ΕΙΣΑΓΩΓΉ

Διερευνούμε αναφορές για ένα πρόβλημα ασφάλειας στην υπηρεσία ονομάτων Internet (WINS) των Microsoft Windows. Αυτό το πρόβλημα ασφαλείας επηρεάζει τα Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server και Microsoft Windows Server 2003. Αυτό το πρόβλημα ασφαλείας δεν επηρεάζει τα Microsoft Windows 2000 Professional, τα Microsoft Windows XP ή το Microsoft Windows Millennium Edition.

Περισσότερες πληροφορίες

Από προεπιλογή, η υπηρεσία WINS δεν είναι εγκατεστημένη σε Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server ή Windows Server 2003. Από προεπιλογή, το WINS είναι εγκατεστημένο και εκτελείται στον Microsoft Small Business Server 2000 και τον Microsoft Windows Small Business Server 2003. Από προεπιλογή, σε όλες τις εκδόσεις του Microsoft Small Business Server, οι θύρες επικοινωνίας στοιχείων WINS αποκλείονται από το Internet και η συνάρτηση WINS είναι διαθέσιμη μόνο στο τοπικό δίκτυο. Αυτό το πρόβλημα ασφαλείας θα μπορούσε να καταστήσει δυνατό για έναν εισβολέα να παραβιάσει απομακρυσμένα ένα διακομιστή WINS, εάν ισχύει μία από τις ακόλουθες συνθήκες:

  • Έχετε αλλάξει την προεπιλεγμένη ρύθμιση παραμέτρων για να εγκαταστήσετε το ρόλο του διακομιστή WINS στον Windows NT Server 4.0, τον Windows NT Server 4.0 Terminal Server Edition, τον Windows 2000 Server ή Windows Server 2003.

  • Εκτελείτε τον Microsoft Small Business Server 2000 ή τον Microsoft Windows Small Business Server 2003 και ένας εισβολέας έχει πρόσβαση στο τοπικό σας δίκτυο.

Για να προστατεύσετε τον υπολογιστή σας από αυτή την πιθανή ευπάθεια, ακολουθήστε τα παρακάτω βήματα:

  1. Αποκλείστε τη θύρα TCP 42 και τη θύρα UDP 42 στο τείχος προστασίας.Αυτές οι θύρες χρησιμοποιούνται για την εκκίνηση μιας σύνδεσης με έναν απομακρυσμένο διακομιστή WINS. Εάν αποκλείσετε αυτές τις θύρες στο τείχος προστασίας, αποτρέπετε τους υπολογιστές που βρίσκονται πίσω από αυτό το τείχος προστασίας από την προσπάθεια χρήσης αυτής της ευπάθειας. Η θύρα TCP 42 και η θύρα UDP 42 είναι οι προεπιλεγμένες θύρες αναπαραγωγής WINS. Σας συνιστούμε να αποκλείσετε όλες τις εισερχόμενες αυτόκλητες επικοινωνίες από το Internet.

  2. Χρησιμοποιήστε την ασφάλεια πρωτοκόλλου Internet (IPsec) για να προστατεύσετε την κυκλοφορία μεταξύ των συνεργατών αναπαραγωγής διακομιστή WINS. Για να το κάνετε αυτό, χρησιμοποιήστε μία από τις παρακάτω επιλογές. Προσοχή Επειδή κάθε υποδομή WINS είναι μοναδική, αυτές οι αλλαγές μπορεί να έχουν μη αναμενόμενες επιπτώσεις στην υποδομή σας. Συνιστάται ιδιαίτερα να πραγματοποιήσετε ανάλυση κινδύνου προτού επιλέξετε να εφαρμόσετε αυτόν τον μετριασμό. Συνιστάται επίσης να εκτελέσετε τον πλήρη έλεγχο προτού θέσετε αυτόν τον μετριασμό στην παραγωγή.

    • Επιλογή 1: Ρυθμίστε με μη αυτόματο τρόπο τα φίλτρα IPSec με μη αυτόματο τρόπο ρυθμίστε τις παραμέτρους των φίλτρων IPSec και, στη συνέχεια, ακολουθήστε τις οδηγίες στο ακόλουθο άρθρο της Γνωσιακής βάσης της Microsoft για να προσθέσετε ένα φίλτρο μπλοκ που αποκλείει όλα τα πακέτα από οποιαδήποτε διεύθυνση IP στη διεύθυνση IP του συστήματός σας:

      813878 Πώς μπορείτε να αποκλείσετε συγκεκριμένα πρωτόκολλα δικτύου και θύρες χρησιμοποιώντας IPSecΕάν χρησιμοποιείτε ipSec στο περιβάλλον τομέα Active Directory των Windows 2000 και αναπτύξετε την πολιτική IPSec χρησιμοποιώντας Πολιτική ομάδας, η πολιτική τομέα παρακάμπτει οποιαδήποτε τοπική πολιτική. Αυτή η εμφάνιση αποτρέπει τον αποκλεισμό των πακέτων που θέλετε.Για να προσδιορίσετε εάν οι διακομιστές σας λαμβάνουν μια πολιτική IPSec από έναν τομέα Windows 2000 ή νεότερη έκδοση, ανατρέξτε στην ενότητα "Προσδιορισμός εάν έχει εκχωρηθεί πολιτική IPSec" στο άρθρο της Γνωσιακής βάσης 813878. Όταν έχετε διαπιστώσει ότι μπορείτε να δημιουργήσετε μια αποτελεσματική τοπική πολιτική IPSec, κάντε λήψη του εργαλείου IPSeccmd.exe ή του εργαλείου IPSecpol.exe. Οι ακόλουθες εντολές αποκλείουν την πρόσβαση εισερχομένων και εξερχομένων στη θύρα TCP 42 και τη θύρα UDP 42.Σημείωση Σε αυτές τις εντολές, το %IPSEC_Command% αναφέρεται σε Ipsecpol.exe (στα Windows 2000) ή Ipseccmd.exe (στις Windows Server 2003).

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK

      Η ακόλουθη εντολή θέτει αμέσως σε ισχύ την πολιτική IPSec εάν δεν υπάρχει πολιτική διένεξης. Αυτή η εντολή θα ξεκινήσει να αποκλείει όλα τα πακέτα θύρας 42 και θύρας 42 εισερχομένων/εξερχομένων TCP. Αυτό ουσιαστικά αποτρέπει την αναπαραγωγή WINS μεταξύ του διακομιστή στον οποίο εκτελούνται αυτές οι εντολές και οποιωνδήποτε συνεργατών αναπαραγωγής WINS.

      %IPSEC_Command% -w REG -p "Block WINS Replication" –x

      Εάν αντιμετωπίσετε προβλήματα στο δίκτυο μετά την ενεργοποίηση αυτής της πολιτικής IPSec, μπορείτε να καταργήσετε την αντιστοίχιση της πολιτικής και, στη συνέχεια, να διαγράψετε την πολιτική χρησιμοποιώντας τις ακόλουθες εντολές:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -y %IPSEC_Command% -w REG -p "Block WINS Replication" -o

      Για να επιτρέψετε τη λειτουργία της αναπαραγωγής WINS μεταξύ συγκεκριμένων συνεργατών αναπαραγωγής WINS, πρέπει να παρακάμψετε αυτούς τους κανόνες αποκλεισμού με κανόνες αποδοχής. Οι κανόνες αποδοχής θα πρέπει να καθορίζουν τις διευθύνσεις IP μόνο των αξιόπιστων συνεργατών αναπαραγωγής WINS.Μπορείτε να χρησιμοποιήσετε τις ακόλουθες εντολές για να ενημερώσετε την πολιτική Block WINS Replication IPSec για να επιτρέψετε σε συγκεκριμένες διευθύνσεις IP να επικοινωνούν με το διακομιστή που χρησιμοποιεί την πολιτική αποκλεισμού αναπαραγωγής WINS.Σημείωση Σε αυτές τις εντολές, το %IPSEC_Command% αναφέρεται σε Ipsecpol.exe (στα Windows 2000) ή Ipseccmd.exe (στις Windows Server 2003) και το %IP% αναφέρεται στη διεύθυνση IP του απομακρυσμένου διακομιστή WINS με τον οποίο θέλετε να αναπαραγάγετε.

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS

      Για να αντιστοιχίσετε την πολιτική αμέσως, χρησιμοποιήστε την ακόλουθη εντολή:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -x

    • Επιλογή 2: Εκτελέστε μια δέσμη ενεργειών για να ρυθμίσετε αυτόματα τις παραμέτρους των φίλτρων IPSec Λήψη και, στη συνέχεια, εκτελέστε τη δέσμη ενεργειών του αποκλεισμού αναπαραγωγής WINS που δημιουργεί μια πολιτική IPSec για τον αποκλεισμό των θυρών. Για να το κάνετε αυτό, ακολουθήστε τα παρακάτω βήματα:

      1. Για να κάνετε λήψη και εξαγωγή των αρχείων .exe, ακολουθήστε τα εξής βήματα:

        1. Κάντε λήψη της δέσμης ενεργειών του αποκλεισμού αναπαραγωγής WINS. Το ακόλουθο αρχείο είναι διαθέσιμο για λήψη από το Κέντρο λήψης αρχείων της Microsoft:ΛήψηΆμεση λήψη του πακέτου δέσμης ενεργειών του αποκλεισμού αναπαραγωγής WINS. Ημερομηνία κυκλοφορίας: 2 Δεκεμβρίου 2004 Για πρόσθετες πληροφορίες σχετικά με τον τρόπο λήψης αρχείων υποστήριξης της Microsoft, κάντε κλικ στον αριθμό του άρθρου που ακολουθεί για να προβάλετε το άρθρο στη Γνωσιακή βάση της Microsoft:

          119591 Πώς μπορείτε να αποκτήσετε αρχεία υποστήριξης της Microsoft από ηλεκτρονικές υπηρεσίες η Microsoft σάρωνε αυτό το αρχείο για ιούς. Η Microsoft χρησιμοποίησε το πιο πρόσφατο λογισμικό εντοπισμού ιών που ήταν διαθέσιμο την ημερομηνία δημοσίευσης του αρχείου. Το αρχείο αποθηκεύεται σε διακομιστές βελτιωμένης ασφάλειας που σας βοηθούν να αποτρέψετε τυχόν μη εξουσιοδοτημένες αλλαγές στο αρχείο.

          Εάν κάνετε λήψη της δέσμης ενεργειών του Αποκλεισμού αναπαραγωγής WINS σε δισκέτα, χρησιμοποιήστε έναν μορφοποιημένο κενό δίσκο. Εάν κάνετε λήψη της δέσμης ενεργειών του Αποκλεισμού αναπαραγωγής WINS στον σκληρό δίσκο σας, δημιουργήστε ένα νέο φάκελο για να αποθηκεύσετε προσωρινά το αρχείο και να το εξαγάγετε από αυτό. Προσοχή Μην κάνετε λήψη αρχείων απευθείας στο φάκελο των Windows. Αυτή η ενέργεια μπορεί να αντικαταστήσει αρχεία που απαιτούνται για να λειτουργεί σωστά ο υπολογιστής σας.

        2. Εντοπίστε το αρχείο στο φάκελο στον οποίο το κατεβάσατε και, στη συνέχεια, κάντε διπλό κλικ στο αρχείο .exe αυτόματης εξαγωγής για να εξαγάγετε τα περιεχόμενα σε έναν προσωρινό φάκελο. Για παράδειγμα, εξαγάγετε τα περιεχόμενα στη διαδρομή C:\Temp.

      2. Ανοίξτε μια γραμμή εντολών και, στη συνέχεια, μετακινηθείτε στον κατάλογο όπου εξάγονται τα αρχεία.

      3. Προειδοποίηση

        • Εάν υποπτεύεστε ότι οι διακομιστές WINS ενδέχεται να έχουν μολυνθεί, αλλά δεν είστε βέβαιοι ποιοι διακομιστές WINS έχουν παραβιαστεί ή εάν ο τρέχων διακομιστής WINS έχει παραβιαστεί, μην εισαγάγετε διευθύνσεις IP στο βήμα 3. Ωστόσο, από τον Νοέμβριο του 2004, δεν γνωρίζουμε τους πελάτες που έχουν επηρεαστεί από αυτό το πρόβλημα. Επομένως, εάν οι διακομιστές λειτουργούν όπως αναμένεται, συνεχίστε όπως περιγράφεται.

        • Εάν έχετε ρυθμίσει εσφαλμένα το IPsec, μπορεί να προκληθούν σοβαρά προβλήματα αναπαραγωγής WINS στο εταιρικό σας δίκτυο.

        Εκτελέστε το αρχείο Block_Wins_Replication.cmd. Για να δημιουργήσετε τους κανόνες αποκλεισμού εισερχομένων και εξερχομένων της θύρας TCP 42 και της θύρας UDP 42, πληκτρολογήστε 1 και, στη συνέχεια, πατήστε το πλήκτρο ENTER για να ορίσετε την επιλογή 1 όταν σας ζητηθεί να ενεργοποιήσετε την επιλογή που θέλετε.

        Αφού ενεργοποιήσετε την επιλογή 1, η δέσμη ενεργειών σάς ζητά να εισαγάγετε τις διευθύνσεις IP των αξιόπιστων διακομιστών αναπαραγωγής WINS. Κάθε διεύθυνση IP που καταχωρείτε εξαιρείται από την πολιτική αποκλεισμού θύρας 42 και θύρας 42 UDP. Θα σας ζητηθεί επαναλαμβανόμενα και μπορείτε να εισαγάγετε όσες διευθύνσεις IP χρειάζεται. Εάν δεν γνωρίζετε όλες τις διευθύνσεις IP των συνεργατών αναπαραγωγής WINS, μπορείτε να εκτελέσετε τη δέσμη ενεργειών ξανά στο μέλλον. Για να αρχίσετε να πληκτρολογείτε τις διευθύνσεις IP των αξιόπιστων συνεργατών αναπαραγωγής WINS, πληκτρολογήστε 2 και, στη συνέχεια, πατήστε το πλήκτρο ENTER για να επιλέξετε την επιλογή 2 όταν σας ζητηθεί να κάνετε αυτήν την επιλογή που θέλετε. Μετά την ανάπτυξη της ενημέρωσης ασφαλείας, μπορείτε να καταργήσετε την πολιτική IPSec. Για να το κάνετε αυτό, εκτελέστε τη δέσμη ενεργειών. Πληκτρολογήστε 3 και, στη συνέχεια, πατήστε το πλήκτρο ENTER για να επιλέξετε την επιλογή 3 όταν σας ζητηθεί να ενεργοποιήσετε την επιλογή που θέλετε.Για πρόσθετες πληροφορίες σχετικά με το IPsec και τον τρόπο εφαρμογής φίλτρων, κάντε κλικ στον αριθμό του παρακάτω άρθρου για να προβάλετε το άρθρο στη Γνωσιακή βάση της Microsoft:

        313190 Τρόπος χρήσης λιστών φίλτρων IP IPsec στα Windows 2000

  3. Καταργήστε τη συνάρτηση WINS, εάν δεν τη χρειάζεστε. Εάν δεν χρειάζεστε πλέον τη συνάρτηση WINS, ακολουθήστε αυτά τα βήματα για να την καταργήσετε. Αυτά τα βήματα ισχύουν για τα Windows 2000, Windows Server 2003 και νεότερες εκδόσεις αυτών των λειτουργικών συστημάτων. Για τον Windows NT Server 4.0, ακολουθήστε τη διαδικασία που περιλαμβάνεται στην τεκμηρίωση του προϊόντος. Σημαντικό Πολλοί οργανισμοί απαιτούν WINS για την εκτέλεση λειτουργιών μεμονωμένης ετικέτας ή επίπεδης καταχώρησης ονομάτων και επίλυσης στο δίκτυό τους. Οι διαχειριστές δεν πρέπει να καταργούν το WINS, εκτός εάν ισχύει μία από τις ακόλουθες συνθήκες:

    • Ο διαχειριστής κατανοεί πλήρως τις επιπτώσεις που θα έχει η κατάργηση του WINS στο δίκτυό του.

    • Ο διαχειριστής έχει ρυθμίσει τις παραμέτρους του DNS για την παροχή της αντίστοιχης λειτουργικότητας, χρησιμοποιώντας πλήρως προσδιορισμένους τομείς και επιθήματα τομέα DNS.

    Επίσης, εάν ένας διαχειριστής καταργεί τη λειτουργικότητα WINS από ένα διακομιστή που θα συνεχίσει να παρέχει κοινόχρηστους πόρους στο δίκτυο, ο διαχειριστής πρέπει να ρυθμίσει εκ νέου σωστά το σύστημα για να χρησιμοποιήσει τις υπόλοιπες υπηρεσίες επίλυσης ονομάτων όπως το DNS στο τοπικό δίκτυο. Για περισσότερες πληροφορίες σχετικά με το WINS, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:

    http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true Για περισσότερες πληροφορίες σχετικά με το πώς μπορείτε να προσδιορίσετε εάν χρειάζεστε επίλυση ονομάτων NETBIOS ή WINS και ρύθμιση παραμέτρων DNS, επισκεφθείτε την ακόλουθη τοποθεσία Της Microsoft στο Web:

    http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxΓια να καταργήσετε τη wins, ακολουθήστε τα παρακάτω βήματα:

    1. Στο Πίνακας Ελέγχου, ανοίξτε την επιλογή Προσθαφαίρεση προγραμμάτων.

    2. Κάντε κλικ στην επιλογή Προσθαφαίρεση στοιχείων των Windows.

    3. Στη σελίδα του Οδηγού στοιχείων των Windows, στην περιοχήΣτοιχεία, κάντε κλικ στην επιλογή Υπηρεσίες δικτύωσης και, στη συνέχεια, κάντε κλικ στην επιλογή Λεπτομέρειες.

    4. Κάντε κλικ για να καταργήσετε την επιλογή του πλαισίου ελέγχου Υπηρεσία ονομάτων Internet (WINS) των Windows για να καταργήσετε το WINS.

    5. Ακολουθήστε τις οδηγίες που εμφανίζονται στην οθόνη για να ολοκληρώσετε τον Οδηγό στοιχείων των Windows.

Εργαζόμαστε για μια ενημέρωση για την αντιμετώπιση αυτού του προβλήματος ασφαλείας στο πλαίσιο της τακτικής διαδικασίας ενημέρωσης. Όταν η ενημέρωση φτάσει στο κατάλληλο επίπεδο ποιότητας, θα παρέχουμε την ενημέρωση μέσω Windows Update.Αν πιστεύετε ότι επηρεάζεστε, επικοινωνήστε με τις Υπηρεσίες υποστήριξης προϊόντων.Οι διεθνείς πελάτες θα πρέπει να επικοινωνούν με τις Υπηρεσίες υποστήριξης προϊόντων χρησιμοποιώντας οποιαδήποτε μέθοδο παρατίθεται στην ακόλουθη τοποθεσία της Microsoft στο Web:

http://support.microsoft.com

Facebook LinkedIn Ηλεκτρονικό ταχυδρομείο
ΕΓΓΡΑΦΗ ΣΤΙΣ ΤΡΟΦΟΔΟΣΙΕΣ RSS

Χρειάζεστε περισσότερη βοήθεια;

Θέλετε περισσότερες επιλογές;

Εξερευνήστε τα πλεονεκτήματα της συνδρομής, περιηγηθείτε σε εκπαιδευτικά σεμινάρια, μάθετε πώς μπορείτε να προστατεύσετε τη συσκευή σας και πολλά άλλα.

Πλεονεκτήματα συνδρομής Microsoft 365

Εκπαίδευση Microsoft 365

Ασφάλεια της Microsoft

Κέντρο προσβασιμότητας