Kuidas aidata kaitsta WINS turvaprobleemidest

SISSEJUHATUS

Me uurib teateid turvaprobleemidest koos Microsoft Windows Internet Name Service (WINS). Turvalisuse probleem mõjutab Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server ja Microsoft Windows Server 2003. Turvalisuse probleem ei mõjuta Microsoft Windows 2000 Professional, Microsoft Windows XP või Microsoft Windows Millennium Edition.

Lisateabe saamiseks

Vaikimisi on installitud WINS Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server või Windows Server 2003. Vaikimisi on WINS-i installitud ja töötab Microsoft Small Business Server 2000 ja Microsoft Windows Small Business Server 2003. Vaikimisi kõik versioonid Microsoft Small Business Server, WINS-i komponendi side pordid on blokeeritud Internetist ja WINS on saadaval ainult kohalikus võrgus.

Selle tagajärjel oleks võimalik ründaja WINS-i server eemalt ohtu seada, kui üks järgmistest tingimustest on täidetud:

  • Muutsite WINS-serveri rolli installimine Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server või Windows Server 2003 vaikimisi konfiguratsiooniga.

  • Kasutate Microsoft Small Business Server 2000 või Microsoft Windows Small Business Server 2003 ja ründaja on juurdepääs teie kohalikus võrgus.

Aitab kaitsta teie arvutit võimalike lahendamiseks, toimige järgmiselt.

  1. Blokeerida TCP-port 42 ja UDP port 42 tulemüüri juures.


    Need ühendused on mõeldud ühenduse loomiseks kaugtöölaua WINS-i server. Kui teil blokeerida tulemüüri juures need pordid, aitate arvutites, kus on ühendatud tulemüüriga üritab kasutada selle haavatavuse. WINS-i replikatsiooni vaikeport on TCP-port 42 ja UDP port 42. Soovitame, et blokeerida kõik sissetulevad soovimatute side Interneti kaudu.

  2. Internet Protocol security (IPsec) liikluse kaitsmiseks kasutada WINS-i server kopeerimise partnerite vahel. Selleks kasutage ühte järgmistest võimalustest.

    Ettevaatust! Kuna iga WINS infrastruktuur on ainulaadne, need muudatused võib olla ootamatu mõju oma infrastruktuuri. Soovitame teha riskianalüüs enne, kui otsustate selle leevendamine. Samuti soovitame täieliku katse enne selle leevendamine tootmisse teha.

    • Variant 1: Käsitsi konfigureerida IPSec filtrid
      Käsitsi konfigureerida IPSec filtrid ja seejärel järgige järgmises Microsofti teabebaasi (Knowledge Base) artiklis lisada block filter, mis blokeerib kõik paketid IP-aadress teie süsteemi IP-aadress:

      813878 kuidas blokeerida teatud võrgu protokollid ja pordid, kasutades IPSec

      Kui kasutate IPSec Windows 2000 Active Directory domeeni keskkonnas ja rühmapoliitika abil juurutamise IPSec poliitika, alistab poliitika domeeni kohalikult määratletud poliitika. See kord väldib blokeerimine pakettide, mida soovite selle suvandi.

      Määratlemaks, kas teie serverite saavad IPSec poliitika domeeni Windows 2000 või uuem versioon, lugege teabebaasi (Knowledge Base) artiklis 813878 jaotisse "Kindlaks teha, kas IPSec poliitika on määratud".

      Kui olete kindlaks teinud, et loote kohaliku IPSec poliitikat, laadige see IPSeccmd.exe või IPSecpol.exe tööriista.

      Järgmised käsud blokeerida sissetulevad ja väljaminevad juurdepääsu TCP-port 42 ja UDP port 42.

      Märkus. Need käsudIPSEC_Command% viitab Ipsecpol.exe (opsüsteemis Windows 2000) või Ipseccmd.exe (operatsioonisüsteemis Windows Server 2003).

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK

      Järgmine käsk muudab IPSec poliitika tõhus kohe, kui puudub vastuolulised poliitika. See käsk käivitab blokeerimise kõik sissetulevat/väljaminevat TCP-port 42 ja UDP-pordi 42 paketid. See hoiab WINS-i replikatsiooni tekkimist need käsud ei käivita server ja kõik WINS-i replikatsiooni partnerid.

