SISSEJUHATUS

Uurime teateid Microsoft Windowsi Interneti nimeteenuse (WINS) turbeprobleemi kohta. See turbeprobleem mõjutab Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Editioni, Microsoft Windows 2000 Serverit ja Microsoft Windows Server 2003. See turbeprobleem ei mõjuta Microsoft Windows 2000 Professionali, Microsoft Windows XP-t ega Microsoft Windows Millennium Editioni.

Lisateave

Vaikimisi pole WINS installitud operatsioonisüsteemidesse Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server või Windows Server 2003. Vaikimisi installitakse ja käitatakse WINS serverites Microsoft Small Business Server 2000 ja Microsoft Windows Small Business Server 2003. Vaikimisi on Kõigis Microsoft Small Business Serveri versioonides WINS-i komponendi sidepordid Internetist blokeeritud ja WINS on saadaval ainult kohalikus võrgus. See turbeprobleem võib teha ründajale võimalikuks WINS-serveri kaugpöörduse, kui üks järgmistest tingimustest on täidetud:

  • Muutsite WINS-serveri rolli installimiseks vaikekonfiguratsiooni operatsioonisüsteemides Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server või Windows Server 2003.

  • Teie arvutis töötab Microsoft Small Business Server 2000 või Microsoft Windows Small Business Server 2003 ja ründajal on juurdepääs teie kohalikule võrgule.

Arvuti kaitsmiseks selle võimaliku nõrkuse eest tehke järgmist.

  1. Blokeerige tulemüüris TCP port 42 ja UDP port 42.Neid porte kasutatakse WINS-i kaugserveriga ühenduse loomiseks. Kui blokeerite need pordid tulemüüris, aitate takistada selle tulemüüri taga olevatel arvutitel seda haavatavust kasutada. TCP port 42 ja UDP port 42 on WINS-i tiražeerimise vaikepordid. Soovitame blokeerida internetist kogu sissetuleva soovimatu suhtluse.

  2. Kasutage WinS-serveri tiražeerimispartnerite vahelise liikluse kaitsmiseks Internet Protocoli turvet (IPsec). Selleks kasutage ühte järgmistest suvanditest. Ettevaatust! Kuna iga WINS-taristu on kordumatu, võivad need muudatused teie taristule ootamatult mõjuda. Soovitame tungivalt enne selle leevenduse rakendamist teha riskianalüüs. Samuti soovitame tungivalt, et teete enne selle leevenduse tootmist täieliku testimise.

    • 1. võimalus: konfigureerige IPSec-filtrid käsitsi konfigureerige IPSec-filtrid käsitsi ja seejärel järgige järgmises Microsofti teabebaasi artiklis toodud juhiseid, et lisada blokeerimisfilter, mis blokeerib kõik paketid mis tahes IP-aadressilt teie süsteemi IP-aadressile:

      813878 Konkreetsete võrguprotokollide ja portide blokeerimine IPSecabil Kui kasutate IPSec-i Windows 2000 Active Directory domeenikeskkonnas ja juurutate IPSec-poliitika Rühmapoliitika abil, alistab domeenipoliitika mis tahes kohalikult määratletud poliitika. See esinemiskord takistab selle suvandi soovitud pakettide blokeerimist.Selleks et teha kindlaks, kas teie serverid saavad IpSec-poliitika Windows 2000 domeenist või uuemast versioonist, lugege teabebaasiartikli 813878 jaotist "IPSec poliitika määramise kindlakstegemine". Kui olete kindlaks teinud, et saate luua tõhusa kohaliku IPSECi poliitika, laadige alla IPSeccmd.exe tööriist või IPSecpol.exe tööriist. Järgmised käsud blokeerivad sissetuleva ja väljamineva juurdepääsu TCP-pordile 42 ja UDP-pordile 42.Märkus Nendes käskudes viitab %IPSEC_Command% Ipsecpol.exe (opsüsteemis Windows 2000) või Ipseccmd.exe (Windows Server 2003).

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK

      Järgmine käsk muudab IPSec poliitika jõustuma kohe, kui konfliktne poliitika puudub. See käsk hakkab blokeerima kõiki sissetulevaid/väljaminevaid TCP-porte 42 ja UDP pordi 42 pakette. See takistab tõhusalt WINS-i tiražeerimist serveris, kus need käsud töötasid, ja kõigi WINS-i tiražeerimispartnerite vahel.

      %IPSEC_Command% -w REG -p "Block WINS Replication" –x

      Kui teil tekib pärast selle IPSECi poliitika lubamist võrgus probleeme, saate poliitika määramise tühistada ja seejärel poliitika kustutada järgmiste käskude abil.

      %IPSEC_Command% -w REG -p "Block WINS Replication" -y %IPSEC_Command% -w REG -p "Block WINS Replication" -o

      WinS-i tiražeerimise toimimiseks teatud WINS-i tiražeerimispartnerite vahel tuleb need blokeerimisreeglid lubamisreeglitega alistada. Lubatud reeglitega tuleks määrata ainult usaldusväärsete WINS-i tiražeerimispartnerite IP-aadressid.Järgmiste käskude abil saate värskendada winS-i tiražeerimise blokeerimise IPSec poliitikat, et lubada teatud IP-aadressidel suhelda serveriga, mis kasutab WINS-i tiražeerimise blokeerimise poliitikat.Märkus. Nendes käskudes viitab %IPSEC_Command% Ipsecpol.exe (opsüsteemis Windows 2000) või Ipseccmd.exe (Windows Server 2003) ja %IP% selle WINS-serveri IP-aadressile, millega soovite paljundada.

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS

      Poliitika kohe määramiseks kasutage järgmist käsku.

      %IPSEC_Command% -w REG -p "Block WINS Replication" -x

    • 2. võimalus: käivitage skript IPSec-filtrite automaatseks konfigureerimiseks Laadi alla ja seejärel käivitage WINS Tiražeerimise blokeerija skript, mis loob PORTide blokeerimiseks IPSec-poliitika. Selleks tehke järgmist.

      1. .exe failide allalaadimiseks ja ekstraktimiseks tehke järgmist.

        1. Laadige alla WINS-i tiražeerimise blokeerija skript. Microsofti allalaadimiskeskusest on allalaadimiseks saadaval järgmine fail:AllalaadimineWINS-i tiražeerimise blokeerija skriptipaketi kohe alla laadida. Väljaandmiskuupäev: 2. detsember 2004 Lisateabe saamiseks Microsofti tugiteenuste failide allalaadimise kohta klõpsake Microsofti teabebaasis oleva artikli vaatamiseks järgmist artiklinumbrit:

          119591 Kuidas hankida Microsofti tugiteenusefaile võrguteenused Microsoft kontrollis seda faili viiruste suhtes. Microsoft kasutas kõige ajakohasemat viirusetuvastustarkvara, mis oli saadaval faili postitamiskuupäeval. Fail talletatakse turvalistes serverites, mis aitavad ära hoida faili volitamata muudatusi.

          Kui laadite WINS-i tiražeerimise blokeerija skripti alla disketile, kasutage vormindatud tühja ketast. Kui laadite winS-tiražeerimise blokeerija skripti alla oma kõvakettale, looge uus kaust, kuhu fail ajutiselt salvestada ja faili ekstraktida. Ettevaatust! Ärge laadige faile otse Windowsi kausta. See toiming võib üle kirjutada failid, mis on vajalikud arvuti õigeks töötamiseks.

        2. Otsige üles fail kaustast, kuhu selle alla laadisite, ja seejärel topeltklõpsake sisu ajutisesse kausta ekstraktimiseks ise ekstraktivat .exe faili. Näiteks ekstraktige sisu asukohta C:\Temp.

      2. Avage käsuviip ja seejärel liikuge kausta, kus failid ekstraktitakse.

      3. Hoiatus!

        • Kui kahtlustate, et teie WINS-i serverid võivad olla nakatunud, kuid te pole kindel, millised WINS-serverid on ohtu sattunud või kas teie praegune WINS-i server on ohus, ärge sisestage 3. juhises ühtegi IP-aadressi. 2004. aasta novembri seisuga ei ole me aga teadlikud klientidest, keda see probleem on mõjutanud. Seega, kui teie serverid töötavad ootuspäraselt, jätkake kirjeldatud viisil.

        • Kui häälestasite IPsec valesti, võite põhjustada tõsiseid WINS-i tiražeerimisprobleeme oma ettevõtte võrgus.

        Käivitage Block_Wins_Replication.cmd fail. TCP-pordi 42 ja UDP-pordi 42 sissetulevate ja väljaminevate blokeerimisreeglite loomiseks tippige 1 ja vajutage sisestusklahvi (ENTER), et valida 1. võimalus, kui teil palutakse valida soovitud suvand.

        Pärast suvandi 1 valimist palub skript teil sisestada usaldusväärsete WINS-i tiražeerimisserverite IP-aadressid. Iga teie sisestatud IP-aadress on blokeerivast TCP-pordi 42 ja UDP-pordi 42 poliitikast vabastatud. Teile kuvatakse tsükkel ja saate sisestada nii palju IP-aadresse, kui vaja. Kui te ei tea kõiki WINS-i tiražeerimise partnerite IP-aadresse, saate skripti tulevikus uuesti käivitada. Usaldusväärsete WINS-tiražeerimispartnerite IP-aadresside sisestamiseks tippige 2 ja vajutage sisestusklahvi (ENTER), et valida 2. võimalus, kui teil palutakse valida soovitud suvand. Pärast turbevärskenduse juurutamist saate IPSec-poliitika eemaldada. Selleks käivitage skript. Tippige 3 ja vajutage sisestusklahvi (ENTER), et valida 3. võimalus, kui teil palutakse valida soovitud suvand.Lisateavet IPsec ja filtrite rakendusviisi kohta leiate Microsofti teabebaasi artikli kuvamiseks järgmisest artiklinumbrist.

        313190 IPsec IP-filtrite loendite kasutamine opsüsteemis Windows 2000

  3. Eemaldage WINS, kui te seda ei vaja. Kui te ei vaja enam WINS-i, tehke selle eemaldamiseks järgmist. Need juhised kehtivad nende operatsioonisüsteemide Windows 2000, Windows Server 2003 ja uuemate versioonide kohta. Windows NT Server 4.0 korral järgige toote dokumentatsioonis toodud juhiseid. NB! Paljud ettevõtted nõuavad WINS-ilt võrgus ühe sildi või lameda nime registreerimis- ja eraldusvõimefunktsioonide kasutamist. Administraatorid ei tohiks WINS-i eemaldada, kui üks järgmistest tingimustest pole täidetud:

    • Administraator mõistab täielikult winS-i eemaldamise mõju nende võrgule.

    • Administraator on konfigureerinud DNS-i pakkuma samaväärseid funktsioone, kasutades täielikke domeeninimesid ja DNS-i domeeni järelliidet.

    Kui administraator eemaldab WINS-i funktsiooni serverist, mis jätkab võrgus ühisressursside andmist, peab administraator süsteemi õigesti konfigureerima, et kasutada ülejäänud nimelahendusteenuseid (nt DNS kohalikus võrgus). WINS-i kohta lisateabe saamiseks külastage järgmist Microsofti veebisaiti:

    http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true NetBIOS-i või WINS-i nimelahenduse ja DNS-i konfiguratsiooni määramiseks lisateabe saamiseks külastage järgmist Microsofti veebisaiti:

    http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxWINS-i eemaldamiseks tehke järgmist.

    1. Avage Juhtpaneel programmide lisamine või eemaldamine.

    2. Klõpsake nuppu Lisa/eemalda Windowsi komponente.

    3. Klõpsake lehe Windowsi komponentide viisard jaotisesKomponendid nuppu Võrguteenused ja seejärel nuppu Üksikasjad.

    4. Klõpsake winS-i eemaldamiseks märkeruudu Windows Internet Naming Service (WINS) tühjendamiseks.

    5. Windowsi komponentide viisardi lõpuleviimiseks järgige ekraanil kuvatavaid juhiseid.

Töötame selle turbeprobleemi lahendamiseks värskendusega, mis on osa meie tavapärasest värskendamisprotsessist. Kui värskendus on jõudnud sobivale kvaliteeditasemele, pakume värskendust Windows Update kaudu.Kui arvate, et teid on see mõjutanud, võtke ühendust tootetoe teenustega.Rahvusvahelised kliendid peaksid tootetoeteenustega ühendust võtma mis tahes meetodi abil, mis on loetletud järgmisel Microsofti veebisaidil:

http://support.microsoft.com

Facebook LinkedIn Meil
TELLIGE RSS-KANALID

Kas vajate veel abi?

Kas soovite rohkem valikuvariante?

Siin saate tutvuda tellimusega kaasnevate eelistega, sirvida koolituskursusi, õppida seadet kaitsma ja teha veel palju muud.

Microsoft 365 tellimuse eelised

Microsoft 365 koolitus

Microsofti turbeteenus

Hõlbustuskeskus