كيفية المساعدة في الحماية ضد مشكلة أمنية في WINS

مقدمة

نحن نقوم بدراسة تقارير مشاكل الأمان مع Microsoft إنترنت اسم خدمة Windows (WINS). تؤثر هذه المشكلة أمان Microsoft Windows NT Server 4.0 أو Microsoft Windows NT Server 4.0 Terminal Server Edition، نظام التشغيل Microsoft Windows 2000 Server أو نظام التشغيل Microsoft Windows Server 2003. لا تؤثر هذه المشكلة أمان Microsoft Windows 2000 Professional أو نظام التشغيل Microsoft Windows XP أو نظام التشغيل Microsoft Windows Millennium Edition.

مزيد من المعلومات

بشكل افتراضي، لا يتم تثبيت WINS على Windows NT Server 4.0، إصدار الملقم الطرفي Windows NT Server 4.0، Windows 2000 Server أو Windows Server 2003. بشكل افتراضي، يتم WINS مثبت ويعمل على Microsoft Small Business Server 2000 و Microsoft Windows Small Business Server 2003. بشكل افتراضي في كافة إصدارات Microsoft Small Business Server، يتم حظر منافذ اتصال المكون WINS من الإنترنت ويتوفر WINS على شبكة الاتصال المحلية فقط.

هذه مشكلة أمنية يمكن أن تجعل من الممكن لمهاجم بخرق ملقم WINS عن بعد إذا تحقق أحد الشروط التالية:

  • قمت بتغيير التكوين الافتراضي لتثبيت دور خادم WINS على Windows NT Server 4.0، إصدار الملقم الطرفي Windows NT Server 4.0، Windows 2000 Server أو Windows Server 2003.

  • تشغيل Microsoft Small Business Server 2000 أو Microsoft Windows Small Business Server 2003، ويمكن لمهاجم بالوصول إلى شبكة الاتصال المحلية.

للمساعدة في حماية الكمبيوتر الخاص بك من مشكلة عدم الحصانة هذه المحتملة، اتبع الخطوات التالية:

  1. منفذ TCP كتلة 42 و UDP المنفذ 42 في جدار الحماية.


    تستخدم هذه المنافذ لبدء اتصال مع ملقم WINS بعيد. إذا قمت بحظر هذه المنافذ بجدار الحماية، يمكنك المساعدة على منع أجهزة الكمبيوتر الموجودة خلف جدار الحماية هذا من محاولة استخدام مشكلة عدم الحصانة هذه. منفذ tcp رقم 42 ومنفذ UDP 42 هي المنافذ الافتراضية WINS النسخ المتماثل. نوصي بحظر كافة الاتصالات الواردة غير المرغوب فيها من الإنترنت.

  2. استخدام أمان "بروتوكول إنترنت" (IPsec) لحماية حركة مرور بين أطراف النسخ المتماثل ملقم WINS. للقيام بذلك، استخدم أحد الخيارات التالية.

    تنبيه بسبب كل البنية التحتية WINS فريدة من نوعها، هذه التغييرات قد آثار غير متوقعة على البنية الأساسية. نوصي بشدة بإجراء تحليل لمخاطر قبل اختيار تطبيق هذا التخفيف. نوصي بشدة أيضا إجراء اختبار كامل قبل وضع هذا التخفيف في الإنتاج.

    • الخيار 1: تكوين عوامل تصفية IPSec يدوياً
      تكوين عوامل تصفية IPSec يدوياً، ومن ثم اتبع الإرشادات الموجودة في مقالة "قاعدة معارف Microsoft" التالية إضافة عامل تصفية كتلة الذي يحظر كافة الحزم من أي عنوان IP إلى عنوان IP للنظام الخاص بك:

      813878 كيفية حظر بروتوكولات شبكة الاتصال المحددة والمنافذ باستخدام IPSec

      إذا كنت تستخدم IPSec في بيئة مجال Windows 2000 Active Directory ونشر النهج IPSec باستخدام "نهج المجموعة"، يتجاوز نهج المجال أي نهج المعرفة محلياً. يمنع هذا التكرار هذا الخيار من حظر الحزم التي تريدها.

      لتحديد ما إذا كان تلقي الخوادم نهج IPSec من مجال Windows 2000 أو إصدار أحدث، راجع المقطع "لتحديد ما إذا كان قد تم تعيين نهج IPSec" في مقالة قاعدة المعارف 813878.

      عند التأكد من أنه يمكنك إنشاء نهج IPSec محلي فعال، تحميل أداة IPSeccmd.exe أو أداة IPSecpol.exe.

      الأوامر التالية حظر وصول الوارد والصادر لمنفذ tcp رقم 42 ومنفذ UDP 42.

      ملاحظة: في هذه الأوامر إلى %IPSEC_Command% Ipsecpol.exe (على Windows 2000) أو Ipseccmd.exe (على Windows Server 2003).

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK

      يجعل الأمر التالي نهج IPSec فعالة فورا إذا كان هناك أي نهج متعارضة. وسيبدأ هذا الأمر حظر منفذ TCP الواردة/الصادرة 42 وحزم UDP المنفذ 42 كافة. وهذا يمنع عمليا النسخ المتماثل WINS من الواقعة بين الملقم الذي تم تشغيل هذه الأوامر وأي أطراف النسخ المتماثل WINS.

      %IPSEC_Command% -w REG -p "Block WINS Replication" –x 

      إذا واجهت مشاكل في شبكة الاتصال بعد تمكين نهج IPSec، يمكنك إلغاء تعيين النهج وثم حذف النهج باستخدام الأوامر التالية:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -y 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -o

      للسماح للنسخ المتماثل WINS للدالة بين WINS معين يجب تجاوز قواعد المنع هذه مع أطراف النسخ المتماثل تسمح القواعد. يجب تحديد قواعد السماح عناوين IP الخاص بك موثوق WINS أطراف النسخ المتماثل فقط.


      يمكنك استخدام الأوامر التالية لتحديث نهج IPSec النسخ المتماثل WINS الحظر للسماح لعناوين IP محددة للاتصال بالخادم الذي يستخدم نهج "النسخ المتماثل WINS كتلة".

      ملاحظة: في هذه الأوامر، يشير %IPSEC_Command% Ipsecpol.exe (على Windows 2000) أو Ipseccmd.exe (على Windows Server 2003)، ويشير إلى عنوان IP لملقم WINS البعيد التي تريد إجراء نسخ متماثل معIP%.

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS

      لتعيين النهج مباشرة، استخدم الأمر التالي:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -x
    • الخيار 2: تشغيل برنامج نصي لتكوين عوامل تصفية IPSec تلقائياً
      تحميل وتشغيل البرنامج النصي WINS حظر الإطارات النسخ المتماثل الذي يقوم بإنشاء نهج IPSec لحظر المنافذ. للقيام بذلك، اتبع الخطوات التالية:

      1. لتنزيل واستخراج الملفات.exe، اتبع الخطوات التالية:

        1. تحميل البرنامج النصي WINS حظر الإطارات النسخ المتماثل.

          يتوفر الملف التالي للتنزيل من مركز التنزيل ل Microsoft:

          Download قم بتنزيل حزمة البرنامج النصي WINS حظر الإطارات النسخ المتماثل الآن.

          تاريخ الإصدار: 2 كانون الأول/ديسمبر 2004

          للحصول على معلومات إضافية حول طريقة تحميل ملفات "دعم microsoft"، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

          119591 كيفية الحصول على ملفات دعم Microsoft من الخدمات عبر الإنترنت
          قامت Microsoft بفحص هذا الملف بحثًا عن الفيروسات. استخدمت Microsoft أحدث برامج الكشف عن الفيروسات التي كانت متوفرة في التاريخ الذي تم نشر الملف فيه. يتم تخزين الملف على ملقمات محسنة الأمان التي تساعد على منع أي تغييرات غير مصرح بها على الملف.

          إذا تم تحميل البرنامج النصي WINS حظر الإطارات النسخ المتماثل إلى قرص مرن، استخدام قرص فارغ مهيأ. إذا تم تحميل البرنامج النصي WINS حظر الإطارات النسخ المتماثل للقرص الثابت الخاص بك، يمكنك إنشاء مجلد جديد لحفظ الملف فيه مؤقتاً واستخراج الملف من.


          تنبيه تقم بتنزيل الملفات مباشرة إلى المجلد Windows. يمكن هذا الإجراء بالكتابة فوق الملفات الضرورية للكمبيوتر الخاص بك يعمل بشكل صحيح.

        2. حدد موقع الملف في المجلد الذي قمت بتحميله إلى ومن ثم انقر نقراً مزدوجاً فوق ملف استخراج ذاتي.exe استخراج محتويات مجلد مؤقت. على سبيل المثال، استخراج المحتويات إلى C:\Temp.

      2. افتح موجه الأوامر، ومن ثم انتقل إلى الدليل حيث يتم استخراج الملفات.

      3. تحذير

        • إذا كنت تشك أن قد إصابة ملقمات WINS الخاصة بك، ولكن لم تكن متأكداً من الملقمات WINS التي تخضع لحل وسط أو ما إذا كان ملقم WINS الحالي مهددا، لا تدخل أي من عناوين IP في الخطوة 3. ومع ذلك، اعتبارا من تشرين الثاني/نوفمبر 2004، نحن لسنا على علم بأي من العملاء الذين تأثروا بهذه المشكلة. ولذلك، إذا كانت الخوادم تعمل كما هو متوقع، متابعة كما هو موضح.

        • إذا قمت بتعيين إعداد IPsec بشكل غير صحيح، قد يسبب مشاكل خطيرة في النسخ المتماثل WINS على شبكة الشركة.

        قم بتشغيل الملف Block_Wins_Replication.cmd. لإنشاء منفذ tcp رقم 42 وقواعد الحظر الواردة والصادرة 42 منفذ UDP، اكتب
        1 ومن ثم اضغط ENTER لتحديد الخيار 1 عندما تتم مطالبتك بتحديد الخيار الذي تريده.

        بعد تحديد الخيار 1، يطالبك البرنامج النصي بإدخال عناوين IP لملقمات WINS موثوق به على النسخ المتماثل.


        كل عنوان IP أدخلت معفى من حظر منفذ TCP 42 ونهج 42 منفذ UDP. تتم مطالبتك في حلقة، ويمكنك إدخال العديد من عناوين IP حسب الحاجة. إذا كنت لا تعرف كافة عناوين IP الخاصة بأطراف النسخ المتماثل WINS، يمكنك تشغيل البرنامج النصي مرة أخرى في المستقبل. للبدء في إدخال عناوين IP الموثوق بها أطراف النسخ المتماثل WINS، نوع 2 وثم اضغط على ENTER لتحديد الخيار 2 عندما تتم مطالبتك بتحديد هذا الخيار الذي تريده.


        بعد نشر التحديث الأمني، يمكنك إزالة نهج IPSec. للقيام بذلك، بتشغيل البرنامج النصي. اكتب 3 واضغط على ENTER لتحديد الخيار 3 عندما تتم مطالبتك بتحديد الخيار الذي تريده.

        للحصول على معلومات إضافية حول IPsec وكيفية تطبيق عوامل التصفية، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

        313190 كيفية استخدام قوائم عوامل تصفية IPsec IP في نظام التشغيل Windows 2000

  3. إزالة خدمة WINS، إذا لا حاجة إليها.

    إذا لم تعد تحتاج WINS، اتبع هذه الخطوات لإزالته. يتم تطبيق هذه الخطوات على Windows 2000 أو Windows Server 2003 أو الإصدارات الأحدث من أنظمة التشغيل هذه. ل Windows NT Server 4.0، اتبع الإجراء التي يتم تضمينها في وثائق المنتج.

    هام: تتطلب العديد من المؤسسات خدمة WINS لإجراء وحيد التسمية أو مهام التسجيل ودقة اسم كاملة على شبكة الاتصال الخاصة بهم. يجب عدم إزالة المسؤولين WINS إلا إذا تحقق أحد الشروط التالية:

    • المسؤول تتفهم تماما سيكون التأثير أن إزالة WINS هذا على شبكة الاتصال الخاصة بهم.

    • قام المسؤول بتكوين DNS لتوفير الأداء الوظيفي المكافئ باستخدام أسماء المجال المؤهلة بالكامل ولواحق المجال DNS.

    أيضا، إذا كان أحد المسؤولين بإزالة وظيفة خدمة WINS من ملقم مستمر في توفير موارد مشتركة على شبكة الاتصال، مدير البرنامج بشكل صحيح إعادة تكوين النظام لاستخدام خدمات تحليل الاسم المتبقية مثل DNS على المستوى المحلي شبكة الاتصال.

    لمزيد من المعلومات حول WINS، قم بزيارة موقع Microsoft التالي على الويب:

    http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=trueلمزيد من المعلومات حول كيفية تحديد ما إذا كنت تحتاج دقة اسم NETBIOS أو WINS وتكوين DNS، قم بزيارة موقع Microsoft التالي على الويب:

    http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxلإزالة خدمة WINS، اتبع هذه الخطوات:

    1. في "لوحة التحكم"، افتح إضافة أو إزالة البرامج.

    2. انقر فوق إضافة/إزالة مكونات Windows.

    3. في صفحة معالج مكونات Windows، ضمن
      المكونات، انقر فوق خدمات شبكة الاتصال، ومن ثم انقر فوق تفاصيل.

    4. انقر لإلغاء تحديد خانة الاختيار خدمة تسمية إنترنت Windows (WINS) لإزالة خدمة WINS.

    5. اتبع الإرشادات التي تظهر على الشاشة لإكمال "معالج مكونات Windows".

نحن نعمل على تحديث لمواجهة هذه المشكلة الأمنية كجزء من عملية التحديث المنتظمة. عند التحديث قد وصل إلى مستوى مناسب من الجودة، سوف نقدم التحديث من خلال Windows Update.


إذا كنت تعتقد أن كنت قد تأثرت، اتصل "خدمات دعم المنتجات".

العملاء الدوليون يجب الاتصال "خدمات دعم المنتج" باستخدام أي أسلوب المسردة في موقع Microsoft التالي على الويب:

http://support.microsoft.com

هل تحتاج إلى مزيد من المساعدة؟

توسيع المهارات
استكشاف التدريب
الحصول على الميزات الجديدة أولاً
الانضمام إلى Microsoft Insider

هل كانت المعلومات مفيدة؟

نشكرك على ملاحظاتك!

شكراً لك على الملاحظات! يبدو أنه من المفيد إيصالك بأحد وكلاء دعم Office لدينا.

×