簡介
我們正在調查 Microsoft Windows Internet Name Service (WINS) 的安全性問題報告。此安全性問題會影響 Microsoft Windows NT Server 4.0、Microsoft Windows NT Server 4.0 Terminal Server Edition、Microsoft Windows 2000 Server 和 Microsoft Windows Server 2003,而不會影響 Microsoft Windows 2000 Professional、Microsoft Windows XP 或 Microsoft Windows Millennium Edition。
其他相關資訊
根據預設,Windows NT Server 4.0、Windows NT Server 4.0 Terminal Server Edition、Windows 2000 Server 或 Windows Server 2003 不會安裝 WINS;在 Microsoft Small Business Server 2000 和 Microsoft Windows Small Business Server 2003 上則會安裝並執行 WINS;在所有版本的 Microsoft Small Business Server 網際網路上會封鎖 WINS 元件通訊連接埠,導致 WINS 只能在本機網路上使用。
如果下列其中一種情況成立,此安全性問題可能讓攻擊者得以從遠端侵入 WINS 伺服器:
-
您已經變更預設設定,以在 Windows NT Server 4.0、Windows NT Server 4.0 Terminal Server Edition、Windows 2000 Server 或 Windows Server 2003 上安裝 WINS 伺服器角色。
-
您正在執行 Microsoft Small Business Server 2000 或 Microsoft Windows Small Business Server 2003,並且攻擊者具有您區域網路的存取權。
如果要協助保護電腦以避免此潛在弱點的攻擊,請依照下列步驟執行:
-
在防火牆上封鎖 TCP 連接埠 42 和 UDP 連接埠 42。
這些連接埠是用來初始與遠端 WINS 伺服器的連線。如果您封鎖防火牆上的這些連接埠,有助於防止位於防火牆後面的電腦試圖利用此弱點。TCP 連接埠 42 和 UDP 連接埠 42 均為預設的 WINS 複寫連接埠。我們建議您封鎖所有透過網際網路傳入的來路不明通訊。 -
使用網際網路通訊協定安全性 (IPsec),協助保護 WINS 伺服器複寫協力電腦之間的流量。如果要執行這項操作,請使用下列其中一個選項。
警告因為每個 WINS 基礎結構都是唯一的,所以這些變更可能會在您基礎結構上產生非預期的影響。我們強烈建議您在選擇執行這項安全防護功能之前,先進行風險分析。也強烈建議您先執行完整測試,再將此安全防護功能放入生產環境中。-
選項 1:手動設定 IPSec 篩選器
手動設定 IPSec 篩選器,然後依照下列「Microsoft 知識庫」文件中的指示,將會封鎖所有來自任何 IP 位址之封包的封鎖篩選器新增至您系統的 IP 位址中:813878 如何使用 IPSec 封鎖特定的網路通訊協定和連接埠如果您在 Windows 2000 Active Directory 網域環境中使用 IPSec,並使用「群組原則」部署 IPSec 原則,則網域原則會覆寫任何本機定義的原則。這個事件可防止此選項封鎖您要的封包。
若要判斷伺服器是否收到來自 Windows 2000 網域或較新版本的 IPSec 原則,請參閱知識庫文件 813878 中的<判斷是否已指派 IPSec 原則>一節。
當您已判斷可建立有效的本機 IPSec 原則時,請下載 IPSeccmd.exe 工具或 IPSecpol.exe 工具。
下列命令會封鎖 TCP 連接埠 42 和 UDP 連接埠 42 上的輸入和輸出存取。
注意在這些命令中,%IPSEC_Command% 是指 Ipsecpol.exe (在 Windows 2000 上) 或 Ipseccmd.exe (在 Windows Server 2003 上)。%IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK
%IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK
%IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK
%IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK如果沒有任何衝突原則,下列命令可使 IPSec 原則立即生效。這個命令將會開始封鎖所有輸入/輸出 TCP 連接埠 42 和 UDP 連接埠 42 封包。這樣可有效防止在執行這些命令的伺服器和任何 WINS 複寫協力電腦之間發生 WINS 複寫。
%IPSEC_Command% -w REG -p "Block WINS Replication" –x
如果啟用此 IPSec 原則之後遇到網路問題,您可以使用下列命令來取消指派原則,然後刪除原則。
%IPSEC_Command% -w REG -p "Block WINS Replication" -y
%IPSEC_Command% -w REG -p "Block WINS Replication" -o如果要讓 WINS 複寫能夠在特定的 WINS 複寫協力電腦之間運作,您必須利用允許規則來覆寫這些封鎖規則。允許規則只應指定您信任之 WINS 複寫協力電腦的 IP 位址。
您可以使用下列命令,更新「封鎖 WINS 複寫」IPSec 原則,讓特定的 IP 位址能夠與使用「封鎖 WINS 複寫」原則的伺服器進行通訊。
注意在這些命令中,%IPSEC_Command% 是指 Ipsecpol.exe (在 Windows 2000 上) 或 Ipseccmd.exe (在 Windows Server 2003 上),而 %IP% 是指您要複寫的遠端 WINS 伺服器 的 IP 位址。%IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS
%IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS
%IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS
%IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS若要立即指派原則,請使用下列命令:
%IPSEC_Command% -w REG -p "Block WINS Replication" -x
-
選項 2:執行指令碼以自動設定 IPSec 篩選器
下載然後執行建立 IPSec 原則以封鎖連接埠的「WINS 複寫封鎖程式」指令碼。如果要執行這項操作,請依照下列步驟執行:-
若要下載並解壓縮 .exe 檔案,請依照下列步驟執行:
-
下載「WINS 複寫封鎖程式」指令碼。
您可以從「Microsoft 下載中心」下載下列檔案:
發行日期:2004 年 12 月 2 日
如需有關如何下載 Microsoft 支援檔案的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:119591 如何從線上服務取得 Microsoft 支援檔案 Microsoft 已對這個檔案做過病毒掃描。Microsoft 是利用發佈當日的最新病毒偵測軟體來掃描檔案,看看有沒有病毒感染。檔案會儲存在安全的伺服器上,以避免任何未經授權的更改。
如果您將「WINS 複寫封鎖程式」指令碼下載到磁碟片中,請使用格式化的空白磁片。如果您要將「WINS 複寫封鎖程式」指令碼下載到硬碟中,請建立新的資料夾以暫時儲存該檔案,並從該處將檔案解壓縮。
警告請勿直接將檔案下載到您的 Windows 資料夾中。此動作會覆寫電腦正確運作所需的檔案。 -
在下載檔案的資料夾中找出檔案,然後按兩下自解壓縮 .exe 檔案,將內容解壓縮至暫存資料夾。例如,將內容解壓縮至 C:\Temp。
-
-
開啟命令提示字元,然後移至解壓縮檔案的目錄中。
-
警告
-
如果您懷疑 WINS 伺服器可能受到感染,但不確定哪些 WINS 伺服器已遭侵入或目前的 WINS 伺服器是否已遭侵入,則請勿在步驟 3 中輸入任何 IP 位址。但是,自從 2004 年 11 月起,我們並未收到任何客戶受到此問題影響的通知。因此,如果您的伺服器可如預期般運作,請如所述方式繼續執行。
-
如果您未正確設定 IPsec,則可能會在公司網路上造成嚴重的 WINS 複寫問題。
執行 Block_Wins_Replication.cmd 檔案。若要建立 TCP 連接埠 42 和 UDP 連接埠 42 輸入及輸出封鎖規則,請輸入 1,然後按下 ENTER,在系統提示您選取想要的選項時,選取選項 1。
選取選項 1 之後,指令碼會提示您輸入信任 WINS 複寫伺服器的 IP 位址。
您輸入的每個 IP 位址都不會封鎖 TCP 連接埠 42 和 UDP 連接埠 42 原則。系統會以迴圈方式提示您,您可以視需要輸入多個 IP 位址。如果您不知道所有 WINS 複寫協力電腦的 IP 位址,可在日後再執行指令碼。若要開始輸入信任 WINS 複寫協力電腦的 IP 位址,請輸入 2,然後按下 ENTER,在系統提示您選取想要的選項時,選取選項 2。
部署安全性更新之後,便可以移除 IPSec 原則。如果要執行這項操作,請執行指令碼。輸入 3,然後按下 ENTER,在系統提示您選取想要的選項時,選取選項 3。
如需有關 IPSec 和有關如何套用篩選器的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:313190HOW TO:使用 Windows 2000 中的 IPSec IP 篩選器清單
-
-
-
-
如果您不需要 WINS,請將它移除。
如果您不再需要 WINS,請依照下列步驟將它移除。這些步驟適用於 Windows 2000、Windows Server 2003 及這些作業系統的較新版本。若為 Windows NT Server 4.0,請依照產品說明文件隨附的程序執行。
重要許多組織都需要 WINS,在其網路上執行單一標籤或平面名稱登錄和解析功能。除非下列其中一種情況成立,否則系統管理員不應移除 WINS:-
系統管理員完全瞭解移除 WINS 對網路產生的影響。
-
系統管理員已藉由使用完整網域名稱和 DNS 網域尾碼來設定 DNS 以提供同等功能。
同時,如果系統管理員從會繼續在網路上提供共用資源的伺服器移除 WINS 功能,則該系統管理員必須正確重新設定系統,才能在區域網路上使用其餘的名稱解析服務 (如 DNS)。
如需有關 WINS 的詳細資訊,請造訪下列 Microsoft 網站:http://technet.microsoft.com/zh-tw/library/cc776284.aspx如需有關如何判斷是否需要 NETBIOS 或 WINS 名稱解析和 DNS 設定的詳細資訊,請造訪下列 Microsoft 網站:
http://technet.microsoft.com/zh-tw/library/cc778112.aspx若要移除 WINS,請依照下列步驟執行:
-
在 [控制台] 中,開啟 [新增或移除程式]。
-
按一下 [新增/移除 Windows 元件]。
-
在 [Windows 元件精靈] 頁面上,按一下 [元件] 下的 [Networking Services],然後按一下 [詳細資料]。
-
按一下以清除 [Windows Internet Naming Service (WINS)] 核取方塊,以移除 WINS。
-
依照畫面上的指示完成 Windows 元件精靈。
-
我們正在進行開發可處理此安全性問題的更新,以做為定期更新程序的一部分。在更新達到適當的品質等級之後,我們會透過 Windows Update 提供此更新。
如果您認為您已經受到影響,請連絡產品支援服務。請使用下列 PC 安全電話號碼連絡北美地區的產品支援服務,以取得安全性更新問題或病毒的協助:
1-866-PCSAFETY注意此為免付費電話。
國際客戶可以使用下列 Microsoft 網站上所列的任何方法,連絡產品支援服務:
