Τρόπος προστασίας από ένα ζήτημα ασφαλείας WINS


ΕΙΣΑΓΩΓΗ


Διερευνάμε αναφορές για ένα ζήτημα ασφαλείας που αφορά την Υπηρεσία ονομάτων Internet των Microsoft Windows (Windows Internet Name Service - WINS). Αυτό το ζήτημα ασφαλείας επηρεάζει τον Microsoft Windows NT Server 4.0, τον Microsoft Windows NT Server 4.0 Terminal Server Edition, τον Microsoft Windows 2000 Server και τον Microsoft Windows Server 2003. Τα Microsoft Windows 2000 Professional, τα Microsoft Windows XP και τα Microsoft Windows Millennium Edition δεν επηρεάζονται από αυτό το θέμα ασφαλείας.

Περισσότερες πληροφορίες


Από προεπιλογή, η υπηρεσία WINS δεν είναι εγκατεστημένη στον Windows NT Server 4.0, τον Windows NT Server 4.0 Terminal Server Edition, τον Windows 2000 Server ή τον Windows Server 2003. Από προεπιλογή, η υπηρεσία WINS είναι εγκατεστημένη και εκτελείται στον Microsoft Small Business Server 2000 και τον Microsoft Windows Small Business Server 2003. Από προεπιλογή, σε όλες τις εκδόσεις του Microsoft Small Business Server, οι θύρες επικοινωνίας του στοιχείου WINS αποκλείονται από το Internet, και η υπηρεσία WINS είναι διαθέσιμη μόνο στο τοπικό δίκτυο.

Αυτό το ζήτημα ασφαλείας θα μπορούσε να επιτρέψει σε έναν εισβολέα να έχει απομακρυσμένο έλεγχο ενός διακομιστή WINS, αν ισχύει κάποια από τις ακόλουθες συνθήκες:
  • Έχετε αλλάξει την προεπιλεγμένη ρύθμιση παραμέτρων, για να εγκαταστήσετε το ρόλο διακομιστή WINS στα Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server ή Windows Server 2003.
  • Εκτελείτε τον Microsoft Small Business Server 2000 ή τον Microsoft Windows Small Business Server 2003, και κάποιος εισβολέας αποκτά πρόσβαση στο τοπικό δίκτυό σας.
Για να συμβάλετε στην προστασία του υπολογιστή τους από αυτό το πιθανό θέμα ευπάθειας, ακολουθήστε τα εξής βήματα:
  1. Αποκλείστε τη θύρα 42 του TCP και τη θύρα 42 του UDP στο τείχος προστασίας.

    Αυτές οι θύρες χρησιμοποιούνται για την έναρξη μιας σύνδεσης με απομακρυσμένο διακομιστή WINS. Ο αποκλεισμός αυτών των θυρών στο τείχος προστασίας θα συμβάλει στην προστασία των υπολογιστών που βρίσκονται πίσω από το τείχος προστασίας από απόπειρες χρήσης αυτού του θέματος ευπάθειας. Οι θύρες 42 του TCP και 42 του UDP είναι οι προεπιλεγμένες θύρες αναπαραγωγής WINS. Συνιστάται ο αποκλεισμός όλης της εισερχόμενης ανεπιθύμητης επικοινωνίας από το Internet.
  2. Χρησιμοποιήστε το πρωτόκολλο ασφαλείας Internet (IPsec), για να προστατέψετε την κίνηση μεταξύ των μελών αναπαραγωγής του διακομιστή WINS. Για να το κάνετε αυτό, χρησιμοποιήστε μία από τις ακόλουθες επιλογές.


    Προσοχή Επειδή κάθε υποδομή WINS είναι μοναδική, οι αλλαγές αυτές ενδέχεται να έχουν μη αναμενόμενα αποτελέσματα στην υποδομή σας. Συνιστάται ιδιαιτέρως να διενεργήσετε ανάλυση κινδύνων πριν να επιλέξετε την εφαρμογή αυτού του μετριασμού. Συνιστάται επίσης ιδιαιτέρως να πραγματοποιήσετε πλήρη έλεγχο πριν να θέσετε το μετριασμό αυτό σε παραγωγή.
    • Επιλογή 1: Ρύθμιση των παραμέτρων των φίλτρων IPSec με μη αυτόματο τρόπο
      Ρυθμίστε με μη αυτόματο τρόπο τις παραμέτρους των φίλτρων IPSec και στη συνέχεια ακολουθήστε τις οδηγίες στο παρακάτω άρθρο της Γνωσιακής Βάσης (Knowledge Base) της Microsoft, για να προσθέσετε φίλτρο που θα αποκλείσει όλα τα πακέτα από οποιαδήποτε διεύθυνση IP προς τη διεύθυνση IP του δικού σας συστήματος:
      813878 Τρόπος αποκλεισμού συγκεκριμένων πρωτοκόλλων και θυρών του δικτύου, με τη χρήση της ρύθμισης ασφαλείας IPSec

      Εάν χρησιμοποιήσετε το IPSec στο περιβάλλον τομέα της υπηρεσίας καταλόγου Active Directory των Windows 2000 και αναπτύξετε την πολιτική IPSec χρησιμοποιώντας πολιτική ομάδας, η πολιτική τομέα αντικαθιστά τις πολιτικές που έχουν καθοριστεί τοπικά. Αυτό εμποδίζει την επιλογή αυτή να αποκλείσει τα πακέτα που θέλετε.

      Για να προσδιορίσετε εάν οι διακομιστές σας λαμβάνουν μια πολιτική IPSec από τομέα των Windows 2000 ή νεότερης έκδοσης, ανατρέξτε στην ενότητα “Εξακρίβωση εκχώρησης πολιτικής IPSec” στο άρθρο 813878 της Γνωσιακής Βάσης (Knowledge Base).

      Όταν εξακριβώσετε ότι μπορείτε να δημιουργήσετε μια αποτελεσματική τοπική πολιτική IPSec, κάντε λήψη του εργαλείου IPSeccmd.exe ή του εργαλείου IPSecpol.exe.


      Οι ακόλουθες εντολές αποκλείουν την εισερχόμενη και εξερχόμενη πρόσβαση στις θύρες 42 του TCP και του UDP.

      Σημείωση Σε αυτές τις εντολές, το %IPSEC_Command% αναφέρεται στο Ipsecpol.exe (σε Windows 2000) ή στο Ipseccmd.exe (στον Windows Server 2003).
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK
      Η ακόλουθη εντολή καθιστά αποτελεσματική την πολιτική IPSec αμέσως, σε περίπτωση που δεν υπάρχει πολιτική που προκαλεί διένεξη. Η εντολή αυτή θα αρχίσει τον αποκλεισμό όλων των εισερχόμενων/εξερχόμενων πακέτων στις θύρες 42 του TCP και του UDP. Αυτό αποτρέπει με αποτελεσματικό τρόπο την αναπαραγωγή της υπηρεσίας WINS μεταξύ του διακομιστή στον οποίο οι εντολές αυτές εκτελέστηκαν και οποιουδήποτε μέλους αναπαραγωγής της υπηρεσίας WINS.
      %IPSEC_Command% -w REG -p "Block WINS Replication" –x 
      Εάν αντιμετωπίσετε ζητήματα στο δίκτυο αφού ενεργοποιήσετε αυτήν την πολιτική IPSec, μπορείτε να καταργήσετε την εκχώρηση της πολιτικής και στη συνέχεια να διαγράψετε την πολιτική χρησιμοποιώντας τις ακόλουθες εντολές:
      %IPSEC_Command% -w REG -p "Block WINS Replication" -y 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -o
      Για να επιτραπεί η λειτουργία της αναπαραγωγής της υπηρεσίας WINS μεταξύ συγκεκριμένων μελών αναπαραγωγής της υπηρεσίας WINS, πρέπει να αντικαταστήσετε αυτούς τους κανόνες αποκλεισμού με κανόνες πρόσβασης. Οι κανόνες πρόσβασης πρέπει να καθορίζουν τις διευθύνσεις IP μόνο των αξιόπιστων μελών αναπαραγωγής της υπηρεσίας WINS.

      Μπορείτε να χρησιμοποιήσετε τις ακόλουθες εντολές, για να ενημερώσετε την πολιτική IPSec αναπαραγωγής της υπηρεσίας WINS αποκλεισμού, με σκοπό να επιτραπεί σε συγκεκριμένες διευθύνσεις IP να επικοινωνούν με το διακομιστή που χρησιμοποιεί την πολιτική αναπαραγωγής της υπηρεσίας WINS αποκλεισμού.

      Σημείωση Σε αυτές τις εντολές, το %IPSEC_Command% αναφέρεται στο Ipsecpol.exe (σε Windows 2000) ή στο Ipseccmd.exe (στον Windows Server 2003) και το %IP% αναφέρεται στη διεύθυνση IP του απομακρυσμένου διακομιστή WINS με τον οποίο θέλετε να γίνει αναπαραγωγή.
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS
      Για να αντιστοιχίσετε την πολιτική αμέσως, χρησιμοποιήστε την ακόλουθη εντολή:
      %IPSEC_Command% -w REG -p "Block WINS Replication" -x
    • Επιλογή 2: Εκτέλεση δέσμης ενεργειών για την αυτόματη ρύθμιση παραμέτρων των φίλτρων IPSec
      Κάντε λήψη και στη συνέχεια εκτελέστε τη δέσμη ενεργειών προγράμματος αποκλεισμού αναπαραγωγής της υπηρεσίας WINS που δημιουργεί πολιτική IPSec για τον αποκλεισμό των θυρών. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
      1. Για να κάνετε λήψη και εξαγωγή των αρχείων .exe, ακολουθήστε τα εξής βήματα:
        • Κάντε λήψη της δέσμης ενεργειών του προγράμματος αποκλεισμού αναπαραγωγής της υπηρεσίας WINS.

          Το ακόλουθο αρχείο είναι διαθέσιμο για λήψη από το Κέντρο λήψης της Microsoft (Download Center):

          Λήψη Άμεση λήψη του πακέτου δέσμης ενεργειών του προγράμματος αποκλεισμού αναπαραγωγής της υπηρεσίας WINS (Αγγλική έκδοση).

          Ημερομηνία κυκλοφορίας: 2 Δεκεμβρίου 2004

          Για περισσότερες πληροφορίες σχετικά με τον τρόπο λήψης αρχείων υποστήριξης της Microsoft, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
          119591 Τρόπος απόκτησης αρχείων υποστήριξης της Microsoft από ηλεκτρονικές υπηρεσίες
          Η Microsoft έχει ελέγξει αυτό το αρχείο για ιούς. Η Microsoft χρησιμοποίησε το πιο πρόσφατο λογισμικό εντοπισμού ιών που ήταν διαθέσιμο κατά την ημερομηνία δημοσίευσης του αρχείου. Το αρχείο είναι αποθηκευμένο σε διακομιστές με ενισχυμένη ασφάλεια, οι οποίοι βοηθούν στην αποτροπή μη εξουσιοδοτημένων αλλαγών στο αρχείο.
          Εάν κάνετε λήψη της δέσμης ενεργειών του προγράμματος αποκλεισμού αναπαραγωγής της υπηρεσίας WINS σε δισκέτα, χρειάζεστε μια διαμορφωμένη, κενή δισκέτα. Εάν κάνετε λήψη της δέσμης ενεργειών του προγράμματος αποκλεισμού αναπαραγωγής της υπηρεσίας WINS στον σκληρό σας δίσκο, δημιουργήστε έναν νέο φάκελο για την προσωρινή αποθήκευση του αρχείου και εξαγωγή του αρχείου από εκεί.


          Προσοχή Μην κάνετε λήψη αρχείων απευθείας στο φάκελο των Windows. Με αυτήν την ενέργεια, μπορεί να αντικατασταθούν αρχεία που απαιτούνται για τη σωστή λειτουργία του υπολογιστή σας.
        • Εντοπίστε το αρχείο στο φάκελο όπου κάνατε τη λήψη και στη συνέχεια κάντε διπλό κλικ στο αρχείο αυτόματης εξαγωγής, για να εξαγάγετε τα περιεχόμενα σε έναν προσωρινό φάκελο. Για παράδειγμα, εξαγάγετε τα περιεχόμενα στο φάκελο C:\Temp.
      2. Ανοίξτε μια γραμμή εντολών και στη συνέχεια μεταβείτε στον κατάλογο όπου έχει γίνει η εξαγωγή των αρχείων.
      3. Προειδοποίηση
        • Εάν υποπτεύεστε ότι οι διακομιστές WINS μπορεί να έχουν προσβληθεί, δεν είστε όμως σίγουροι ότι οι διακομιστές WINS έχουν παραβιαστεί ή αν ο τρέχων διακομιστής σας WINS έχει παραβιαστεί, μην πληκτρολογήσετε καμία διεύθυνση ΙΡ στο βήμα 3. Ωστόσο, από το Νοέμβριο του 2004, δεν γνωρίζουμε κανέναν πελάτη που να έχει αντιμετωπίσει τέτοιο ζήτημα. Επομένως, εάν οι διακομιστές σας λειτουργούν με τον αναμενόμενο τρόπο, συνεχίστε με τα βήματα που περιγράφονται.
        • Εάν ρυθμίσετε εσφαλμένα το IPSec, μπορεί να προκαλέσετε σοβαρά ζητήματα αναπαραγωγής WINS στο εταιρικό σας δίκτυο. Για πρόσθετες πληροφορίες σχετικά με τα θέματα ασφαλείας του IPSec, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web (στα αγγλικά):
        Εκτελέστε το αρχείο Block_Wins_Replication.cmd. Για να δημιουργήσετε τους κανόνες αποκλεισμού εισερχόμενων και εξερχόμενων στις θύρες 42 των TCP και UDP, πληκτρολογήστε 1 και στη συνέχεια πιέστε το πλήκτρο ENTER, για να ενεργοποιήσετε την επιλογή 1, όταν σας ζητηθεί να ενεργοποιήσετε την επιλογή που θέλετε.
        Αφού ενεργοποιήσετε την επιλογή 1, η δέσμη ενεργειών σάς ζητά να πληκτρολογήσετε τις διευθύνσεις IP των αξιόπιστων διακομιστών αναπαραγωγής της υπηρεσίας WINS.


        Κάθε διεύθυνση IP που πληκτρολογείτε εξαιρείται από την πολιτική αποκλεισμού των θυρών 42 των TCP και UDP. Σας ζητείται να προχωρήσετε σε επαναλήψεις και μπορείτε να εισαγάγετε όσες διευθύνσεις IP χρειάζονται. Εάν δεν γνωρίζετε όλες τις διευθύνσεις ΙΡ των μελών αναπαραγωγής της υπηρεσίας WINS, μπορείτε να εκτελέσετε ξανά τη δέσμη ενεργειών στο μέλλον. Για να αρχίσετε την πληκτρολόγηση διευθύνσεων ΙΡ αξιόπιστων μελών αναπαραγωγής της υπηρεσίας WINS, πληκτρολογήστε 2 και πιέστε το πλήκτρο ENTER για να ενεργοποιήσετε την επιλογή 2, όταν σας ζητηθεί να ενεργοποιήσετε την επιλογή που θέλετε.


        Μετά την ανάπτυξη της ενημερωμένης έκδοσης ασφαλείας, μπορείτε να καταργήσετε την πολιτική IPSec. Για να το κάνετε αυτό, εκτελέστε τη δέσμη ενεργειών. Πληκτρολογήστε 3 και στη συνέχεια πιέστε το πλήκτρο ENTER, για να ενεργοποιήσετε την επιλογή 3, όταν σας ζητηθεί να ενεργοποιήσετε την επιλογή που θέλετε.

        Για περισσότερες πληροφορίες σχετικά με τη ρύθμιση ασφαλείας IPSec και τον τρόπο εφαρμογής φίλτρων, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):

        313190 Τρόπος χρήσης λίστας φίλτρων IP της ρύθμισης ασφαλείας IPSec στα Windows 2000

  3. Καταργήστε την υπηρεσία WINS, εάν δεν τη χρειάζεστε.


    Εάν δεν χρειάζεστε πλέον την υπηρεσία WINS, ακολουθήστε τα παρακάτω βήματα για να την καταργήσετε. Τα βήματα αυτά ισχύουν για τα Windows 2000, τον Windows Server 2003 και τις νεότερες εκδόσεις αυτών των λειτουργικών συστημάτων. Για τον Windows NT Server 4.0, ακολουθήστε τη διαδικασία που περιλαμβάνεται στην τεκμηρίωση του προϊόντος.

    Σημαντικό Πολλές εταιρείες χρειάζονται την υπηρεσία WINS, για να εκτελούν λειτουργίες καταχώρησης και ανάλυσης μονής ετικέτας ή απλού ονόματος στο δίκτυό τους. Οι διαχειριστές δεν πρέπει να καταργήσουν την υπηρεσία WINS, εκτός εάν ισχύει μία από τις ακόλουθες συνθήκες:
    • Ο διαχειριστής κατανοεί πλήρως την επίδραση που θα έχει η κατάργηση της υπηρεσίας WINS στο δίκτυό του.
    • Ο διαχειριστής έχει ρυθμίσει τις παραμέτρους του DNS με σκοπό την παροχή ισοδύναμης λειτουργίας, χρησιμοποιώντας κατάλληλα ονόματα τομέων και επιθέματα τομέα DNS.
    Επίσης, αν ένας διαχειριστής καταργήσει τη λειτουργία WINS από ένα διακομιστή που θα συνεχίσει να παρέχει κοινόχρηστους πόρους στο δίκτυο, ο διαχειριστής πρέπει να ρυθμίσει εκ νέου και σωστά τις παραμέτρους του συστήματος, για να χρησιμοποιήσει τις υπόλοιπες υπηρεσίες επίλυσης ονομάτων, όπως το DNS, στα πλαίσια του τοπικού δικτύου.

    Για περισσότερες πληροφορίες σχετικά με την υπηρεσία WINS, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web (στα αγγλικά): Για περισσότερες πληροφορίες σχετικά με τον τρόπο εξακρίβωσης εάν χρειάζεστε επίλυση ονομάτων NETBIOS ή WINS και ρύθμιση παραμέτρων DNS, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web (στα αγγλικά): Για να καταργήσετε την υπηρεσία WINS, ακολουθήστε τα εξής βήματα:
    • Στον Πίνακα Ελέγχου (Control Panel), ανοίξτε το στοιχείο Προσθαφαίρεση προγραμμάτων (Add or Remove Programs).
    • Κάντε κλικ στην επιλογή Προσθαφαίρεση στοιχείων των Windows (Add/Remove Windows Components).
    • Στη σελίδα του "Οδηγού στοιχείων των Windows" (Windows Components Wizard), στην ενότητα Στοιχεία (Components), κάντε κλικ στην επιλογή Υπηρεσίες δικτύου (Networking Services) και κατόπιν κάντε κλικ στο κουμπί Λεπτομέρειες (Details).
    • Κάντε κλικ για να καταργήσετε την επιλογή του πλαισίου ελέγχου Windows Internet Naming Service (WINS), ώστε να καταργήσετε την υπηρεσία WINS.
    • Ακολουθήστε τις οδηγίες που εμφανίζονται στην οθόνη, για να ολοκληρώσετε τον "Οδηγό στοιχείων των Windows" (Windows Components Wizard).
Εργαζόμαστε για μια ενημερωμένη έκδοση, ώστε να αντιμετωπίσουμε αυτό το θέμα ασφαλείας ως μέρος της κανονικής διαδικασίας ενημέρωσης. Όταν η ενημέρωση φτάσει στο κατάλληλο ποιοτικό επίπεδο, θα τη διαθέσουμε μέσω της τοποθεσίας του Windows Update.

Εάν πιστεύετε ότι ο υπολογιστής σας έχει επηρεαστεί, επικοινωνήστε με τις Υπηρεσίες Τεχνικής Υποστήριξης (Product Support Services). Χρησιμοποιήστε τον ακόλουθο αριθμό τηλεφώνου για την ασφάλεια του υπολογιστή, για να επικοινωνήσετε με τις Υπηρεσίες Τεχνικής Υποστήριξης (Product Support Services) στη Βόρειο Αμερική για βοήθεια σε θέματα ενημερωμένων εκδόσεων ασφαλείας ή για ιούς:
1-866-PCSAFETY
Σημείωση Η κλήση είναι δωρεάν.

Οι πελάτες διεθνώς πρέπει να επικοινωνούν με τις Υπηρεσίες Τεχνικής Υποστήριξης (Product Support Services), χρησιμοποιώντας οποιαδήποτε από τις μεθόδους αναφέρεται στην ακόλουθη τοποθεσία της Microsoft στο Web: