INTRODUCCIÓN

Estamos investigando informes de un problema de seguridad con el servicio WINS (Microsoft Windows Internet Name Service). Este problema de seguridad afecta a Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server y Microsoft Windows Server 2003. Este problema de seguridad no afecta a Microsoft Windows 2000 Professional, Microsoft Windows XP o Microsoft Windows Millennium Edition.

Más información

De forma predeterminada, WINS no está instalado en Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server o Windows Server 2003. De forma predeterminada, WINS está instalado y ejecutándose en Microsoft Small Business Server 2000 y Microsoft Windows Small Business Server 2003. De forma predeterminada, en todas las versiones de Microsoft Small Business Server, los puertos de comunicación del componente WINS están bloqueados de Internet y WINS solo está disponible en la red local. Este problema de seguridad podría hacer posible que un atacante ponga en peligro de forma remota un servidor WINS si se cumple una de las siguientes condiciones:

  • Ha cambiado la configuración predeterminada para instalar el rol de servidor WINS en Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server o Windows Server 2003.

  • Está ejecutando Microsoft Small Business Server 2000 o Microsoft Windows Small Business Server 2003, y un atacante tiene acceso a su red local.

Para ayudar a proteger tu equipo contra esta vulnerabilidad potencial, sigue estos pasos:

  1. Bloquee el puerto TCP 42 y el puerto UDP 42 en el firewall.Estos puertos se utilizan para iniciar una conexión con un servidor WINS remoto. Si bloqueas estos puertos en el firewall, ayudas a evitar que los equipos que están detrás de ese firewall intenten usar esta vulnerabilidad. El puerto TCP 42 y el puerto UDP 42 son los puertos de replicación WINS predeterminados. Te recomendamos que bloquees todas las comunicaciones entrantes no solicitadas de Internet.

  2. Use la seguridad de protocolo de Internet (IPsec) para ayudar a proteger el tráfico entre partners de replicación de servidores WINS. Para ello, use una de las siguientes opciones. Precaución Como cada infraestructura WINS es única, estos cambios pueden tener efectos inesperados en la infraestructura. Le recomendamos encarecidamente que realice un análisis de riesgo antes de elegir implementar esta mitigación. También recomendamos encarecidamente que realice pruebas completas antes de poner esta mitigación en producción.

    • Opción 1: Configurar manualmente los filtros IPSec Configure manualmente los filtros IPSec y, a continuación, siga las instrucciones del siguiente artículo de Microsoft Knowledge Base para agregar un filtro de bloque que bloquee todos los paquetes de cualquier dirección IP a la dirección IP del sistema:

      813878 Cómo bloquear puertos y protocolos de red específicos mediante IPSecSi usa IPSec en su entorno de dominio de Windows 2000 Active Directory e implementa la directiva ipSec mediante directiva de grupo, la directiva de dominio invalida cualquier directiva definida localmente. Esta repetición impide que esta opción bloquee los paquetes que desee.Para determinar si los servidores reciben una directiva IPSec de un dominio de Windows 2000 o una versión posterior, consulte la sección "Determinar si se ha asignado una directiva IPSec" del artículo de Knowledge Base 813878. Cuando haya determinado que puede crear una directiva IPSec local eficaz, descargue la herramienta IPSeccmd.exe o la herramienta IPSecpol.exe. Los siguientes comandos bloquean el acceso entrante y saliente al puerto TCP 42 y al puerto UDP 42.Nota En estos comandos, %IPSEC_Command% se refiere a Ipsecpol.exe (en Windows 2000) o Ipseccmd.exe (en Windows Server 2003).

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK

      El siguiente comando hace que la directiva IPSec entre en vigor inmediatamente si no hay ninguna directiva en conflicto. Este comando comenzará a bloquear todos los paquetes de puerto TCP 42 de entrada y salida y puerto UDP 42. Esto impide eficazmente que se produzca la replicación WINS entre el servidor en el que se ejecutaron estos comandos y cualquier asociado de replicación WINS.

      %IPSEC_Command% -w REG -p "Block WINS Replication" –x

      Si experimenta problemas en la red después de habilitar esta directiva IPSec, puede anular la asignación de la directiva y, a continuación, eliminar la directiva mediante los siguientes comandos:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -y %IPSEC_Command% -w REG -p "Block WINS Replication" -o

      Para permitir que la replicación WINS funcione entre partners de replicación WINS específicos, debe invalidar estas reglas de bloques con reglas permitidas. Las reglas de permitidos deben especificar solo las direcciones IP de los partners de replicación WINS de confianza.Puede usar los siguientes comandos para actualizar la directiva Bloquear replicación IPSec de WINS y permitir que determinadas direcciones IP se comuniquen con el servidor que usa la directiva Bloquear replicación WINS.Nota En estos comandos, %IPSEC_Command% se refiere a Ipsecpol.exe (en Windows 2000) o Ipseccmd.exe (en Windows Server 2003) y %IP% hace referencia a la dirección IP del servidor WINS remoto con el que desea replicar.

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS

      Para asignar la directiva inmediatamente, use el siguiente comando:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -x

    • Opción 2: Ejecute un script para configurar automáticamente los filtros IPSec Descargar y luego ejecute el script WINS Replication Blocker que crea una directiva IPSec para bloquear los puertos. Para ello, siga estos pasos:

      1. Para descargar y extraer los archivos .exe, siga estos pasos:

        1. Descargue el script wins replication blocker. El archivo siguiente está disponible para su descarga desde el Centro de descarga de Microsoft:DescargarDescargar ahora el paquete de scripts WINS Replication Blocker.Fecha de lanzamiento: 2 de diciembre de 2004 Para obtener información adicional sobre cómo descargar archivos Soporte técnico de Microsoft, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

          119591 Cómo obtener archivos de soporte técnico de Microsoft de servicios en línea Microsoft ha digitalizado este archivo en busca de virus. Microsoft usó el software de detección de virus más reciente que había disponible en la fecha en la que se publicó el archivo. El archivo se almacena en servidores mejorados por seguridad que ayudan a evitar cambios no autorizados en el archivo.

          Si está descargando el script del bloqueador de replicación WINS en un disquete, use un disco en blanco con formato. Si está descargando el script del bloqueador de replicación WINS en el disco duro, cree una nueva carpeta para guardar temporalmente el archivo en y extraer el archivo. Precaución No descargues archivos directamente en la carpeta de Windows. Esta acción podría sobrescribir los archivos necesarios para que el equipo funcione correctamente.

        2. Busque el archivo en la carpeta en la que lo descargó y, a continuación, haga doble clic en el archivo .exe autoextraírselo para extraer el contenido a una carpeta temporal. Por ejemplo, extraiga el contenido a C:\Temp.

      2. Abre un símbolo del sistema y, a continuación, muévete al directorio donde se extraen los archivos.

      3. Advertencia

        • Si sospecha que sus servidores WINS pueden estar infectados, pero no está seguro de qué servidores WINS están en peligro o si su servidor WINS actual está en peligro, no escriba ninguna dirección IP en el paso 3. Sin embargo, a partir de noviembre de 2004, no somos conscientes de los clientes que se han visto afectados por este problema. Por lo tanto, si los servidores funcionan según lo esperado, continúe como se describe.

        • Si configura incorrectamente IPsec, puede causar graves problemas de replicación de WINS en su red corporativa.

        Ejecute el archivo de Block_Wins_Replication.cmd. Para crear las reglas de bloques de entrada y salida de puerto TCP 42 y puerto UDP 42, escriba 1 y, después, presione ENTRAR para seleccionar la opción 1 cuando se le pida que seleccione la opción que desee.

        Después de seleccionar la opción 1, el script le pedirá que escriba las direcciones IP de los servidores de replicación WINS de confianza. Cada dirección IP que escriba está exenta de la directiva de bloqueo del puerto TCP 42 y el puerto UDP 42. Se le pide en un bucle, y puede introducir tantas direcciones IP como sea necesario. Si no conoce todas las direcciones IP de los partners de replicación WINS, puede volver a ejecutar el script en el futuro. Para empezar a escribir las direcciones IP de los partners de replicación WINS de confianza, escriba 2 y, a continuación, presione ENTRAR para seleccionar la opción 2 cuando se le pida que seleccione la opción que desee. Después de implementar la actualización de seguridad, puede quitar la directiva IPSec. Para ello, ejecute el script. Escriba 3 y presione ENTRAR para seleccionar la opción 3 cuando se le pida que seleccione la opción que desee.Para obtener información adicional sobre IPsec y sobre cómo aplicar filtros, haga clic en el siguiente número de artículo para verlo en Microsoft Knowledge Base:

        313190 Cómo usar listas de filtros IP ip de IPsec en Windows 2000

  3. Quite WINS si no lo necesita. Si ya no necesitas WINS, sigue estos pasos para quitarlo. Estos pasos se aplican a Windows 2000, Windows Server 2003 y versiones posteriores de estos sistemas operativos. Para Windows NT Server 4.0, siga el procedimiento que se incluye en la documentación del producto. Importante Muchas organizaciones requieren que WINS realice funciones de resolución y registro de nombre plano o de etiqueta única en su red. Los administradores no deben quitar WINS a menos que se cumpla una de las siguientes condiciones:

    • El administrador entiende por completo el efecto que tendrá quitar WINS en su red.

    • El administrador ha configurado DNS para proporcionar la funcionalidad equivalente usando nombres de dominio completos y sufijos de dominio DNS.

    Además, si un administrador quita la funcionalidad WINS de un servidor que seguirá proporcionando recursos compartidos en la red, el administrador debe volver a configurar correctamente el sistema para usar los servicios de resolución de nombres restantes como DNS en la red local. Para obtener más información sobre WINS, visite el siguiente sitio web de Microsoft:

    http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true Para obtener más información sobre cómo determinar si necesita la resolución de nombres NETBIOS o WINS y la configuración DNS, visite el siguiente sitio web de Microsoft:

    http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxPara quitar WINS, sigue estos pasos:

    1. En Panel de control, abre Agregar o quitar programas.

    2. Haga clic en Agregar o eliminar componentes de Windows.

    3. En la página Asistente para componentes de Windows, enComponentes, haga clic en Servicios de red y, a continuación, haga clic en Detalles.

    4. Haz clic para desactivar la casilla del Servicio de nomenclatura de Internet (WINS) de Windows para quitar WINS.

    5. Siga las instrucciones en pantalla para completar el Asistente para componentes de Windows.

Estamos trabajando en una actualización para solucionar este problema de seguridad como parte de nuestro proceso de actualización normal. Cuando la actualización haya alcanzado un nivel adecuado de calidad, la proporcionaremos a través de Windows Update.Si crees que te han afectado, ponte en contacto con los servicios de soporte técnico de productos.Los clientes internacionales deben ponerse en contacto con los Servicios de soporte técnico de productos mediante cualquier método que se muestre en el siguiente sitio web de Microsoft:

http://support.microsoft.com

SUSCRIBIRSE A FUENTES RSS

¿Necesita más ayuda?

¿Quiere más opciones?

Explore las ventajas de las suscripciones, examine los cursos de aprendizaje, aprenda a proteger su dispositivo y mucho más.

Ventajas de la suscripción de Microsoft 365

Aprendizaje de Microsoft 365

Seguridad de Microsoft

Centro de accesibilidad