Comment vous protéger contre un problème de sécurité WINS

INTRODUCTION

Nous étudions les rapports d’un problème de sécurité avec Le service WINS (Microsoft Windows Internet Name Service). Ce problème de sécurité affecte Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server et Microsoft Windows Server 2003. Ce problème de sécurité n’affecte pas Microsoft Windows 2000 Professionnel, Microsoft Windows XP ou Microsoft Windows Millennium Edition.

Plus d’informations

Par défaut, WINS n’est pas installé sur Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server ou Windows Server 2003. Par défaut, WINS est installé et exécuté sur Microsoft Small Business Server 2000 et Microsoft Windows Small Business Server 2003. Par défaut, sur toutes les versions de Microsoft Small Business Server, les ports de communication du composant WINS sont bloqués à partir d’Internet, et WINS est disponible uniquement sur le réseau local.

Ce problème de sécurité peut permettre à un attaquant de compromettre à distance un serveur WINS si l’une des conditions suivantes est remplie :

• Vous avez modifié la configuration par défaut pour installer le rôle serveur WINS sur Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server ou Windows Server 2003.

• Vous exécutez Microsoft Small Business Server 2000 ou Microsoft Windows Small Business Server 2003, et un attaquant a accès à votre réseau local.

Pour protéger votre ordinateur contre cette vulnérabilité potentielle, procédez comme suit :

1. Bloquez le port TCP 42 et le port UDP 42 au niveau du pare-feu.
   
   
   Ces ports sont utilisés pour établir une connexion avec un serveur WINS distant. Si vous bloquez ces ports au niveau du pare-feu, vous empêchez les ordinateurs qui se trouvent derrière ce pare-feu d’essayer d’utiliser cette vulnérabilité. Le port TCP 42 et le port UDP 42 sont les ports de réplication WINS par défaut. Nous vous recommandons de bloquer toutes les communications non sollicitées entrantes à partir d’Internet.

2. Utilisez la sécurité du protocole Internet (IPsec) pour protéger le trafic entre les partenaires de réplication de serveur WINS. Pour ce faire, utilisez l’une des options suivantes.
   
   Attention Étant donné que chaque infrastructure WINS est unique, ces modifications peuvent avoir des effets inattendus sur votre infrastructure. Nous vous recommandons vivement d’effectuer une analyse des risques avant de choisir d’implémenter cette atténuation. Nous vous recommandons également vivement d’effectuer des tests complets avant de mettre cette atténuation en production.
   

   • Option 1 : Configurer manuellement les filtres
     IPSec Configurez manuellement les filtres IPSec, puis suivez les instructions de l’article suivant de la Base de connaissances Microsoft pour ajouter un filtre de bloc qui bloque tous les paquets de n’importe quelle adresse IP à l’adresse IP de votre système :

     813878 Comment bloquer des ports et des protocoles réseau spécifiques à l’aide d’IPSec
     
     Si vous utilisez IPSec dans votre environnement de domaine Windows 2000 Active Directory et que vous déployez votre stratégie IPSec à l’aide de stratégie de groupe, la stratégie de domaine remplace toute stratégie définie localement. Cette occurrence empêche cette option de bloquer les paquets souhaités.
     
     Pour déterminer si vos serveurs reçoivent une stratégie IPSec d’un domaine Windows 2000 ou d’une version ultérieure, consultez la section « Déterminer si une stratégie IPSec est affectée » dans l’article 813878 de la Base de connaissances.
     
     Lorsque vous avez déterminé que vous pouvez créer une stratégie IPSec locale efficace, téléchargez l’outil IPSeccmd.exe ou l’outil IPSecpol.exe.
     
     Les commandes suivantes bloquent l’accès entrant et sortant au port TCP 42 et au port UDP 42.
     
     Remarque Dans ces commandes, %IPSEC_Command% fait référence à Ipsecpol.exe (sur Windows 2000) ou Ipseccmd.exe (sur Windows Server 2003).

     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK 
     

     La commande suivante rend la stratégie IPSec immédiatement effective en l’absence de stratégie en conflit. Cette commande commence à bloquer tous les paquets 42 du port TCP entrant/sortant et du port UDP 42. Cela empêche efficacement la réplication WINS de se produire entre le serveur sur lequel ces commandes ont été exécutées et les partenaires de réplication WINS.

