简介
我们正在调查有关 windows Internet 名称服务 (WINS) Microsoft安全问题的报告。 此安全问题影响 Microsoft Windows NT Server 4.0、Microsoft Windows NT Server 4.0 终端服务器版本、Microsoft Windows 2000 Server 和 Microsoft Windows Server 2003。 此安全问题不会影响Microsoft Windows 2000 专业版、Microsoft Windows XP 或 windows Millennium Edition Microsoft。
详细信息
默认情况下,WINS 未安装在 Windows NT Server 4.0、Windows NT Server 4.0 终端服务器版本、Windows 2000 Server 或 Windows Server 2003 上。 默认情况下,WINS 在 Microsoft Small Business Server 2000 上安装并运行,Microsoft Windows Small Business Server 2003。 默认情况下,在所有版本的 Microsoft Small Business Server 上,WINS 组件通信端口都阻止来自 Internet,并且 WINS 仅在本地网络上可用。 如果满足以下条件之一,则攻击者可能会通过此安全问题远程入侵 WINS 服务器:
-
你已更改默认配置,以在 Windows NT Server 4.0、Windows NT Server 4.0 终端服务器版本、Windows 2000 Server 或 Windows Server 2003 上安装 WINS 服务器角色。
-
你正在运行Microsoft Small Business Server 2000 或 Microsoft Windows Small Business Server 2003,并且攻击者有权访问你的本地网络。
若要帮助保护计算机免受此潜在漏洞的侵害,请执行以下步骤:
-
在防火墙上阻止 TCP 端口 42 和 UDP 端口 42。这些端口用于启动与远程 WINS 服务器的连接。 如果在防火墙上阻止这些端口,则有助于阻止位于该防火墙后面的计算机尝试使用此漏洞。 TCP 端口 42 和 UDP 端口 42 是默认 WINS 复制端口。 建议阻止来自 Internet 的所有未经请求的传入通信。
-
使用 Internet 协议安全性 (IPsec) 来帮助保护 WINS 服务器复制合作伙伴之间的流量。 为此,请使用以下选项之一。 警告 由于每个 WINS 基础结构都是唯一的,因此这些更改可能会对基础结构产生意外影响。 强烈建议在选择实施此缓解措施之前执行风险分析。 我们还强烈建议在将此缓解措施投入生产之前执行完整的测试。
-
选项 1:手动配置 IPSec 筛选器 手动配置 IPSec 筛选器,然后按照以下Microsoft知识库文章中的说明添加阻止筛选器,阻止所有数据包从任何 IP 地址到系统的 IP 地址:
813878 如何使用 IPSec阻止特定网络协议和端口 如果你在 Windows 2000 Active Directory 域环境中使用 IPSec,并且使用 组策略 部署 IPSec 策略,则域策略将覆盖任何本地定义的策略。 这种情况可防止此选项阻止所需的数据包。若要确定服务器是从 Windows 2000 域或更高版本接收 IPSec 策略,请参阅知识库文章813878中的“确定是否分配了 IPSec 策略”部分。 确定可以创建有效的本地 IPSec 策略后,请下载 IPSeccmd.exe 工具或 IPSecpol.exe 工具。 以下命令阻止对 TCP 端口 42 和 UDP 端口 42 的入站和出站访问。注意 在这些命令中,%IPSEC_Command% 指 Windows 2000) 上的 Ipsecpol.exe (或 Windows Server 2003) 上的 Ipseccmd.exe (。
%IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK
如果没有冲突策略,以下命令使 IPSec 策略立即生效。 此命令将开始阻止所有入站/出站 TCP 端口 42 和 UDP 端口 42 数据包。 这有效地防止在运行这些命令的服务器与任何 WINS 复制伙伴之间发生 WINS 复制。
%IPSEC_Command% -w REG -p "Block WINS Replication" –x
如果在启用此 IPSec 策略后在网络上遇到问题,可以取消分配策略,然后使用以下命令删除该策略:
%IPSEC_Command% -w REG -p "Block WINS Replication" -y %IPSEC_Command% -w REG -p "Block WINS Replication" -o
若要允许 WINS 复制在特定 WINS 复制伙伴之间运行,必须使用允许规则替代这些阻止规则。 允许规则应仅指定受信任的 WINS 复制合作伙伴的 IP 地址。可以使用以下命令更新“阻止 WINS 复制 IPSec”策略,以允许特定 IP 地址与使用“阻止 WINS 复制”策略的服务器通信。注意 在这些命令中,%IPSEC_Command% 是指 Windows 2000) 上的 Ipsecpol.exe (或 Windows Server 2003) 上的 Ipseccmd.exe (,%IP% 是指要用于复制的远程 WINS 服务器的 IP 地址。
%IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS
若要立即分配策略,请使用以下命令:
%IPSEC_Command% -w REG -p "Block WINS Replication" -x
-
选项 2:运行脚本以自动配置 IPSec 筛选器 下载,然后运行 WINS 复制阻止程序脚本,该脚本创建 IPSec 策略来阻止端口。 为此,请执行以下步骤:
-
若要下载并提取 .exe 文件,请执行以下步骤:
-
下载 WINS 复制阻止程序脚本。 可从Microsoft下载中心下载以下文件:
119591 如何从联机服务获取Microsoft支持文件,Microsoft扫描此文件中是否存在病毒。 Microsoft 使用的是文件发布时可以获得的最新病毒检测软件。 该文件存储在安全性增强的服务器上,有助于防止对文件进行任何未经授权的更改。
如果要将 WINS 复制阻止程序脚本下载到软盘,请使用格式化的空白磁盘。 如果要将 WINS 复制阻止程序脚本下载到硬盘,请创建一个新文件夹来临时保存文件并从中提取文件。 警告 不要将文件直接下载到 Windows 文件夹。 此作可能会覆盖计算机正常运行所需的文件。
-
在下载到的文件夹中找到该文件,然后双击自解压缩 .exe 文件,将内容提取到临时文件夹。 例如,将内容提取到 C:\Temp。
-
-
打开命令提示符,然后移动到提取文件的目录。
-
警告
-
如果怀疑 WINS 服务器可能受到感染,但不确定哪些 WINS 服务器遭到入侵,或者当前 WINS 服务器是否遭到入侵,请不要在步骤 3 中输入任何 IP 地址。 但是,截至 2004 年 11 月,我们不知道任何客户都受到此问题的影响。 因此,如果服务器按预期运行,请继续如前所述。
-
如果 IPsec 设置不正确,可能会导致企业网络上出现严重的 WINS 复制问题。
运行 Block_Wins_Replication.cmd 文件。 若要创建 TCP 端口 42 和 UDP 端口 42 入站和出站阻止规则,请键入 1,然后在系统提示选择所需选项时按 Enter 选择选项 1。
选择选项 1 后,脚本会提示输入受信任的 WINS 复制服务器的 IP 地址。 输入的每个 IP 地址都不受阻止 TCP 端口 42 和 UDP 端口 42 策略的豁免。 系统会在循环中提示你,你可以根据需要输入任意数量的 IP 地址。 如果不知道 WINS 复制合作伙伴的所有 IP 地址,则可以在将来再次运行脚本。 若要开始输入受信任的 WINS 复制合作伙伴的 IP 地址,请键入 2 ,然后在系统提示选择所需选项时按 Enter 选择选项 2。 部署安全更新后,可以删除 IPSec 策略。 为此,请运行脚本。 键入 3,然后按 Enter 以在系统提示你选择所需选项时选择选项 3。有关 IPsec 以及如何应用筛选器的其他信息,请单击下面的文章编号以查看Microsoft知识库中的文章:
313190 如何在 Windows 2000 中使用 IPsec IP 筛选器列表
-
-
-
-
如果不需要 WINS,请将其删除。 如果不再需要 WINS,请按照以下步骤将其删除。 这些步骤适用于这些作系统的 Windows 2000、Windows Server 2003 及更高版本。 对于 Windows NT Server 4.0,请遵循产品文档中包含的过程。 重要提示 许多组织要求 WINS 在其网络上执行单标签或单一名称注册和解析功能。 除非满足以下条件之一,否则管理员不应删除 WINS:
-
管理员完全了解删除 WINS 这会对其网络产生的影响。
-
管理员已将 DNS 配置为使用完全限定的域名和 DNS 域后缀提供等效的功能。
此外,如果管理员从将继续在网络上提供共享资源的服务器中删除 WINS 功能,则管理员必须正确重新配置系统,以使用本地网络上的 DNS 等剩余名称解析服务。 有关 WINS 的详细信息,请访问以下Microsoft网站:
http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true 有关如何确定是否需要 NETBIOS 还是 WINS 名称解析和 DNS 配置的详细信息,请访问以下Microsoft网站:
http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspx若要删除 WINS,请执行以下步骤:
-
在控制面板中,打开“添加或删除程序”。
-
单击“添加/删除 Windows 组件”。
-
在“Windows 组件向导”页上的“组件”下,单击“网络服务”,然后单击“详细信息”。
-
单击以清除“Windows Internet 命名服务 (WINS) 检查”框以删除 WINS。
-
按照屏幕上的说明完成 Windows 组件向导。
-
我们正在进行更新,以解决此安全问题,作为常规更新过程的一部分。 当更新达到适当的质量级别时,我们将通过Windows 更新提供更新。如果你认为自己受到影响,请联系产品支持服务。国际客户应使用以下网站中列出的任何方法联系产品支持服务Microsoft:
