Zum Schutz gegen eine WINS-Sicherheit

Gilt für: Microsoft Windows Server 2003 Standard Edition (32-bit x86)Microsoft Windows Server 2003 Web EditionMicrosoft Windows Server 2003 Enterprise Edition (32-bit x86)

Einführung


Wir untersuchen Berichte über ein Sicherheitsproblem mit Microsoft Windows Internet Name Service (WINS). Diese Sicherheitslücke betrifft Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server und Microsoft Windows Server 2003. Dieses Sicherheitsproblem wirkt sich nicht auf Microsoft Windows 2000 Professional, Microsoft Windows XP oder Microsoft Windows Millennium Edition aus.

Weitere Informationen


Standardmäßig WINS ist nicht installiert auf Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server oder Windows Server 2003. WINS wird standardmäßig auf Microsoft Small Business Server 2000 und Microsoft Windows Small Business Server 2003 installiert und ausgeführt. Wird standardmäßig auf allen Versionen von Microsoft Small Business Server WINS-Komponente Kommunikations-Ports aus dem Internet blockiert, und wird nur auf dem lokalen Netzwerk.

Dieses Sicherheitsproblem kann ermöglichen Angreifern Eindringen ein WINS-Servers, wenn Folgendes zutrifft:
  • Die Standardkonfiguration für Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server oder Windows Server 2003 die WINS-Serverfunktion installiert haben.
  • Microsoft Small Business Server 2000 oder Microsoft Windows Small Business Server 2003 ausgeführt, und ein Angreifer hat Zugriff auf das lokale Netzwerk.
Um Ihren Computer vor diesem potenziellen Sicherheitsrisiko zu schützen, gehen Sie folgendermaßen vor:
  1. Block TCP-Port 42 und UDP-port 42 an der Firewall.


    Diese Ports werden zum Einleiten einer Verbindung mit einem WINS-Remoteserver verwendet. Diese Ports an der Firewall blockieren, helfen Computern verhindert, dass dieser Firewall versucht, diese Schwachstelle verwenden. TCP-Port 42 und UDP-Port 42 sind die Standardports für WINS-Replikation. Wir empfehlen das Blockieren der gesamten unerwünschten eingehenden Kommunikation aus dem Internet.
  2. Verwenden von Internet Protocol Security (IPsec) zum Schützen des Verkehrs zwischen WINS-Replikationspartnern. Verwenden Sie hierzu eine der folgenden Optionen aus.

    Achtung: Da jeder WINS-Infrastruktur eindeutig ist, müssen diese Änderungen unerwartete Effekte Infrastruktur. Es wird dringend empfohlen, eine Risikoanalyse durchzuführen, bevor Sie diese Hilfsmaßnahmen implementieren. Wir empfehlen auch umfassende Tests vor diese Abschwächung in der Produktion ausgeführt.
    • Option 1: IPSec-Filter manuell konfigurieren
      Konfigurieren Sie IPSec-Filter manuell, und gehen Sie im folgenden Artikel der Microsoft Knowledge Base hinzuzufügende Blockierungsfilter blockiert alle Pakete von einer beliebigen IP-Adresse die IP-Adresse:
      813878 wie Blockieren bestimmter Netzwerkprotokolle und Ports mit IPSec

      Wenn Sie IPSec in Ihrer Umgebung Windows 2000 Active Directory-Domäne und Ihre IPSec-Richtlinie mithilfe von Gruppenrichtlinien bereitstellen, überschreibt die Domänenrichtlinie alle lokal definierten Richtlinien. Dieses Ereignis verhindert diese Option die gewünschten Pakete blockieren.

      Um festzustellen, ob Ihre Server eine IPSec-Richtlinie von einer Windows 2000-Domäne oder höher erhalten, finden Sie im Abschnitt "Bestimmen, ob eine IPSec-Richtlinie zugewiesen ist" in Knowledge Base-Artikel 813878.

      Wenn Sie festgestellt haben, dass Sie eine effektive, lokale IPSec-Richtlinie erstellen können, downloaden Sie IPSeccmd.exe Tool oder IPSecpol.exe Tool.

      Die folgenden Befehle blockieren den eingehenden und ausgehenden Zugang zum TCP-Port 42 und UDP-Port 42.

