כיצד להגן מפני בעיית אבטחה של WINS

מבוא

אנו בודקים דוחות על בעיית אבטחה בשירות שמות האינטרנט של Microsoft Windows (WINS). בעיית אבטחה זו משפיעה על Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server ו- Microsoft Windows Server 2003. בעיית אבטחה זו אינה משפיעה על Microsoft Windows 2000 Professional, Microsoft Windows XP או Microsoft Windows Millennium Edition.

מידע נוסף

כברירת מחדל, WINS אינו מותקן ב- Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server או Windows Server 2003. כברירת מחדל, WINS מותקן פועלים ב- Microsoft Small Business Server 2000 וב- Microsoft Windows Small Business Server 2003. כברירת מחדל, בכל הגירסאות של Microsoft Small Business Server, יציאות התקשורת של רכיב WINS חסומות מהאינטרנט, ו- WINS זמין רק ברשת המקומית. בעיית אבטחה זו עשויה לאפשר לתוקף לסכן מרחוק שרת WINS אם מתקיים אחד מהתנאים הבאים:

שינית את תצורת ברירת המחדל להתקנת תפקיד שרת WINS ב- Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server או Windows Server 2003.
במחשב שלך פועל Microsoft Small Business Server 2000 או Microsoft Windows Small Business Server 2003, ולתוקף יש גישה לרשת המקומית שלך.

כדי לסייע בהגנה על המחשב מפני פגיעות פוטנציאלית זו, בצע את הפעולות הבאות:

חסום את יציאת TCP 42 ואת יציאת UDP 42 בחומת האש.יציאות אלה משמשות ליזום חיבור עם שרת WINS מרוחק. אם תחסום יציאות אלה בחומת האש, תמנע ממחשבים שנמצאים מאחורי חומת אש זו לנסות להשתמש בפגיעות זו. יציאת TCP 42 ויציאת UDP 42 הן יציאות השכפול של WINS המהוות ברירת מחדל. אנו ממליצים לחסום מהאינטרנט את כל התקשורת הנכנסת שלא התבקשה.
השתמש באבטחה של פרוטוקול אינטרנט (IPsec) כדי לסייע בהגנה על התעבורה בין שותפי שכפול שרת WINS. לשם כך, השתמש באחת מהאפשרויות הבאות. שים לב מכיוון שכל תשתית WINS היא ייחודית, שינויים אלה עשויים לכלול השפעות בלתי צפויות על התשתית שלך. אנו ממליצים לבצע ניתוח סיכונים לפני שתבחר ליישם צמצום סיכונים זה. כמו כן, אנו ממליצים לבצע בדיקות מלאות לפני שתבצע צמצום סיכונים זה לייצור.
- אפשרות 1: קבע באופן ידני את התצורה של מסנני IPSec קבע באופן ידני את התצורה של מסנני IPSec ולאחר מכן בצע את ההוראות במאמר הבא מתוך מאגר הידע של Microsoft כדי להוסיף מסנן חסימה החוסם את כל המנות מכל כתובת IP לכתובת ה- IP של המערכת שלך:
  
