כיצד להגן מפני בעיית האבטחה של WINS

מבוא

אנו בודקים דוחות של בעיית אבטחה עם Microsoft Windows Internet שם שירות (WINS). בעיית אבטחה זו משפיעה על Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 מסוף שרת Edition, Microsoft Windows 2000 Server, ו- Microsoft Windows Server 2003. בעיית אבטחה זו אינה משפיעה על Microsoft Windows 2000 Professional, Microsoft Windows XP או ב- Microsoft Windows Millennium Edition.

מידע נוסף

כברירת מחדל, WINS אינו מותקן ב- Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server או Windows Server 2003. כברירת מחדל, WINS הוא מותקן ופועל על 2000 שרת עסקי קטן Microsoft ו- Microsoft Windows Small Business Server 2003. כברירת מחדל, בכל הגירסאות של Microsoft Small Business Server, יציאות התקשורת של רכיב WINS חסומות מהאינטרנט ולאחר WINS זמין רק ברשת המקומית.

בעיית אבטחה זו עלולה לאפשר לתוקף לסכן מרחוק של שרת WINS אם מתקיים אחד מהתנאים הבאים:

שינית את תצורת ברירת המחדל כדי להתקין את התפקיד של שרת WINS ב- Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server או Windows Server 2003.
אתה משתמש ב- Microsoft 2000 Server עסק קטן או Microsoft Windows Small Business Server 2003 ולאחר תוקף יש גישה לרשת המקומית שלך.

כדי לסייע בהגנה על המחשב שלך מפני פגיעות פוטנציאלית זו, בצע את הפעולות הבאות:

יציאה Block tcp מס ' 42 ויציאה UDP 42 בחומת האש.

יציאות אלה משמשות לאתחול חיבור עם שרת WINS מרוחק. אם חסימת יציאות אלה בחומת האש, תוכל לסייע במניעת מחשבים הנמצאות מאחורי חומת האש מפני ניסיון לנצל פגיעות זו. יציאת tcp מס ' 42 ואת יציאת UDP 42 הן היציאות שכפול של WINS המשמש כברירת מחדל. מומלץ לחסום כל תקשורת נכנסת שלא התבקשה מהאינטרנט.
השתמש באבטחת פרוטוקול אינטרנט (IPsec) כדי להגן על תעבורה בין שותפי השכפול של שרת WINS. לשם כך, השתמש באחת מהאפשרויות הבאות.

שים לב מכיוון כל תשתית WINS הוא ייחודי, שינויים אלה עשויים להיות לא צפויה אפקטים על תשתית שלך. אנו ממליצים לבצע ניתוח סיכונים לפני תבחר ליישם הקלת אבטחה זו. אנו גם ממליצים לבצע בדיקה מלאה לפני שתכניס הקלת לתוך ייצור.
- אפשרות מס ' 1: הגדר באופן ידני את מסנני IPSec
  הגדר באופן ידני את מסנני IPSec ולאחר מכן בצע את ההוראות במאמר הבא מתוך מאגר הידע Microsoft Knowledge Base כדי להוסיף מסנן בלוק ואשר חוסמת כל המנות מכל כתובת IP לכתובת ה-IP של המערכת שלך:
  
  813878 כיצד לחסום פרוטוקולי רשת ספציפיות ויציאות באמצעות IPSec
  
  אם השימוש ב- IPSec בסביבת תחום Active Directory של Windows 2000 ולפרוס את מדיניות IPSec באמצעות מדיניות קבוצתית, מדיניות קבוצת המחשבים עוקפת מדיניות שהוגדרו מקומית כלשהי. מופע זה מונע אפשרות זו מחסימת המנות הרצוי לך.
  
  כדי לקבוע אם השרתים שלך מקבלים מדיניות IPSec מתוך תחום של Windows 2000 או גירסה מתקדמת יותר, עיין בסעיף "לקבוע אם מדיניות IPSec שהוקצתה" במאמר Knowledge Base מס ' 813878.
  
  לאחר שקבעת כי באפשרותך ליצור מדיניות IPSec מקומית יעילה, הורד בכלי IPSeccmd.exe או IPSecpol.exe.
  
  הפקודות הבאות לחסום גישה נכנסים ויוצאים ביציאת tcp מס ' 42 ואת יציאת UDP 42.
  
  הערה בפקודות אלה, %IPSEC_Command% מתייחס Ipsecpol.exe (ב- Windows 2000) או Ipseccmd.exe (ב- Windows Server 2003).
  %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK
  הפקודה הבאה הופכת את מדיניות IPSec לתוקף באופן מיידי אם אין מדיניות מתנגשים. פקודה זו יתחיל לחסום כל יציאת TCP נכנסות/יוצאות 42 ומנות 42 יציאת UDP. הדבר מונע ביעילות שכפול WINS התרחשות בין השרת שהופעלו פקודות אלה על כל שותפי שכפול של WINS.
  %IPSEC_Command% -w REG -p "Block WINS Replication" –x
  אם אתה נתקל בבעיות ברשת לאחר שהפעלת מדיניות IPSec זו, באפשרותך לבטל את הקצאת המדיניות ולאחר מכן למחוק את המדיניות באמצעות הפקודות הבאות:
  %IPSEC_Command% -w REG -p "Block WINS Replication" -y %IPSEC_Command% -w REG -p "Block WINS Replication" -o
  כדי לאפשר שכפול WINS לפונקציה בין WINS מסוים עליך לעקוף כללי חסימה אלה עם שותפי שכפול לאפשר כללים. הכללים אפשר יש לציין את כתובות ה-IP של שלך אמין שותפי שכפול של WINS בלבד.
  
  באפשרותך להשתמש בפקודות הבאות כדי לעדכן את מדיניות IPSec של שכפול של WINS בלוק כדי לאפשר כתובות IP ספציפיות לקיים תקשורת עם השרת המשמשת את מדיניות שכפול WINS בלוק.
  
  הערה בפקודות אלה, %IPSEC_Command% מתייחס Ipsecpol.exe (ב- Windows 2000) או Ipseccmd.exe (ב- Windows Server 2003), ומפנה %IP% אל כתובת ה-IP של שרת WINS המרוחק שברצונך לשכפל עם.
  %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS
  כדי להקצות באופן מיידי את המדיניות, השתמש בפקודה הבאה:
  %IPSEC_Command% -w REG -p "Block WINS Replication" -x
- אפשרות 2: סקריפט כדי לקבוע באופן אוטומטי את מסנני IPSec
  הורד ולאחר מכן להפעיל את ה-script הפריטים המוקפצים שכפול WINS היוצרת מדיניות IPSec כדי לחסום את היציאות. לשם כך, בצע את הפעולות הבאות:
  1. כדי להוריד ולחלץ קבצי .exe, בצע את הפעולות הבאות:
    1. הורד את קובץ ה-script של הפריטים המוקפצים שכפול WINS.
      
      הקובץ הבא זמין להורדה במרכז ההורדות של Microsoft:
      
      הורד כעת את חבילת ה-script של הפריטים המוקפצים שכפול WINS.
      
      תאריך שחרור:, 2 בדצמבר, 2004
      
      לקבלת מידע נוסף אודות אופן ההורדה של קובצי תמיכה של מיקרוסופט, לחץ על מספר המאמר הבא כדי להציג את המאמר הרלוונטי מתוך Microsoft Knowledge Base:
      
      119591 כיצד לקבל קבצי תמיכה של Microsoft משירותים מקוונים
      Microsoft סרקה קובץ זה לאיתור וירוסים. Microsoft השתמשה בתוכנת איתור הווירוסים העדכנית ביותר שהיתה זמינה בתאריך פרסום הקובץ. הקובץ מאוחסן בשרתים בעלי אבטחה מוגברת המסייעים למנוע שינויים בלתי מורשים בקובץ.
      
      אם אתה מוריד קובץ ה-script של הפריטים המוקפצים שכפול WINS לתקליטון, להשתמש בדיסק ריק מאותחל. אם אתה מוריד קובץ ה-script של הפריטים המוקפצים שכפול WINS לדיסק הקשיח, צור תיקיה חדשה כדי לשמור את הקובץ באופן זמני וחלץ את הקובץ מתוך.
      
      שים לב אל תוריד קבצים ישירות לתיקיית Windows שלך. פעולה זו עלולה להחליף קבצים הדרושים עבור המחשב לפעול כראוי.
    2. לאתר את הקובץ בתיקיה שהורדת אותו כדי ולאחר מכן לחץ פעמיים על קובץ ה-.exe לחילוץ עצמי כדי לחלץ את תוכן התיקיה הזמנית. לדוגמה, לחלץ את התוכן ל- C:\Temp.
  2. פתח שורת פקודה ולאחר מכן הזז אל הספריה שבה יחולצו הקבצים.
  3. אזהרה
    - אם אתה חושד עשוי להיות נגוע שרתי ה-WINS, אך אינך בטוח אילו שרתי WINS נחשפו או אם שרת WINS הנוכחי שלך בסכנה, אין להזין כתובות IP בשלב 3. עם זאת, החל בנובמבר 2004, אנו מודעים לא כל לקוחות כי הושפעו מבעיה זו. לכן, אם השרתים שלך פועלים כצפוי, המשך כמתואר.
    - אם אתה מגדיר את IPsec בצורה שגויה, אתה עלול לגרום לבעיות חמורות של שכפול WINS ברשת הארגונית שלך.
    הפעל את הקובץ Block_Wins_Replication.cmd. כדי ליצור את יציאת ה-TCP 42 ואת יציאת UDP-כללי חסימה ויציאה של 42, הקלד
    1 ולאחר מכן הקש ENTER כדי לבחור באפשרות 1 כאשר אתה מתבקש לבחור את האפשרות הרצויה.
    
