مقدمة
نحن نحقق في تقارير مشكلة أمان في Microsoft Windows Internet Name Service (WINS). تؤثر مشكلة الأمان هذه على Microsoft Windows NT Server 4.0 وMicrosoft Windows NT Server 4.0 Terminal Server Edition وMicrosoft Windows 2000 Server وMicrosoft Windows Server 2003. لا تؤثر مشكلة الأمان هذه على Microsoft Windows 2000 Professional أو Microsoft Windows XP أو Microsoft Windows Millennium Edition.
مزيد من المعلومات
بشكل افتراضي، لا يتم تثبيت WINS على Windows NT Server 4.0 أو Windows NT Server 4.0 Terminal Server Edition أو Windows 2000 Server أو Windows Server 2003. بشكل افتراضي، يتم تثبيت WINS وتشغيله على Microsoft Small Business Server 2000 وMicrosoft Windows Small Business Server 2003. بشكل افتراضي، في جميع إصدارات Microsoft Small Business Server، يتم حظر منافذ اتصال مكون WINS من الإنترنت، ولا يتوفر WINS إلا على الشبكة المحلية. قد تجعل مشكلة الأمان هذه من الممكن للمهاجم اختراق خادم WINS عن بعد إذا كان أحد الشروط التالية صحيحا:
-
لقد قمت بتغيير التكوين الافتراضي لتثبيت دور خادم WINS على Windows NT Server 4.0 أو Windows NT Server 4.0 Terminal Server Edition أو Windows 2000 Server أو Windows Server 2003.
-
أنت تقوم بتشغيل Microsoft Small Business Server 2000 أو Microsoft Windows Small Business Server 2003، والمهاجم لديه حق الوصول إلى شبكتك المحلية.
للمساعدة في حماية الكمبيوتر من هذه الثغرة الأمنية المحتملة، اتبع الخطوات التالية:
-
حظر منفذ TCP 42 ومنفذ UDP 42 على جدار الحماية.يتم استخدام هذه المنافذ لبدء اتصال بخادم WINS بعيد. إذا قمت بحظر هذه المنافذ في جدار الحماية، فستساعد في منع أجهزة الكمبيوتر الموجودة خلف جدار الحماية هذا من محاولة استخدام هذه الثغرة الأمنية. منفذ TCP 42 ومنفذ UDP 42 هما منفذا النسخ المتماثل الافتراضي ل WINS. نوصي بحظر جميع الاتصالات الواردة غير المرغوب فيها من الإنترنت.
-
استخدم أمان بروتوكول الإنترنت (IPsec) للمساعدة في حماية نسبة استخدام الشبكة بين شركاء النسخ المتماثل لخادم WINS. للقيام بذلك، استخدم أحد الخيارات التالية. تنبيه لأن كل بنية أساسية WINS فريدة من نوعها، قد يكون لهذه التغييرات تأثيرات غير متوقعة على البنية الأساسية الخاصة بك. نوصي بشدة بإجراء تحليل للمخاطر قبل اختيار تنفيذ هذا التخفيف. نوصي بشدة أيضا بإجراء اختبار كامل قبل وضع هذا التخفيف في الإنتاج.
-
الخيار 1: قم بتكوين عوامل تصفية IPSec يدويا لتكوين عوامل تصفية IPSec يدويا، ثم اتبع الإرشادات الواردة في مقالة قاعدة معارف Microsoft التالية لإضافة عامل تصفية كتلة يحظر جميع الحزم من أي عنوان IP إلى عنوان IP الخاص بالنظام الخاص بك:
813878 كيفية حظر بروتوكولات ومنافذ شبكة اتصال معينة باستخدام IPSecإذا كنت تستخدم IPSec في بيئة مجال Windows 2000 Active Directory وقمت بنشر نهج IPSec باستخدام نهج المجموعة، فإن نهج المجال يتجاوز أي نهج محدد محليا. يمنع هذا التكرار هذا الخيار من حظر الحزم التي تريدها.لتحديد ما إذا كانت خوادمك تتلقى نهج IPSec من مجال Windows 2000 أو إصدار أحدث، راجع قسم "تحديد ما إذا كان تم تعيين نهج IPSec" في مقالة قاعدة المعارف 813878. عندما تحدد أنه يمكنك إنشاء نهج IPSec محلي فعال، قم بتنزيل أداة IPSeccmd.exe أو أداة IPSecpol.exe. تمنع الأوامر التالية الوصول الوارد والصادر إلى منفذ TCP 42 ومنفذ UDP 42.ملاحظة في هذه الأوامر، يشير ٪IPSEC_Command٪ إلى Ipsecpol.exe (في Windows 2000) أو Ipseccmd.exe (في Windows Server 2003).
%IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK
يجعل الأمر التالي نهج IPSec فعالا على الفور إذا لم يكن هناك نهج متعارض. سيبدأ هذا الأمر في حظر جميع حزم منفذ TCP الواردة/الصادرة 42 ومنفذ UDP 42. يمنع هذا بشكل فعال حدوث النسخ المتماثل WINS بين الخادم الذي تم تشغيل هذه الأوامر عليه وأي شركاء النسخ المتماثل WINS.
%IPSEC_Command% -w REG -p "Block WINS Replication" –x
إذا واجهت مشكلات على الشبكة بعد تمكين نهج IPSec هذا، يمكنك إلغاء تعيين النهج ثم حذف النهج باستخدام الأوامر التالية:
%IPSEC_Command% -w REG -p "Block WINS Replication" -y %IPSEC_Command% -w REG -p "Block WINS Replication" -o
للسماح بنسخ WINS المتماثل للعمل بين شركاء النسخ المتماثل ل WINS المحددين، يجب عليك تجاوز قواعد الحظر هذه مع قواعد السماح. يجب أن تحدد قواعد السماح عناوين IP لشركاء النسخ المتماثل WINS الموثوق بهم فقط.يمكنك استخدام الأوامر التالية لتحديث نهج Block WINS Replication IPSec للسماح لعناوين IP معينة بالاتصال بالخادم الذي يستخدم نهج النسخ المتماثل ل Block WINS.ملاحظة في هذه الأوامر، يشير ٪IPSEC_Command٪ إلى Ipsecpol.exe (على Windows 2000) أو Ipseccmd.exe (في Windows Server 2003)، ويشير ٪IP٪ إلى عنوان IP لخادم WINS البعيد الذي تريد النسخ المتماثل معه.
%IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS
لتعيين النهج على الفور، استخدم الأمر التالي:
%IPSEC_Command% -w REG -p "Block WINS Replication" -x
-
الخيار 2: تشغيل برنامج نصي لتكوين عوامل تصفية IPSec تلقائيا تنزيل ثم تشغيل البرنامج النصي WINS Replication Blocker الذي ينشئ نهج IPSec لحظر المنافذ. للقيام بذلك، اتبع الخطوات التالية:
-
لتنزيل ملفات .exe واستخراجها، اتبع الخطوات التالية:
-
قم بتنزيل البرنامج النصي WINS Replication Blocker. الملف التالي متاح للتنزيل من مركز تنزيل Microsoft:
119591 كيفية الحصول على ملفات دعم Microsoft من خدمات الإنترنت قامت Microsoft بفحص هذا الملف بحثا عن الفيروسات. استخدمت Microsoft أحدث برنامج للكشف عن الفيروسات الذي كان متوفرا في تاريخ نشر الملف. يتم تخزين الملف على خوادم محسنة للأمان تساعد على منع أي تغييرات غير مصرح بها على الملف.
إذا كنت تقوم بتنزيل البرنامج النصي WINS Replication Blocker إلى قرص مرن، فاستخدم قرصا فارغا منسقا. إذا كنت تقوم بتنزيل البرنامج النصي WINS Replication Blocker إلى القرص الثابت، فقم بإنشاء مجلد جديد لحفظ الملف مؤقتا واستخراج الملف منه. تنبيه لا تقم بتنزيل الملفات مباشرة إلى مجلد Windows. قد يقوم هذا الإجراء بالكتابة فوق الملفات المطلوبة لكي يعمل الكمبيوتر بشكل صحيح.
-
حدد موقع الملف في المجلد الذي قمت بتنزيله إليه، ثم انقر نقرا مزدوجا فوق ملف .exe للاستخراج الذاتي لاستخراج المحتويات إلى مجلد مؤقت. على سبيل المثال، استخراج المحتويات إلى C:\Temp.
-
-
افتح موجه الأوامر، ثم انتقل إلى الدليل حيث يتم استخراج الملفات.
-
تحذير
-
إذا كنت تشك في أن خوادم WINS قد تكون مصابة، ولكنك لست متأكدا مما تم اختراق خوادم WINS أو ما إذا كان خادم WINS الحالي الخاص بك قد تم اختراقه، فلا تدخل أي عناوين IP في الخطوة 3. ومع ذلك، اعتبارا من نوفمبر 2004، نحن لسنا على علم بأي عملاء تأثروا بهذه المشكلة. لذلك، إذا كانت خوادمك تعمل كما هو متوقع، فتابع كما هو موضح.
-
إذا قمت بإعداد IPsec بشكل غير صحيح، فقد تتسبب في حدوث مشكلات خطيرة في النسخ المتماثل WINS على شبكة شركتك.
قم بتشغيل ملف Block_Wins_Replication.cmd. لإنشاء قواعد الكتلة الواردة والصادرة لمنفذ TCP 42 ومنفذ UDP 42، اكتب 1 ثم اضغط على ENTER لتحديد الخيار 1 عند مطالبتك بتحديد الخيار الذي تريده.
بعد تحديد الخيار 1، يطالبك البرنامج النصي بإدخال عناوين IP لخوادم النسخ المتماثل WINS الموثوق بها. يتم إعفاء كل عنوان IP تدخله من حظر منفذ TCP 42 ونهج منفذ UDP 42. تتم مطالبتك في تكرار حلقي، ويمكنك إدخال أكبر عدد من عناوين IP حسب الحاجة. إذا كنت لا تعرف جميع عناوين IP لشركاء النسخ المتماثل WINS، يمكنك تشغيل البرنامج النصي مرة أخرى في المستقبل. لبدء إدخال عناوين IP لشركاء النسخ المتماثل WINS الموثوق بهم، اكتب 2 ثم اضغط على ENTER لتحديد الخيار 2 عندما تتم مطالبتك بتحديد هذا الخيار الذي تريده. بعد نشر تحديث الأمان، يمكنك إزالة نهج IPSec. للقيام بذلك، قم بتشغيل البرنامج النصي. اكتب 3 ثم اضغط على ENTER لتحديد الخيار 3 عند مطالبتك بتحديد الخيار الذي تريده.للحصول على معلومات إضافية حول IPsec وكيفية تطبيق عوامل التصفية، انقر فوق رقم المقالة التالي لعرض المقالة في قاعدة معارف Microsoft:
313190 كيفية استخدام قوائم تصفية IP IPsec في Windows 2000
-
-
-
-
قم بإزالة WINS إذا لم تكن بحاجة إليه. إذا لم تعد بحاجة إلى WINS، فاتبع هذه الخطوات لإزالته. تنطبق هذه الخطوات على Windows 2000 Windows Server 2003 والإصدارات الأحدث من أنظمة التشغيل هذه. بالنسبة إلى Windows NT Server 4.0، اتبع الإجراء المضمن في وثائق المنتج. مهمة تتطلب العديد من المؤسسات WINS لتنفيذ تسمية واحدة أو تسجيل الاسم الثابت ووظائف الدقة على شبكتها. يجب ألا يزيل المسؤولون WINS ما لم يكن أحد الشروط التالية صحيحا:
-
يفهم المسؤول تماما التأثير الذي ستترتب عليه إزالة WINS على شبكته.
-
قام المسؤول بتكوين DNS لتوفير الوظائف المكافئة باستخدام أسماء المجالات المؤهلة بالكامل ولاحقات مجال DNS.
أيضا، إذا قام مسؤول بإزالة وظيفة WINS من خادم سيستمر في توفير الموارد المشتركة على الشبكة، يجب على المسؤول إعادة تكوين النظام بشكل صحيح لاستخدام خدمات تحليل الاسم المتبقية مثل DNS على الشبكة المحلية. لمزيد من المعلومات حول WINS، تفضل بزيارة موقع Microsoft على ويب التالي:
http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true لمزيد من المعلومات حول كيفية تحديد ما إذا كنت بحاجة إلى تحليل اسم NETBIOS أو WINS وتكوين DNS، تفضل بزيارة موقع Microsoft على ويب التالي:
http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxلإزالة WINS، اتبع الخطوات التالية:
-
في لوحة التحكم، افتح إضافة برامج أو إزالتها.
-
انقر فوق إضافة/إزالة مكونات Windows.
-
في صفحة معالج مكونات Windows، ضمنالمكونات، انقر فوق خدمات الشبكات، ثم انقر فوق تفاصيل.
-
انقر لمسح خانة الاختيار Windows Internet Naming Service (WINS) لإزالة WINS.
-
اتبع الإرشادات التي تظهر على الشاشة لإكمال معالج مكونات Windows.
-
نحن نعمل على تحديث لمعالجة مشكلة الأمان هذه كجزء من عملية التحديث المنتظمة. عندما يصل التحديث إلى مستوى مناسب من الجودة، سنقدم التحديث من خلال Windows Update.إذا كنت تعتقد أنك تأثرت، فاتصل بخدمات دعم المنتجات.يجب على العملاء الدوليين الاتصال بخدمات دعم المنتجات باستخدام أي طريقة مدرجة في موقع Microsoft على ويب التالي:
