ВЪВЕЖДАНЕТО
Проучваме отчети за проблем със защитата на Microsoft Windows Internet Name Service (WINS). Този проблем със защитата засяга Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server и Microsoft Windows Server 2003. Този проблем със защитата не засяга Microsoft Windows 2000 Professional, Microsoft Windows XP или Microsoft Windows Millennium Edition.
Още информация
По подразбиране WINS не е инсталиран на Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server или Windows Server 2003. По подразбиране WINS се инсталира и изпълнява на Microsoft Small Business Server 2000 и Microsoft Windows Small Business Server 2003. По подразбиране във всички версии на Microsoft Small Business Server портовете за комуникация с компоненти на WINS са блокирани от интернет и WINS е налично само в локалната мрежа. Този проблем със защитата може да направи възможно за хакер да компрометира отдалечено WINS сървър, ако е изпълнено едно от следните условия:
-
Променили сте конфигурацията по подразбиране, за да инсталирате ролята на WINS сървър на Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server или Windows Server 2003.
-
Изпълнявате Microsoft Small Business Server 2000 или Microsoft Windows Small Business Server 2003 и атакуващ има достъп до вашата локална мрежа.
За да защитите компютъра си от тази потенциална уязвимост, изпълнете следните стъпки:
-
Блокирайте TCP порт 42 и UDP порт 42 в защитната стена.Тези портове се използват за иницииране на връзка с отдалечен WINS сървър. Ако блокирате тези портове в защитната стена, можете да предотвратите опитите на компютрите зад тази защитна стена да използват тази уязвимост. TCP порт 42 и UDP порт 42 са портовете за репликация на WINS по подразбиране. Препоръчваме да блокирате цялата входяща нежелана комуникация от интернет.
-
Използвайте защита на интернет протокола (IPsec), за да защитите трафика между партньорите за репликация на WINS сървър. За да направите това, използвайте една от следните опции: Внимание Тъй като всяка WINS инфраструктура е уникална, тези промени може да имат неочаквани ефекти върху вашата инфраструктура. Настоятелно ви препоръчваме да извършите анализ на риска, преди да изберете да приложите това смекчаване. Също така силно препоръчваме да извършите пълно тестване, преди да поставите това смекчаване в производство.
-
Опция 1: Ръчно конфигуриране на IPSec филтри Ръчно конфигуриране на IPSec филтри и след това следвайте инструкциите в следната статия в базата знания на Microsoft, за да добавите блокиращ филтър, който блокира всички пакети от всеки IP адрес към IP адреса на вашата система:
813878 Как да блокирате определени мрежови протоколи и портове с помощта на IPSecАко използвате IPSec във вашата среда на домейн на Windows 2000 Active Directory и разполагате своите IPSec правила с помощта на групови правила, правилата за домейна заместват всички локално дефинирани правила. Този екземпляр не позволява на тази опция да блокира пакетите, които искате.За да определите дали вашите сървъри получават IPSec правила от домейн за Windows 2000, или по-нова версия, вижте раздела "Определяне дали са присвоени IPSec правила" в статията в базата знания 813878. Когато установите, че можете да създадете ефективни локални IPSec правила, изтеглете инструмента за IPSeccmd.exe или инструмента IPSecpol.exe. Следните команди блокират входящия и изходящия достъп до TCP порт 42 и UDP порт 42.Забележка В тези команди %IPSEC_Command% се отнася за Ipsecpol.exe (в Windows 2000) или Ipseccmd.exe (на Windows Server 2003).
%IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK
Следната команда прави IPSec правилата ефективни незабавно, ако няма конфликтни правила. Тази команда ще започне да блокира всички входящи/изходящи TCP порт 42 и UDP порт 42 пакети. Това ефективно предотвратява възникването на WINS репликация между сървъра, на който са изпълнени тези команди, и всички партньори за репликация на WINS.
%IPSEC_Command% -w REG -p "Block WINS Replication" –x
Ако срещате проблеми в мрежата, след като разрешите тези IPSec правила, можете да премахнете присвояването на правилата и след това да изтриете правилата с помощта на следните команди:
%IPSEC_Command% -w REG -p "Block WINS Replication" -y %IPSEC_Command% -w REG -p "Block WINS Replication" -o
За да разрешите WINS репликация да функционира между конкретни партньори за репликация на WINS, трябва да заместите тези правила за блокиране с правила за разрешаване. Правилата за разрешаване трябва да задават САМО IP адресите на надеждните WINS партньори за репликация.Можете да използвате следните команди, за да актуализирате правилата Block WINS Replication IPSec, за да разрешите на определени IP адреси да комуникират със сървъра, който използва правилата за блокиране на WINS репликация.Забележка В тези команди %IPSEC_Command% се отнася за Ipsecpol.exe (в Windows 2000) или Ipseccmd.exe (на Windows Server 2003), а %IP% препраща към IP адреса на отдалечения WINS сървър, с който искате да репликирате.
%IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS
За да присвоите правилата незабавно, използвайте следната команда:
%IPSEC_Command% -w REG -p "Block WINS Replication" -x
-
Опция 2: Изпълнете скрипт, за да конфигурирате автоматично IPSec филтри Изтегляне и след това изпълнете скрипта winS Replication Blocker, който създава IPSec правила за блокиране на портовете. За да направите това, изпълнете следните стъпки:
-
За да изтеглите и извлечете .exe файлове, изпълнете следните стъпки:
-
Изтеглете скрипта на програмата за блокиране на репликация на WINS. Следният файл е достъпен за изтегляне от центъра на Microsoft за изтегляния:
119591 Как да получите файлове за поддръжка на Microsoft от онлайн услуги Microsoft сканира този файл за вируси. Microsoft използва най-актуалния софтуер за откриване на вируси, който е наличен на датата на публикуване на файла. Файлът се съхранява на сървъри с подобрена защита, които помагат да се предотвратят неупълномощени промени във файла.
Ако изтегляте скрипта на програмата за блокиране на репликация на WINS на флопидиск, използвайте форматиран празен диск. Ако изтегляте скрипта на програмата за блокиране на репликация на WINS на вашия твърд диск, създайте нова папка, в която временно да запишете файла и да извлечете файла. Внимание Не изтегляйте файлове директно в папката на Windows. Това действие може да замести файловете, необходими за правилното функциониране на компютъра.
-
Намерете файла в папката, в която сте го изтеглили, и след това щракнете двукратно върху саморазархивирането .exe файл, за да извлечете съдържанието във временна папка. Например извлечете съдържанието на C:\Temp.
-
-
Отворете команден прозорец и след това преминете към директорията, където се извличат файловете.
-
Предупреждение
-
Ако подозирате, че вашите WINS сървъри може да са заразени, но не сте сигурни какви WINS сървъри са компрометирани или дали вашият текущ WINS сървър е компрометиран, не въвеждайте IP адреси в стъпка 3. От ноември 2004 г. обаче не сме наясно с клиенти, които са засегнати от този проблем. Следователно, ако вашите сървъри функционират по очаквания начин, продължете, както е описано.
-
Ако неправилно сте настроили IPsec, може да предизвикате сериозни проблеми с репликацията на WINS във вашата корпоративна мрежа.
Изпълнете файла на Block_Wins_Replication.cmd. За да създадете правила за входящи и изходящи блокове на TCP порт 42 и UDP порт 42, въведете 1 и след това натиснете ENTER, за да изберете опция 1, когато получите подкана да изберете желаната опция.
След като изберете опция 1, скриптът ви подканва да въведете IP адресите на надеждните WINS сървъри за репликация. Всеки IP адрес, който въведете е освободен от правилата за блокиране на TCP порт 42 и UDP порт 42. Получавате подкана в цикъл и можете да въведете толкова IP адреси, колкото е необходимо. Ако не знаете всички IP адреси на партньорите за репликация на WINS, можете да изпълните скрипта отново в бъдеще. За да започнете да въвеждате IP адреси на надеждни WINS партньори за репликация, въведете 2 и след това натиснете ENTER, за да изберете опция 2, когато получите подкана да изберете желаната опция. След като разположите актуализацията на защитата, можете да премахнете правилата за IPSec. За да направите това, изпълнете скрипта. Въведете 3 и след това натиснете ENTER, за да изберете опция 3, когато получите подкана да изберете желаната опция.За допълнителна информация относно IPsec и как да приложите филтри щракнете върху следния номер на статия в базата знания на Microsoft:
313190 Как се използват списъци с IP филтри за IPsec в Windows 2000
-
-
-
-
Премахнете WINS, ако не ви трябва. Ако вече нямате нужда от WINS, следвайте тези стъпки, за да го премахнете. Тези стъпки се отнасят за Windows 2000, Windows Server 2003 и по-нови версии на тези операционни системи. За Windows NT Server 4.0 следвайте процедурата, която е включена в документацията на продукта. Важно Много организации изискват WINS за извършване на една-единствена регистрация на етикети или плоски имена и функции за преобразуване в тяхната мрежа. Администраторите не трябва да премахват WINS, освен ако не е изпълнено едно от следните условия:
-
Администраторът напълно разбира ефекта, който премахването на WINS това ще има в тяхната мрежа.
-
Администраторът е конфигурирал DNS да предоставя еквивалентна функционалност с помощта на потребителски имена в пълен вид и суфикси на DNS домейни.
Освен това, ако администратор премахва WINS функционалността от сървър, който ще продължи да предоставя споделени ресурси в мрежата, администраторът трябва правилно да преконфигурира системата, за да използва останалите услуги за преобразуване на имена, като например DNS в локалната мрежа. За повече информация относно WINS посетете следния уеб сайт на Microsoft:
http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true За повече информация как да определите дали имате нужда от NETBIOS или WINS имена и конфигурация на DNS посетете следния уеб сайт на Microsoft:
http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxЗа да премахнете WINS, изпълнете следните стъпки:
-
В Контролен панел отворете Добавяне или премахване на програми.
-
Щракнете върху Добавяне/премахване на компоненти на Windows.
-
На страницата Съветник за компоненти на Windows, подКомпоненти щракнете върху Мрежови услуги и след това щракнете върху По-подробно.
-
Щракнете, за да изчистите отметката от квадратчето Windows Internet Naming Service (WINS), за да премахнете WINS.
-
Следвайте инструкциите на екрана, за да изпълните съветника за компоненти на Windows.
-
Работим върху актуализация, за да се справим с този проблем със защитата като част от нашия редовен процес на актуализиране. Когато актуализацията достигне подходящо ниво на качество, ще предоставим актуализацията чрез актуализиране на Windows.Ако смятате, че сте засегнати, се свържете с услугите за поддръжка на продукти.Международните клиенти трябва да се свържат с услугите за поддръжка на продукти, като използват всеки метод, който е посочен в следния уеб сайт на Microsoft:
