Sådan øges beskyttelsen mod et WINS-sikkerhedsproblem


INTRODUKTION


Microsoft er ved at undersøge rapporter om et sikkerhedsproblem i Microsoft WINS (Windows Internet Name Service). Dette sikkerhedsproblem berører Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server og Microsoft Windows Server 2003. Microsoft Windows 2000 Professional, Microsoft Windows XP og Microsoft Windows Millennium Edition berøres ikke af denne svaghed.

Yderligere Information


Som standard er WINS ikke installeret på Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server eller Windows Server 2003. Som standard er WINS installeret og kører på Microsoft Small Business Server 2000 og Microsoft Windows Small Business Server 2003. Som standard er WINS-komponentens kommunikationsporte blokeret for internettet på alle versioner af Microsoft Small Business Server, og WINS er kun tilgængelig på det lokale netværk.

Dette sikkerhedsproblem kan gøre det muligt for en hacker udefra at svække en WINS-server, hvis en af følgende betingelser er opfyldt:
  • Du har ændret standardkonfigurationen for at installere WINS-serverrollen på Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server eller Windows Server 2003.
  • Du kører Microsoft Small Business Server 2000 eller Microsoft Windows Small Business Server 2003, og en hacker har adgang til dit lokale netværk.
Du kan øge beskyttelsen af din computer mod denne mulige svaghed ved at følge disse trin:
  1. Bloker TCP-port 42 og UDP-port 42 på firewallen.


    Disse porte benyttes til at starte en forbindelse til en WINS-fjerncomputer. Hvis portene blokeres ved firewallen, medvirker du til at forhindre, at computere bag firewallen forsøger at udnytte denne svaghed. TCP-port 42 og UDP-port 42 er WINS-standardreplikeringsporte. Vi anbefaler, at der blokeres for al indkommende uønsket kommunikation fra internettet.
  2. Brug IPSec-kommunikation (Internet Protocol security) til at beskytte trafikken mellem WINS-serverreplikeringspartnere. Du kan gøre det ved at bruge en af følgende muligheder:

    Advarsel! Disse ændringer kan have uventede indvirkninger på systemets infrastruktur, fordi hver enkelt WINS-infrastruktur er entydig. Vi må stærkt anbefale, at du foretager en risikoanalyse, inden du vælger at implementere denne afhjælpning. Vi anbefaler desuden, at du foretager en fuldstændig test, inden du sætter denne afhjælpning i produktion.
    • Valgmulighed 1: Konfigurer IPSec-filtrene manuelt
      Konfigurer IPSec-filtrene manuelt, og følg derefter vejledningen i følgende Microsoft Knowledge Base-artikel for at tilføje et blokeringsfilter, som skal blokere alle pakker fra alle IP-adresser til systemets IP-adresse:
      813878 Sådan blokeres for bestemte netværksprotokoller og porte ved hjælp af IPSec. Artiklen er evt. på engelsk.
      Hvis du bruger IPSec i miljøet for Windows 2000 Active Directory-domæne, og du implementerer din IPSec-politik ved hjælp af gruppepolitik, tilsidesætter domænets politik alle eventuelle lokalt definerede politikker. Denne hændelse forhindrer den pågældende indstilling i at blokere for de ønskede pakker.

      Hvis du vil finde ud af, om dine servere modtager en IPSec-politik fra et Windows 2000-domæne (eller en nyere version), skal du læse det afsnit i artikel 813878 i Knowledge Base, som beskriver, hvordan du kan fastslå, om en IPSec-politik er tilknyttet ("Determine whether an IPSec policy is assigned").

      Når du har fundet ud af det, kan du oprette en effektiv lokal IPSec-politik og hente værktøjet IPSeccmd.exe eller IPSecpol.exe.

      Nedenstående kommandoer blokerer indgående og udgående adgang til TCP-port 42 og UDP-port 42.

