域控制器分发到新登录的网络客户端的。通过这样做,攻击者可以采取一些操作,例如,向本地 Administrators 组添加用户或者在计算机上安装并运行代码。请注意,Windows XP 不能用作域控制器。因此,这种情况不适用于 Windows XP。这是与该漏洞相关联的风险最高的情况。
解决方案

Windows XP

下载信息

从 Microsoft 下载中心可以下载以下文件:
发布日期:2002 年 12 月 11 日

有关如何下载 Microsoft 支持文件的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591 如何从联机服务获取 Microsoft 支持文件
Microsoft 已对此文件进行了病毒扫描。Microsoft 使用的是该文件发布时可以获得的最新病毒检测软件。该文件存储在安全性已增强的服务器上,以防止在未经授权的情况下对其进行更改。

安装信息

应用此更新后,必须重新启动计算机。此更新支持以下安装开关:
  • /? 显示安装开关列表。
  • /u 使用“无人参与”模式。
  • /f 当计算机关闭时强制其他程序退出。
  • /n 不为删除备份文件。
  • /o 不给出提示即覆盖 OEM 文件。
  • /z 当安装完成时不重新启动。
  • /q 使用“安静”模式(无用户交互)。
  • /l 列出已安装的修复程序。
  • /x 解压缩文件但不运行安装程序。
例如,下面的命令行在安装此更新程序时不需要任何用户干预并且不强制计算机重新启动:
q329170_wxp_sp2_x86_CHS /q /u /z
警告:计算机在重新启动之前易受攻击。

文件信息

此修补程序的英文版具有下表中列出的文件属性(或更新的属性)。这些文件的日期和时间按协调通用时间 (UTC) 列出。当您查看文件信息时,该时间将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用“控制面板”中的“日期和时间”工具中的时区选项卡。

下列文件安装在 %Windir%\System32\Drivers 文件夹中。

Windows XP日期		时间	版本		大小	   文件名--------------------------------------------------------------31-Oct-2002	19:45	5.1.2600.105	322,304	   Srv.sysWindows XP SP1, Windows XP Tablet PC Edition日期		时间	版本		大小	   文件名--------------------------------------------------------------20-Dec-2002	17:36	5.1.2600.1154	322,048    Srv.sysWindows XP 64 位版本日期		时间	版本		大小	   文件名--------------------------------------------------------------31-Oct-2002	19:45	5.1.2600.105	1,142,016  Srv.sysWindows XP 64 位版本 SP1日期		时间	版本		大小	   文件名--------------------------------------------------------------20-Dec-2002	17:36	5.1.2600.1154	1,140,480  Srv.sys
注意:如果您的网络受影响,必须在网络中所有基于 Windows XP 的客户端上安装此修复程序。

Windows 2000 Service Pack 信息

要解决此问题,请获取最新的 Microsoft Windows 2000 Service Pack。有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
260910 如何获取最新的 Windows 2000 Service Pack

Windows 2000 修复程序信息

下载信息

从 Microsoft 下载中心可以下载以下文件:
除 NEC 日语以外的所有语言:下载立即下载 329170 软件包
发布日期:2002 年 12 月 11 日

有关如何下载 Microsoft 支持文件的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
119591 如何从联机服务获取 Microsoft 支持文件
Microsoft 已对此文件进行了病毒扫描。Microsoft 使用的是该文件发布时可以获得的最新病毒检测软件。该文件存储在安全性已增强的服务器上,以防止在未经授权的情况下对其进行更改。

安装信息

由于文件依赖性,此更新需要 Windows 2000 Service Pack 2 (SP2) 或 Service Pack 3 (SP3)。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
260910如何获取最新的 Windows 2000 Service Pack

安装信息

应用此更新后,必须重新启动计算机。此更新支持以下安装开关:
  • /? 显示安装开关列表。
  • /u 使用“无人参与”模式。
  • /f 当计算机关闭时强制其他程序退出。
  • /n 不为删除备份文件。
  • /o 不给出提示即覆盖 OEM 文件。
  • /z 当安装完成时不重新启动。
  • /q 使用“安静”模式(无用户交互)。
  • /l 列出已安装的修复程序。
  • /x 解压缩文件但不运行安装程序。
例如,下面的命令行在安装此更新程序时不需要任何用户干预并且不强制计算机重新启动:
q329170_w2k_sp4_x86_CHS /q /u /z
警告:计算机在重新启动之前易受攻击。

文件信息

此修补程序的英文版具有下表中列出的文件属性(或更新的属性)。这些文件的日期和时间按协调通用时间 (UTC) 列出。当您查看文件信息时,该时间将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用“控制面板”中的“日期和时间”工具中的时区选项卡。

下列文件安装在 %Windir%\System32\ 文件夹中。

日期		时间	版本		 大小	   文件名------------------------------------------------------------01-Nov-2002	16:55   5.0.2195.6090   250,640   Localspl.dll01-Nov-2002	16:55   5.0.2195.6023   381,712   Printui.dll23-Oct-2002	15:05   5.0.2195.6100   138,752   Sp3res.dll01-Nov-2002	16:55   5.0.2195.6047    79,632   Spoolss.dll31-Oct-2002	00:45   5.0.2195.6110   237,456   Srv.sys01-Nov-2002	16:55   5.0.2195.6110    74,000   Srvsvc.dll01-Nov-2002	16:55   5.0.2195.6044    84,752   Win32spl.dll01-Nov-2002	16:55   5.0.2195.6032   114,448   Winspool.drv01-Nov-2002	16:55   5.0.2195.6103    55,056   Wlnotify.dll
状态
Microsoft 已经确认此问题可能导致本文开头列出的 Microsoft 产品中存在某种程度的安全漏洞。 此问题最早是在 Microsoft Windows 2000 Service Pack 4 中解决的。
更多信息
有关此漏洞的更多信息,请访问下面的 Microsoft Web 站点:
security_patch
属性

文章 ID:329170 - 上次审阅时间:12/01/2007 01:44:00 - 修订版本: 12.3

  • Microsoft Windows XP Professional x64 Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • kbbug kbfix kbwin2000presp4fix kbqfe kbenv kbsecurity kbwinxpsp2fix kbwinxppresp2fix kbwin2ksp4fix kbhotfixserver KB329170
反馈