Sådan beskytter du dig mod et WINS-sikkerhedsproblem

INDFØRELSEN

Vi undersøger rapporter om et sikkerhedsproblem med Microsoft WINS (Windows Internet Name Service). Dette sikkerhedsproblem påvirker Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server og Microsoft Windows Server 2003. Dette sikkerhedsproblem påvirker ikke Microsoft Windows 2000 Professional, Microsoft Windows XP eller Microsoft Windows Millennium Edition.

Flere oplysninger

WINS er som standard ikke installeret på Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server eller Windows Server 2003. WINS installeres og kører som standard på Microsoft Small Business Server 2000 og Microsoft Windows Small Business Server 2003. I alle versioner af Microsoft Small Business Server er WINS-komponentens kommunikationsporte som standard blokeret fra internettet, og WINS er kun tilgængelig på det lokale netværk.

Dette sikkerhedsproblem kan gøre det muligt for en hacker eksternt at kompromittere en WINS-server, hvis en af følgende betingelser gælder:

• Du har ændret standardkonfigurationen for at installere WINS-serverrollen på Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server eller Windows Server 2003.

• Du kører Microsoft Small Business Server 2000 eller Microsoft Windows Small Business Server 2003, og en hacker har adgang til dit lokale netværk.

Følg disse trin for at beskytte computeren mod denne potentielle sikkerhedsrisiko:

1. Bloker TCP-port 42 og UDP-port 42 ved firewallen.
   
   
   Disse porte bruges til at starte en forbindelse med en ekstern WINS-server. Hvis du blokerer disse porte ved firewallen, hjælper du med at forhindre computere, der er bag den pågældende firewall, i at forsøge at bruge denne sikkerhedsrisiko. TCP-port 42 og UDP-port 42 er STANDARD WINS-replikeringsporte. Vi anbefaler, at du blokerer al indgående uopfordret kommunikation fra internettet.

2. Brug IPsec (Internet Protocol security) til at beskytte trafikken mellem WINS-serverreplikeringspartnere. Det kan du gøre ved at bruge en af følgende indstillinger.
   
   Forsigtig Da hver WINS-infrastruktur er entydig, kan disse ændringer have uventede virkninger på din infrastruktur. Vi anbefaler på det kraftigste, at du udfører en risikoanalyse, før du vælger at implementere denne afhjælpning. Vi anbefaler også på det kraftigste, at du udfører en komplet test, før du sætter denne afhjælpning i produktion.
   

   • Mulighed 1: Konfigurer IPSec-filtrene
     manuelt Konfigurer IPSec-filtrene manuelt, og følg derefter vejledningen i følgende Microsoft Knowledge Base-artikel for at tilføje et blokeringsfilter, der blokerer alle pakker fra en IP-adresse til systemets IP-adresse:

     813878 Sådan blokeres bestemte netværksprotokoller og porte ved hjælp af IPSec
     
     Hvis du bruger IPSec i dit Windows 2000 Active Directory-domænemiljø, og du installerer din IPSec-politik ved hjælp af Gruppepolitik, tilsidesætter domænepolitikken alle lokalt definerede politikker. Denne forekomst forhindrer denne indstilling i at blokere de ønskede pakker.
     
     Hvis du vil finde ud af, om dine servere modtager en IPSec-politik fra et Windows 2000-domæne eller en nyere version, skal du se afsnittet "Find ud af, om en IPSec-politik er tildelt" i Knowledge Base-artiklen 813878.
     
     Når du har besluttet, at du kan oprette en effektiv lokal IPSec-politik, skal du hente værktøjet IPSeccmd.exe eller værktøjet IPSecpol.exe.
     
     Følgende kommandoer blokerer indgående og udgående adgang til TCP-port 42 og UDP-port 42.
     
     Bemærk! I disse kommandoer refererer %IPSEC_Command% til Ipsecpol.exe (på Windows 2000) eller Ipseccmd.exe (på Windows Server 2003).

     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK 
     

     Følgende kommando får IPSec-politikken til at træde i kraft med det samme, hvis der ikke er nogen modstridende politik. Denne kommando begynder at blokere alle indgående/udgående TCP-port 42- og UDP-port 42-pakker. Dette forhindrer effektivt WINS-replikering mellem den server, som disse kommandoer blev kørt på, og eventuelle WINS-replikeringspartnere.

     %IPSEC_Command% -w REG -p "Block WINS Replication" –x 

     Hvis du oplever problemer på netværket, når du har aktiveret denne IPSec-politik, kan du ophæve tildelingen af politikken og derefter slette politikken ved hjælp af følgende kommandoer:

     %IPSEC_Command% -w REG -p "Block WINS Replication" -y 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -o 

     Hvis du vil tillade, at WINS-replikering fungerer mellem bestemte WINS-replikeringspartnere, skal du tilsidesætte disse blokregler med tilladelsesregler. Tilladelsesreglerne bør kun angive IP-adresserne på dine WINS-replikeringspartnere, der er tillid til.
     
     
     Du kan bruge følgende kommandoer til at opdatere IPSec-politikken for Block WINS Replication, så bestemte IP-adresser kan kommunikere med den server, der bruger politikken Block WINS Replication.
     
     Bemærk! I disse kommandoer refererer %IPSEC_Command% til Ipsecpol.exe (på Windows 2000) eller Ipseccmd.exe (på Windows Server 2003), og %IP% refererer til IP-adressen på den eksterne WINS-server, du vil replikere med.

     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS 
     

     Hvis du vil tildele politikken med det samme, skal du bruge følgende kommando:

     %IPSEC_Command% -w REG -p "Block WINS Replication" -x

   • Mulighed 2: Kør et script for automatisk at konfigurere IPSec-filtrene
     Download, og kør derefter WINS Replication Blocker-scriptet, der opretter en IPSec-politik for at blokere portene. Det gør du ved at følge disse trin:
     

     1. Følg disse trin for at hente og udpakke de .exe filer:
        

        1. Download WINS Replication Blocker-scriptet.
           
           Følgende fil kan hentes fra Microsoft Download Center:
           
           Hent scriptpakken WINS Replication Blocker nu.
           
           Udgivelsesdato: 2. december 2004
           
           Flere oplysninger om, hvordan du downloader Microsoft Support-filer, finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:

           119591 Sådan henter du Microsoft-supportfiler fra onlinetjenester
           Microsoft har scannet denne fil for virus. Microsoft brugte den nyeste software til virusregistrering, der var tilgængelig på den dato, hvor filen blev publiceret. Filen gemmes på servere med forbedret sikkerhed, der hjælper med at forhindre uautoriserede ændringer af filen.
           

           Hvis du downloader WINS Replication Blocker-scriptet til en diskette, skal du bruge en formateret tom disk. Hvis du henter WINS Replication Blocker-scriptet til din harddisk, skal du oprette en ny mappe, hvor du midlertidigt kan gemme filen og udpakke filen fra.
           
           
           Pas på, at du ikke downloader filer direkte til din Windows-mappe. Denne handling kan overskrive filer, der kræves, for at computeren kan fungere korrekt.

        2. Find filen i den mappe, du hentede den til, og dobbeltklik derefter på den selvudpakkende .exe fil for at udpakke indholdet til en midlertidig mappe. Udpak f.eks. indholdet til C:\Temp.

     2. Åbn en kommandoprompt, og gå derefter til den mappe, hvor filerne er pakket ud.

     3. Advarsel

        • Hvis du har mistanke om, at dine WINS-servere kan være inficeret, men du ikke er sikker på, hvilke WINS-servere der er kompromitteret, eller om din aktuelle WINS-server er kompromitteret, skal du ikke angive nogen IP-adresser i trin 3. Fra og med november 2004 er vi dog ikke opmærksomme på kunder, der er blevet påvirket af dette problem. Hvis dine servere fungerer som forventet, skal du derfor fortsætte som beskrevet.

        • Hvis du har konfigureret IPsec forkert, kan du forårsage alvorlige WINS-replikeringsproblemer på virksomhedens netværk.

        Kør den Block_Wins_Replication.cmd fil. Hvis du vil oprette reglerne for tcp-port 42 og UDP-port 42 for indgående og udgående blokering, skal du skrive
        1 og derefter trykke på Enter for at vælge valgmulighed 1, når du bliver bedt om at vælge den ønskede indstilling.

        Når du har valgt valgmulighed 1, beder scriptet dig om at angive IP-adresserne på de WINS-replikeringsservere, der er tillid til.
        
        
        Hver IP-adresse, du angiver, er undtaget fra politikken for blokering af TCP-port 42 og UDP-port 42. Du bliver bedt om det i en løkke, og du kan angive så mange IP-adresser, som du har brug for. Hvis du ikke kender alle IP-adresserne på WINS-replikeringspartnere, kan du køre scriptet igen fremover. Hvis du vil begynde at angive IP-adresser på pålidelige WINS-replikeringspartnere, skal du skrive 2 og derefter trykke på Enter for at vælge valgmulighed 2, når du bliver bedt om at vælge den ønskede indstilling.
        
        
        Når du har installeret sikkerhedsopdateringen, kan du fjerne IPSec-politikken. Kør scriptet for at gøre dette. Skriv 3, og tryk derefter på Enter for at vælge valgmulighed 3, når du bliver bedt om at vælge den ønskede indstilling.
        
        Flere oplysninger om IPSec og om, hvordan du anvender filtre, finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
        
        

        313190 Sådan bruges IPsec IP-filterlister i Windows 2000
        
        

3. Fjern WINS, hvis du ikke har brug for det.
   
   Hvis du ikke længere har brug for WINS, skal du følge disse trin for at fjerne det. Disse trin gælder for Windows 2000, Windows Server 2003 og nyere versioner af disse operativsystemer. I Windows NT Server 4.0 skal du følge den fremgangsmåde, der er inkluderet i produktdokumentationen.
   
   Vigtigt Mange organisationer kræver WINS for at kunne udføre registrerings- og opløsningsfunktioner med enkelt etiket eller fladt navn på deres netværk. Administratorer bør ikke fjerne WINS, medmindre en af følgende betingelser gælder:
   

   • Administratoren forstår fuldt ud, hvilken effekt fjernelse af WINS dette vil have på deres netværk.

   • Administratoren har konfigureret DNS til at levere tilsvarende funktionalitet ved hjælp af fuldt kvalificerede domænenavne og DNS-domænesuffikser.

   Hvis en administrator fjerner WINS-funktionaliteten fra en server, der fortsat vil levere delte ressourcer på netværket, skal administratoren desuden konfigurere systemet korrekt for at bruge de resterende navneoversættelsestjenester som DNS på det lokale netværk.
   
   Du kan finde flere oplysninger om WINS på følgende Microsoft-websted:

   http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true Du kan finde flere oplysninger om, hvordan du finder ud af, om du har brug for NETBIOS- eller WINS-navneoversættelse og DNS-konfiguration, på følgende Microsoft-websted:

   http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxHvis du vil fjerne WINS, skal du følge disse trin:
   

   1. I Kontrolpanel skal du åbne Tilføj eller fjern programmer.

   2. Klik på Tilføj/fjern Windows-komponenter.
      

   3. Klik på Netværkstjenester under
      Komponenter på siden guiden Windows-komponenter, og klik derefter på Detaljer.

   4. Fjern markeringen i afkrydsningsfeltet Windows WINS (Internet Naming Service) for at fjerne WINS.

   5. Følg vejledningen på skærmen for at fuldføre guiden Windows-komponenter.

Vi arbejder på en opdatering for at løse dette sikkerhedsproblem som en del af vores regelmæssige opdateringsproces. Når opdateringen har nået et passende kvalitetsniveau, leverer vi opdateringen via Windows Update.


Hvis du mener, at du er blevet påvirket, skal du kontakte Produktsupport.

Internationale kunder bør kontakte Produktsupport ved hjælp af en hvilken som helst metode, der er angivet på følgende Microsoft-websted:

http://support.microsoft.com