Schützen vor WINS-Sicherheitsproblemen

EINFÜHRUNG

Wir untersuchen Berichte über ein Sicherheitsproblem mit Microsoft Windows Internet Name Service (WINS). Dieses Sicherheitsproblem betrifft Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server und Microsoft Windows Server 2003. Dieses Sicherheitsproblem wirkt sich nicht auf Microsoft Windows 2000 Professional, Microsoft Windows XP oder Microsoft Windows Millennium Edition aus.

Weitere Informationen

Standardmäßig ist WINS nicht unter Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server oder Windows Server 2003 installiert. Standardmäßig wird WINS auf Microsoft Small Business Server 2000 und Microsoft Windows Small Business Server 2003 installiert und ausgeführt. Standardmäßig sind in allen Versionen von Microsoft Small Business Server die Kommunikationsports der WINS-Komponente über das Internet blockiert, und WINS ist nur im lokalen Netzwerk verfügbar.

Dieses Sicherheitsproblem könnte es einem Angreifer ermöglichen, einen WINS-Server remote zu kompromittieren, wenn eine der folgenden Bedingungen zutrifft:

• Sie haben die Standardkonfiguration geändert, um die WINS-Serverrolle unter Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server oder Windows Server 2003 zu installieren.

• Sie führen Microsoft Small Business Server 2000 oder Microsoft Windows Small Business Server 2003 aus, und ein Angreifer hat Zugriff auf Ihr lokales Netzwerk.

Führen Sie die folgenden Schritte aus, um Ihren Computer vor diesem potenziellen Sicherheitsrisiko zu schützen:

1. Blockieren Sie TCP-Port 42 und UDP-Port 42 an der Firewall.
   
   
   Diese Ports werden verwendet, um eine Verbindung mit einem WINS-Remoteserver zu initiieren. Wenn Sie diese Ports an der Firewall blockieren, verhindern Sie, dass Computer, die sich hinter dieser Firewall befinden, versuchen, diese Sicherheitsanfälligkeit zu nutzen. TCP-Port 42 und UDP-Port 42 sind die Standardmäßigen WINS-Replikationsports. Es wird empfohlen, alle eingehenden unerwünschten Kommunikationen aus dem Internet zu blockieren.

2. Verwenden Sie Internetprotokollsicherheit (Internet Protocol Security, IPsec), um den Datenverkehr zwischen WINS-Serverreplikationspartnern zu schützen. Verwenden Sie dazu eine der folgenden Optionen.
   
   Vorsicht Da jede WINS-Infrastruktur eindeutig ist, können diese Änderungen unerwartete Auswirkungen auf Ihre Infrastruktur haben. Es wird dringend empfohlen, dass Sie eine Risikoanalyse durchführen, bevor Sie sich für die Implementierung dieser Risikominderung entscheiden. Es wird auch dringend empfohlen, dass Sie vollständige Tests durchführen, bevor Sie diese Entschärfung in die Produktion integrieren.
   

   • Option 1: Manuelles Konfigurieren der IPSec-Filter Konfigurieren Sie die IPSec-Filter
     manuell, und befolgen Sie dann die Anweisungen im folgenden Microsoft Knowledge Base-Artikel, um einen Blockfilter hinzuzufügen, der alle Pakete von einer beliebigen IP-Adresse an die IP-Adresse Ihres Systems blockiert:

     813878 Blockieren bestimmter Netzwerkprotokolle und Ports mithilfe von IPSec
     
     Wenn Sie IPSec in Ihrer Windows 2000 Active Directory-Domänenumgebung verwenden und Ihre IPSec-Richtlinie mithilfe von Gruppenrichtlinie bereitstellen, setzt die Domänenrichtlinie jede lokal definierte Richtlinie außer Kraft. Dieses Ereignis verhindert, dass diese Option die gewünschten Pakete blockiert.
     
     Informationen zum Ermitteln, ob Ihre Server eine IPSec-Richtlinie von einer Windows 2000-Domäne oder einer höheren Version erhalten, finden Sie im Knowledge Base-Artikel 813878 im Abschnitt "Bestimmen, ob eine IPSec-Richtlinie zugewiesen ist".
     
     Wenn Sie festgestellt haben, dass Sie eine effektive lokale IPSec-Richtlinie erstellen können, laden Sie das IPSeccmd.exe-Tool oder das IPSecpol.exe-Tool herunter.
     
     Die folgenden Befehle blockieren den ein- und ausgehenden Zugriff auf TCP-Port 42 und UDP-Port 42.
     
     Hinweis In diesen Befehlen bezieht sich %IPSEC_Command% auf Ipsecpol.exe (unter Windows 2000) oder Ipseccmd.exe (Windows Server 2003).

     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK 
     

     Mit dem folgenden Befehl wird die IPSec-Richtlinie sofort wirksam, wenn keine in Konflikt stehende Richtlinie vorliegt. Dieser Befehl blockiert alle eingehenden/ausgehenden TCP-Port 42- und UDP-Port 42-Pakete. Dadurch wird effektiv verhindert, dass die WINS-Replikation zwischen dem Server, auf dem diese Befehle ausgeführt wurden, und allen WINS-Replikationspartnern stattfindet.

     %IPSEC_Command% -w REG -p "Block WINS Replication" –x 

     Wenn nach dem Aktivieren dieser IPSec-Richtlinie Probleme im Netzwerk auftreten, können Sie die Zuweisung der Richtlinie aufheben und die Richtlinie dann mit den folgenden Befehlen löschen:

     %IPSEC_Command% -w REG -p "Block WINS Replication" -y 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -o 

     Damit die WINS-Replikation zwischen bestimmten WINS-Replikationspartnern funktioniert, müssen Sie diese Blockregeln mit Zulassungsregeln überschreiben. Die Zulassungsregeln sollten nur die IP-Adressen Ihrer vertrauenswürdigen WINS-Replikationspartner angeben.
     
     
     Sie können die folgenden Befehle verwenden, um die IPSec-Richtlinie WINS-Replikation blockieren zu aktualisieren, damit bestimmte IP-Adressen mit dem Server kommunizieren können, der die Block WINS-Replikationsrichtlinie verwendet.
     
     Hinweis In diesen Befehlen bezieht sich %IPSEC_Command% auf Ipsecpol.exe (unter Windows 2000) oder Ipseccmd.exe (Windows Server 2003), und %IP% bezieht sich auf die IP-Adresse des WINS-Remoteservers, mit dem Sie replizieren möchten.

     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS 
     

     Verwenden Sie den folgenden Befehl, um die Richtlinie sofort zuzuweisen:

     %IPSEC_Command% -w REG -p "Block WINS Replication" -x

   • Option 2: Führen Sie ein Skript aus, um die IPSec-Filter
     automatisch zu konfigurieren Download und dann das SKRIPT WINS-Replikationsblocker auszuführen, das eine IPSec-Richtlinie zum Blockieren der Ports erstellt. Führen Sie dazu die folgenden Schritte aus:
     

     1. Führen Sie die folgenden Schritte aus, um die .exe-Dateien herunterzuladen und zu extrahieren:
        

        1. Laden Sie das Skript wins replication blocker (WINS-Replikationsblocker) herunter.
           
           Die folgende Datei steht zum Download aus dem Microsoft Download Center zur Verfügung:
           
           Laden Sie jetzt das Skriptpaket für den WINS-Replikationsblocker herunter.
           
           Veröffentlichungsdatum: 2. Dezember 2004
           
           Weitere Informationen zum Herunterladen Microsoft-Support Dateien finden Sie in der Microsoft Knowledge Base auf die folgende Artikelnummer:

           119591 So erhalten Sie Microsoft-Supportdateien von Onlinedienste
           Microsoft hat diese Datei auf Viren gescannt. Dazu wurde die neueste Software zur Virenerkennung verwendet, die zum Zeitpunkt der Bereitstellung verfügbar war. Die Datei wird auf Servern mit verbesserter Sicherheit gespeichert, die dazu beitragen, nicht autorisierte Änderungen an der Datei zu verhindern.
           

           Wenn Sie das Skript für den WINS-Replikationsblocker auf einen Diskettendatenträger herunterladen, verwenden Sie einen formatierten leeren Datenträger. Wenn Sie das Skript für den WINS-Replikationsblocker auf Ihre Festplatte herunterladen, erstellen Sie einen neuen Ordner, in dem die Datei vorübergehend gespeichert und die Datei extrahiert werden soll.
           
           
           Achtung Laden Sie Dateien nicht direkt in Ihren Windows-Ordner herunter. Diese Aktion kann Dateien überschreiben, die für den ordnungsgemäßen Betrieb Ihres Computers erforderlich sind.

        2. Suchen Sie die Datei in dem Ordner, in den Sie sie heruntergeladen haben, und doppelklicken Sie dann auf die selbstextrahierende .exe Datei, um den Inhalt in einen temporären Ordner zu extrahieren. Extrahieren Sie z. B. den Inhalt in C:\Temp.

     2. Öffnen Sie eine Eingabeaufforderung, und wechseln Sie dann zu dem Verzeichnis, in das die Dateien extrahiert werden.

     3. Warnung

        • Wenn Sie vermuten, dass Ihre WINS-Server infiziert sind, aber nicht sicher sind, welche WINS-Server kompromittiert sind oder ob Ihr aktueller WINS-Server kompromittiert ist, geben Sie in Schritt 3 keine IP-Adressen ein. Seit November 2004 sind uns jedoch keine Kunden bekannt, die von diesem Problem betroffen sind. Wenn Ihre Server wie erwartet funktionieren, fahren Sie daher wie beschrieben fort.

        • Wenn Sie IPsec fälschlicherweise eingerichtet haben, kann es zu schwerwiegenden WINS-Replikationsproblemen in Ihrem Unternehmensnetzwerk kommen.

        Führen Sie die Block_Wins_Replication.cmd-Datei aus. Um die Regeln für eingehende und ausgehende Blockregeln für TCP-Port 42 und UDP-Port 42 zu erstellen, geben Sie 1 ein
        , und drücken Sie dann die EINGABETASTE, um Option 1 auszuwählen, wenn Sie aufgefordert werden, die gewünschte Option auszuwählen.

        Nachdem Sie Option 1 ausgewählt haben, werden Sie vom Skript aufgefordert, die IP-Adressen der vertrauenswürdigen WINS-Replikationsserver einzugeben.
        
        
        Jede von Ihnen eingegebene IP-Adresse ist von der blockierenden TCP-Port 42- und UDP-Port 42-Richtlinie ausgenommen. Sie werden in einer Schleife aufgefordert, und Sie können beliebig viele IP-Adressen eingeben. Wenn Sie nicht alle IP-Adressen der WINS-Replikationspartner kennen, können Sie das Skript in Zukunft erneut ausführen. Um mit der Eingabe von IP-Adressen vertrauenswürdiger WINS-Replikationspartner zu beginnen, geben Sie 2 ein, und drücken Sie dann die EINGABETASTE, um Option 2 auszuwählen, wenn Sie aufgefordert werden, die gewünschte Option auszuwählen.
        
        
        Nachdem Sie das Sicherheitsupdate bereitgestellt haben, können Sie die IPSec-Richtlinie entfernen. Führen Sie dazu das Skript aus. Geben Sie 3 ein, und drücken Sie dann die EINGABETASTE, um Option 3 auszuwählen, wenn Sie aufgefordert werden, die gewünschte Option auszuwählen.
        
        Weitere Informationen zu IPsec und zum Anwenden von Filtern finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
        
        

        313190 Verwenden von IPsec-IP-Filterlisten in Windows 2000
        
        

3. Entfernen Sie WINS, wenn Sie sie nicht benötigen.
   
   Wenn Sie WINS nicht mehr benötigen, führen Sie die folgenden Schritte aus, um es zu entfernen. Diese Schritte gelten für Windows 2000, Windows Server 2003 und höhere Versionen dieser Betriebssysteme. Führen Sie für Windows NT Server 4.0 das Verfahren aus, das in der Produktdokumentation enthalten ist.
   
   Wichtig Viele Organisationen benötigen WINS, um Registrierungs- und Auflösungsfunktionen für einzelne Bezeichnungen oder Flatnamen in ihrem Netzwerk auszuführen. Administratoren sollten WINS nur entfernen, wenn eine der folgenden Bedingungen zutrifft:
   

   • Der Administrator versteht vollständig die Auswirkungen, die das Entfernen von WINS auf sein Netzwerk hat.

   • Der Administrator hat DNS so konfiguriert, dass die entsprechenden Funktionen mithilfe vollqualifizierter Domänennamen und DNS-Domänensuffixe bereitgestellt werden.

   Wenn ein Administrator die WINS-Funktionalität von einem Server entfernt, der weiterhin freigegebene Ressourcen im Netzwerk bereitstellt, muss der Administrator das System außerdem ordnungsgemäß neu konfigurieren, um die verbleibenden Namensauflösungsdienste wie DNS im lokalen Netzwerk zu verwenden.
   
   Weitere Informationen zu WINS finden Sie auf der folgenden Microsoft-Website:

   http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true Weitere Informationen zum Ermitteln, ob Sie die NETBIOS- oder WINS-Namensauflösung und DNS-Konfiguration benötigen, finden Sie auf der folgenden Microsoft-Website:

   http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxFühren Sie die folgenden Schritte aus, um WINS zu entfernen:
   

   1. Öffnen Sie Systemsteuerung Software.

   2. Klicken Sie auf Windows-Komponenten hinzufügen/entfernen.
      

   3. Klicken Sie auf der Seite Assistent für Windows-Komponenten unter
      Komponenten auf Netzwerkdienste, und klicken Sie dann auf Details.

   4. Deaktivieren Sie das Kontrollkästchen Windows Internet Naming Service (WINS), um WINS zu entfernen.

   5. Befolgen Sie die Anweisungen auf dem Bildschirm, um den Assistenten für Windows-Komponenten abzuschließen.

Wir arbeiten an einem Update, um dieses Sicherheitsproblem im Rahmen unseres regelmäßigen Updateprozesses zu beheben. Wenn das Update ein angemessenes Qualitätsniveau erreicht hat, stellen wir das Update über Windows Update bereit.


Wenn Sie der Meinung sind, dass Sie betroffen sind, wenden Sie sich an den Produktsupport.

Internationale Kunden sollten sich mit einer beliebigen Methode in Verbindung setzen, die auf der folgenden Microsoft-Website aufgeführt ist:

http://support.microsoft.com