簡介
我們正在調查 Microsoft Windows Internet Name Service (WINS) 的安全性問題報告。 此安全性問題會影響 Microsoft Windows NT Server 4.0、Microsoft Windows NT Server 4.0 Terminal Server Edition、Microsoft Windows 2000 Server 和 Microsoft Windows Server 2003。 此安全性問題不會影響Microsoft Windows 2000 專業版、Microsoft Windows XP 或 Microsoft Windows 2000 版本。
更多資訊
根據預設,Windows NT Server 4.0、Windows NT Server 4.0 Terminal Server Edition、Windows 2000 Server 或 Windows Server 2003 上不會安裝 WINS。 根據預設,WINS 會在 Microsoft Small Business Server 2000 和 Microsoft Windows Small Business Server 2003 上安裝並執行。 根據預設,在所有版本的 Microsoft Small Business Server 上,WINS 元件通訊埠會從因特網封鎖,而 WINS 僅適用於局域網路。 此安全性問題可能會讓攻擊者在符合下列其中一個條件時遠端入侵 WINS 伺服器:
-
您已變更預設設定,在 Windows NT Server 4.0、Windows NT Server 4.0 Terminal Server Edition、Windows 2000 Server 或 Windows Server 2003 上安裝 WINS 伺服器角色。
-
您執行 Microsoft Small Business Server 2000 或 Microsoft Windows Small Business Server 2003,攻擊者可以存取您的本機網路。
若要協助保護您的電腦不受此潛在弱點影響,請遵循下列步驟:
-
封鎖防火牆的 TCP 連接埠 42 和 UDP 連接埠 42。這些埠是用來啟動與遠端 WINS 伺服器的連線。 如果您在防火牆封鎖這些埠,您可協助防止位於防火牆後方的計算機嘗試使用此弱點。 TCP 連接埠 42 和 UDP 連接埠 42 是預設的 WINS 複寫埠。 我們建議封鎖來自因特網的所有來路不明通訊。
-
使用因特網通訊協定安全性 (IPsec) ,以協助保護 WINS 伺服器復寫合作夥伴之間的流量。 若要這麼做,請使用下列其中一個選項。 注意 由於每個 WINS 基礎結構都是唯一的,因此這些變更可能會對您的基礎結構產生非預期的影響。 我們強烈建議您先執行風險分析,再選擇實作此風險降低措施。 我們也強烈建議您先執行完整的測試,再將這項防震功能投入生產。
-
選項 1:手動設定 IPSec 篩選 手動設定 IPSec 篩選,然後依照下列Microsoft知識庫文章中的指示,新增封鎖篩選,將任何 IP 位址的所有封包封鎖到系統 IP 位址:
813878 如何使用IPSec封鎖特定網路通訊協定和埠:如果您在Windows 2000 Active Directory 網域環境中使用IPSec,並使用 群組原則部署IPSec原則,網域原則會覆寫任何本機定義的原則。 此專案可防止此選項封鎖您要的封包。To determine whether your servers are receiving an IPSec policy from a Windows 2000 domain or a later version, see to the “Determine whether an IPSec policy is assigned” section in Knowledge Base article 813878. 當您確定可以建立有效的本機 IPSec 原則時,請下載 IPSeccmd.exe 工具或 IPSecpol.exe 工具。 下列命令會封鎖 TCP 連接埠 42 和 UDP 連接埠 42 的輸入和輸出存取。附註 在這些命令中,%IPSEC_Command% 是指在 windows 2000) 或 Ipseccmd.exe (上於 Windows Server 2003) 上 Ipsecpol.exe (。
%IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK
如果沒有任何衝突的原則,下列命令可讓IPSec原則立即生效。 此命令會開始封鎖所有輸入/輸出 TCP 連接埠 42 和 UDP 連接埠 42 封包。 這可有效防止 WINS 複寫發生在執行這些命令的伺服器和任何 WINS 複寫合作夥伴之間。
%IPSEC_Command% -w REG -p "Block WINS Replication" –x
如果您在啟用此 IPSec 原則後遇到網路上的問題,您可以取消指派原則,然後使用下列命令刪除原則:
%IPSEC_Command% -w REG -p "Block WINS Replication" -y %IPSEC_Command% -w REG -p "Block WINS Replication" -o
