Comment faire pour se protéger contre un problème de sécurité relatif à WINS


INTRODUCTION


Nous étudions actuellement un problème de sécurité relatif à Microsoft Windows Internet Name Service (WINS). Ce problème de sécurité touche Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Édition Terminal Server, Windows 2000 Server et Windows Server 2003. Windows 2000 Professionnel, Windows XP et Windows Millennium Edition ne sont pas concernés par ce problème de sécurité.

Plus d'informations


Par défaut, WINS n'est pas installé sur Windows NT Server 4.0, Windows NT Server 4.0 Édition Terminal Server, Windows 2000 Server et Windows Server 2003. WINS est installé et s'exécute par défaut sur Microsoft Small Business Server 2000 et Microsoft Windows Small Business Server 2003. Par défaut, sur toutes les versions de Microsoft Small Business Server, l'accès Internet des ports de communication du composant WINS est bloqué et WINS est disponible uniquement sur le réseau local.

Ce problème de sécurité peut permettre à une personne malveillante d'attaquer un serveur WINS à distance si l'une des conditions suivantes est remplie :
  • Vous avez modifié la configuration par défaut pour installer le rôle de serveur WINS sur Windows NT Server 4.0, Windows NT Server 4.0 Édition Terminal Server, Windows 2000 Server ou Windows Server 2003.
  • Vous exécutez Microsoft Small Business Server 2000 ou Microsoft Windows Small Business Server 2003 et une personne malveillante a accès à votre réseau local.
Pour contribuer à protéger votre ordinateur contre cette vulnérabilité potentielle, procédez comme suit :
  1. Bloquez les ports TCP 42 et UDP 42 au niveau de votre pare-feu.


    Ces ports servent à démarrer une connexion avec un serveur WINS distant. En bloquant ces ports au niveau du pare-feu, vous protégez les ordinateurs qui se trouvent derrière ce pare-feu contre les attaques visant à exploiter cette vulnérabilité. Les ports TCP 42 et UDP sont les ports de réplication WINS par défaut. Nous recommandons de bloquer toutes les communications entrantes non sollicitées en provenance d'Internet.
  2. Utilisez IPSec (Internet Protocol Security) pour sécuriser le trafic entre les partenaires de réplication de serveurs WINS. Pour cela, appliquez l'une des options suivantes.

    Attention Chaque infrastructure WINS étant unique, ces modifications peuvent avoir des effets inattendus sur votre infrastructure. Il est vivement recommandé d'effectuer une analyse des risques avant d'implémenter cette mitigation. Il est également vivement recommandé de procéder à un test complet avant de lancer cette mitigation.
    • Option 1 : Configurer manuellement les filtres IPSec
      Configurez manuellement les filtres IPSec, puis suivez les instructions de l'article suivant de la Base de données Microsoft pour ajouter un filtre qui bloque tous les paquets provenant de n'importe quelle adresse IP à destination de l'adresse IP de votre système :
      813878 Comment faire pour bloquer des ports et protocoles réseau spécifiques en utilisant IPSec

      Si vous utilisez IPSec dans votre environnement de domaine Windows 2000 Active Directory et que vous déployez votre stratégie IPSec à l'aide d'une stratégie de groupe, la stratégie de domaine remplace toute stratégie définie localement. Cela empêche que cette option bloque les paquets de votre choix.

      Pour déterminer si vos serveurs reçoivent une stratégie IPSec d'un domaine Windows 2000 ou version ultérieure, reportez-vous à la section « Vérification de l'activation d'une stratégie IPSec » de l'article 813878 dans la Base de connaissances.

      Lorsque vous avez déterminé que vous pouvez créer une stratégie IPSec locale efficace, téléchargez l'outil IPSeccmd.exe ou IPSecpol.exe.

      Les commandes suivantes bloquent l'accès entrant et sortant vers les ports TCP 42 et UDP 42.

      Remarque Dans ces commandes, %commande_IPSEC% fait référence à Ipsecpol.exe (sur Windows 2000) ou Ipseccmd.exe (sur Windows Server 2003).
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK
      Avec la commande suivante, la stratégie IPSec est efficace immédiatement s'il n'existe aucun conflit de stratégie. Cette commande bloque l'accès entrant et sortant des paquets sur les ports TCP 42 et UDP 42. La réplication WINS est alors impossible entre le serveur sur lequel ces commandes sont exécutées et ses partenaires de réplication WINS.
      %IPSEC_Command% -w REG -p "Block WINS Replication" –x 
      Si vous rencontrez des problèmes sur le réseau après avoir activité cette stratégie IPSec, vous pouvez désactiver cette stratégie puis la supprimer à l'aide des commandes suivantes :
      %IPSEC_Command% -w REG -p "Block WINS Replication" -y 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -o
      Pour permettre à la réplication WINS de fonctionner entre des partenaires de réplication WINS spécifiques, remplacez ces règles bloquées par des règles autorisées. Les règles autorisées doivent spécifier uniquement les adresses IP de vos partenaires de réplication WINS approuvés.


      Vous pouvez utiliser les commandes suivantes pour mettre à jour la stratégie IPSec de blocage de réplication WINS afin de permettre aux adresses IP spécifiques de communiquer avec le serveur qui utilise cette stratégie.

      Remarque Dans ces commandes, %commande_IPSEC% fait référence à Ipsecpol.exe (sur Windows 2000) ou Ipseccmd.exe (sur Windows Server 2003), et %IP% fait référence à l'adresse IP du serveur WINS distant avec lequel vous souhaitez établir une réplication.
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS
      Pour attribuer la stratégie immédiatement, utilisez la commande suivante :
      %IPSEC_Command% -w REG -p "Block WINS Replication" -x
    • Option 2 : Exécuter un script afin de configurer automatiquement les filtres IPSec
      Téléchargez, puis exécutez le script de blocage de réplication WINS qui crée une stratégie IPSec pour bloquer les ports. Pour cela, procédez comme suit :
      1. Pour télécharger et extraire les fichiers .exe, procédez comme suit :
        1. Téléchargez le script de blocage de réplication WINS.

          Vous pouvez télécharger le fichier suivant à partir du Centre de téléchargement Microsoft (en anglais) :

          Télécharger Télécharger le script de blocage de réplication WINS maintenant.

          Date de publication : 2 décembre 2004

          Pour plus d'informations sur la façon de télécharger des fichiers du Support technique Microsoft, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
          119591 Comment faire pour obtenir des fichiers de support technique Microsoft auprès des services en ligne
          Microsoft a analysé ce fichier en vue de détecter la présence de virus. Microsoft a utilisé les logiciels de détection de virus les plus récents disponibles à la date de publication de ce fichier. Le fichier est conservé sur des serveurs sécurisés, empêchant toute modification non autorisée du fichier.
          Si vous téléchargez le script de blocage de réplication WINS sur une disquette, utilisez une disquette vierge formatée. Si vous téléchargez le script de blocage de réplication WINS sur votre disque dur, créez un nouveau dossier pour enregistrer temporairement et décompresser le fichier.


          Attention Ne téléchargez pas les fichiers directement dans votre dossier Windows. Cela pourrait écraser des fichiers nécessaires au bon fonctionnement de votre ordinateur.
        2. Recherchez le fichier dans le dossier de téléchargement, puis double-cliquez sur le fichier .exe auto-extractible pour extraire son contenu dans un dossier temporaire. Par exemple, C:\Temp.
      2. Ouvrez une invite de commandes, puis accédez au répertoire d'extraction des fichiers.
      3. Avertissement
        • Si vous suspectez que vos serveurs WINS sont infectés, mais que vous ne savez pas exactement quels serveurs WINS sont attaqués ou si le serveur WINS actif est attaqué, ne saisissez aucune adresse IP à l'étape 3. Cependant, nous n'avons pas connaissance de clients affectés par ce problème depuis novembre 2004. Par conséquent, si vos serveurs fonctionnent comme prévu, poursuivez la procédure décrite.
        • Si vous ne configurez pas correctement IPSec, vous risquez de provoquer des problèmes majeurs de réplication WINS au sein d'un réseau d'entreprise. Pour plus d'informations sur les considérations relatives à IPSec, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais) :
        Exécutez le fichier Block_Wins_Replication.cmd. Pour créer les règles de blocage d'accès entrant et sortant des ports TCP 42 et UDP 42, tapez 1, puis appuyez sur ENTRÉE pour sélectionner l'option 1 lorsque vous êtes invité à sélectionner l'option de votre choix.
        Après avoir choisi l'option 1, le script vous invite à saisir les adresses IP des serveurs de réplication WINS approuvés.


        Chaque adresse IP que vous saisissez est exemptée de la stratégie de blocage des ports TCP 42 et UDP 42. Vous êtes invité dans une boucle ; vous pouvez entrer autant d'adresses IP que vous le souhaitez. Si vous ne connaissez pas toutes les adresses IP des partenaires de réplication WINS, vous pouvez réexécutez le script ultérieurement. Pour commencer la saisie des adresses IP des partenaires de réplication WINS approuvés, tapez 2, puis appuyez sur ENTRÉE pour choisir l'option 2 lorsque vous êtes invité à sélectionner l'option de votre choix.


        Après avoir déployé la mise à jour de sécurité, vous pouvez supprimer la stratégie IPSec. Pour cela, exécutez le script. Tapez 3, puis appuyez sur ENTRÉE pour choisir l'option 3 lorsque vous êtes invité à sélectionner l'option de votre choix.

        Pour plus d'informations sur la sécurité IPSec et sur la façon d'appliquer des filtres, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.

        313190 COMMENT FAIRE : Utiliser les listes de filtres IP IPSec dans Windows 2000

  3. Supprimez WINS si vous n'en n'avez pas besoin.

    Si vous n'avez plus besoin de WINS, procédez comme suit pour le supprimer. Ces étapes s'appliquent à Windows 2000, Windows Server 2003 et versions ultérieures de ces systèmes d'exploitation. Pour Windows NT Server 4.0, suivez la procédure indiquée dans la documentation du produit.

    Important De nombreuses entreprises ont besoin de WINS pour exécuter les fonctions d'enregistrement et de résolution de noms ou d'étiquette unique sur leur réseau. Les administrateurs ne doivent supprimer WINS que lorsque l'une des conditions suivantes est remplie :
    • L'administrateur comprend pleinement l'impact qu'aura la suppression de WINS sur le réseau.
    • L'administrateur a configuré le serveur DNS pour fournir une fonctionnalité équivalente à l'aide de noms de domaine complets et de suffixes de domaine DNS.
    D'autre part, si un administrateur supprime la fonctionnalité WINS d'un serveur qui continue à fournir des ressources partagées sur le réseau, il doit reconfigurer correctement le système afin que ce dernier utilise les services restants de résolution de noms comme le serveur DNS sur le réseau local.

    Pour plus d'informations sur WINS, reportez-vous au site Web de Microsoft à l'adresse suivante : Pour plus d'informations sur la façon de déterminer si vous avez besoin de la résolution de noms NETBIOS ou WINS et de la configuration DNS, reportez-vous au site Web de Microsoft à l'adresse suivante : Pour supprimer WINS, procédez comme suit :
    1. Dans le Panneau de configuration, ouvrez Ajout/Suppression de programmes.
    2. Cliquez sur Ajouter/supprimer des composants Windows.
    3. Sur la page Assistant Composants de Windows, sous Composants, cliquez sur Services de mise en réseau, puis cliquez sur Détails.
    4. Désactivez la case à cocher Service WINS (Windows Internet Name Service) pour supprimer ce composant.
    5. Suivez les instructions qui s'affichent à l'écran pour terminer l'exécution de l'Assistant Composants Windows.
Dans le cadre habituel du processus de mise à jour, nous travaillons actuellement à l'élaboration d'une mise à jour visant à contrer ce problème de sécurité. Lorsque cette mise à jour aura atteint un niveau de qualité satisfaisant, nous la fournirons par l'intermédiaire de Windows Update.


Si vous pensez être concerné par ce problème, contactez les services de Support technique. Utilisez le numéro de téléphone PC Safety suivant pour contacter les services de Support technique en Amérique du Nord pour obtenir de l'aide sur les problèmes liés aux mises à jour de sécurité ou sur les virus :
1-866-PCSAFETY
Remarque Ce numéro d'appel est gratuit.

Les utilisateurs en dehors de l'Amérique du Nord peuvent contacter les services de Support technique par l'un des moyens indiqués sur le site Web de Microsoft à l'adresse suivante :