如何協助保護以避免 WINS 安全性問題

簡介

我們正在調查 Microsoft Windows Internet Name Service (WINS) 的安全性問題報告。此安全性問題會影響 Microsoft Windows NT Server 4.0、Microsoft Windows NT Server 4.0 Terminal Server Edition、Microsoft Windows 2000 Server 和 Microsoft Windows Server 2003,而不會影響 Microsoft Windows 2000 Professional、Microsoft Windows XP 或 Microsoft Windows Millennium Edition。

其他相關資訊

根據預設,Windows NT Server 4.0、Windows NT Server 4.0 Terminal Server Edition、Windows 2000 Server 或 Windows Server 2003 不會安裝 WINS;在 Microsoft Small Business Server 2000 和 Microsoft Windows Small Business Server 2003 上則會安裝並執行 WINS;在所有版本的 Microsoft Small Business Server 網際網路上會封鎖 WINS 元件通訊連接埠,導致 WINS 只能在本機網路上使用。

如果下列其中一種情況成立,此安全性問題可能讓攻擊者得以從遠端侵入 WINS 伺服器:

  • 您已經變更預設設定,以在 Windows NT Server 4.0、Windows NT Server 4.0 Terminal Server Edition、Windows 2000 Server 或 Windows Server 2003 上安裝 WINS 伺服器角色。

  • 您正在執行 Microsoft Small Business Server 2000 或 Microsoft Windows Small Business Server 2003,並且攻擊者具有您區域網路的存取權。

如果要協助保護電腦以避免此潛在弱點的攻擊,請依照下列步驟執行:

  1. 在防火牆上封鎖 TCP 連接埠 42 和 UDP 連接埠 42。


    這些連接埠是用來初始與遠端 WINS 伺服器的連線。如果您封鎖防火牆上的這些連接埠,有助於防止位於防火牆後面的電腦試圖利用此弱點。TCP 連接埠 42 和 UDP 連接埠 42 均為預設的 WINS 複寫連接埠。我們建議您封鎖所有透過網際網路傳入的來路不明通訊。

  2. 使用網際網路通訊協定安全性 (IPsec),協助保護 WINS 伺服器複寫協力電腦之間的流量。如果要執行這項操作,請使用下列其中一個選項。

    警告因為每個 WINS 基礎結構都是唯一的,所以這些變更可能會在您基礎結構上產生非預期的影響。我們強烈建議您在選擇執行這項安全防護功能之前,先進行風險分析。也強烈建議您先執行完整測試,再將此安全防護功能放入生產環境中。

    • 選項 1:手動設定 IPSec 篩選器
      手動設定 IPSec 篩選器,然後依照下列「Microsoft 知識庫」文件中的指示,將會封鎖所有來自任何 IP 位址之封包的封鎖篩選器新增至您系統的 IP 位址中:

      813878 如何使用 IPSec 封鎖特定的網路通訊協定和連接埠如果您在 Windows 2000 Active Directory 網域環境中使用 IPSec,並使用「群組原則」部署 IPSec 原則,則網域原則會覆寫任何本機定義的原則。這個事件可防止此選項封鎖您要的封包。

      若要判斷伺服器是否收到來自 Windows 2000 網域或較新版本的 IPSec 原則,請參閱知識庫文件 813878 中的<判斷是否已指派 IPSec 原則>一節。

      當您已判斷可建立有效的本機 IPSec 原則時,請下載 IPSeccmd.exe 工具或 IPSecpol.exe 工具。

      下列命令會封鎖 TCP 連接埠 42 和 UDP 連接埠 42 上的輸入和輸出存取。

      注意在這些命令中,%IPSEC_Command% 是指 Ipsecpol.exe (在 Windows 2000 上) 或 Ipseccmd.exe (在 Windows Server 2003 上)。

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK

      如果沒有任何衝突原則,下列命令可使 IPSec 原則立即生效。這個命令將會開始封鎖所有輸入/輸出 TCP 連接埠 42 和 UDP 連接埠 42 封包。這樣可有效防止在執行這些命令的伺服器和任何 WINS 複寫協力電腦之間發生 WINS 複寫。

      %IPSEC_Command% -w REG -p "Block WINS Replication" –x

      如果啟用此 IPSec 原則之後遇到網路問題,您可以使用下列命令來取消指派原則,然後刪除原則。

      %IPSEC_Command% -w REG -p "Block WINS Replication" -y 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -o

      如果要讓 WINS 複寫能夠在特定的 WINS 複寫協力電腦之間運作,您必須利用允許規則來覆寫這些封鎖規則。允許規則只應指定您信任之 WINS 複寫協力電腦的 IP 位址。


      您可以使用下列命令,更新「封鎖 WINS 複寫」IPSec 原則,讓特定的 IP 位址能夠與使用「封鎖 WINS 複寫」原則的伺服器進行通訊。

      注意在這些命令中,%IPSEC_Command% 是指 Ipsecpol.exe (在 Windows 2000 上) 或 Ipseccmd.exe (在 Windows Server 2003 上),而 %IP% 是指您要複寫的遠端 WINS 伺服器 的 IP 位址。

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS

      若要立即指派原則,請使用下列命令:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -x
    • 選項 2:執行指令碼以自動設定 IPSec 篩選器
      下載然後執行建立 IPSec 原則以封鎖連接埠的「WINS 複寫封鎖程式」指令碼。如果要執行這項操作,請依照下列步驟執行:

      1. 若要下載並解壓縮 .exe 檔案,請依照下列步驟執行:

        1. 下載「WINS 複寫封鎖程式」指令碼。

          您可以從「Microsoft 下載中心」下載下列檔案:

          立即下載 WINS 複寫封鎖程式指令碼套件。

          發行日期:2004 年 12 月 2 日

          如需有關如何下載 Microsoft 支援檔案的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:

          119591 如何從線上服務取得 Microsoft 支援檔案 Microsoft 已對這個檔案做過病毒掃描。Microsoft 是利用發佈當日的最新病毒偵測軟體來掃描檔案,看看有沒有病毒感染。檔案會儲存在安全的伺服器上,以避免任何未經授權的更改。

          如果您將「WINS 複寫封鎖程式」指令碼下載到磁碟片中,請使用格式化的空白磁片。如果您要將「WINS 複寫封鎖程式」指令碼下載到硬碟中,請建立新的資料夾以暫時儲存該檔案,並從該處將檔案解壓縮。


          警告請勿直接將檔案下載到您的 Windows 資料夾中。此動作會覆寫電腦正確運作所需的檔案。

        2. 在下載檔案的資料夾中找出檔案,然後按兩下自解壓縮 .exe 檔案,將內容解壓縮至暫存資料夾。例如,將內容解壓縮至 C:\Temp

      2. 開啟命令提示字元,然後移至解壓縮檔案的目錄中。

      3. 警告

        • 如果您懷疑 WINS 伺服器可能受到感染,但不確定哪些 WINS 伺服器已遭侵入或目前的 WINS 伺服器是否已遭侵入,則請勿在步驟 3 中輸入任何 IP 位址。但是,自從 2004 年 11 月起,我們並未收到任何客戶受到此問題影響的通知。因此,如果您的伺服器可如預期般運作,請如所述方式繼續執行。

        • 如果您未正確設定 IPsec,則可能會在公司網路上造成嚴重的 WINS 複寫問題。

        執行 Block_Wins_Replication.cmd 檔案。若要建立 TCP 連接埠 42 和 UDP 連接埠 42 輸入及輸出封鎖規則,請輸入 1,然後按下 ENTER,在系統提示您選取想要的選項時,選取選項 1。

        選取選項 1 之後,指令碼會提示您輸入信任 WINS 複寫伺服器的 IP 位址。


        您輸入的每個 IP 位址都不會封鎖 TCP 連接埠 42 和 UDP 連接埠 42 原則。系統會以迴圈方式提示您,您可以視需要輸入多個 IP 位址。如果您不知道所有 WINS 複寫協力電腦的 IP 位址,可在日後再執行指令碼。若要開始輸入信任 WINS 複寫協力電腦的 IP 位址,請輸入 2,然後按下 ENTER,在系統提示您選取想要的選項時,選取選項 2。


        部署安全性更新之後,便可以移除 IPSec 原則。如果要執行這項操作,請執行指令碼。輸入 3,然後按下 ENTER,在系統提示您選取想要的選項時,選取選項 3。

        如需有關 IPSec 和有關如何套用篩選器的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:

        313190HOW TO:使用 Windows 2000 中的 IPSec IP 篩選器清單

  3. 如果您不需要 WINS,請將它移除。

    如果您不再需要 WINS,請依照下列步驟將它移除。這些步驟適用於 Windows 2000、Windows Server 2003 及這些作業系統的較新版本。若為 Windows NT Server 4.0,請依照產品說明文件隨附的程序執行。

    重要許多組織都需要 WINS,在其網路上執行單一標籤或平面名稱登錄和解析功能。除非下列其中一種情況成立,否則系統管理員不應移除 WINS:

    • 系統管理員完全瞭解移除 WINS 對網路產生的影響。

    • 系統管理員已藉由使用完整網域名稱和 DNS 網域尾碼來設定 DNS 以提供同等功能。

    同時,如果系統管理員從會繼續在網路上提供共用資源的伺服器移除 WINS 功能,則該系統管理員必須正確重新設定系統,才能在區域網路上使用其餘的名稱解析服務 (如 DNS)。

    如需有關 WINS 的詳細資訊,請造訪下列 Microsoft 網站:

    http://technet.microsoft.com/zh-tw/library/cc776284.aspx如需有關如何判斷是否需要 NETBIOS 或 WINS 名稱解析和 DNS 設定的詳細資訊,請造訪下列 Microsoft 網站:

    http://technet.microsoft.com/zh-tw/library/cc778112.aspx若要移除 WINS,請依照下列步驟執行:

    1. 在 [控制台] 中,開啟 [新增或移除程式]

    2. 按一下 [新增/移除 Windows 元件]

    3. 在 [Windows 元件精靈] 頁面上,按一下 [元件] 下的 [Networking Services],然後按一下 [詳細資料]

    4. 按一下以清除 [Windows Internet Naming Service (WINS)] 核取方塊,以移除 WINS。

    5. 依照畫面上的指示完成 Windows 元件精靈。

我們正在進行開發可處理此安全性問題的更新,以做為定期更新程序的一部分。在更新達到適當的品質等級之後,我們會透過 Windows Update 提供此更新。


如果您認為您已經受到影響,請連絡產品支援服務。請使用下列 PC 安全電話號碼連絡北美地區的產品支援服務,以取得安全性更新問題或病毒的協助:

1-866-PCSAFETY注意此為免付費電話。

國際客戶可以使用下列 Microsoft 網站上所列的任何方法,連絡產品支援服務:

http://support.microsoft.com

Need more help?

Expand your skills
Explore Training
Get new features first
Join Microsoft Insiders

Was this information helpful?

Thank you for your feedback!

Thank you for your feedback! It sounds like it might be helpful to connect you to one of our Office support agents.

×