  813878 כיצד לחסום פרוטוקולי רשת ויציאות ספציפיים באמצעות IPSec אם אתה משתמש ב- IPSecבסביבה של תחום Windows 2000 Active Directory ואתה פורס את מדיניות IPSec שלך באמצעות מדיניות קבוצתית, מדיניות התחום עוקפת כל מדיניות המוגדרת באופן מקומי. מופע זה מונע מאפשרות זו לחסום את המנות הרצויות.כדי לקבוע אם השרתים שלך מקבלים מדיניות IPSec מתחום של Windows 2000 או מגירסה מאוחרת יותר, עיין בסעיף "קביעת אם מוקצית מדיניות IPSec" במאמר Knowledge Base 813878. לאחר שתקבע שבאפשרותך ליצור מדיניות IPSec מקומית יעילה, הורד את הכלי IPSeccmd.exe או את כלי IPSecpol.exe שלך. הפקודות הבאות חוסמיות גישה נכנסת ויציאה יוצאת ליציאת TCP 42 וליציאה UDP 42.הערה בפקודות אלה, %IPSEC_Command% מתייחס ל- Ipsecpol.exe (ב- Windows 2000) או ל- Ipseccmd.exe (ב- Windows Server 2003).
  %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK
  הפקודה הבאה הופכת את מדיניות IPSec לתוקף באופן מיידי אם אין מדיניות מתנגשת. פקודה זו תתחיל לחסום את כל המנות של יציאת TCP נכנסת/יוצאת 42 ויציאת UDP 42. פעולה זו מונעת למעשה משכפול WINS להתרחש בין השרת שבו הופעלו פקודות אלה לבין כל שותפי השכפול של WINS.
  %IPSEC_Command% -w REG -p "Block WINS Replication" –x
  אם אתה נתקל בבעיות ברשת לאחר הפיכת מדיניות IPSec זו לזמינה, באפשרותך לבטל את הקצאת המדיניות ולאחר מכן למחוק את המדיניות באמצעות הפקודות הבאות:
  %IPSEC_Command% -w REG -p "Block WINS Replication" -y %IPSEC_Command% -w REG -p "Block WINS Replication" -o
  כדי לאפשר לשכפול WINS לפעול בין שותפי שכפול WINS ספציפיים, עליך לעקוף כללי חסימה אלה באמצעות כללי התרה. כללי היתר צריכים לציין את כתובות ה- IP של שותפי השכפול המהימנים של WINS בלבד.באפשרותך להשתמש בפקודות הבאות כדי לעדכן את מדיניות ה- IPSec של שכפול WINS בלוק כדי לאפשר לכתובות IP ספציפיות לקיים תקשורת עם השרת המשתמש במדיניות חסימת שכפול WINS.הערה בפקודות אלה, %IPSEC_Command% מתייחס ל- Ipsecpol.exe (ב- Windows 2000) או ל- Ipseccmd.exe (ב- Windows Server 2003), ו- %IP% מפנה לכתובת ה- IP של שרת WINS המרוחק שברצונך לשכפל באמצעותו.
  %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS
  כדי להקצות את המדיניות באופן מיידי, השתמש בפקודה הבאה:
  %IPSEC_Command% -w REG -p "Block WINS Replication" -x
- אפשרות 2: הפעל קובץ Script כדי לקבוע באופן אוטומטי את התצורה של מסנני IPSec הורד ולאחר מכן הפעל את קובץ ה- Script של חוסם שכפול WINS יוצר מדיניות IPSec כדי לחסום את היציאות. לשם כך, בצע את הפעולות הבאות:
  1. כדי להוריד ולחלץ את קבצי .exe, בצע את הפעולות הבאות:
    1. הורד את קובץ ה- Script של חוסם השכפול של WINS. הקובץ הבא זמין להורדה ממרכז ההורדות של Microsoft: לחץ את חבילת ה- Script של חוסם שכפול WINS כעת. תאריך הפצה: 2 בדצמבר 2004 לקבלת מידע נוסף אודות אופן ההורדה של קבצי התמיכה של Microsoft, לחץ על מספר המאמר הבא כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
      
      119591 כיצד להשיג קבצי תמיכה של Microsoft מ- שירותים מקוונים Microsoft סרוקה קובץ זה לאיתור וירוסים. Microsoft השתמשה בתוכנה העדכנית ביותר לזיהוי וירוסים, הזמינה בתאריך הפרסום של הקובץ. הקובץ מאוחסן בשרתים עם יכולות אבטחה משופרות שמסייעות למנוע שינויים בלתי מורשים בקובץ.
      
      אם אתה מוריד את קובץ ה- Script של חוסם השכפול של WINS לתקליטון, השתמש בתקליטון ריק מאותחל. אם אתה מוריד את קובץ ה- Script של חוסם שכפול WINS לדיסק הקשיח, צור תיקיה חדשה כדי לשמור את הקובץ באופן זמני ולחלץ את הקובץ ממנו. שים לב אל תוריד קבצים ישירות לתיקיה Windows. פעולה זו עשויה להחליף קבצים הדרושים לפעולה תקינה של המחשב שלך.
    2. אתר את הקובץ בתיקיה שהורדת אותו אליה ולאחר מכן לחץ פעמיים על הקובץ לחילוץ .exe עצמי כדי לחלץ את התוכן לתיקיה זמנית. לדוגמה, חלץ את התוכן ל- C:\Temp.
  2. פתח שורת פקודה ולאחר מכן עבור אל הספריה שבה חולצו הקבצים.
  3. שלט אזהרה
    - אם אתה חושד שהשרת WINS שלך עשוי להיות נגוע, אך אינך בטוח אילו שרתי WINS נחשפים לסכנה או אם שרת WINS הנוכחי שלך נחשף לסכנה, אל תזין כתובות IP בשלב 3. עם זאת, נכון לנובמבר 2004, איננו מודעים ללקוחות שהושפעו מבעיה זו. לכן, אם השרתים שלך יפעלו כצפוי, המשך כמתואר.
    - אם הגדרת באופן שגוי את IPsec, אתה עלול לגרום לבעיות חמורות בשכפול WINS ברשת הארגונית שלך.
    הפעל את Block_Wins_Replication.cmd הקובץ. כדי ליצור את יציאת TCP 42 ואת יציאת UDP 42 כללי חסימה נכנסת ויציאה יוצאת, הקלד 1 ולאחר מכן הקש ENTER כדי לבחור באפשרות 1 כאשר תתבקש לבחור את האפשרות הרצויה.
    
    לאחר שתבחר באפשרות 1, קובץ ה- Script יבקש ממך להזין את כתובות ה- IP של שרתי שכפול WINS המהימנים. כל כתובת IP שאתה מזין פטור ממדיניות חסימת יציאת TCP 42 ויציאת UDP 42. תתבקש לעשות זאת בלולאה, ובאפשרותך להזין כתובות IP רבות ככל הנדרש. אם אינך יודע את כל כתובות ה- IP של שותפי השכפול של WINS, תוכל להפעיל שוב את קובץ ה- Script בעתיד. כדי להתחיל להזין כתובות IP של שותפי שכפול WINS מהימנים, הקלד 2 ולאחר מכן הקש ENTER כדי לבחור באפשרות 2 כאשר תתבקש לבחור באפשרות הרצויה. לאחר פריסת עדכון האבטחה, באפשרותך להסיר את מדיניות IPSec. לשם כך, הפעל את קובץ ה- Script. הקלד 3 ולאחר מכן הקש ENTER כדי לבחור באפשרות 3 כאשר תתבקש לבחור את האפשרות הרצויה.לקבלת מידע נוסף אודות IPsec ועל אופן החלת מסננים, לחץ על מספר המאמר הבא כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
    
    313190 כיצד להשתמש ברשימות מסנני IP של IPsec ב- Windows 2000
הסר את WINS אם אינך זקוק לו. אם אינך זקוק עוד ל- WINS, בצע שלבים אלה כדי להסיר אותו. שלבים אלה חלים על Windows 2000, Windows Server 2003 וגירסאות מתקדמות יותר של מערכות הפעלה אלה. עבור Windows NT Server 4.0, בצע את ההליך הכלול בתיעוד המוצר. חשוב ארגונים רבים דורשים מ- WINS לבצע פונקציות רישום ורזולוציה של תוויות בודדות או שמות שטוחים ברשת שלהם. מנהלי מערכת אינם צריכים להסיר את WINS אלא אם אחד מהתנאים הבאים מתקיים:
- מנהל המערכת מבין באופן מלא את ההשפעה של הסרת WINS תהיה ברשת שלו.
- מנהל המערכת הגדיר את ה- DNS לספק את הפונקציונליות המקבילה באמצעות שמות תחומים וסומות תחום DNS מלאות.
כמו כן, אם מנהל מערכת מסיר את פונקציונליות WINS משרת שיימשך לספק משאבים משותפים ברשת, על מנהל המערכת לקבוע מחדש כראוי את תצורת המערכת כך שתשתמש בשירותים הנותרים של זיהוי שמות, כגון DNS ברשת המקומית. לקבלת מידע נוסף אודות WINS, בקר באתר האינטרנט הבא של Microsoft:

http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true לקבלת מידע נוסף על האופן שבו תוכל לקבוע אם אתה זקוק לרזולוציית שם של NETBIOS או WINS ולתצורות DNS, בקר באתר האינטרנט הבא של Microsoft:

http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxכדי להסיר את WINS, בצע את הפעולות הבאות:
1. בתיבת לוח הבקרה, פתח את הוספה או הסרה של תוכניות.
2. לחץ על הוספה/הסרה של רכיבי Windows.
3. בדף אשף רכיבי Windows, תחתרכיבים, לחץ על שירותי עבודה ברשת ולאחר מכן לחץ על פרטים.
4. לחץ כדי לנקות את תיבת הסימון Windows Internet Naming Service (WINS) כדי להסיר את WINS.
5. בצע את ההוראות המוצגות על המסך כדי להשלים את אשף רכיבי Windows.

אנו עובדים על עדכון כדי לטפל בבעיית אבטחה זו כחלק מתהליך העדכון הרגיל שלנו. לאחר שהעדכון הגיע לרמה מתאימה של איכות, נספק את העדכון באמצעות Windows Update.אם אתה סבור שהושפעת, פנה אל שירותי התמיכה במוצר.לקוחות בינלאומיים צריכים לפנות אל שירותי התמיכה במוצר באמצעות כל שיטה שמופיעה באתר האינטרנט הבא של Microsoft:

http://support.microsoft.com

כיצד להגן מפני בעיית אבטחה של WINS

מבוא

מידע נוסף

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

האם מידע זה היה שימושי?

תודה על המשוב!