Преминаване към основното съдържание
Поддръжка
Влизане
Влизане с Microsoft
Влезте или създайте акаунт.
Здравейте,
Изберете друг акаунт.
Имате няколко акаунта
Изберете акаунта, с който искате да влезете.

Въведение

Проверяваме съобщения за проблем със сигурността с Microsoft Windows Internet Name Service (WINS). Сигурност този проблем засяга Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server и Microsoft Windows Server 2003. Сигурност този проблем не засяга Microsoft Windows 2000 Professional, Microsoft Windows XP или Microsoft Windows Millennium Edition.

Допълнителна информация

По подразбиране WINS не е инсталиран на Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server или Windows Server 2003. По подразбиране WINS е инсталиран и работи в Microsoft Small Business Server 2000 и Microsoft Windows Small Business Server 2003. По подразбиране всички версии на Microsoft Small Business Server WINS компонент комуникационни портове са блокирани от интернет и WINS е наличен само в локалната мрежа.

Проблема защитата може да даде възможност на хакер за дистанционно влошаване на WINS сървър, ако е налице едно от следните условия:

  • Сте променили конфигурацията по подразбиране за инсталиране на ролята на WINS сървър на Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server или Windows Server 2003.

  • Изпълнявате Microsoft Small Business Server 2000 или Microsoft Windows Small Business Server 2003 и атакуващият има достъп до вашата локална мрежа.

За да защитите компютъра си от тази потенциална уязвимост, изпълнете следните стъпки:

  1. Блок TCP порт 42 и UDP порт 42 на защитната стена.


    Тези портове се използват за откриване на връзка с отдалечен WINS сървър. Ако можете да блокирате тези портове в защитната стена, можете предотвратите компютри, които са зад тази стена от се опитва да използва тази уязвимост. TCP порт 42 и UDP порт 42 са по подразбиране WINS репликация портове. Препоръчително е блокиране на всички входящи нежелани съобщение от интернет.

  2. Използване на защита на интернет протокол (IPsec) да защитите трафик между WINS сървър репликация партньори. За да направите това, използвайте една от следните опции.

    Внимание Тъй като всеки WINS инфраструктура е уникален, тези промени може да има неочаквани последици за вашата инфраструктура. Настоятелно препоръчваме да направите анализ на риска, преди да решите да реализирате този събития. Силно препоръчваме да направите пълно тестване преди да поставите този събития в производството.

    • Опция 1: Ръчно конфигуриране на IPSec филтри
      Ръчно конфигуриране на IPSec филтри и следвайте инструкциите в следната статия от базата знания на Microsoft, за да добавите блок филтър, който блокира всички пакети от всеки IP адрес IP адреса на системата:

      813878 как да блокирате определени мрежови протоколи и портове с помощта на IPSec

      Ако използвате IPSec в среда на домейн на Windows 2000 Active Directory и разполагане на IPSec политика чрез групови правила, правилата на домейна замества всички локално определени правила. Това копие не позволява тази опция, за да блокира пакети, които искате.

      За да определите дали вашите сървъри получават IPSec политика от домейн на Windows 2000 или по-нова версия, вижте в раздела "Определете дали IPSec е присвоено" в статията 813878.

      Когато определите, че можете да създадете ефективна локални IPSec политика, изтеглете инструмента IPSeccmd.exe или IPSecpol.exe инструмент.

      Следните команди блокира входящ и изходящ достъп до порт 42 TCP и UDP порт 42.

      Забележка: В тези командиIPSEC_Command% е Ipsecpol.exe (за Windows 2000) или Ipseccmd.exe (на Windows Server 2003).

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK

      Командата прави правило IPSec ефективно незабавно, ако не е конфликт няма правила. Тази команда ще започнат да блокира всички входящи/изходящи TCP порт 42 и UDP порт 42 пакети. Това предотвратява ефективно WINS репликация възникването между стартирани тези команди са на сървъра и всички WINS репликация партньори.