      Bemærk! I disse kommandoer henviser %IPSEC_Command% til Ipsecpol.exe (på Windows 2000) eller Ipseccmd.exe (på Windows Server 2003).
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK
      Følgende kommando effektuerer straks IPSec-politikken, hvis ikke nogen anden politik er i konflikt med den. Denne kommando begynder at blokere alle indgående/udgående pakker til TCP-port 42 og UDP-port 42. Det forhindrer effektivt, at der udføres WINS-replikering mellem den server, hvor disse kommandoer køres på, og eventuelle WINS-replikeringspartnere.
      %IPSEC_Command% -w REG -p "Block WINS Replication" –x 
      Hvis du oplever problemer på netværket, efter at du har aktiveret denne IPSec-politik, kan du fjerne tilknytningen til den pågældende politik og derefter bruge følgende kommandoer til at slette politikken:
      %IPSEC_Command% -w REG -p "Block WINS Replication" -y 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -o
      Du skal overskrive disse blokeringsregler med tilladelsesregler, hvis WINS-replikering skal tillades at fungere mellem bestemte WINS-replikeringspartnere. I tilladelsesreglerne bør du udelukkende angive IP-adresserne på de WINS-replikeringspartnere, du har tillid til.


      Du kan bruge følgende kommandoer til at opdatere IPSec-politikken til blokering af WINS-replikering for at tillade bestemte IP-adresser at kommunikere med den server, der anvender Block WINS Replication-politikken.

      Bemærk! I disse kommandoer henviser %IPSEC_Command% til Ipsecpol.exe (på Windows 2000) eller Ipseccmd.exe (på Windows Server 2003), og %IP% henviser til IP-adressen på den WINS-fjernserver, du vil replikere med.
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS
      Brug følgende kommando for straks at tilknytte politikken:
      %IPSEC_Command% -w REG -p "Block WINS Replication" -x
    • Valgmulighed 2: Kør et script til automatisk konfiguration af IPSec-filtrene
      Hent og kør derefter WINS Replication Blocker-scriptet, der opretter en IPSec-politik til blokering af portene. Det gør du ved at følge disse trin:
      1. Hvis du vil hente .exe-filerne og pakke dem ud, skal du følge disse trin:
        1. Hent WINS Replication Blocker-scriptet.

          Følgende fil kan hentes fra Microsoft Download Center:

          Hent Hent WINS Replication Blocker-scriptpakken nu.

          Udgivelsesdato: 2. december 2004

          Yderligere oplysninger om, hvordan du henter filer fra Microsoft Support, finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
          119591 Sådan hentes Microsoft-supportfiler på onlinetjenester
          Microsoft har scannet denne fil for virus. Microsoft har anvendt de nyeste antivirusprogrammer, der var tilgængelige på det tidspunkt, da filen blev lagt ud. Filen gemmes på servere med forbedret sikkerhed, der medvirker til at forhindre uautoriserede ændringer af filen.
          Hvis du henter WINS Replication Blocker-scriptet til en diskette, skal du bruge en tom formateret diskette. Hvis du henter WINS Replication Blocker-scriptet til harddisken, skal du oprette en ny mappe, hvor du midlertidigt kan placere filen og pakke den ud.


          Advarsel! Du må ikke hente filer direkte til Windows-mappen. Ved en sådan handling kunne du komme til at overskrive filer, der er nødvendige, for at computeren kan fungerer korrekt.
        2. Find filen i den mappe, den blev hentet til, og dobbeltklik på den selvudpakkende *.exe-fil for at pakke indholdet ud i en midlertidig mappe. Du kan f.eks. pakke indholdet ud i C:\Temp.
      2. Åbn en kommandoprompt, og skift derefter til det bibliotek, hvor filerne er pakket ud.
      3. Advarsel!
        • Hvis du har mistanke om, at dine WINS-servere måske er virusinficerede, men du ikke er klar over, hvilke WINS-servere, der er svækket, eller om din aktuelle WINS-server er svækket, skal du ikke angive nogen IP-adresse i trin 3. Fra november 2004 har vi imidlertid ikke kendskab til nogen kunder, der er blevet berørt af dette problem. Hvis derfor dine servere fungerer som forventet, skal du fortsætte som beskrevet.
        • Hvis du indstiller IPSec forkert, kan det medføre alvorlige WINS-replikeringsproblemer på virksomhedens netværk. Yderligere oplysninger om IPSec-sikkerhed finder du på følgende Microsoft-websted:
        Kør filen Block_Wins_Replication.cmd. Når du vil oprette regler for indgående og udgående blokering af TCP-port 42 og UDP-port 42, skal du skrive 1 og derefter trykke på ENTER for at vælge punkt 1, når du bliver bedt om at vælge den ønskede mulighed.
        Når du har valgt punkt 1, bliver du bedt om at angive IP-adresserne på de pålidelige WINS-replikeringsservere.


        Hver IP-adresse, du angiver, fritages fra blokeringspolitikken for TCP-port 42 og UDP-port 42. Du bliver spurgt i en løkke, og du kan angive så mange IP-adresser, som nødvendigt. Hvis du ikke kender alle IP-adresserne på WINS-replikeringspartnerne, kan du køre scriptet igen. Hvis du vil begynde at indtaste IP-adresser på pålidelige WINS-replikeringspartnere, skal du skrive 2 og derefter trykke på ENTER for at vælge punkt 2, når du bliver bedt om at vælge den ønskede mulighed.


        Når du har implementeret sikkerhedsopdateringen, kan du fjerne IPSec-politikken. Det kan du gøre ved at køre scriptet. Skriv 3, og tryk på ENTER for at vælge punkt 3, når du bliver bedt om at vælge den ønskede mulighed.

        Yderligere oplysninger om IPSec og om anvendelsen af filtre finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:

        313190 Sådan bruges IPSec's IP-filterlister i Windows 2000. Artiklen er evt. på engelsk.
  3. Fjern WINS, hvis du ikke har brug for denne tjeneste.

    Hvis du ikke længere har brug for WINS, kan du fjerne tjenesten ved at følge disse trin: Trinene gælder for Windows 2000, Windows Server 2003 og nyere versioner af disse operativsystemer. Hvis du benytter Windows NT 4.0, skal du følge den procedure, der findes i produktdokumentationen.

    Vigtigt! Mange organisationer skal bruge WINS for at kunne udføre registrering og fortolkning af enkeltetiketter eller flade navne på deres netværk. Administratorer bør ikke fjerne WINS, medmindre en af følgende betingelser gælder:
    • Administratoren forstår fuldt ud, hvilken indflydelse fjernelsen af WINS vil have på organisationens netværk.
    • Administratoren har konfigureret DNS til at levere den tilsvarende funktionalitet ved at bruge hele domænenavne og DNS-domænesuffikser.
    Hvis en administrator fjerner WINS-funktionaliteten fra en server, der fortsat skal bruges til delte ressourcer på netværket, skal administratoren også foretage en korrekt omkonfiguration af systemet, så det bruger de tilbageværende tjenester til navnefortolkning, f.eks. DNS, på det lokale netværk.

    Yderligere oplysninger om WINS finder du ved at besøge følgende Microsoft-websted: Yderligere oplysninger om, hvordan du finder ud af, om du har brug for NETBIOS- eller WINS-navnefortolkning og DNS-konfiguration, finder du ved at besøge følgende Microsoft-websted: Følg disse trin for at fjerne WINS:
    1. Åbn Tilføj eller fjern programmer i Kontrolpanel.
    2. Klik på Tilføj/fjern Windows-komponenter.
    3. På siden med guiden Windows-komponenter skal du klikke på Netværkstjenester under Komponenter og derefter klikke på Detaljer.
    4. Klik for at fjerne markeringen i afkrydsningsfeltet Windows Internet Naming Service (WINS), hvis du vil fjerne WINS.
    5. Følg vejledningen på skærmen for at fuldføre guiden Windows-komponenter.
Vi arbejder på en opdatering, der skal udbedre dette sikkerhedsproblem, som en del af vores normale opdateringsprocesser. Så snart denne opdatering har nået et passende kvalitetsniveau, bliver den stillet til rådighed via Windows Update.


Hvis du mener, du er blevet berørt, skal du kontakte Microsoft Produktsupport. Ring på følgende PC Safety-telefonnummer for at kontakte Produktsupport i Nordamerika for at få hjælp med problemer vedrørende sikkerhedsopdateringer og virus:
1-866-PCSAFETY
Bemærk! Opkaldet er gratis.

Internationale kunder bør kontakte Produktsupport ved at benytte en af de metoder, der er angivet på følgende Microsoft-websted: