Wins-suojausongelmalta suojautuminen

JOHDANTO

Microsoft WindowsIn Internet Name Service (WINS) -palvelun tietoturvaongelmasta on raportoitu. Tämä suojausongelma koskee Microsoft Windows NT Server 4.0:aa, Microsoft Windows NT Server 4.0 Terminal Server Editionia, Microsoft Windows 2000 Serveriä ja Microsoft Windows Server 2003:a. Tämä suojausongelma ei vaikuta Microsoft Windows 2000 Professionaliin, Microsoft Windows XP:hen tai Microsoft Windows Millennium Editioniin.

Lisätietoja

WINS ei ole oletusarvoisesti asennettu Windows NT Server 4.0:aan, Windows NT Server 4.0 Terminal Server Editioniin, Windows 2000 Serveriin tai Windows Server 2003:een. WINS on oletusarvoisesti asennettu ja käytössä Microsoft Small Business Server 2000:ssa ja Microsoft Windows Small Business Server 2003:ssa. Oletusarvoisesti kaikissa Microsoft Small Business Server -versioissa WINS-komponenttien viestintäportit estetään Internetistä ja WINS on käytettävissä vain paikallisessa verkossa.

Tämän suojausongelman vuoksi hyökkääjä voi muodostaa etäyhteyden WINS-palvelimeen, jos jokin seuraavista ehdoista täyttyy:

• Olet muuttanut oletuskokoonpanoa niin, että WINS-palvelinrooli asennetaan Windows NT Server 4.0:aan, Windows NT Server 4.0 Terminal Server Editioniin, Windows 2000 Serveriin tai Windows Server 2003:een.

• Käytössäsi on Microsoft Small Business Server 2000 tai Microsoft Windows Small Business Server 2003, ja hyökkääjä voi käyttää paikallista verkkoa.

Voit suojata tietokoneesi tätä mahdollista haavoittuvuutta vastaan toimimalla seuraavasti:

1. Estä TCP-portti 42 ja UDP-portti 42 palomuurissa.
   
   
   Näitä portteja käytetään yhteyden muodostamiseen WINS-etäpalvelimeen. Jos estät nämä portit palomuurissa, estät palomuurin takana olevia tietokoneita yrittämästä käyttää tätä haavoittuvuutta. TCP-portti 42 ja UDP-portti 42 ovat WINS-replikoinnin oletusportteja. Suosittelemme, että estät kaiken internetistä saapuvan ei-toivotun viestinnän.

2. Käytä IPsec (Internet Protocol Security) -suojausta WINS-palvelimen replikointikumppanien välisen liikenteen suojaamiseen. Voit tehdä tämän jollakin seuraavista vaihtoehdoista.
   
   Varoitus Koska jokainen WINS-infrastruktuuri on ainutlaatuinen, näillä muutoksilla voi olla odottamattomia vaikutuksia infrastruktuuriisi. On erittäin suositeltavaa, että teet riskianalyysin, ennen kuin päätät ottaa tämän lievennyksen käyttöön. Suosittelemme myös, että suoritat täydellisen testauksen ennen tämän lievennyksen sijoittamista tuotantoon.
   

   • Vaihtoehto 1: MÄÄRITÄ IPSec-suodattimet manuaalisesti Määritä IPSec-suodattimet
     manuaalisesti ja lisää sitten seuraavan Microsoft Knowledge Base -tietokannan artikkelin ohjeita noudattamalla lohkosuodatin, joka estää kaikki paketit mistä tahansa IP-osoitteesta järjestelmän IP-osoitteeseen:

     813878 Tiettyjen verkkoprotokollien ja porttien estäminen IPSecin
     
     avulla Jos käytät IPSeciä Windows 2000 Active Directory -toimialueympäristössä ja otat IPSec-käytännön käyttöön ryhmäkäytäntö avulla, toimialuekäytäntö ohittaa kaikki paikallisesti määritetyt käytännöt. Tämä esiintymä estää tätä asetusta estämästä haluamiasi paketteja.
     
     Jos haluat selvittää, saavatko palvelimesi IPSec-käytännön Windows 2000 -toimialueelta vai uudemmassa versiossa, tutustu Knowledge Base -artikkelin 813878 olevan IPSec-käytännön määrittämisen selvittäminen -osioon.
     
     Kun olet päättänyt, että voit luoda tehokkaan paikallisen IPSec-käytännön, lataa IPSeccmd.exe-työkalu tai IPSecpol.exe-työkalu.
     
     Seuraavat komennot estävät saapuvan ja lähtevän liikenteen TCP-porttiin 42 ja UDP-porttiin 42.
     
     Huomautus Näissä komennoissa %IPSEC_Command% viittaa Ipsecpol.exe (Windows 2000:ssa) tai Ipseccmd.exe (Windows Server 2003).

     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK 
     

     Seuraava komento tekee IPSec-käytännöstä heti voimassa, jos ristiriitaista käytäntöä ei ole. Tämä komento alkaa estää kaikkia saapuvia tai lähteviä TCP-portteja 42 ja UDP-porttia 42. Tämä estää tehokkaasti WINS-replikoinnin sen palvelimen välillä, jossa nämä komennot suoritettiin, ja kaikkien WINS-replikointikumppanien välillä.

     %IPSEC_Command% -w REG -p "Block WINS Replication" –x 

     Jos verkossa ilmenee ongelmia tämän IPSec-käytännön käyttöönoton jälkeen, voit poistaa käytännön määrityksen ja poistaa sitten käytännön seuraavien komentojen avulla:

     %IPSEC_Command% -w REG -p "Block WINS Replication" -y 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -o 

     Jotta WINS-replikointi voi toimia tiettyjen WINS-replikointikumppaneiden välillä, sinun on ohitettava nämä lohkosäännöt sallimalla säännöt. Salli-säännöissä tulisi määrittää vain luotettujen WINS-replikointikumppaneidesi IP-osoitteet.
     
     
     Seuraavien komentojen avulla voit päivittää Estä WINS-replikoinnin IPSec-käytäntö, jotta tietyt IP-osoitteet voivat olla yhteydessä palvelimeen, joka käyttää Estä WINS-replikointikäytäntöä.
     
     Huomautus Näissä komennoissa %IPSEC_Command% viittaa Ipsecpol.exe (Windows 2000:ssa) tai Ipseccmd.exe (Windows Server 2003) ja %IP% viittaa sen WINS-etäpalvelimen IP-osoitteeseen, jonka kanssa haluat replikoida.

     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS 
     

     Jos haluat määrittää käytännön heti, käytä seuraavaa komentoa:

     %IPSEC_Command% -w REG -p "Block WINS Replication" -x

   • Vaihtoehto 2: Määritä IPSec-suodattimet
     lataamalla komentosarja automaattisesti ja suorita wins-replikoinnin estokomentosarja, joka luo IPSec-käytännön porttien estämiseksi. Voit tehdä tämän seuraavasti:
     

     1. Voit ladata ja purkaa .exe tiedostot seuraavasti:
        

        1. Lataa WINS-replikoinnin esto -komentosarja.
           
           Seuraava tiedosto on ladattavissa Microsoft Download Centeristä:
           
           Lataa WINS-replikoinnin esto -komentosarjapaketti nyt.
           
           Julkaisupäivä: 2. joulukuuta 2004
           
           Saat lisätietoja Microsoft-tukitiedostojen lataamisesta napsauttamalla seuraavaa artikkelin numeroa, jotta voit tarkastella artikkelia Microsoft Knowledge Base -tietokannassa:

           119591 Microsoftin tukitiedostojen hankkiminen online-palvelut
           Microsoft skannasi tämän tiedoston virusten takia. Microsoft käytti uusimpia virusten tunnistusohjelmistoja, jotka olivat käytettävissä tiedoston julkaisupäivänä. Tiedosto tallennetaan suojaukseen perustuviin palvelimiin, jotka auttavat estämään tiedoston luvattomat muutokset.
           

           Jos lataat WINS-replikoinnin estokomentosarjan levykkeille, käytä muotoiltua tyhjää levyä. Jos lataat WINS-replikoinnin estokomentosarjan kiintolevylle, luo uusi kansio, josta tiedosto tallennetaan väliaikaisesti ja josta se puretaan.
           
           
           Varoitus Älä lataa tiedostoja suoraan Windows-kansioon. Tämä toiminto voi korvata tiedostot, joita tietokone tarvitsee toimiakseen oikein.

        2. Etsi tiedosto kansiosta, johon latasit sen, ja kaksoisnapsauta sitten itse purettavaa .exe tiedostoa, jotta sisältö puretaan väliaikaiseen kansioon. Pura esimerkiksi sisältö soluun C:\Temp.

     2. Avaa komentokehote ja siirry sitten hakemistoon, josta tiedostot puretaan.

     3. Varoitus

        • Jos epäilet, että WINS-palvelimesi ovat saaneet tartunnan, mutta et ole varma, mitkä WINS-palvelimet ovat vaarantuneet tai onko nykyinen WINS-palvelin vaarantunut, älä kirjoita IP-osoitteita vaiheessa 3. Marraskuusta 2004 alkaen emme kuitenkaan ole tietoisia asiakkaista, joihin tämä ongelma on vaikuttanut. Jos palvelimesi toimivat odotetulla tavalla, jatka siis kuvatulla tavalla.

        • Jos olet määrittänyt IPsecin väärin, saatat aiheuttaa vakavia WINS-replikointiongelmia yrityksen verkossa.

        Suorita Block_Wins_Replication.cmd tiedosto. Jos haluat luoda TCP-portin 42 ja UDP-portin 42 saapuvan ja lähtevän liikenteen lohkon säännöt, kirjoita
        1 ja valitse sitten vaihtoehto 1 painamalla ENTER-näppäintä, kun sinua pyydetään valitsemaan haluamasi vaihtoehto.

        Kun olet valinnut vaihtoehdon 1, komentosarja kehottaa sinua antamaan luotettujen WINS-replikointipalvelimien IP-osoitteet.
        
        
        Jokainen kirjoittamasi IP-osoite on vapautettu estävästä TCP-portista 42 ja UDP-portin 42 käytännöstä. Saat kehotteen silmukassa, ja voit kirjoittaa niin monta IP-osoitetta kuin haluat. Jos et tiedä kaikkia WINS-replikointikumppanien IP-osoitteita, voit suorittaa komentosarjan myöhemmin uudelleen. Jos haluat aloittaa luotettujen WINS-replikointikumppaneiden IP-osoitteiden kirjoittamisen, kirjoita 2 ja valitse sitten vaihtoehto 2 painamalla ENTER-näppäintä, kun sinua pyydetään valitsemaan haluamasi vaihtoehto.
        
        
        Kun olet ottanut suojauspäivityksen käyttöön, voit poistaa IPSec-käytännön. Voit tehdä tämän suorittamalla komentosarjan. Kirjoita 3 ja valitse sitten vaihtoehto 3 painamalla ENTER-näppäintä, kun sinua pyydetään valitsemaan haluamasi vaihtoehto.
        
        Saat lisätietoja IPsecistä ja suodattimien käytöstä napsauttamalla seuraavaa artikkelin numeroa, jotta voit tarkastella artikkelia Microsoft Knowledge Base -tietokannassa:
        
        

        313190 IPsec IP-suodatinluetteloiden käyttäminen Windows 2000:ssa
        
        

3. Poista WINS, jos et tarvitse sitä.
   
   Jos et enää tarvitse WINS-voittoa, poista se noudattamalla seuraavia ohjeita. Nämä vaiheet koskevat Windows 2000:aa, Windows Server 2003:a ja näiden käyttöjärjestelmien uudempia versioita. Jos käytössäsi on Windows NT Server 4.0, noudata tuotteen ohjeisiin sisältyviä ohjeita.
   
   Tärkeää Monet organisaatiot edellyttävät, että WINS suorittaa verkossaan yhden tarran tai litteän nimen rekisteröinti- ja tarkkuusfunktioita. Järjestelmänvalvojien ei pitäisi poistaa WINS-komentoja, ellei jokin seuraavista ehdoista täyty:
   

   • Järjestelmänvalvoja ymmärtää täysin, miten WINS-palvelun poistaminen vaikuttaa hänen verkkoonsa.

   • Järjestelmänvalvoja on määrittänyt DNS:n tarjoamaan vastaavan toiminnon käyttämällä täysin päteviä toimialuenimiä ja DNS-toimialueen jälkiliitettä.

   Lisäksi jos järjestelmänvalvoja poistaa WINS-toiminnon palvelimesta, joka jatkaa jaettujen resurssien tarjoamista verkossa, järjestelmänvalvojan on määritettävä järjestelmä uudelleen oikein, jotta se voi käyttää muita nimiselvityspalveluja, kuten paikallisen verkon DNS-tietueita.
   
   Lisätietoja WINS-toiminnosta on seuraavassa Microsoftin verkkosivustossa:

   http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true Lisätietoja siitä, miten voit määrittää, tarvitsetko NETBIOS- vai WINS-nimiselvitystä ja DNS-määritystä, on seuraavassa Microsoftin verkkosivustossa:

   http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxJos haluat poistaa WINS-voiton, toimi seuraavasti:
   

   1. Avaa Ohjauspaneeli Lisää tai poista ohjelmia.

   2. Valitse Lisää tai poista Windows-osia.
      

   3. Valitse Windowsin ohjattu osien luominen -sivunOsat-kohdassa
      Verkkopalvelut ja valitse sitten Tiedot.

   4. Poista WINS-asetukset valitsemalla Windowsin Internet-nimeämispalvelu (WINS) -valintaruudun valinta.

   5. Suorita ohjattu Windowsin osien luominen loppuun noudattamalla näyttöön tulevia ohjeita.

Kehitämme päivitystä tämän tietoturvaongelman ratkaisemiseksi osana säännöllistä päivitysprosessiamme. Kun päivitys on saavuttanut asianmukaisen laatutason, tarjoamme päivityksen Windows Update kautta.


Jos uskot, että ongelma on vaikuttanut sinuun, ota yhteyttä tuotetukeen.

Kansainvälisten asiakkaiden tulee ottaa yhteyttä tuotetukeen millä tahansa menetelmällä, joka on lueteltu seuraavassa Microsoftin sivustossa:

http://support.microsoft.com