      %IPSEC_Command% -w REG -p "Block WINS Replication" –x 

      Kui teil on probleeme võrgu pärast seda, kui lubate selle IPSec poliitika, saate poliitika tühistamise ja kustutage poliitika abil järgmised käsud:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -y 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -o

      WINS-i replikatsiooni vahel teatud WINS-i funktsiooni lubamiseks tuleb tühistada neid blokeerida reegleid replikatsiooni partnerid võimaldavad reeglid. Luba reeglid tuleks määrata oma usaldusväärsete WINS-i replikatsiooni partnerid ainult IP-aadressid.


      Saate värskendada Block WINS replikatsiooni IPSec poliitika lubama teatud IP-aadressid serveriga kasutavas Block WINS kopeerimispoliitika järgmised käsud.

      Märkus. Need käsudIPSEC_Command% viitab Ipsecpol.exe (opsüsteemis Windows 2000) või Ipseccmd.exe (operatsioonisüsteemis Windows Server 2003) jaIP% viitab serveri WINS-i server, mida soovite kopeerida IP-aadress.

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS

      Poliitika kohe määramiseks kasutage järgmist käsku:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -x
    • 2. võimalus: Käivitage skript automaatselt seadistada IPSec filtrid
      Laadige alla ja seejärel käivitage WINS-i replikatsiooni blokeerija skripti, mis loob IPSec poliitika blokeerima Porte. Selleks toimige järgmiselt.

      1. Laadige alla ja .exe failid ekstraktida, toimige järgmiselt.

        1. WINS-i replikatsiooni blokeerija skripti alla laadida.

          Järgmine fail on saadaval alla laadida Microsoft Download Center:

          Download WINS-i replikatsiooni blokeerija skripti paketi kohene allalaadimine.

          Väljaandmise kuupäev: 2. detsember 2004

          Microsoft Support failide allalaadimise kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:

          119591 kuidas Microsofti tugifailide hankimine võrguteenuste kaudu
          Microsoft skannis seda faili viiruste leidmiseks. Microsoft kasutas uusimat viirusetõrjetarkvara, mis oli faili postitamise päeval saadaval. Faili talletatakse täiustatud turvalisusega serverites, mis aitab ära hoida faili loata muutmise.

          Kui laadite WINS-i replikatsiooni blokeerija skripti disketile, kasutage tühi vormindatud diskett. Kui laadite kõvakettale WINS-i replikatsiooni blokeerija skripti, looge uus kaust ajutiselt salvestada faili ja faili ekstraktimiseks.


          Ettevaatust! Faile alla laadida otse teie arvuti kaustas. See toiming võib üle kirjutada failid, mis on vajalikud arvuti õigesti töötada.

        2. Otsige üles fail kausta, mille olete alla laadinud, ja seejärel topeltklõpsake ise lahtipakkiv .exe-faili sisu ajutisse kausta. Näiteks väljavõte C:\Temp.

      2. Avage käsuviip ja seejärel liigutage kataloogi, kuhu failid ekstraktitakse.

      3. Hoiatus

        • Kui kahtlustate, et WINS-i servereid võib olla nakatunud, kuid te pole kindel, milline WINS-i servereid on rikutud või kas teie praegune WINS-i server on rikutud, ei sisesta IP-aadresside 3. juhises. Kuid alates 2004. aasta novembris me ei ole teadlikud kliendid, kes on mõjutanud probleem. Seega, kui teie serverid ei tööta ootuspäraselt, jätkatakse.

        • Kui IPsec valesti seadistatud võib põhjustada tõsiseid WINS kopeerimise probleeme oma ettevõtte võrgus.

        Käivita Block_Wins_Replication.cmd fail. Tippige TCP-port 42 ja UDP port 42 sissetulevad ja väljaminevad block reeglite loomine
        1 ja seejärel vajutage sisestusklahvi ENTER, et valida variant 1 viiba kuvamisel valige soovitud suvand.

        Pärast seda, kui valite suvandi 1, skripti palub teil sisestada usaldusväärne WINS-i kopeerimine serverite IP-aadressid.


        Iga IP-aadressi, mis on vabastatud blokeerimise TCP-port 42 ja UDP port 42 poliitika. Teilt küsitakse tsükkel ja sisestage võimalikult palju IP-aadressid vastavalt vajadusele. Kui te ei tea kõik IP-aadressid WINS-i replikatsiooni partnerid, saate käivitada skripti edaspidiseks. IP-aadressid usaldusväärne WINS-i replikatsiooni partnerid hakake tüüp 2 ja seejärel vajutage sisestusklahvi suvandi 2 viiba kuvamisel valige see suvand, võite soovida.


        Pärast seda, kui juurutate selle turvavärskenduse installida, võite eemaldada IPSec poliitika. Selleks käivitage skript. Tippige 3 ja vajutage sisestusklahvi suvandi 3 viiba kuvamisel valige soovitud suvand.

        IPsec ja filtrite kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:

        313190 kasutamine IPsec IP filter on loetletud opsüsteemis Windows 2000

  3. Eemaldage WINS-i, kui te ei vaja seda.

    Kui te ei soovi enam WINS, tehke seda eemaldada. Need juhised kehtivad Windows 2000, Windows Server 2003 ja uuemad versioonid nendest operatsioonisüsteemidest. Windows NT Server 4.0, järgige protseduuri, mis sisaldub toote dokumentatsiooni.

    NB! Paljud ettevõtted nõuavad WINS Üksik silt või kindla nime registreerimise ja lahendamise funktsioone täitma oma võrgus. Administraatorid ei tohiks WINS-i eemaldada, kui üks järgmistest tingimustest on täidetud:

    • Administraatori täielikult mõistab selle kohta, et kõrvaldada WINS see jääb oma võrgus.

    • Administraator on konfigureerinud DNS-i, kasutades täielikult kvalifitseeritud domeeninimede ja DNS-i domeeni järelliiteid samaväärne funktsioonide võimaldamine.

    Ka, kui administraator on server, mis pakub endiselt ühiskasutuses olevatele ressurssidele võrgus eemaldamine WINS-i funktsioone, administraator peab õigesti konfigureerima kasutama nime lahendamise teenuste nagu DNS kohalikul võrgu.

    WINS-i kohta lisateabe saamiseks külastage järgmist Microsofti veebisaiti:

    http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=trueKuidas teha kindlaks, kas teil on vaja WINS-i või NetBIOS-i nimede lahendust ja DNS-i konfiguratsiooni kohta lisateabe saamiseks külastage järgmist Microsofti veebisaiti:

    http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxWINS-i eemaldamiseks toimige järgmiselt.

    1. Avage juhtpaneel, Programmide lisamine või eemaldamine.

    2. Klõpsake Windowsi komponentide lisamine/eemaldamine.

    3. Klõpsake Windowsi komponentide viisardi lehe all
      Komponendid, klõpsake Networking Servicesja klõpsake suvandil üksikasjad.

    4. Klõpsake Windows Internet nimetades teenus (WINS) alt märge ruudust WINS eemaldada.

    5. Järgige Windowsi komponentide Viisardi lõpuleviimiseks ekraanil kuvatavaid juhiseid.

Me tegeleme meie tavalise Värskendusprotsess osana selle turvalisuse probleemi lahendamiseks värskendust. Kui värskendus on saavutanud piisava kvaliteedi, anname värskendus Windows Update'i kaudu.


Kui teil on alust arvata, et teil on mõjutatud, pöörduge toote tugiteenuste.

Rahvusvahelised kliendid pöörduma Product Support Services, kasutades meetodit, mida kirjeldatakse järgmist Microsofti veebisaiti:

http://support.microsoft.com

Kas vajate veel abi?

Täiendage oma oskusi
Tutvuge koolitusmaterjalidega
Kasutage uusi funktsioone enne teisi
Liitu Microsofti Insideri programmis osalejad

Kas sellest teabest oli abi?

Täname tagasiside eest!

Täname tagasiside eest! Tundub, et võiksime teid kokku viia ühega meie Office'i tugiagentidest, kes aitab teil probleemi lahendada.

×