Jak se chránit před problémem se zabezpečením WINS

ÚVOD

Prošetřujeme zprávy o problému se zabezpečením služby WINS (Microsoft Windows Internet Name Service). Tento problém se zabezpečením se týká systémů Microsoft systém Windows NT Server 4.0, Microsoft systém Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server a Microsoft Windows Server 2003. Tento problém se zabezpečením nemá vliv na systém Microsoft Windows 2000 Professional, Microsoft Windows XP ani Microsoft Windows Millennium Edition.

Další informace

Ve výchozím nastavení není služba WINS nainstalována na systém Windows NT Server 4.0, systém Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server nebo Windows Server 2003. Ve výchozím nastavení je služba WINS nainstalována a spuštěna na serverech Microsoft Small Business Server 2000 a Microsoft Windows Small Business Server 2003. Ve výchozím nastavení jsou na všech verzích serveru Microsoft Small Business Server komunikační porty součásti WINS blokovány z internetu a služba WINS je k dispozici pouze v místní síti.

Tento problém se zabezpečením může útočníkovi umožnit vzdálený útok na server WINS, pokud je splněna jedna z následujících podmínek:

• Změnili jste výchozí konfiguraci pro instalaci role serveru WINS na systém Windows NT Server 4.0, systém Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server nebo Windows Server 2003.

• Používáte Microsoft Small Business Server 2000 nebo Microsoft Windows Small Business Server 2003 a útočník má přístup k místní síti.

Chcete-li chránit počítač před tímto potenciálním ohrožením zabezpečení, postupujte takto:

1. Zablokujte porty TCP 42 a UDP 42 v bráně firewall.
   
   
   Tyto porty slouží k zahájení připojení ke vzdálenému serveru WINS. Pokud tyto porty zablokujete v bráně firewall, zabráníte počítačům, které jsou za touto bránou firewall, v pokusu o použití této chyby zabezpečení. Výchozími porty replikace služby WINS jsou porty TCP 42 a UDP 42. Doporučujeme blokovat veškerou příchozí nevyžádanou komunikaci z internetu.

2. Pomocí protokolu IPsec (Internet Protocol security) můžete chránit provoz mezi partnery pro replikaci serverů WINS. Chcete-li to provést, použijte jednu z následujících možností.
   
   Upozornění: Vzhledem k tomu, že každá infrastruktura WINS je jedinečná, můžou mít tyto změny neočekávaný vliv na vaši infrastrukturu. Před implementací tohoto zmírnění důrazně doporučujeme provést analýzu rizik. Důrazně také doporučujeme, abyste před uvedením tohoto zmírnění rizik do produkčního prostředí provedli úplné testování.
   

   • Možnost 1: Ručně nakonfigurujte filtry
     protokolu IPSec Ručně nakonfigurujte filtry protokolu IPSec a pak podle pokynů v následujícím článku znalostní báze Microsoft Knowledge Base přidejte filtr bloků, který blokuje všechny pakety z jakékoli IP adresy na IP adresu systému:

     813878 Jak blokovat konkrétní síťové protokoly a porty pomocí protokolu IPSec
     
     Pokud použijete protokol IPSec v prostředí domény služby Active Directory se systémem Windows 2000 a nasadíte zásady IPSec pomocí Zásady skupiny, zásady domény přepíší všechny místně definované zásady. Tento výskyt zabrání této možnosti v blokování požadovaných paketů.
     
     Informace o tom, zda vaše servery přijímají zásady protokolu IPSec z domény systému Windows 2000 nebo novější verze, naleznete v části "Určení, zda jsou přiřazeny zásady PROTOKOLU IPSec" v článku znalostní báze 813878.
     
     Jakmile zjistíte, že můžete vytvořit efektivní místní zásady protokolu IPSec, stáhněte si nástroj IPSeccmd.exe nebo nástroj IPSecpol.exe.
     
     Následující příkazy blokují příchozí a odchozí přístup k portům TCP 42 a UDP 42.
     
     Poznámka: V těchto příkazech odkazuje %IPSEC_Command% na Ipsecpol.exe (v systému Windows 2000) nebo Ipseccmd.exe (v Windows Server 2003).

