WINS Replication Blocker Script version 1.0
WINS 複製ブロック ツール
目的
このスクリプトは、Windows 2000 またはそれ以降の WINS サーバーで IPSec ポリシーを作成するためのものです。これは TCP または UDP ポート 42 で実行されている WINS の複製プロトコルに存在する脆弱性を悪用するリモート ホストから WINS サーバーを保護します。
このスクリプトは以下 2 つのフィルタ規則を持つ IPSec ポリシーを作成することにより、保護を行います。
すべてのホストから TCP または UDP ポート 42 に宛てられた着信パケットをブロックする
すべてのホストから TCP または UDP ポート 42 に宛てられた送信パケットをブロックする
これらの規則は WINS 複製パートナー間の WINS の複製を破損させます。このため、上記に定義されている規則とともに、スクリプトがコマンド ライン パラメータなしで対話的に実行された場合、WINS の複製パートナーの IP アドレスを入力するよう指示されます。IP アドレスを指定すると既定の「ブロック」規則から免除され、これにより WINS の複製が信頼される複製パートナー間で機能を継続することができます。
WINS 複製パートナーの IP アドレスを入力する場合、指定した IP アドレスはローカルの WINS サーバーとの通信が許可されます。(例 : これらの IP アドレスはローカル WINS サーバーで作成されている「ブロック」ポリシーから免除されます。)
そのほかの IP アドレスはすべて、TCP または UDP ポート 42 で WINS サーバーと通信できなくなります。
対話的な使用
このパッケージをローカルの一時ディレクトリのコンテンツに抽出した後、スクリプトは管理者により WINS サーバーで対話的に実行することができます。
対話的に実行した場合、スクリプトは次のメニュー オプションを表示します。
--------------------------------------------------------------------------------
WINS Replication Blocker Script version 1.0
Created by Microsoft PSS Security
This batch file creates an IPSec policy that can block:
- Inbound WINS replication packets destined for TCP or UDP port 42
- Outbound WINS replication packets destined for TCP or UDP port 42
Windows 2000 and higher operating system options (NT 4.0 is not supported):
- Press '1' to Create the WINS Replication Blocker IPSec policy
- Press '2' to Enter the IP addresses of trusted WINS Replication Partners
- Press '3' to Un-assign and delete the WINS Replication Blocker IPSec policy.
--------------------------------------------------------------------------------
Please select an option number from above and then press Enter:
無人での使用
スクリプトは、ログオン スクリプト、ソフトウェア パッケージの展開 (SMS の展開) またはコンピュータのスタートアップ スクリプトの一部としてユーザーによる操作なしでも実行することができます。
ユーザーにメニュー オプションを入力するようメッセージを表示せずにスクリプトを実行するためには、単にスクリプトに対する最初のパラメータとして希望するメニュー オプションで実行して下さい。
たとえば、ユーザーの操作なしで WINS の複製ブロッカの IPSec ポリシーを作成する場合、次を入力し、<Enter> を押します。
block_wins_replication.cmd 1
ユーザーの操作なしで IPSec ポリシーに対する例外としてリモート WINS サーバーの IP アドレスを追加する場合、次を入力し、<Enter> を押します。
(10.1.1.1 は、リモート WINS サーバーの IP アドレス)。このスクリプトは 1 回につき 1 つの IP アドレスの追加をサポートしています。
注: コマンド ラインから WINS 複製パートナーの IP アドレスを例外として追加する場合、1 回のスクリプトの実行で追加できるアドレスは 1つのみです。10 個の例外アドレスを追加するには、スクリプトを 10 回実行する必要があります。
block_wins_replication.cmd 1 10.1.1.1
ユーザーの操作なしで、スクリプトが作成した IPSec ポリシーの割り当てを解除する、または削除する場合、次を入力し、<Enter> を押します。
block_wins_replication.cmd 3