Přihlásit se pomocí účtu Microsoft
Přihlaste se nebo si vytvořte účet.
Dobrý den,
Vyberte jiný účet.
Máte více účtů.
Zvolte účet, pomocí kterého se chcete přihlásit.

ÚVOD

Analyzujeme zprávy o chybě zabezpečení služby Microsoft Windows Internet Name Service (WINS). Tato chyba zabezpečení se týká systémů Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server a Microsoft Windows Server 2003. Neovlivňuje systémy Microsoft Windows 2000 Professional, Microsoft Windows XP nebo Microsoft Windows Millennium Edition.

Další informace

Služba WINS není ve výchozím nastavení nainstalována na systémech Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server nebo Windows Server 2003. Ve výchozím nastavení je služba WINS nainstalována a spuštěna na serveru Microsoft Small Business Server 2000 a Microsoft Windows Small Business Server 2003. Ve výchozím nastavení jsou u všech verzí serveru Microsoft Small Business Server komunikační porty součásti WINS blokovány od sítě Internet a služba WINS je k dispozici pouze v místní síti.

Tato chyba zabezpečení by mohla útočníkovi umožnit vzdáleně ohrozit server WINS, pokud platí některá z následujících podmínek:

  • Změnili jste výchozí konfiguraci na instalaci role serveru WINS v systémech Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server nebo Windows Server 2003.

  • Provozujete servery Microsoft Small Business Server 2000 nebo Microsoft Windows Small Business Server 2003 a útočník má přístup k vaší místní síti.

Chcete-li počítač ochránit před touto potenciální chybou zabezpečení, postupujte takto:

  1. Zablokujte port TCP 42 a port UDP 42 u brány firewall.


    Tyto porty slouží k navázání připojení ke vzdálenému serveru WINS. Jestliže tyto porty zablokujete u brány firewall, přispějete k ochraně počítačů za danou branou firewall před pokusem o zneužití této chyby zabezpečení. Port TCP 42 a port UDP 42 jsou výchozí porty pro replikaci služby WINS. Doporučujeme blokovat veškerou nevyžádanou příchozí komunikaci ze sítě Internet.

  2. Ochranu komunikace mezi partnery replikace serveru WINS můžete zvýšit používáním protokolu IPsec (Internet Protocol security). Použijte některou z následujících možností:

    Upozornění: Vzhledem k tomu, že každá infrastruktura služby WINS je jedinečná, mohou mít tyto změny ve vaší infrastruktuře neočekávané důsledky. Před rozhodnutím pro toto řešení důrazně doporučujeme provést analýzu rizik. Před uvedením tohoto řešení do provozu také důrazně doporučujeme provést úplné testování.

    • Možnost 1: Ruční konfigurace filtrů protokolu IPSec
      Ručně konfigurujte filtry IPSec a pak pomocí pokynů v následujícím článku znalostní báze Microsoft Knowledge Base přidejte filtr blokování, který zablokuje všechny pakety z jakékoli adresy IP na adresu IP vašeho systému:

      813878 Jak blokovat konkrétní síťové protokoly a porty pomocí protokolu IPSec. (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)Pokud protokol IPSec používáte v prostředí domény služby Active Directory systému Windows 2000 a nasadíte zásadu protokolu IPSec pomocí Zásad skupiny, přepíše zásada domény všechny místně definované zásady. Tato funkce zabraňuje zablokování paketů, které požadujete, touto možností.

      Chcete-li zjistit, zda servery přijímají zásadu protokolu IPSec z domény systému Windows 2000 nebo novější verze, najdete informace v části „Determine whether an IPSec policy is assigned“ (Určení, zda je přiřazena zásada protokolu IPSec) v článku číslo 813878 znalostní báze Knowledge Base.

      Poté, co zjistíte, že můžete vytvořit platnou místní zásadu protokolu IPSec, stáhněte nástroj IPSeccmd.exe nebo nástroj IPSecpol.exe.

      Následující příkazy blokují příchozí a odchozí přístup na portech TCP 42 a UDP 42.

      Poznámka: V těchto příkazech odpovídá parametr %příkaz_IPSEC% programu Ipsecpol.exe (v systému Windows 2000) nebo programu Ipseccmd.exe (v systému Windows Server 2003).

      %Ipříkaz_PSEC% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK 
      %Ipříkaz_IPSEC% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK 
      %příkaz_IPSEC% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK 
      %Ipříkaz_PSEC% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK

      Pokud neexistuje konfliktní zásada, následující příkaz učiní zásadu protokolu IPSec platnou okamžitě. Tento příkaz začne blokovat všechny příchozí nebo odchozí pakety na portech TCP 42 a UDP 42. Tento příkaz efektivně zabraňuje replikaci služby WINS mezi serverem, na němž byly příkazy spuštěny, a libovolnými partnery replikace služby WINS.

      %příkaz_IPSEC% -w REG -p "Block WINS Replication" –x

      Pokud po povolení této zásady protokolu IPSec dojde k problémům v síti, můžete zrušit přiřazení této zásady a pak ji odstranit pomocí následujících příkazů:

      %příkaz_IPSEC% -w REG -p "Block WINS Replication" -y 
      %příkaz_IPSEC% -w REG -p "Block WINS Replication" -o

      Chcete-li povolit replikaci služby WINS mezi konkrétními partnery replikace této služby, je třeba přepsat tato pravidla blokování pravidly povolení. Pravidlo povolení by mělo určovat pouze adresy IP důvěryhodných partnerů replikace služby WINS.


      Pomocí následujících příkazů můžete aktualizovat zásadu blokování replikace služby WINS protokolu IPSec, aby povolila konkrétním adresám IP komunikovat se serverem používajícím zásadu blokování replikace služby WINS.

      Poznámka: V těchto příkazech označuje položka, %příkaz_IPSEC% nástroj Ipsecpol.exe (v systému Windows 2000) nebo Ipseccmd.exe (v systému Windows Server 2003) a %adresa_IP označuje adresu IP vzdáleného serveru služby WINS, na který chcete replikovat.

      %příkaz_IPSEC% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS 
      %příkaz_IPSEC% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:UDP -n PASS 
      %příkaz_IPSEC% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS 
      %příkaz_IPSEC% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS

      Zásadu lze také ihned přiřadit zadáním následujícího příkazu:

      %příkaz_IPSEC% -w REG -p "Block WINS Replication" -x

    • Možnost 2: Spuštění skriptu pro automatickou konfiguraci filtrů protokolu IPSec
      Stáhněte a spusťte skript WINS Replication Blocker, který vytvoří zásadu protokolu IPSec pro blokování portů. Postupujte takto:

      1. Při stažení a extrahování souborů EXE postupujte podle následujících kroků:

        1. Stáhněte skript WINS Replication Blocker.

          V centru pro stahování Microsoft Download Center je k dispozici ke stažení následující soubor:

          Stáhněte skript WINS Replication Blocker.

          Datum vydání: 2. 12. 2004

          Další informace, jak stahovat soubory odborné pomoci společnosti Microsoft, naleznete v následujícím článku databáze Microsoft Knowledge Base:

          119591 Jak získat soubory odborné pomoci společnosti Microsoft ze serverů služeb online Tento soubor byl zkontrolován na výskyt virů. Společnost Microsoft použila ke kontrole tohoto souboru nejnovější antivirový software, který byl v době jeho publikování k dispozici. Po publikování je soubor uložen na zabezpečených serverech znemožňujících neoprávněné změny souboru.

          Pokud stahujete skript WINS Replication Blocker na disketu, použijte prázdnou, naformátovanou disketu. Jestliže stahujete skript WINS Replication Blocker na pevný disk, vytvořte novou složku pro dočasné uložení souboru, ze které pak soubor extrahujete.


          Upozornění: Nestahujte soubory přímo do složky Windows. Tato akce by mohla přepsat soubory, které jsou požadovány pro správnou funkčnost počítače.

        2. Vyhledejte soubor ve složce, do které jste jej stáhli, a poklepáním na samorozbalovací spustitelný soubor extrahujte obsah do dočasné složky. Extrahujte obsah například do složky C:\Temp.

      2. Otevřete příkazový řádek a přejděte do adresáře obsahujícího extrahované soubory.

      3. Upozornění:

        • Pokud máte podezření, že servery WINS mohou být napadeny, ale nejste si jisti, které servery jsou ohroženy nebo zda je aktuální server WINS ohrožen, nezadávejte v kroku 3 žádné adresy IP. Od listopadu 2004 však nemáme informace o žádných zákaznících, kteří byli tímto problémem ohroženi. Pokud tedy vaše servery fungují bez problémů, pokračujte v popsaném postupu.

        • Pokud protokol IPSec nastavíte nesprávně, můžete v podnikové síti způsobit vážné potíže s replikací služby WINS. Další informace o důležitých bodech zabezpečení protokolem IPSec najdete na následujícím webu společnosti Microsoft:

          http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sag_ipsecsec_con.mspx

        Spusťte soubor Block_Wins_Replication.cmd. Chcete-li vytvořit pravidla blokování odchozí a příchozí komunikace na portech TCP 42 a UDP 42, zadejte hodnotu 1 a pak po zobrazení výzvy k výběru požadované možnosti vyberte možnost 1 stisknutím klávesy ENTER.

        Po výběru možnosti 1 zobrazí skript výzvu k zadání adresy IP důvěryhodných serverů replikace služby WINS.


        Všechny adresy IP, které zadáte, budou vyjmuty ze zásady blokování portů TCP 42 a UDP 42. Výzva se zobrazí opakovaně a můžete zadat tolik adres IP, kolik potřebujete. Jestliže neznáte všechny adresy IP partnerů replikace služby WINS, můžete skript v budoucnu spustit znovu. Chcete-li zahájit zadávání adres IP důvěryhodných partnerů replikace služby WINS, zadejte možnost 2 a po zobrazení výzvy k výběru požadované možnosti vyberte možnost 2 stisknutím klávesy ENTER.


        Po instalaci aktualizace zabezpečení můžete zásadu protokolu IPSec odstranit. Tento krok provedete spuštěním skriptu. Zadejte hodnotu 3 a po zobrazení výzvy k výběru požadované možnosti vyberte možnost 3 stisknutím klávesy ENTER.

        Další informace o protokolu IPSec a způsobu použití filtrů najdete v následujícím článku znalostní báze Microsoft Knowledge Base:

        313190 Jak použít seznamy filtrování adres IP protokolu IPSec v systému Windows 2000 (Tento článek může obsahovat odkazy na anglický obsah (dosud nepřeložený).)

  3. Odeberte službu WINS, pokud ji nepotřebujete.

    Jestliže již službu WINS nepotřebujete, odeberte ji následujícím postupem. Tento postup platí pro systém Windows 2000, Windows Server 2003 a pozdější verze těchto operačních systémů. V případě systému Windows NT Server 4.0 postupujte podle pokynů uvedených v dokumentaci k produktu.

    Důležité: Mnoho organizací vyžaduje, aby služba WINS prováděla registraci jednomístných i nestrukturovaných názvů a funkce překladu v jejich síti. Správci by měli službu WINS odebrat pouze tehdy, pokud platí některá z následujících podmínek:

    • Správce plně chápe vliv odebrání služby WINS na síť.

    • Správce konfiguroval službu DNS na poskytování podobných funkcí pomocí úplných názvů domén a přípon domén DNS.

    Pokud správce odebere službu WINS ze serveru, který bude dále poskytovat sdílené prostředky v síti, musí správně změnit konfiguraci systému tak, aby používal zbývající služby pro překlad názvů (například DNS) v místní síti.

    Další informace o službě WINS najdete na následujícím webu společnosti Microsoft:

    http://technet2.microsoft.com/WindowsServer/cs/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1029.mspx?mfr=true Další informace o způsobu určení, zda potřebujete překlad názvů NETBIOS nebo WINS a konfiguraci služby DNS, najdete na následujícím webu společnosti Microsoft:

    http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxSlužbu WINS odeberete následujícím způsobem:

    1. V Ovládacích panelech otevřete panel Přidat nebo odebrat programy.

    2. Klepněte na tlačítko Přidat nebo odebrat součásti systému.

    3. V okně Průvodce součástmi systému Windows klepněte v seznamu Součásti na položku Síťové služby a pak na tlačítko Podrobnosti.

    4. Zrušením zaškrtnutí políčka Windows Internet Naming Service (WINS) odstraňte službu WINS.

    5. Podle pokynů na obrazovce dokončete Průvodce součástmi systému Windows.

Pracujeme na aktualizaci řešení této chyby zabezpečení jako součásti běžného procesu aktualizací. Po vytvoření aktualizace s požadovanou úrovní kvality budeme tuto aktualizaci poskytovat prostřednictvím serveru Windows Update.


Pokud se domníváte, že jste ohroženi, obraťte se na služby odborné pomoci společnosti Microsoft. V Severní Americe se můžete s potížemi aktualizace zabezpečení nebo viry obrátit na službu odborné pomoci pomocí linky PC Safety:

1-866-PCSAFETYPoznámka: Tato služba je bezplatná.

Mezinárodní zákazníci se mohou obrátit na službu odborné pomoci jakýmkoli způsobem uvedeným na následujícím webu společnosti Microsoft:

http://support.microsoft.com/?LN=cs

Facebook LinkedIn E-mail

Potřebujete další pomoc?

Chcete další možnosti?

Zjišťování Komunita

Prozkoumejte výhody předplatného, projděte si školicí kurzy, zjistěte, jak zabezpečit své zařízení a mnohem více.

Výhody předplatného Microsoftu 365

Školení k Microsoftu 365

Zabezpečení od Microsoftu

Centrum přístupnosti

Komunity vám pomohou klást otázky a odpovídat na ně, poskytovat zpětnou vazbu a vyslechnout odborníky s bohatými znalostmi.

Zeptejte se v komunitě Microsoftu

Technická komunita Microsoftu

Účastníci programu Windows Insider

Účastníci programu Microsoft 365 Insider

Byly tyto informace užitečné?

Jak jste spokojeni s kvalitou jazyka?
Co ovlivnilo váš názor?
Po stisknutí tlačítka pro odeslání se vaše zpětná vazba použije k vylepšování produktů a služeb Microsoftu. Váš správce IT bude moci tato data shromažďovat. Prohlášení o zásadách ochrany osobních údajů.

Děkujeme vám za zpětnou vazbu.

×