      Hinweis In diesen Befehlen verweistIPSEC_Command% auf Ipsecpol.exe (unter Windows 2000) oder Ipseccmd.exe (unter Windows Server 2003).
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK
      Der folgende Befehl aktiviert die IPSec-Richtlinie unverzüglich, wenn keine in Konflikt stehende Richtlinie. Dieser Befehl startet alle eingehenden/ausgehenden TCP-Port 42 und UDP-Port 42 Pakete blockieren. WINS-Replikation zwischen dem Server, den diese Befehle ausführt und beliebigen WINS-Replikationspartnern, effektiv verhindert.
      %IPSEC_Command% -w REG -p "Block WINS Replication" –x 
      Wenn Probleme im Netzwerk nach diese Richtlinie aktivieren, können die Richtlinie aufheben und löschen Sie die Richtlinie mit den folgenden Befehlen:
      %IPSEC_Command% -w REG -p "Block WINS Replication" -y 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -o
      Damit kann WINS-Replikation zwischen bestimmten WINS-Zulassungsregeln Replikationspartner, mit überschreiben müssen. Allow-Regeln sollten die IP-Adressen der vertrauenswürdigen WINS-Replikationspartner nur angeben.


      Folgende Befehle können zum Aktualisieren der Block WINS-Replikation IPSec-Richtlinien können bestimmte IP-Adressen mit dem Server kommunizieren, der die Blockierungsrichtlinie verwendet.

      Hinweis In diesen BefehlenIPSEC_Command% auf Ipsecpol.exe (unter Windows 2000) oder Ipseccmd.exe (unter Windows Server 2003) undIPbezieht sich auf die IP-Adresse des entfernten WINS-Server, dem Sie replizieren möchten.
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS
      Verwenden Sie den folgenden Befehl, um die Richtlinie sofort zuweisen:
      %IPSEC_Command% -w REG -p "Block WINS Replication" -x
    • Option 2: Skript IPSec-Filter automatisch konfiguriert
      Herunterladen Sie und führen Sie das WINS-Replikation Sperrskript aus, das eine IPSec-zum Blockieren der Anschlüsse Richtlinie. Gehen Sie hierzu folgendermaßen vor:
      1. Herunterladen und Extrahieren der .exe-Dateien, gehen Sie folgendermaßen vor:
        1. Das WINS-Replikation Sperrskript herunterladen

          Die folgende Datei steht zum Download im Microsoft Download Center zur Verfügung:

          Download Downloaden Sie das WINS-Replikation Blocker Paket jetzt.

          Datum der Freigabe: 2. Dezember 2004

          Weitere Informationen zum Herunterladen von Microsoft Support-Dateien finden im folgenden Artikel der Microsoft Knowledge Base:
          119591 so erhalten Sie Microsoft Support-Dateien
          Microsoft hat diese Datei auf Viren überprüft. Microsoft hat die zum Zeitpunkt der Veröffentlichung der Datei aktuell verfügbare Virenerkennungssoftware verwendet. Die Datei wird auf sicheren Servern gespeichert, die nicht autorisierte Änderung der Datei verhindern.
          Wenn Sperrskript WINS-Replikation auf eine Diskette herunterladen möchten, verwenden Sie eine leere, formatierte Diskette. Sperrskript WINS-Replikation auf Ihre Festplatte heruntergeladen haben, erstellen Sie einen neuen Ordner vorübergehend speichern, und extrahieren Sie die Datei aus.


          Achtung: Downloaden Sie Dateien nicht direkt in Ihren Windows-Ordner. Dadurch könnten Dateien überschrieben, die für den Computer ordnungsgemäß funktioniert.
        2. Suchen Sie die Datei in den Ordner, dem Sie heruntergeladen, und doppelklicken Sie auf die selbstextrahierende .exe-Datei, um Inhalt in einen temporären Ordner zu extrahieren. Beispielsweise C:\Tempextrahiert.
      2. Öffnen Sie ein Eingabeaufforderungsfenster, und anschließend in das Verzeichnis, in dem die Dateien extrahiert haben.
      3. Warnung
        • Wenn Sie vermuten, dass die WINS-Server infiziert, sind nicht sicher, welche WINS-Server gefährdet sind, ob Ihre aktuelle WINS-Server gefährdet ist, geben Sie alle IP-Adressen in Schritt 3. Im November 2004 sind wir jedoch nicht von diesem Problem betroffenen Kunden bewusst. Wenn Ihre Server wie erwartet funktionieren, daher wie beschrieben.
        • Wenn Sie IPsec falsch konfigurieren, verursachen Sie WINS-Replikationsprobleme in Ihrem Unternehmensnetzwerk.
        Führen Sie die Datei "Block_Wins_Replication.cmd" aus. Um den TCP-Port 42 und UDP-Port 42 blockieren eingehenden und ausgehenden Regeln zu erstellen, geben Sie
        1 und drücken Sie dann die EINGABETASTE, um option 1, wenn Sie aufgefordert werden, die Option auszuwählen.
        Wenn Sie Option 1 wählen, fordert das Skript, die IP-Adressen der vertrauenswürdigen WINS-Replikationsserver einzugeben.


        Jede IP-Adresse, die Sie eingeben wird von blockierenden TCP-Port 42 und UDP-Port 42 ausgenommen. Werden in einer Schleife, und Sie können beliebig viele IP-Adressen eingeben. Wenn Sie nicht alle IP-Adressen der WINS-Replikationspartner kennen, können Sie das Skript in Zukunft erneut ausführen. Möchten um die Eingabe von IP-Adressen der vertrauenswürdigen WINS-Replikationspartnern zu Typ 2 und dann EINGABETASTE Option 2 auswählen, wenn Sie aufgefordert werden, das Sie option.


        Nach der Bereitstellung des Sicherheitsupdates können Sie die IPSec-Richtlinie entfernen. Hierzu führen Sie das Skript. Geben Sie 3 ein und drücken Sie wählen Sie Option 3, wenn Sie aufgefordert werden, die Option auszuwählen.

        Weitere Informationen zu IPsec und zum Anwenden von Filtern finden im folgenden Artikel der Microsoft Knowledge Base:

        313190 wie IPsec IP-Filterlisten in Windows 2000

  3. Entfernen Sie WINS, falls Sie es nicht benötigen.

    Falls WINS nicht mehr benötigt wird, folgendermaßen Sie vor, um ihn zu entfernen. Diese Schritte gelten für Windows 2000, Windows Server 2003 und höheren Versionen dieser Betriebssysteme. Windows NT Server 4.0 führen Sie die in der Produktdokumentation beschriebenen Schritte.

    Wichtig Viele Unternehmen benötigen WINS zur Etikett oder flachen Namen Registrierung und Auflösung im Netzwerk. Administratoren sollten WINS nicht entfernen, wenn Folgendes zutrifft:
    • Der Administrator versteht die Deinstallation von WINS im Netzwerk auswirken wird.
    • Der Administrator hat DNS, um die entsprechende Funktionalität mit vollqualifizierten Domänennamen und DNS-Suffixe konfiguriert.
    Auch wenn ein Administrator die WINS-Funktionen von einem Server, die weiterhin freigegebene Ressourcen im Netzwerk entfernt, muss der Administrator ordnungsgemäß Verwendung der verbleibenden Namenauflösungsdienste wie DNS auf dem lokalen System konfigurieren Netzwerk.

    Weitere Informationen zu WINS finden Sie auf der folgenden Microsoft-Website:Weitere Informationen zum bestimmen, ob die Auflösung von NETBIOS oder WINS und DNS-Konfiguration finden Sie auf der folgenden Microsoft-Website:Gehen Sie folgendermaßen vor, um WINS zu entfernen:
    1. Öffnen Sie im Bedienfeld Programme hinzufügen oder entfernen.
    2. Klicken Sie auf Windows-Komponenten hinzufügen/entfernen.
    3. Auf der Seite Assistent für Windows-Komponenten unter
      Komponentenauf Netzwerkdiensteund klicken Sie dann auf Details.
    4. Deaktivieren Sie das Kontrollkästchen Windows Internet Naming Service (WINS) , um WINS zu entfernen.
    5. Anweisungen Sie auf dem Bildschirm des Assistenten für Windows-Komponenten.
Wir arbeiten an einem Update zur Behebung dieses Sicherheitsproblems als Teil unseres regulären Updateprozesses Adresse. Wenn das Update angemessener Qualität erreicht hat, bieten wir mithilfe von Windows Update.


Wenn Sie glauben, dass Sie betroffen sind, wenden Sie sich an den Produktsupport.

Internationale Kunden sollten sich an den Produktsupport mithilfe einer Methode, die aufgeführt ist auf der folgenden Microsoft-Website: