Microsoft Windows Internet Adlandırma Hizmeti'nde (WINS) bulunduğu bildirilen bir güvenlik sorununu araştırıyoruz. Bu güvenlik sorunu Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server ve Microsoft Windows Server 2003'ü etkiler. Güvenlik sorunu Microsoft Windows 2000 Professional, Microsoft Windows XP ve Microsoft Windows Millennium Edition'ı etkilemez.
Varsayılan olarak, Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server veya Windows Server 2003'e WINS yüklenmez. Varsayılan olarak, Microsoft Small Business Server 2000 ve Microsoft Windows Small Business Server 2003'te WINS yüklüdür ve çalışır durumdadır. Varsayılan olarak, Microsoft Small Business Server'ın tüm sürümlerinde, WINS bileşeninin iletişim bağlantı noktalarının Internet erişimi engellenir ve WINS yalnızca yerel ağda kullanılabilir.
Bu güvenlik sorunu, aşağıdaki koşulların doğru olması durumunda WINS sunucusu güvenliğinin bir saldırgan tarafından uzaktan aşılmasına olanak verebilir:
Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server veya Windows Server 2003'te WINS sunucu rolünü yüklemek üzere varsayılan yapılandırmayı değiştirdiniz.
Microsoft Small Business Server 2000 veya Microsoft Windows Small Business Server 2003 çalıştırıyorsunuz ve bir saldırgan yerel ağınıza erişebiliyor.
Bilgisayarınızın bu olası güvenlik açığına karşı korunmasına yardımcı olmak için aşağıdaki adımları izleyin:
Güvenlik duvarında 42 numaralı TCP ve 42 numaralı UDP bağlantı noktalarını engelleyin.
Bu bağlantı noktaları uzak WINS sunucusuyla bağlantı başlatmak için kullanılır. Güvenlik duvarında bu bağlantı noktalarını engellerseniz, güvenlik duvarının arkasındaki bilgisayarların bu açığı kullanmalarını engellemeye yardımcı olursunuz. 42 numaralı TCP bağlantı noktası ve 42 numaralı UDP bağlantı noktası, varsayılan WINS çoğaltma bağlantı noktalarıdır. Internet'ten gelen tüm istenmeyen iletişimin engellenmesi önerilir.
Internet Protokolü güvenliği (IPsec) kullanarak, WINS sunucusu çoğaltma ortakları arasındaki trafiğin korunmasına yardımcı olun. Bunu yapmak için aşağıdaki seçeneklerden birini kullanın.
Dikkat Her WINS altyapısı benzersiz olduğu için, bu değişiklikler altyapınızda beklenmeyen etkilere neden olabilir. Bu hafifletme yöntemini kullanmayı seçmeden önce, bir risk analizi yapmanız önerilir. Bu hafifletmeyi üretime sokmadan önce de tam bir sınama gerçekleştirmeniz önerilir.
Seçenek 1: IPSec filtrelerini el ile yapılandırma IPSec filtrelerini el ile yapılandırın ve aşağıdaki Microsoft Bilgi Bankası makalesinde yer alan yönergeleri izleyerek herhangi bir IP adresinden sisteminizin IP adresine gönderilmiş olan tüm paketleri engelleyen bir engelleme filtresi ekleyin:
813878
(http://support.microsoft.com/kb/813878/
)
IPsec kullanılarak belirli ağ protokolleri ve bağlantı noktaları nasıl engellenir (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir)
IPSec'i Windows 2000 Active Directory etki alanı ortamınızda kullanır ve IPSec ilkenizi Grup İlkesi kullanarak dağıtırsanız, etki alanı ilkesi yerel olarak tanımlanmış tüm ilkeleri geçersiz kılar. Bu da, bu seçeneğin istediğiniz paketleri engellemesini önler.
Sunucularınızın bir Windows 2000 etki alanından veya sonraki bir sürümünden IPSec ilkesi alıp almadıklarını belirlemek için, 813878 numaralı Bilgi Bankası makalesinin “Bir IPSec ilkesinin atanmış olup olmadığını belirleme” bölümüne bakın.
Etkili bir yerel IPSec ilkesi oluşturabileceğinizi belirlediğinizde, IPSeccmd.exe aracını veya IPSecpol.exe aracını karşıdan yükleyin.
Aşağıdaki komutlar 42 numaralı TCP ve 42 numaralı UDP bağlantı noktalarına gelen ve giden trafiği engeller.
Not Bu komutlarda kullanılan %IPSEC_Komutu% Ipsecpol.exe (Windows 2000'de) veya Ipseccmd.exe (Windows Server 2003'te) dosyasına karşılık gelir.
%IPSEC_Komutu% -w REG -p "WINS Çoğaltmasını Engelle" -r "42 Numaralı TCP Bağlantı Noktasına Gelen Tüm Trafiği Engelle Kuralı" -f *=0:42:TCP -n BLOCK
%IPSEC_Komutu% -w REG -p "WINS Çoğaltmasını Engelle" -r "42 Numaralı UDP Bağlantı Noktasına Gelen Tüm Trafiği Engelle Kuralı" -f *=0:42:UDP -n BLOCK
%IPSEC_Komutu% -w REG -p "WINS Çoğaltmasını Engelle" -r "42 Numaralı TCP Bağlantı Noktasından Giden Tüm Trafiği Engelle Kuralı" -f 0=*:42:TCP -n BLOCK
%IPSEC_Komutu% -w REG -p "WINS Çoğaltmasını Engelle" -r "42 Numaralı UDP Bağlantı Noktasından Giden Tüm Trafiği Engelle Kuralı" -f 0=*:42:UDP -n BLOCK
Aşağıdaki komut, çakışan bir ilke yoksa IPSec ilkesini hemen etkinleştirir. Bu komut, 42 numaralı TCP bağlantı noktası ve 42 numaralı UDP bağlantı noktası için tüm gelen/giden paketleri engellemeye başlar. Böylece, bu komutların çalıştırıldığı sunucu ile herhangi bir WINS çoğaltma ortağı arasında oluşan WINS çoğaltmaları etkin biçimde engellenir.
Belirli WINS çoğaltma ortakları arasında WINS çoğaltmasına izin vermek için, bu engelleme kurallarının yerine izin verme kuralları kullanmalısınız. İzin verme kuralları, yalnızca güvenilen WINS çoğaltma ortaklarınızın IP adreslerini belirtmelidir.
Aşağıdaki komutları kullanarak, WINS Çoğaltmasını Engelle IPSec ilkesini, belirli IP adreslerinin WINS Çoğaltmasını Engelle ilkesini kullanan sunucuyla iletişim kurmasına izin verecek biçimde güncelleştirebilirsiniz.
Not Bu komutlarda %IPSEC_Komutu% Ipsecpol.exe (Windows 2000'de) veya Ipseccmd.exe (Windows Server 2003'te) aracı yerine ve %IP% de çoğaltma gerçekleştirmek istediğiniz uzak WINS sunucusunun IP adresi yerine kullanılır.
%IPSEC_Komutu% -w REG -p "WINS Çoğaltmasını Engelle" -r "42 Numaralı Bağlantı Noktasına %IP% Adresinden Gelen TCP Trafiğine İzin Ver Kuralı" -f %IP%=0:42:TCP -n PASS
%IPSEC_Komutu% -w REG -p "WINS Çoğaltmasını Engelle" -r "42 Numaralı Bağlantı Noktasına %IP% Adresinden Gelen UDP Trafiğine İzin Ver Kuralı" -f %IP%=0:42:UDP -n PASS
%IPSEC_Komutu% -w REG -p "WINS Çoğaltmasını Engelle" -r "42 Numaralı Bağlantı Noktasından %IP% Adresine Giden TCP Trafiğine İzin Ver Kuralı" -f 0=%IP%:42:TCP -n PASS
%IPSEC_Komutu% -w REG -p "WINS Çoğaltmasını Engelle" -r "42 Numaralı Bağlantı Noktasından %IP% Adresine Giden UDP Trafiğine İzin Ver Kuralı" -f 0=%IP%:42:UDP -n PASS
İlkeyi hemen atamak için, aşağıdaki komutu kullanın:
Seçenek 2: Bir komut dosyası çalıştırıp IPSec filtrelerini otomatik olarak yapılandırma Bağlantı noktalarını engellemek üzere bir IPSec ilkesi oluşturan WINS Çoğaltma Engelleyicisi komut dosyasını karşıdan yükleyin ve çalıştırın. Bunu yapmak için şu adımları izleyin:
.exe dosyalarını karşıdan yüklemek ve ayıklamak için aşağıdaki adımları izleyin:
Microsoft Destek dosyalarını karşıdan yükleme hakkında ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
119591
(http://support.microsoft.com/kb/119591/
)
Microsoft Destek Dosyaları Çevrimiçi Hizmetler'den Nasıl Alınır (Bu makale, henüz çevrilmemiş İngilizce içeriğe bağlantılar içerebilir).
Microsoft bu dosyada virüs taraması yapmıştır. Microsoft, dosyanın kullanıma sunulduğu tarihteki en güncel virüs tarama yazılımını kullanmıştır. Dosya, üzerinde herhangi bir yetkisiz değişiklik yapılmasını engellemeye yardım eden geliştirilmiş güvenliğe sahip sunucularda depolanır.
WINS Çoğaltma Engelleyicisi komut dosyasını bir diskete karşıdan yüklüyorsanız, biçimlendirilmiş boş bir disket kullanın. WINS Çoğaltma Engelleyicisi komut dosyasını sabit diskinize yüklüyorsanız, dosyayı kaydetmek ve ayıklamak için geçici bir klasör oluşturun.
Dikkat Dosyaları doğrudan Windows klasörünüze yüklemeyin. Bu eylem, bilgisayarınızın düzgün çalışabilmesi için gerekli olan dosyaların üzerine yazabilir.
Dosyayı yüklediğiniz klasörde bulun ve kendi başına ayıklanan .exe dosyasını çift tıklatıp içeriğini geçici bir klasöre ayıklayın. Örneğin, içeriği C:\Temp klasörüne ayıklayın.
Bir komut istemi açın ve dosyaların ayıklandığı dizine gidin.
Uyarı
WINS sunucularınıza virüs bulaşmış olabileceğinden şüpheleniyorsanız, ama hangi WINS sunucularında virüs olduğundan veya geçerli WINS sunucunuzda virüs bulunup bulunmadığından emin değilseniz, 3. adımda IP adreslerini girmeyin. Ancak, Kasım 2004 itibariyle, bu sorundan etkilenmiş bir müşteri bulunmamaktadır. Bu nedenle, sunucularınız beklendiği gibi çalışıyorsa, anlatıldığı biçimde devam edin.
IPsec'i yanlış kurarsanız, şirket ağınızda önemli WINS çoğaltma sorunlarına neden olabilirsiniz. IPSec güvenlik hususları hakkında ek bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:
Block_Wins_Replication.cmd dosyasını çalıştırın. 42 numaralı TCP bağlantı noktası ve 42 numaralı UDP bağlantı noktasındaki gelen ve giden trafiği engelleme kuralları oluşturmak için, istediğiniz seçeneği belirlemeniz istendiğinde 1. seçeneği seçmek üzere 1 yazıp ENTER tuşuna basın.
1. seçenek belirlendikten sonra, komut dosyası güvenilen WINS çoğaltma sunucularının IP adreslerini girmenizi ister.
Girdiğiniz her IP adresi, 42 numaralı TCP bağlantı noktası ve 42 numaralı UDP bağlantı noktasını engelleme ilkesinin dışında bırakılır. IP adresleri bir döngü halinde sorulur ve dilediğiniz sayıda IP adresi girebilirsiniz. WINS çoğaltma ortaklarının tüm IP adreslerini bilmiyorsanız, komut dosyasını daha sonra yeniden çalıştırabilirsiniz. Güvenilen WINS çoğaltma ortaklarının IP adreslerini girmeye başlamak için, istediğiniz seçeneği belirlemeniz istendiğinde 2. seçeneği seçmek üzere 2 yazın ve ENTER tuşuna basın.
Güvenlik güncelleştirmesini dağıttıktan sonra, IPSec ilkesini kaldırabilirsiniz. Bunu yapmak için komut dosyasını çalıştırın. İstediğiniz seçeneği belirlemeniz istendiğinde 3. seçeneği seçmek üzere 3 yazın ve ENTER tuşuna basın.
IPSec ve filtreleri uygulama hakkında ek bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
313190
(http://support.microsoft.com/kb/313190/
)
Windows 2000'de IPsec IP filtre listeleri nasıl kullanılır (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir)
Gerekmiyorsa WINS hizmetini kaldırın.
WINS hizmeti artık gerekmiyorsa, aşağıdaki adımları izleyerek kaldırın. Bu adımlar Windows 2000, Windows Server 2003 ve bu işletim sistemlerinin sonraki sürümleri için geçerlidir. Windows NT Server 4.0 için, ürün belgelerinde bulunan yordamı izleyin.
Önemli Çoğu kuruluş ağında, tek etiket ya da düz ad kaydı ve çözümleme işlevlerinin gerçekleştirilebilmesi için WINS gerekmektedir. Yöneticiler, aşağıdaki koşullar doğru olmadığı sürece WINS hizmetini kaldırmamalıdır:
Yönetici WINS hizmetini ağdan kaldırmanın etkilerini çok iyi bilmelidir.
Yönetici, aynı işlevleri tam nitelenmiş etki alanı adları ve DNS etki alanı sonekleri kullanarak sağlayacak biçimde DNS'yi yapılandırmış olmalıdır.
Ayrıca, bir yönetici ağda paylaşılan kaynakları sağlamaya devam edecek bir sunucudan WINS işlevlerini kaldırıyorsa, sistemi yerel ağdaki DNS gibi ad diğer çözümleme hizmetlerini kullanacak biçimde yeniden yapılandırmalıdır.
WINS hakkında daha fazla bilgi için, aşağıdaki Microsoft Web sitesini ziyaret edin:
NETBIOS veya WINS ad çözümlemesine ve gereksinim duyup duymadığınızı belirleme DNS yapılandırması hakkında daha fazla bilgi için, aşağıdaki Microsoft Web sitesini ziyaret edin:
WINS hizmetini kaldırmak için şu adımları izleyin:
Denetim Masası'nda Program Ekle veya Kaldır'ı açın.
Windows Bileşenlerini Ekle/Kaldır'ı tıklatın.
Windows Bileşen Sihirbazı sayfasında, Bileşenler'in altında Ağ Hizmetleri'ni tıklatın, sonra da Ayrıntılar'ı tıklatın.
Windows Internet Adlandırma Hizmeti (WINS) onay kutusunu tıklatıp temizleyerek WINS'yi kaldırın.
Ekrandaki yönergeleri izleyerek Windows Bileşen Sihirbazı'nı tamamlayın.
Düzenli güncelleştirme işlemlerinin bir parçası olarak, bu güvenlik sorununu gideren bir güncelleştirme üzerinde çalışılmaktadır. Güncelleştirme uygun bir kalite düzeyine eriştiğinde, Windows Update aracılığıyla yayımlanacaktır.
Sorundan etkilendiğinize inanıyorsanız Ürün Destek Hizmetleri'ne başvurabilirsiniz. Güvenlik güncelleştirmesi sorunları ve virüslerle ilgili yardım almak için, Kuzey Amerika'da Ürün Destek Hizmetleri'ne başvurmak üzere aşağıdaki PC Safety telefon numarasını kullanabilirsiniz:
1-866-PCSAFETY
Not Bu görüşme için ücret alınmaz.
Uluslararası müşteriler, Ürün Destek Hizmetleri'ne aşağıdaki Microsoft Web sitesinde listelenen yöntemlerden birini kullanarak başvurmalıdır:
Bu makaleyi kullanmak için ne kadar kişisel çaba harcadınız?
Çok az
Az
Orta
Fazla
Çok fazla
Bu bilgiyi geliştirmemiz için nedenleri ve bu konuda neler yapabileceğimizi paylaşın
Teşekkürler! Görüşleriniz, destek içeriğimizi geliştirmemize yardımcı olmak için kullanılmaktadır. Diğer yardım seçenekleri için, lütfen Yardım ve Destek Giriş Sayfasını ziyaret edin.
Windows Live
Facebook
Twitter
Linkedin
Digg it
Yahoo
Delicious
StumbleUpon
Yammer
Reddit
Technorati
FriendFeed
Email
Üste
