WINS सुरक्षा समस्या के विरुद्ध की सुरक्षा में मदद करने के लिए कैसे

लागू: Microsoft Windows Server 2003 Standard Edition (32-bit x86)Microsoft Windows Server 2003 Web EditionMicrosoft Windows Server 2003 Enterprise Edition (32-bit x86)

परिचय


हम सुरक्षा की समस्या के साथ Microsoft Windows इंटरनेट नाम सेवा (WINS) की रिपोर्टों की जाँच करके रहे हैं। Microsoft Windows NT सर्वर 4.0, Microsoft Windows NT सर्वर 4.0 टर्मिनल सर्वर संस्करण, Microsoft Windows 2000 सर्वर और Microsoft Windows Server 2003 सुरक्षा पर इस समस्या को प्रभावित करता है। Microsoft Windows 2000 Professional, Microsoft Windows XP या Microsoft Windows Millennium संस्करण इस सुरक्षा समस्या को प्रभावित नहीं करता है।

अधिक जानकारी


डिफ़ॉल्ट रूप से, WINS स्थापित नहीं है Windows NT सर्वर 4.0, Windows NT सर्वर 4.0 टर्मिनल सर्वर संस्करण, Windows 2000 सर्वर या Windows Server 2003 पर है। डिफ़ॉल्ट रूप से, जीतता है स्थापित है और Microsoft छोटा व्यापार सर्वर 2000 और Microsoft Windows छोटा व्यापार सर्वर 2003 पर चल रहा है। डिफ़ॉल्ट रूप से, Microsoft छोटा व्यापार सर्वर के सभी संस्करणों पर इंटरनेट से WINS घटक संचार पोर्ट ब्लॉक किया गया है, और जीते केवल स्थानीय नेटवर्क पर उपलब्ध है।

इस सुरक्षा समस्या निम्न स्थितियों में से कोई एक सत्य है तो किसी WINS सर्वर दूरस्थ रुप से समझौता करने के लिए एक हमलावर के लिए संभव कर सके:
  • आपने Windows NT सर्वर 4.0, Windows NT सर्वर 4.0 टर्मिनल सर्वर संस्करण, Windows 2000 सर्वर या Windows Server 2003 पर WINS सर्वर रोल को स्थापित करने के लिए डिफ़ॉल्ट कॉन्फ़िगरेशन परिवर्तित किया है।
  • यदि आप Microsoft छोटा व्यापार सर्वर 2000 या Microsoft Windows छोटा Business Server 2003 चला रहे हैं, और एक हमलावर आपके स्थानीय नेटवर्क के लिए पहुँच है।
इस संभावित सुरक्षाछिद्र के विरुद्ध आपके कंप्यूटर की सुरक्षा में मदद करने के लिए, निम्न चरणों का पालन करें:
  1. फ़ायरवॉल पर 42 42 ब्लॉक TCP पोर्ट और UDP पोर्ट हैं।


    इन पोर्ट दूरस्थ WINS सर्वर से कनेक्शन शुरू करने के लिए उपयोग किए जाते हैं। आप इन पोर्ट फ़ायरवॉल में अवरोधित है, तो आप कंप्यूटर से इस सुरक्षाछिद्र का उपयोग करने का प्रयास जो फ़ायरवॉल के पीछे हैं जो रोकने में मदद। 42 TCP पोर्ट और UDP पोर्ट 42 डिफ़ॉल्ट WINS प्रतिकृति पोर्ट हैं। हम अनुशंसा करते हैं कि इंटरनेट से सभी आवक अवांछित संचार को ब्लॉक कर रही है।
  2. WINS सर्वर प्रतिकृति भागीदारों के बीच यातायात की सुरक्षा में मदद करने के लिए इंटरनेट प्रोटोकॉल सुरक्षा (IPsec) का उपयोग। ऐसा करने के लिए, निम्न विकल्पों में से किसी एक का उपयोग करें।

    चेतावनी इन परिवर्तनों को हो सकती है क्योंकि प्रत्येक WINS संरचना अद्वितीय है, अपनी संरचना पर अनपेक्षित प्रभाव। हम पुरजोर अनुशंसा करते हैं कि यह mitigation को कार्यान्वित करने के लिए आप का चयन करने से पहले कोई जोखिम विश्लेषण करें। हम भी आप यह mitigation उत्पादन में रखने से पहले पूर्ण परीक्षण निष्पादित करने अनुशंसा करते हैं कि।
    • विकल्प 1: IPSec फ़िल्टर मैन्युअल रूप से कॉन्फ़िगर करें
      IPSec फ़िल्टर को मैन्युअल रूप से कॉन्फ़िगर करें, और उसके बाद ब्लॉक फ़िल्टर उस ब्लॉक सभी पैकेट से कोई IP पता सिस्टम का IP पता करने के लिए जोड़ने के लिए निम्न Microsoft ज्ञानकोष आलेख में दिए गए निर्देशों का पालन करें:
      813878 IPSec का उपयोग करते हुए विशेष नेटवर्क प्रोटोकॉल और पोर्ट को अवरोधित करने के लिए कैसे

      आप समूह नीति का उपयोग करके आपके IPSec नीति लागू और आपके Windows 2000 सक्रिय निर्देशिका डोमेन वातावरण में आप IPSec का उपयोग करते हैं, तो कोई भी स्थानीय रूप से निर्धारित नीति डोमेन नीति ओवरराइड करता है। इस विकल्प से इच्छित पैकेट ब्लॉक इस पुनरावृत्ति को रोकता है।

      आपके सर्वर किसी IPSec नीति किसी Windows 2000 डोमेन या किसी बाद वाले संस्करण से प्राप्त कर रहे हैं कि क्या यह निर्धारित करने के लिए, "कि क्या कोई IPSec नीति को असाइन किया गया है यह निर्धारित" अनुभाग नॉलेज बेस आलेख 813878 में देखें।

      आप निर्धारित है कि आप एक प्रभावी स्थानीय IPSec नीति बना सकते हैं, पर IPSeccmd.exe उपकरण या IPSecpol.exe उपकरण डाउनलोड करें।

      निम्न आदेश 42 TCP पोर्ट और UDP पोर्ट 42 करने के लिए इनबाउंड और आउटबाउंड पहुँच अवरोधित है।

      नोट इन निर्देशों में, %IPSEC_Command% Ipsecpol.exe (पर Windows 2000) या (पर Windows सर्वर 2003) Ipseccmd.exe को संदर्भित करता है।
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK
      निम्न आदेश IPSec नीति ठीक नहीं है तो कोई विरोधी नीति प्रभावी बनाता है। यह आदेश सभी इनबाउंड/जावक TCP पोर्ट 42 और UDP पोर्ट 42 पैकेट्स ब्लॉक प्रारंभ हो जाएगा। यह प्रभावी रूप से WINS प्रतिकृति सर्वर पर इन आदेश चलाएँ थे और कोई WINS प्रतिकृति भागीदारों के बीच होने से रोकता है।
      %IPSEC_Command% -w REG -p "Block WINS Replication" –x 
      यह IPSec नीति सक्षम करने के बाद आप नेटवर्क में समस्याएँ अनुभव करते हैं, आप नीति unassign और उसके बाद निम्न आदेश का उपयोग करके नीति हटाएँ कर सकते हैं:
      %IPSEC_Command% -w REG -p "Block WINS Replication" -y 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -o
      WINS प्रतिकृति निर्दिष्ट WINS के बीच कार्य करने के लिए अनुमति देने के लिए नियम प्रतिकृति भागीदारों के साथ ये ब्लॉक नियम ओवरराइड करना होगा देते हैं। अनुमति दें नियम के अपने विश्वसनीय WINS प्रतिकृति भागीदारों केवल IP पते निर्दिष्ट होना चाहिए।


      WINS प्रतिकृति ब्लॉक नीति का उपयोग करता है जो सर्वर के साथ संचार करने के लिए विशिष्ट IP पतों की अनुमति दें करने के लिए ब्लॉक WINS प्रतिकृति IPSec नीति को अद्यतन करने के लिए निम्न आदेश का उपयोग कर सकते हैं।

      नोट इन निर्देशों में %IPSEC_Command% Ipsecpol.exe (पर Windows 2000) या (पर Windows सर्वर 2003) Ipseccmd.exe को संदर्भित करता है और %IP% के साथ सूचना को दोहराने के लिए चाहते हैं जो दूरस्थ WINS सर्वर का IP पता करने के लिए संदर्भित करता है।
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS
      तुरंत नीति असाइन करने के लिए, निम्न आदेश का उपयोग करें:
      %IPSEC_Command% -w REG -p "Block WINS Replication" -x
    • विकल्प 2: IPSec फ़िल्टर को स्वचालित रूप से कॉन्फ़िगर करने के लिए एक स्क्रिप्ट चलाएँ
      डाउनलोड करें, और उसके बाद पोर्ट को अवरोधित करने के लिए एक IPSec नीति बनाता है जो WINS प्रतिकृति अवरोधक स्क्रिप्ट चलाएँ। ऐसा करने के लिए, निम्न चरणों का पालन करें:
      1. डाउनलोड और .exe फ़ाइलों को निकालने के लिए, निम्न चरणों का पालन करें:
        1. WINS प्रतिकृति अवरोधक स्क्रिप्ट डाउनलोड करें।