    לאחר בחירה באפשרות 1, קובץ ה-script מבקש ממך להזין כתובות ה-IP של שרתי ה-WINS שכפול מהימן.
    
    כל כתובת IP שאתה מזין מניכוי יציאת ה-TCP חסימה 42 ומדיניות 42 יציאת UDP. תתבקש בלולאה ולאחר מכן באפשרותך להזין כתובות IP לפי הצורך. אם אינך יודע את כתובות ה-IP של שותפי שכפול של WINS, באפשרותך להפעיל את ה-script שוב בעתיד. כדי להתחיל הזנת כתובות IP של שותפי שכפול של WINS מהימן, סוג 2 ולאחר מכן הקש ENTER כדי לבחור באפשרות 2 כאשר אתה מתבקש לבחור בהם האפשרות שאתה רוצה.
    
    לאחר פריסת עדכון האבטחה, באפשרותך להסיר את מדיניות IPSec. כדי לעשות זאת, הפעל את קובץ ה-script. הקלד 3 ולאחר מכן הקש ENTER כדי לבחור באפשרות 3 כאשר אתה מתבקש לבחור את האפשרות הרצויה.
    
    לקבלת מידע נוסף אודות IPsec וכיצד להחיל מסננים, לחץ על מספר המאמר הבא כדי להציג את המאמר הרלוונטי מתוך Microsoft Knowledge Base:
    
    313190 כיצד להשתמש ברשימות מסנני IPsec IP ב- Windows 2000
הסר את WINS אם אינך זקוק לו.

אם אינך זקוק עוד WINS, בצע שלבים אלה כדי להסיר אותו. שלבים אלה חלים על Windows 2000, Windows Server 2003 ובגירסאות מאוחרות יותר של מערכות הפעלה אלה. עבור Windows NT Server 4.0, בצע את ההליך הכלול בתיעוד המוצר.

חשוב ארגונים רבים דרוש WINS כדי לבצע תווית בודדת או פונקציות לזיהוי ורישום שם שטוח ברשת שלהם. מנהלי מערכת אינם צריכים להסיר את WINS אלא אם אחד מהתנאים הבאים מתקיים:
- מנהל מודעת באופן מלא האפקט כי הסרת WINS זה יהיה ברשת שלהם.
- מנהל המערכת הגדיר את DNS כדי לספק פונקציונליות שוות ערך באמצעות שמות תחום מלאים סיומות ה-DNS של קבוצת מחשבים.
כמו כן, אם מנהל מערכת מסיר את פונקציונליות WINS משרת אשר ימשיך לספק משאבים משותפים ברשת, מנהל המערכת חייב את המערכת מחדש כהלכה כדי להשתמש בשירותי זיהוי השמות הנותרים כמו ה-DNS במחשב המקומי רשת.

לקבלת מידע נוסף אודות WINS, בקר באתר האינטרנט הבא של Microsoft:

http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=trueלקבלת מידע נוסף אודות האופן שבו ניתן לקבוע אם עליך והגדרת תצורת DNS של NETBIOS או WINS, זיהוי שמות, בקר באתר האינטרנט הבא של Microsoft:

http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxכדי להסיר את WINS, בצע את הפעולות הבאות:
1. בלוח הבקרה, פתח את הוספה או הסרה של תוכניות.
2. לחץ על הוספה/הסרה של רכיבי Windows.
3. בדף ' אשף רכיבי Windows ', תחת
  רכיבים, לחץ על שירותי רשתולאחר מכן לחץ על פרטים.
4. לחץ כדי לנקות את תיבת הסימון שירות מתן שמות באינטרנט Windows (WINS) כדי להסיר את WINS.
5. בצע את ההוראות שעל המסך כדי להשלים את אשף רכיבי Windows.

אנו עובדים על עדכון כדי לטפל בבעיה אבטחה זו כחלק מתהליך העדכון הרגיל שלנו. כאשר העדכון הגיע רמה מתאימה של איכות, אנו נספק את העדכון באמצעות Windows Update.

אם אתה סבור כי אתה הסבורים שנחשפו, פנה לשירותי התמיכה במוצר.

לקוחות בינלאומיים מתבקשים לפנות לשירותי התמיכה במוצר באמצעות כל שיטה המפורט באתר האינטרנט הבא של Microsoft:

http://support.microsoft.com

כיצד להגן מפני בעיית האבטחה של WINS

מבוא

מידע נוסף

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

האם מידע זה היה שימושי?

תודה על המשוב!