      %IPSEC_Command% -w REG -p "Block WINS Replication" –x

      При възникване на проблеми в мрежата, след като разрешите тези правила, IPSec, можете да отмените присвояването на правилата и изтрийте правила с помощта на следните команди:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -y 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -o

      Да позволите на WINS репликация функция между определени WINS репликация партньори трябва да игнорирате тези правила на блок с позволяват правилата. Позволи правилата трябва да посочите IP адресите на вашите надеждни WINS репликация само партньори.


      Можете да използвате следните команди, за да актуализирате блок спечели репликация IPSec политика за конкретни IP адреси за комуникация със сървъра, който използва правила за блокиране на WINS репликация.

      Забележка: В тези командиIPSEC_Command% се отнася до Ipsecpol.exe (за Windows 2000) или Ipseccmd.exe (на Windows Server 2003) иIP% се отнася до IP адреса на отдалечения WINS сървър, който искате да повторите с.

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS

      Правила за веднага, използвайте следната команда:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -x

    • Опция 2: Използване на скрипт за автоматично конфигуриране на IPSec филтри
      Изтеглете и стартирайте WINS репликация блокиране скрипт, който създава IPSec политика за блокиране на портовете. За да направите това, изпълнете следните стъпки:

      1. За да изтеглите и разархивирате .exe файлове, изпълнете следните стъпки:

        1. Изтегляне на скрипт за блокиране на WINS репликация.

          Следният файл е достъпен за изтегляне от центъра на Microsoft за изтегляния:

          Download Изтеглете сега пакета за блокиране на WINS репликация скрипт.

          Дата на издаване: 2 декември 2004 г.

          За допълнителна информация как да изтеглите файлове за поддръжка на Microsoft, щракнете върху следния номер на статия в базата знания на Microsoft:

          119591 как да получите файлове за поддръжка на Microsoft от онлайн услуги
          Microsoft е сканирал този файл за вируси. Microsoft използва най-новия софтуер за откриване на вируси, който е достъпен към датата на публикуване на файла. Файлът се съхранява на сървъри с повишена защита, които помагат за предотвратяването на неупълномощени промени във файла.

          Ако изтегляте скрипта WINS репликация блокиране на дискета, използвайте форматирани празен диск. Ако изтегляте скрипт WINS репликация блокиране на твърдия диск, създайте нова папка за временно запишете файла и да извлечете файла от.


          Внимание Не изтегляйте файлове директно в папката Windows. Това действие може да замените файловете, които са необходими за вашия компютър да работи правилно.

        2. Намерете файла в папката, която сте изтеглили да и щракнете двукратно върху самоизвличащия .exe файла да извлечете съдържанието във временна папка. Например можете да извлечете съдържанието на C:\Temp.

      2. Отворете командния ред и след това преминете към директорията, където файловете се извличат.

      3. Предупреждение

        • Ако подозирате, че може да е заразен WINS сървъри, но не сте сигурни какво WINS сървъри са компрометирани или дали вашите текущи WINS сървър е компрометиран, не въвеждайте IP адреси в стъпка 3. Обаче от ноември 2004 г. не сме наясно с всички потребители, които са засегнати от този проблем. Следователно ако сървъри функционират нормално, продължете както е описано.

        • Ако сте неправилно IPsec, можете да предизвикате сериозни проблеми за репликация на WINS в корпоративна мрежа.

        Стартирайте файла Block_Wins_Replication.cmd. За да създадете порта 42 на TCP и UDP порт 42 блок входящи и изходящи правила, въведете
        1 и след това натиснете ENTER, за да изберете опция 1, когато се появи подкана да изберете опцията, която искате.

        След като изберете опция 1, скрипта ви подканва да въведете IP адресите на надеждни репликация WINS сървъри.


        Всеки IP адрес, който сте въвели е освободен от блокиране TCP порт 42 и UDP порт 42 правила. Подкана в цикъл и можете да въведете най-много IP адреси, ако е необходимо. Ако не знаете IP адреси на WINS репликация партньори, можете да изпълните скрипта в бъдеще. Да започнете да въвеждате адреса на доверени партньори за репликация на WINS, тип 2 и след това натиснете ENTER, за да изберете опция 2, когато се появи подкана да изберете тази опция, вие искате.


        След като инсталирате актуализацията на защитата, можете да премахнете IPSec правила. За да направите това, изпълнете скрипта. Тип 3 и след това натиснете клавиша ENTER, за да изберете опция 3, когато се появи подкана да изберете опцията, която искате.

        За допълнителна информация относно IPsec и как да приложите филтри щракнете върху следния номер на статия в базата знания на Microsoft:

        313190 как да използвате IPsec IP филтър списък в Windows 2000

  3. Ако това не е необходимо да премахнете WINS.

    Ако не ви трябват WINS, следвайте тези стъпки, за да я премахнете. Тези стъпки се прилагат към Windows 2000, Windows Server 2003 и по-нови версии на тези операционни системи. За Windows NT Server 4.0 следвайте процедурата, която е включена в документацията на продукта.

    Важно: Много организации изискват WINS се извършва един етикет или плоска име функции за регистриране и разрешаване на мрежата си. Администраторите не трябва да премахнете WINS, освен ако е налице едно от следните условия:

    • Администраторът напълно разбира, ще има ефект, че премахването на WINS това си мрежа.

    • Администраторът е конфигурирал DNS да предостави функции чрез суфикси на DNS домейна и домейн имена.

    Освен това ако администратор е премахването на WINS функционалността от сървър, който ще продължи да предоставя споделени ресурси в мрежата, администраторът правилно трябва да преконфигурирате системата да използва останалите името решение услуги като DNS на локални мрежа.

    За повече информация относно WINS посетете следния уеб сайт на Microsoft:

    http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=trueЗа повече информация как да определите дали имате нужда от NETBIOS или WINS имена и конфигуриране на DNS посетете следния уеб сайт на Microsoft:

    http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxЗа да премахнете WINS, изпълнете следните стъпки:

    1. В контролния панел отворете Добавяне или премахване на програми.

    2. Щракнете върху Добавяне/премахване на компоненти на Windows.

    3. На страницата на съветника за компоненти на Windows под
      Компоненти, щракнете върху Мрежови услугии след това щракнете върху подробни данни.

    4. Поставете отметка в квадратчето Windows именуване на интернет услуги (WINS) за премахване на WINS.

    5. Следвайте инструкциите на екрана, за да изпълните съветника за компоненти на Windows.

Ние работим по актуализация решаване на проблема за сигурността като част от нашия редовно актуализиране. Когато актуализацията е подходящо ниво на качество, ние ще предостави актуализация чрез Windows Update.


Ако смятате, че са били засегнати, се обърнете към услугите за поддръжка на продукта.

Международни клиенти трябва да се обърнете към услугите за поддръжка на продукти чрез всеки метод, който е в списъка на следния уеб сайт на Microsoft:

http://support.microsoft.com

Facebook LinkedIn Имейл
АБОНИРАНЕ ЗА RSS КАНАЛИ

Нуждаете ли се от още помощ?

Искате ли още опции?

Откриване Общност

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Ползи от абонамент за Microsoft 365

Обучение за Microsoft 365

Microsoft Security

Център за достъпност

Общностите ви помагат да задавате и отговаряте на въпроси, да давате обратна връзка и да получавате информация от експерти с богати знания.

Попитайте общността на Microsoft

Техническа общност на Microsoft

Участници в Windows Insider

Участници в програмата Microsoft 365 Insider

Беше ли полезна тази информация?

Доколко сте доволни от качеството на езика?
Какво е повлияло на вашия потребителски опит?
Като натиснете „Подаване“, вашата обратна връзка ще се използва за подобряване на продуктите и услугите на Microsoft. Вашият ИТ администратор ще може да събира тези данни. Декларация за поверителност.

Благодарим ви за обратната връзка!

×