          निम्न फ़ाइल Microsoft डाउनलोड केंद्र से डाउनलोड के लिए उपलब्ध है:

          Download WINS प्रतिकृति अवरोधक स्क्रिप्ट पैकेज अभी डाउनलोड करें।

          रिलीज़ दिनांक: दिसंबर 2, 2004

          Microsoft समर्थन फ़ाइलों को डाउनलोड करने के तरीके के बारे में अतिरिक्त जानकारी के लिए, Microsoft नॉलेज़ बेस में आलेख देखने के लिए निम्न आलेख संख्या पर क्लिक करें:
          119591 ऑनलाइन सेवाओं से Microsoft समर्थन फ़ाइलें प्राप्त करने के लिए कैसे
          Microsoft इस फ़ाइल वायरस के लिए स्कैन की है। Microsoft फ़ाइल पोस्ट की गई दिनांक पर उपलब्ध था नवीनतम वायरस-खोज सॉफ़्टवेयर का उपयोग किया जाता है. फ़ाइल जो फ़ाइल में किन्हीं अनधिकृत परिवर्तनों को रोकने में मदद सुरक्षा-परिवर्द्धित सर्वर पर संग्रहित होती है।
          आप किसी फ़्लॉपी डिस्क के लिए WINS प्रतिकृति अवरोधक स्क्रिप्ट डाउनलोड कर रहे हैं, तो एक रिक्त डिस्क स्वरूपित का उपयोग करें। यदि आप WINS प्रतिकृति अवरोधक स्क्रिप्ट को आपकी हार्ड डिस्क पर डाउनलोड कर रहे हैं, तो अस्थायी रूप से फ़ाइल को सहेजें, और फ़ाइल से निकालने के लिए कोई नया फ़ोल्डर बनाएँ।


          चेतावनी आपके Windows फ़ोल्डर को सीधे फ़ाइलें डाउनलोड नहीं। यह क्रिया आपके कंप्यूटर के लिए सही तरीके से चलाने के लिए आवश्यक हैं जो फ़ाइलों को अधिलेखित कर सकते है।
        2. आप इसे करने के लिए डाउनलोड किए गए फ़ोल्डर में फ़ाइल की स्थिति जानें, और उसके बाद अस्थायी फ़ोल्डर की सामग्री को निकालने के लिए स्व-निष्कर्षण .exe फ़ाइल डबल-क्लिक करें। उदाहरण के लिए, C:\Tempकरने के लिए सामग्री को निकालें।
      2. एक कमांड प्रॉम्प्ट खोलें, और फिर करने के लिए निर्देशिका जहाँ फ़ाइलें निकाली हैं ले जाएँ।
      3. चेतावनी
        • यदि आपको संदेह अपने WINS सर्वर संक्रमित हो सकता है, लेकिन क्या WINS सर्वर से छेड़छाड़ की गई हैं सुनिश्चित नहीं हैं या अपने वर्तमान WINS सर्वर से छेड़छाड़ की गई है कि, किसी भी IP पते चरण 3 में दर्ज न करें। हालांकि, नवम्बर 2004 तक, हम इस समस्या से प्रभावित किया गया है जो ग्राहकों के बारे में जानते नहीं हैं। आपके सर्वर अपेक्षा के अनुरूप काम कर रही है, तो इसलिए, वर्णन किया गया के रूप में जारी रखें।
        • IPsec को गलत तरीके से सेट हैं, तो आपको आपके कॉर्पोरेट नेटवर्क पर गंभीर WINS प्रतिकृति परेशानी हो सकती है।
        Block_Wins_Replication.cmd फ़ाइल चलाएँ। 42 TCP पोर्ट और UDP पोर्ट 42 ब्लॉक इनबाउंड और आउटबाउंड नियम बनाने के लिए, टाइप करें
        इच्छित विकल्प का चयन करने के लिए संकेत मिले, तो 1 और उसके बाद का चयन करने के लिए ENTER दबाएँ 1 विकल्प।
        यदि आप 1 विकल्प का चयन करने के बाद, स्क्रिप्ट विश्वसनीय WINS प्रतिकृति सर्वर के IP पते दर्ज करने के लिए आपको संकेत देता है।


        आपके द्वारा दर्ज प्रत्येक IP पता ब्लॉकिंग TCP पोर्ट 42 और UDP पोर्ट 42 नीति से छूट दी है। कोई लूप में जब आपसे कहा जाए, और आवश्यक के रूप में कई के रूप में IP पते दर्ज कर सकते हैं। WINS प्रतिकृति भागीदारों के सभी IP पते नहीं जानते हैं, तो आप स्क्रिप्ट भविष् य में चला सकते हैं। विश्वसनीय WINS प्रतिकृति भागीदारों से IP पता दर्ज करना प्रारंभ करने के लिए, प्रकार 2 और उसके बाद का चयन करने के लिए संकेत मिलने पर 2 विकल्प का चयन करने के लिए ENTER दबाएँ जो आप विकल्प चाहते हैं।