     %IPSEC_Command% -w REG -p "Block WINS Replication" –x 

     Si vous rencontrez des problèmes sur le réseau après avoir activé cette stratégie IPSec, vous pouvez annuler l’affectation de la stratégie, puis supprimer la stratégie à l’aide des commandes suivantes :

     %IPSEC_Command% -w REG -p "Block WINS Replication" -y 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -o 

     Pour permettre à la réplication WINS de fonctionner entre des partenaires de réplication WINS spécifiques, vous devez remplacer ces règles de bloc par des règles d’autorisation. Les règles d’autorisation doivent spécifier uniquement les adresses IP de vos partenaires de réplication WINS approuvés.
     
     
     Vous pouvez utiliser les commandes suivantes pour mettre à jour la stratégie Bloquer la réplication WINS IPSec afin d’autoriser des adresses IP spécifiques à communiquer avec le serveur qui utilise la stratégie Bloquer la réplication WINS.
     
     Remarque Dans ces commandes, %IPSEC_Command% fait référence à Ipsecpol.exe (sur Windows 2000) ou Ipseccmd.exe (sur Windows Server 2003), et %IP% fait référence à l’adresse IP du serveur WINS distant avec lequel vous souhaitez effectuer la réplication.

     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS 
     

     Pour affecter la stratégie immédiatement, utilisez la commande suivante :

     %IPSEC_Command% -w REG -p "Block WINS Replication" -x

   • Option 2 : Exécutez un script pour configurer automatiquement les filtres
     IPSec Download, puis exécutez le script WINS Replication Blocker qui crée une stratégie IPSec pour bloquer les ports. Pour ce faire, procédez comme suit :
     

     1. Pour télécharger et extraire les fichiers .exe, procédez comme suit :
        

        1. Téléchargez le script du bloqueur de réplication WINS.
           
           Le fichier suivant est disponible en téléchargement à partir du Centre de téléchargement Microsoft :
           
           Télécharger le package de script du bloqueur de réplication WINS maintenant.
           
           Date de publication : 2 décembre 2004
           
           Pour plus d’informations sur le téléchargement des fichiers Support Microsoft, cliquez sur le numéro d’article suivant pour afficher l’article dans la Base de connaissances Microsoft :

           119591 Comment obtenir des fichiers de support Microsoft à partir de services en ligne
           Microsoft a analysé ce fichier à la recherche de virus. Microsoft a utilisé les logiciels de détection de virus les plus récents disponibles à la date de publication de ce fichier. Le fichier est stocké sur des serveurs à sécurité renforcée qui permettent d’empêcher toute modification non autorisée du fichier.
           

           Si vous téléchargez le script WINS Replication Blocker sur une disquette, utilisez un disque vide formaté. Si vous téléchargez le script WINS Replication Blocker sur votre disque dur, créez un dossier pour enregistrer temporairement le fichier dans et extraire le fichier.
           
           
           Attention Ne téléchargez pas de fichiers directement dans votre dossier Windows. Cette action peut remplacer les fichiers requis pour que votre ordinateur fonctionne correctement.

        2. Recherchez le fichier dans le dossier dans lequel vous l’avez téléchargé, puis double-cliquez sur le fichier .exe à extraction automatique pour extraire le contenu dans un dossier temporaire. Par exemple, extrayez le contenu dans C :\Temp.

     2. Ouvrez une invite de commandes, puis accédez au répertoire où les fichiers sont extraits.

     3. Avertissement

        • Si vous pensez que vos serveurs WINS peuvent être infectés, mais que vous ne savez pas quels serveurs WINS sont compromis ou si votre serveur WINS actuel est compromis, n’entrez aucune adresse IP à l’étape 3. Toutefois, depuis novembre 2004, nous n’avons pas connaissance de clients qui ont été affectés par ce problème. Par conséquent, si vos serveurs fonctionnent comme prévu, continuez comme décrit.

        • Si vous avez configuré IPsec de manière incorrecte, vous risquez d’entraîner de graves problèmes de réplication WINS sur votre réseau d’entreprise.

        Exécutez le fichier Block_Wins_Replication.cmd. Pour créer les règles de blocage entrant et sortant du port TCP 42 et du port UDP 42, tapez
        1, puis appuyez sur Entrée pour sélectionner l’option 1 lorsque vous êtes invité à sélectionner l’option souhaitée.

        Après avoir sélectionné l’option 1, le script vous invite à entrer les adresses IP des serveurs de réplication WINS approuvés.
        
        
        Chaque adresse IP que vous entrez est exemptée de la stratégie de blocage du port TCP 42 et du port UDP 42. Vous êtes invité dans une boucle et vous pouvez entrer autant d’adresses IP que nécessaire. Si vous ne connaissez pas toutes les adresses IP des partenaires de réplication WINS, vous pouvez réexécuter le script à l’avenir. Pour commencer à entrer les adresses IP des partenaires de réplication WINS approuvés, tapez 2 , puis appuyez sur ENTRÉE pour sélectionner l’option 2 lorsque vous êtes invité à sélectionner l’option souhaitée.
        
        
        Après avoir déployé la mise à jour de sécurité, vous pouvez supprimer la stratégie IPSec. Pour ce faire, exécutez le script. Tapez 3, puis appuyez sur Entrée pour sélectionner l’option 3 lorsque vous êtes invité à sélectionner l’option souhaitée.
        
        Pour plus d’informations sur IPsec et sur la façon d’appliquer des filtres, cliquez sur le numéro d’article suivant pour afficher l’article dans la Base de connaissances Microsoft :
        
        

        313190 Comment utiliser des listes de filtres IP IPsec dans Windows 2000
        
        

3. Supprimez WINS si vous n’en avez pas besoin.
   
   Si vous n’avez plus besoin de WINS, procédez comme suit pour le supprimer. Ces étapes s’appliquent à Windows 2000, Windows Server 2003 et versions ultérieures de ces systèmes d’exploitation. Pour Windows NT Server 4.0, suivez la procédure incluse dans la documentation du produit.
   
   Important De nombreuses organisations exigent que WINS effectue des fonctions d’inscription et de résolution de noms uniques ou plates sur leur réseau. Les administrateurs ne doivent pas supprimer WINS sauf si l’une des conditions suivantes est remplie :
   

   • L’administrateur comprend parfaitement l’effet de la suppression de WINS sur son réseau.

   • L’administrateur a configuré DNS pour fournir les fonctionnalités équivalentes à l’aide de noms de domaine complets et de suffixes de domaine DNS.

   En outre, si un administrateur supprime la fonctionnalité WINS d’un serveur qui continuera à fournir des ressources partagées sur le réseau, l’administrateur doit reconfigurer correctement le système pour utiliser les autres services de résolution de noms tels que DNS sur le réseau local.
   
   Pour plus d’informations sur WINS, visitez le site web Microsoft suivant :

   http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true Pour plus d’informations sur la façon de déterminer si vous avez besoin de la résolution de noms NETBIOS ou WINS et de la configuration DNS, visitez le site Web Microsoft suivant :

   http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxPour supprimer WINS, procédez comme suit :
   

   1. Dans Panneau de configuration, ouvrez Ajout/Suppression de programmes.

   2. Cliquez sur Ajouter/Supprimer des composants Windows.
      

   3. Dans la page De l’Assistant Composants Windows, sous
      Composants, cliquez sur Services de mise en réseau, puis sur Détails.

   4. Cliquez pour effacer la zone de case activée windows Internet Naming Service (WINS) pour supprimer WINS.

   5. Suivez les instructions à l’écran pour terminer l’Assistant Composants Windows.

Nous travaillons sur une mise à jour pour résoudre ce problème de sécurité dans le cadre de notre processus de mise à jour régulière. Lorsque la mise à jour a atteint un niveau de qualité approprié, nous fournissons la mise à jour via Windows Update.


Si vous pensez avoir été affecté, contactez les services de support technique.

Les clients internationaux doivent contacter les services de support technique en utilisant n’importe quelle méthode répertoriée sur le site web Microsoft suivant :

http://support.microsoft.com