     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK 
     

     Následující příkaz nastaví zásadu PROTOKOLU IPSec okamžitě v platnost, pokud neexistují žádné konfliktní zásady. Tento příkaz začne blokovat všechny příchozí/odchozí pakety TCP 42 a UDP port 42. To účinně zabraňuje replikaci WINS mezi serverem, na který byly tyto příkazy spuštěny, a všemi partnery pro replikaci WINS.

     %IPSEC_Command% -w REG -p "Block WINS Replication" –x 

     Pokud po povolení této zásady protokolu IPSec dojde k problémům v síti, můžete zrušit přiřazení zásady a pak zásadu odstranit pomocí následujících příkazů:

     %IPSEC_Command% -w REG -p "Block WINS Replication" -y 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -o 

     Pokud chcete povolit, aby replikace WINS fungovala mezi konkrétními partnery pro replikaci WINS, musíte tato pravidla blokování přepsat pravidly povolení. Pravidla povolení by měla určovat pouze IP adresy důvěryhodných partnerů pro replikaci WINS.
     
     
     Pomocí následujících příkazů můžete aktualizovat zásadu protokolu IPSec blokování replikace WINS tak, aby určité IP adresy mohly komunikovat se serverem, který používá zásady blokovat replikaci WINS.
     
     Poznámka: V těchto příkazech odkazuje %IPSEC_Command% na Ipsecpol.exe (v systému Windows 2000) nebo Ipseccmd.exe (v Windows Server 2003) a %IP% odkazuje na IP adresu vzdáleného serveru WINS, se kterým chcete replikovat.

     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS 
     

     Pokud chcete zásadu přiřadit okamžitě, použijte následující příkaz:

     %IPSEC_Command% -w REG -p "Block WINS Replication" -x

   • Možnost 2: Spuštěním skriptu automaticky nakonfigurujte filtry
     PROTOKOLU IPSec Stáhnout a pak spusťte skript blokování replikace WINS, který vytvoří zásadu PROTOKOLU IPSec pro blokování portů. Chcete-li to provést, postupujte takto:
     

     1. Chcete-li stáhnout a extrahovat soubory .exe, postupujte takto:
        

        1. Stáhněte skript blokování replikace WINS.
           
           Následující soubor je k dispozici ke stažení z webu Stažení softwaru společnosti Microsoft:
           
           Stáhnout balíček skriptu nástroje pro blokování replikace WINS.
           
           Datum vydání: 2. prosince 2004
           
           Další informace o tom, jak stáhnout soubory podpora Microsoftu klepněte na následující číslo článku databáze Microsoft Knowledge Base:

           119591 Jak získat soubory podpory Společnosti Microsoft od online služby
           Společnost Microsoft v tomto souboru zkontrolovala výskyt virů. Společnost Microsoft použila nejnovější software pro detekci virů, který byl k dispozici v den, kdy byl soubor publikován. Soubor je uložený na serverech s rozšířeným zabezpečením, které pomáhají zabránit neoprávněným změnám souboru.
           

           Pokud stahujete skript nástroje pro blokování replikace WINS na disketu, použijte naformátovaný prázdný disk. Pokud stahujete skript nástroje pro blokování replikace WINS na pevný disk, vytvořte novou složku, do které dočasně uložíte soubor a ze které ho extrahujete.
           
           
           Upozornění Nestahujte soubory přímo do složky Windows. Tato akce by mohla přepsat soubory, které jsou potřeba k tomu, aby počítač fungoval správně.

        2. Vyhledejte soubor ve složce, do které jste ho stáhli, a potom poklikáním na samorozbalovací .exe soubor extrahujte obsah do dočasné složky. Například extrahujte obsah do složky C:\Temp.

     2. Otevřete příkazový řádek a přejděte do adresáře, do kterého se soubory extrahují.

     3. Upozornění

        • Pokud se domníváte, že vaše servery WINS mohou být napadeny, ale nejste si jistí, které servery WINS byly ohroženy nebo zda došlo k ohrožení zabezpečení vašeho aktuálního serveru WINS, nezadávejte žádné IP adresy v kroku 3. Od listopadu 2004 ale nevíme o žádných zákaznících, kterých se tento problém týká. Proto pokud vaše servery fungují podle očekávání, pokračujte podle popisu.

        • Pokud jste nesprávně nastavili protokol IPsec, může dojít k vážným problémům s replikací WINS v podnikové síti.

        Spusťte soubor Block_Wins_Replication.cmd. Pokud chcete vytvořit pravidla blokování příchozích a odchozích přenosů na portu TCP 42 a UDP 42, zadejte
        1 a po zobrazení výzvy k výběru požadované možnosti vyberte možnost 1 stisknutím klávesy ENTER.

        Po výběru možnosti 1 vás skript vyzve k zadání IP adres důvěryhodných serverů replikace WINS.
        
        
        Každá IP adresa, kterou zadáte, je vyloučena ze zásad blokování portů TCP 42 a UDP 42. Zobrazí se výzva ve smyčce a můžete zadat tolik IP adres, kolik potřebujete. Pokud neznáte všechny IP adresy partnerů pro replikaci WINS, můžete skript spustit znovu v budoucnu. Pokud chcete začít zadávat IP adresy důvěryhodných partnerů replikace WINS, zadejte 2 a po zobrazení výzvy k výběru požadované možnosti vyberte možnost 2 stisknutím klávesy ENTER.
        
        
        Po nasazení aktualizace zabezpečení můžete odebrat zásady protokolu IPSec. Provedete to spuštěním skriptu. Po zobrazení výzvy k výběru požadované možnosti zadejte 3 a stisknutím klávesy ENTER vyberte možnost 3.
        
        Další informace o protokolu IPsec a o použití filtrů získáte v následujícím článku znalostní báze Microsoft Knowledge Base:
        
        

        313190 Použití seznamů filtrů IP protokolu IPsec v systému Windows 2000
        
        

3. Pokud službu WINS nepotřebujete, odeberte ji.
   
   Pokud už službu WINS nepotřebujete, odeberte ji následujícím postupem. Tento postup platí pro Windows 2000, Windows Server 2003 a novější verze těchto operačních systémů. Pro systém Windows NT Server 4.0 postupujte podle pokynů uvedených v dokumentaci k produktu.
   
   Důležité: Řada organizací vyžaduje, aby služba WINS ve své síti prováděla funkce registrace a překladu názvů s jedním popiskem nebo plochým názvem. Správci by neměli službu WINS odebírat, pokud není splněna některá z následujících podmínek:
   

   • Správce plně chápe, jaký vliv bude mít odebrání služby WINS na jeho síť.

   • Správce nakonfiguroval DNS tak, aby poskytoval ekvivalentní funkce pomocí plně kvalifikovaných názvů domén a přípon domén DNS.

   Pokud správce odebírá funkci WINS ze serveru, který bude dál poskytovat sdílené prostředky v síti, musí správně překonfigurovat systém tak, aby používal zbývající služby překladu IP adres, jako je DNS, v místní síti.
   
   Další informace o službě WINS naleznete na následujícím webu společnosti Microsoft:

   http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true Další informace o tom, jak určit, zda potřebujete překlad názvů NETBIOS nebo WINS a konfiguraci DNS, naleznete na následujícím webu společnosti Microsoft:

   http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxChcete-li odebrat službu WINS, postupujte takto:
   

   1. V Ovládací panely otevřete přidat nebo odebrat programy.

   2. Klikněte na Přidat nebo odebrat součásti systému Windows.
      

   3. Na stránce Průvodce komponentami systému Windows v části
      Součásti klikněte na Síťové služby a potom klikněte na Podrobnosti.

   4. Klepnutím zrušte zaškrtnutí políčka Služba WINS (Windows Internet Naming Service) pro odebrání wins.

   5. Postupujte podle pokynů na obrazovce a dokončete Průvodce komponentami systému Windows.

Pracujeme na aktualizaci, která tento problém zabezpečení vyřeší v rámci našeho pravidelného procesu aktualizací. Jakmile aktualizace dosáhne odpovídající úrovně kvality, poskytneme ji prostřednictvím služba Windows Update.


Pokud se domníváte, že se vás to týká, obraťte se na služby podpory produktů.

Mezinárodní zákazníci by měli kontaktovat služby podpory produktů pomocí jakékoli metody, která je uvedena na následujícím webu společnosti Microsoft:

http://support.microsoft.com