若要允許 WINS 複寫在特定 WINS 複寫合作夥伴之間運作,您必須使用允許規則覆寫這些封鎖規則。 允許規則應僅指定受信任 WINS 複寫合作夥伴的 IP 位址。您可以使用下列命令來更新封鎖 WINS 複寫 IPSec 原則,允許特定 IP 位址與使用 Block WINS 複製原則的伺服器通訊。附註 在這些命令中,%IPSEC_Command% 指的是 Windows Server 2003) 上的 Windows 2000) 或 Ipseccmd.exe (上的 Ipsecpol.exe (,而 %IP% 指的是您要複製之遠端 WINS 伺服器的 IP 位址。
%IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS
若要立即指派原則,請使用下列命令:
%IPSEC_Command% -w REG -p "Block WINS Replication" -x
-
選項 2:執行文本以自動設定 IPSec 篩選 下載,然後執行 WINS 複寫封鎖程式腳本,以建立 IPSec 原則來封鎖埠。 若要這麼做,請遵循下列步驟:
-
若要下載和擷取 .exe 檔案,請依照下列步驟執行:
-
下載WINS複寫封鎖程式腳本。 下列檔案可從Microsoft下載中心下載:
119591 如何從 線上服務 取得Microsoft支援檔案Microsoft掃描此檔案是否有病毒。 Microsoft 是利用發佈當日的最新病毒偵測軟體來掃描檔案。 檔案會儲存在安全性增強的伺服器上,有助於防止檔案有任何未經授權的變更。
如果您要將 WINS 複寫封鎖程式文稿下載到磁碟片,請使用格式化的空白磁碟。 如果您要將 WINS 複寫封鎖程式腳本下載到硬碟,請建立新資料夾以暫時儲存盤案並從中解壓縮檔案。 注意 不要直接將檔案下載到您的 Windows 資料夾。 此動作可能會覆寫電腦正常運作所需的檔案。
-
在下載該檔案的資料夾中找出該檔案,然後按兩下自行擷取 .exe 檔案,將內容解壓縮到暫存資料夾。 例如,將內容解壓縮為 C:\Temp。
-
-
開啟命令提示字元,然後移至擷取檔案的目錄。
-
警告
-
如果您懷疑您的 WINS 伺服器可能受到感染,但不確定哪些 WINS 伺服器遭到入侵,或您目前的 WINS 伺服器是否遭到入侵,請勿在步驟 3 中輸入任何 IP 位址。 不過,截至 2004 年 11 月為止,我們並不知道有任何客戶受到此問題的影響。 因此,如果您的伺服器如預期般運作,請依照描述繼續。
-
如果您未正確設定 IPsec,可能會在公司網路上造成嚴重的 WINS 複寫問題。
執行Block_Wins_Replication.cmd檔案。 若要建立 TCP 連接埠 42 和 UDP 連接埠 42 輸入和輸出封鎖規則,請輸入 1,然後在系統提示您選取所要的選項時,按 ENTER 以選取選項 1。
選取選項 1 之後,文本會提示您輸入受信任 WINS 複寫伺服器的 IP 位址。 您輸入的每個IP位址都不受封鎖 TCP 連接埠 42 和 UDP 連接埠 42 原則的約束。 系統會迴圈提示您,您可以視需要輸入任意數量的IP位址。 如果您不知道 WINS 複寫合作夥伴的所有 IP 位址,您可以在未來再次執行腳本。 若要開始輸入受信任 WINS 複寫合作夥伴的 IP 位址,請輸入 2 ,然後在系統提示您選取所要的選項時,按 ENTER 以選取選項 2。 部署安全性更新之後,您可以移除IPSec原則。 若要這麼做,請執行腳本。 輸入 3,然後在系統提示您選取所要的選項時,按 ENTER 以選取選項 3。如需有關 IPsec 以及如何套用篩選的其他資訊,請按下列文章編號以檢視Microsoft知識庫中的文章:
313190 如何在 Windows 2000 中使用 IPsec IP 篩選清單
-
-
-
-
如果您不需要 WINS,請移除 WINS。 如果您不再需要 WINS,請依照下列步驟加以移除。 這些步驟適用於這些作系統的 Windows 2000、Windows Server 2003 和更新版本。 若是 Windows NT Server 4.0,請遵循產品檔中所包含的程式。 重要許多組織會要求 WINS 在其網路上執行單一標籤或單一名稱註冊和解析功能。 除非下列其中一個條件為 True,否則系統管理員不應移除 WINS:
-
系統管理員完全瞭解移除 WINS 會對其網路造成的影響。
-
系統管理員已設定 DNS,使用完整功能變數名稱和 DNS 網域後綴來提供同等的功能。
此外,如果系統管理員要從伺服器移除 WINS 功能,而伺服器會繼續在網路上提供共用資源,則系統管理員必須正確地重新設定系統,以使用剩餘的名稱解析服務,例如本機網路上的 DNS。 如需WINS的詳細資訊,請造訪下列Microsoft網站:
http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true 如需如何判斷是否需要 NETBIOS 或 WINS 名稱解析和 DNS 設定的詳細資訊,請瀏覽下列Microsoft網站:
http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspx若要移除 WINS,請遵循下列步驟:
-
在 控制台 中,開啟 [新增或移除程式]。
-
按一下[新增/移除 Windows 元件]。
-
在 [Windows 元件精靈] 頁面的 [元件] 底下,按兩下 [網络服務],然後按兩下 [詳細數據]。
-
按兩下以清除 [WINDOWS 因特網命名服務 (WINS) ] 複選框以移除 WINS。
-
依照畫面上的指示完成 Windows 元件精靈。
-
我們正在處理一項更新,以在定期更新程序中解決此安全性問題。 當更新達到適當的品質等級時,我們會透過 Windows Update 提供更新。如果您認為已受到影響,請連絡產品支持服務。國際客戶應使用下列Microsoft網站列出的任何方法連絡產品支援服務:
