简介

我们正在研究有关 Microsoft Windows Internet 名称服务 (WINS) 中存在的安全问题的报告。该安全问题影响 Microsoft Windows NT Server 4.0、Microsoft Windows NT Server 4.0 终端服务器版、Microsoft Windows 2000 Server 和 Microsoft Windows Server 2003,而不影响 Microsoft Windows 2000 Professional、Microsoft Windows XP 或 Microsoft Windows Millennium Edition。

更多信息

默认情况下,WINS 未安装在 Windows NT Server 4.0、Windows NT Server 4.0 终端服务器版、Windows 2000 Server 或 Windows Server 2003 上。默认情况下,WINS 安装并运行在 Microsoft Small Business Server 2000 和 Microsoft Windows Small Business Server 2003 上。默认情况下,在 Microsoft Small Business Server 的所有版本上,均禁止 WINS 组件通信端口连接 Internet,并且 WINS 只能在本地网络上使用。由于该安全问题,攻击者可能会在满足下列条件之一时以远程方式危害 WINS 服务器的安全:

  • 您已将默认配置更改为在 Windows NT Server 4.0、Windows NT Server 4.0 终端服务器版、Windows 2000 Server 或 Windows Server 2003 上安装 WINS 服务器角色。

  • 您运行的是 Microsoft Small Business Server 2000 或 Microsoft Windows Small Business Server 2003,并且攻击者可以访问您的本地网络。

要帮助计算机免遭此潜在漏洞的危害,请按照下列步骤操作:

  1. 在防火墙处禁止 TCP 端口 42 和 UDP 端口 42。这两个端口用于与远程 WINS 服务器建立连接。如果在防火墙处禁止这些端口,可以帮助阻止位于该防火墙后面的计算机试图利用此漏洞。TCP 端口 42 和 UDP 端口 42 是默认的 WINS 复制端口。建议您禁止来自 Internet 的所有未经请求的通信。

  2. 使用 Internet 协议安全 (IPsec) 帮助保护 WINS 服务器复制合作伙伴之间的通信。为此,请使用下列选项之一。警告:因为每个 WINS 基础结构都是唯一的,所以这些更改可能会对您的基础结构产生意外影响。强烈建议您在选择执行此缓解方法之前执行风险分析。此外,还强烈建议您在将此缓解方法运用于生产之前执行完整的测试。

    • 选项 1:手动配置 IPSec 筛选器 手动配置 IPSec 筛选器,然后按照以下 Microsoft 知识库文章中的说明添加禁止筛选器,以阻止从任何 IP 地址到您系统 IP 地址的所有数据包:

      813878 如何使用 IPSec 阻止特定网络协议和端口如果您在 Windows 2000 Active Directory 域环境中使用 IPSec,并使用组策略部署 IPSec 策略,则域策略将覆盖在本地定义的任何策略。这种情况可防止此选项阻塞您需要的数据包。要确定您的服务器是从 Windows 2000 域还是从更高版本的域接收 IPSec 策略,请参见知识库文章 813878 中的“确定是否指定了 IPSec 策略”部分。当您已经确定您可以创建有效的本地 IPSec 策略时,可下载 IPSeccmd.exe 工具或 IPSecpol.exe 工具。下列命令禁止对 TCP 端口 42 和 UDP 端口 42 进行入站访问和出站访问。注意:在这些命令中,%IPSEC_Command% 是指 Ipsecpol.exe(在 Windows 2000 上)或 Ipseccmd.exe(在 Windows Server 2003 上)。

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK 

      如果没有冲突的策略,下面的命令可使 IPSec 策略立即生效。该命令将开始禁止所有入站/出站 TCP 端口 42 和 UDP 端口 42 数据包。这样可有效地阻止运行这些命令的服务器和任何 WINS 复制合作伙伴之间发生 WINS 复制。

      %IPSEC_Command% -w REG -p "Block WINS Replication" –x 

      如果在启用此 IPSec 策略后遇到网络问题,可以取消指定该策略,然后使用下面的命令删除该策略:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -y %IPSEC_Command% -w REG -p "Block WINS Replication" -o 

      要允许在特定 WINS 复制合作伙伴之间进行 WINS 复制,必须使用允许规则覆盖这些禁止规则。允许规则只应指定您信任的 WINS 复制合作伙伴的 IP 地址。您可以使用下列命令将“禁止 WINS 复制”IPSec 策略更新为允许特定 IP 地址与使用该“禁止 WINS 复制”策略的服务器进行通信。注意:在这些命令中,%IPSEC_Command% 是指 Ipsecpol.exe(在 Windows 2000 上)或 Ipseccmd.exe(在 Windows Server 2003 上),%IP% 是指用于复制的远程 WINS 服务器的 IP 地址。

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS 

      要立即指定该策略,请使用下面的命令:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -x
    • 选项 2:运行脚本以自动配置 IPSec 筛选器 下载并运行“WINS 复制禁止程序”脚本,该脚本创建用于禁止端口的 IPSec 策略。为此,请按照下列步骤操作:

      1. 要下载并提取 .exe 文件,请按照下列步骤操作:

        1. 下载“WINS 复制禁止程序”脚本。 可以从 Microsoft 下载中心下载以下文件: 立即下载“WINS 复制禁止程序”脚本程序包。 发布日期:2004 年 12 月 2 日 有关如何下载 Microsoft 支持文件的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

          119591 如何从联机服务获取 Microsoft 支持文件 Microsoft 已对此文件进行了病毒扫描。Microsoft 使用的是该文件发布时可以获得的最新病毒检测软件。该文件存储在安全性得到增强的服务器上,以防止在未经授权的情况下对其进行更改。

          如果要将“WINS 复制禁止程序”脚本下载到软盘,可使用已经格式化的空白磁盘。如果要将“WINS 复制禁止程序”脚本下载到硬盘,可新建一个文件夹以便临时保存并提取文件。 警告:不要将文件直接下载到 Windows 文件夹中。此操作可能会覆盖计算机正常运行所需的文件。

        2. 在该文件下载到的文件夹中找到该文件,然后双击自解压 .exe 文件,将内容提取到一个临时文件夹中。例如,将内容提取到 C:\Temp 中。

      2. 打开命令提示符,然后转至将文件提取到的目录。

      3. 警告

        • 如果您怀疑 WINS 服务器可能受到病毒感染,但是不确定哪些 WINS 服务器受到危害或者不确定您当前的 WINS 服务器是否受到危害,请不要在第 3 步中输入任何 IP 地址。不过,截至到 2004 年 11 月,我们尚未听说有任何客户受到此问题的影响。因此,如果您的服务器运行正常,请继续按照说明操作。

        • 如果您设置的 IPsec 不正确,可能会导致在企业网络上发生严重的 WINS 复制问题。有关 IPsec 安全注意事项的其他信息,请访问下面的 Microsoft 网站:

          http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sag_ipsecsec_con.mspx

        运行 Block_Wins_Replication.cmd 文件。要创建 TCP 端口 42 和 UDP 端口 42 入站和出站禁止规则,请在系统提示您选择所需选项时键入 1,然后按 Enter 以选择选项 1。

        选择选项 1 后,脚本会提示您输入可信 WINS 复制服务器的 IP 地址。 您输入的每个 IP 地址均不受禁止 TCP 端口 42 和 UDP 端口 42 策略的约束。您会不断收到提示,而且可以根据需要输入许多 IP 地址。如果不知道 WINS 复制合作伙伴的所有 IP 地址,可以在以后再次运行该脚本。要开始输入可信 WINS 复制合作伙伴的 IP 地址,请在系统提示您选择所需选项时键入“2”,然后按 Enter 以选择选项 2。 部署安全更新以后,可以删除 IPSec 策略。为此,请运行该脚本。在系统提示您选择所需选项时键入 3,然后按 Enter 以选择选项 3。有关 IPsec 以及如何应用筛选器的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

        313190如何使用 Windows 2000 中的 IPsec IP 筛选器列表

  3. 如果不需要 WINS,则将其删除。 如果不再需要 WINS,请按照下列步骤操作将它删除。这些步骤适用于 Windows 2000、Windows Server 2003 以及这些操作系统的更高版本。对于 Windows NT Server 4.0,请按照产品文档中介绍的步骤操作。重要说明:许多组织要求 WINS 在其网络上执行单个标签或简单名称注册和解析功能。除非满足下列条件之一,否则管理员不应删除 WINS:

    • 管理员完全了解删除 WINS 这一操作对其网络的影响。

    • 管理员已经通过使用完全限定的域名和 DNS 域后缀将 DNS 配置为提供等同的功能。

    此外,如果管理员要从服务器中删除 WINS 功能,而该服务器将继续在网络中提供共享资源,则管理员必须重新正确配置系统,使之使用本地网络中其余的名称解析服务(如 DNS)。有关 WINS 的更多信息,请访问下面的 Microsoft 网站:

    http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true 有关如何确定是需要 NETBIOS 还是需要 WINS 名称解析和 DNS 配置的更多信息,请访问下面的 Microsoft 网站:

    http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspx要删除 WINS,请按照下列步骤操作:

    1. 在“控制面板”中,打开“添加或删除程序”。

    2. 单击“添加/删除 Windows 组件”。

    3. 在“Windows 组件向导”页中的“组件”下,单击“网络服务”,然后单击“详细信息”。

    4. 单击以清除“Windows Internet 名称服务(WINS)”复选框以删除 WINS。

    5. 根据屏幕上的说明操作,完成 Windows 组件向导。

我们正在创建更新,以通过定期的更新过程解决此安全问题。当该更新达到适当的质量级别时,我们将通过 Windows Update 提供该更新。如果您认为您已经受到影响,请与产品支持服务部门联系。在北美洲,可使用下面的 PC 安全电话号码与产品支持服务部门联系,以获取与安全更新问题或病毒相关的帮助:

1-866-PCSAFETY注意:拨打此电话是免费的。国际客户应该使用以下 Microsoft 网站中列出的任意方法与产品支持服务部门联系:

http://support.microsoft.com

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。

社区可帮助你提出和回答问题、提供反馈,并听取经验丰富专家的意见。