        यदि आप सुरक्षा अद्यतन को लागू करने के बाद, आप IPSec नीति निकाल सकते हैं। ऐसा करने के लिए स्क्रिप्ट चलाएँ। 3 लिखें, और तब इच्छित विकल्प का चयन करने के लिए संकेत मिलने पर 3 विकल्प का चयन करने के लिए ENTER दबाएँ।

        फ़िल्टर, और कैसे लागू करने के लिए IPsec के बारे में अतिरिक्त जानकारी के लिए Microsoft नॉलेज़ बेस में आलेख देखने के लिए निम्न आलेख संख्या पर क्लिक करें:

        313190 Windows 2000 में IPsec IP फ़िल्टर सूचियों का उपयोग करने के लिए कैसे

  3. जीतता है अगर आप इसे की आवश्यकता नहीं है, तो निकालें।

    आपको अब जीतता है, तो इसे निकालने के लिए, निम्न चरणों का पालन करें। Windows 2000, Windows Server 2003, और इन ऑपरेटिंग सिस्टम के बाद के संस्करणों के लिए इन चरणों पर लागू करें। Windows NT सर्वर 4.0 के लिए, उत्पाद के दस्तावेज़ में शामिल किया गया है उस कार्यविधि का पालन करें।

    महत्वपूर्ण अपने नेटवर्क पर एक लेबल या सपाट नाम पंजीकरण और समाधान फ़ंक्शन करने के लिए WINS अनेक संगठनों की आवश्यकता होती है। व् यवस् थापक WINS को निकालना नहीं चाहिए जब तक कि एक निम्न स्थितियों के सत्य होने:
    • व्यवस्थापक पूरी तरह उनके नेटवर्क पर निकाली जा रही यह विजय कि प्रभाव पड़ेगा समझता है।
    • व्यवस्थापक और डोमेन DNS प्रत्यय पूरी तरह क्वालीफ़ाइड डोमेन नाम का उपयोग कर समान कार्यक्षमता प्रदान करने के लिए DNS कॉन्फ़िगर किया है।
    नेटवर्क पर साझा संसाधन प्रदान करने के लिए जारी रहेगा एक सर्वर से जीते कार्यक्षमता कोई व्यवस्थापक निकाल रहा है, तो भी, व्यवस्थापक सही रूप से पर स्थानीय DNS की तरह शेष नाम समाधान सेवाओं का उपयोग करने के लिए सिस्टम पुन: कॉन्फ़िगर होना चाहिए नेटवर्क है।

    WINS के बारे में अधिक जानकारी के लिए, निम्न Microsoft वेब साइट पर जाएँ:कैसे निर्धारित करें कि क्या आप NETBIOS या WINS नाम समाधान और DNS कॉन्फ़िगरेशन की आवश्यकता के बारे में अधिक जानकारी के लिए, निम्न Microsoft वेब साइट पर जाएँ:WINS को निकालने के लिए, निम्न चरणों का पालन करें:
    1. नियंत्रण कक्ष में, प्रोग्राम जोड़ें या निकालेंखोलें।
    2. Windows के घटक जोड़ें/निकालेंक्लिक करें।
    3. Windows घटक विज़ार्ड पृष्ठ पर, के अंतर्गत
      घटक, नेटवर्किंग सेवाएँक्लिक करें, और उसके बाद विवरणक्लिक करें।
    4. WINS को निकालने के लिए Windows इंटरनेट नेमिंग सेवा (WINS) चेक बॉक्स साफ़ करने के लिए क्लिक करें।
    5. Windows घटक विज़ार्ड को पूर्ण करने के लिए स्क्रीन पर आने वाले अनुदेशों का पालन करें।
हम हमारे नियमित अद्यतन प्रक्रिया के भाग के रूप में इस सुरक्षा समस्या को हल करने के लिए एक अद्यतन पर काम कर रहे हैं। अद्यतन गुणवत्ता के एक उचित स्तर तक पहुँच गया है, जब हम अद्यतन Windows अद्यतन के माध्यम से प्रदान करता है।


यदि आप मानते हैं कि आप प्रभावित हो कि, उत्पाद समर्थन सेवा से संपर्क करें।

अंतर्राष्ट्रीय ग्राहक उत्पाद समर्थन सेवा को निम्न Microsoft वेब साइट पर सूचीबद्ध किसी भी पद्धति का उपयोग करके से संपर्क करना चाहिए: