Segítség a WINS biztonsági problémáival szembeni védelemhez

BEVEZETÉS

A Microsoft Windows Internet Name Service (WINS) szolgáltatással kapcsolatos biztonsági probléma jelentéseit vizsgáljuk. Ez a biztonsági probléma a Microsoft Windows NT Server 4.0, a Microsoft Windows NT Server 4.0 Terminal Server Edition, a Microsoft Windows 2000 Server és a Microsoft Windows Server 2003 rendszert érinti. Ez a biztonsági probléma nincs hatással a Microsoft Windows 2000 Professional, a Microsoft Windows XP vagy a Microsoft Windows Millennium Edition kiadásra.

További információ

Alapértelmezés szerint a WINS nincs telepítve Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server vagy Windows Server 2003 rendszeren. Alapértelmezés szerint a WINS a Microsoft Small Business Server 2000 és a Microsoft Windows Small Business Server 2003 rendszeren van telepítve és fut. Alapértelmezés szerint a Microsoft Small Business Server összes verziójában a WINS-összetevő kommunikációs portja le van tiltva az internetről, és a WINS csak a helyi hálózaton érhető el.

Ez a biztonsági probléma lehetővé teheti, hogy a támadó távolról feltörje a WINS-kiszolgálót, ha az alábbi feltételek valamelyike teljesül:

• Módosította az alapértelmezett konfigurációt, hogy telepítse a WINS-kiszolgálói szerepkört Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server vagy Windows Server 2003 rendszeren.

• Microsoft Small Business Server 2000 vagy Microsoft Windows Small Business Server 2003 rendszert futtat, és egy támadó hozzáfér a helyi hálózathoz.

A számítógépnek a lehetséges biztonsági résekkel szembeni védelméhez kövesse az alábbi lépéseket:

1. Tiltsa le a 42-s TCP-portot és a 42-s UDP-portot a tűzfalon.
   
   
   Ezekkel a portokkal lehet kapcsolatot létesíteni egy távoli WINS-kiszolgálóval. Ha blokkolja ezeket a portokat a tűzfalon, megakadályozhatja, hogy a tűzfal mögött található számítógépek megpróbálják használni ezt a biztonsági rést. A 42-s TCP-port és a 42-s UDP-port az alapértelmezett WINS-replikációs port. Javasoljuk, hogy tiltsa le az internetről érkező összes bejövő kéretlen kommunikációt.

2. A WINS-kiszolgálóreplikációs partnerek közötti adatforgalom védelméhez használja az Internet Protocol security (IPsec) protokollt. Ehhez használja az alábbi lehetőségek egyikét.
   
   Figyelem: Mivel minden WINS-infrastruktúra egyedi, ezek a változások váratlan hatással lehetnek az infrastruktúrára. Javasoljuk, hogy a kockázatcsökkentés implementálása előtt végezzen kockázatelemzést. Azt is javasoljuk, hogy végezze el a teljes tesztelést, mielőtt éles környezetbe helyezené a kockázatcsökkentést.
   

   • 1. lehetőség: Manuálisan konfigurálja az IPSec-szűrőket
     Manuálisan konfigurálja az IPSec-szűrőket, majd kövesse a Microsoft Tudásbázis következő cikkének utasításait egy blokkszűrő hozzáadásához, amely blokkolja a rendszer IP-címére érkező összes csomagot:

     813878 Adott hálózati protokollok és portok letiltása AZ IPSec
     
     használatával Ha az IPSec-et a Windows 2000 Active Directory tartományi környezetben használja, és az IPSec-szabályzatot Csoportházirend használatával telepíti, a tartományi házirend felülbírálja a helyileg meghatározott házirendeket. Ez az előfordulás megakadályozza, hogy ez a beállítás blokkolja a kívánt csomagokat.
     
     Annak megállapításához, hogy a kiszolgálók kapnak-e IPSec-házirendet Windows 2000-tartományból vagy újabb verzióból, olvassa el a Tudásbázis 813878 című cikk "IpSec-szabályzat hozzárendelésének megállapítása" című szakaszát.
     
     Ha megállapította, hogy létrehozhat egy hatékony helyi IPSec-szabályzatot, töltse le a IPSeccmd.exe eszközt vagy a IPSecpol.exe eszközt.
     
     A következő parancsok blokkolják a bejövő és kimenő hozzáférést a 42-s TCP-porthoz és a 42-s UDP-porthoz.
     
     Megjegyzés: Ezekben a parancsokban a %IPSEC_Command% Ipsecpol.exe (Windows 2000 rendszeren) vagy Ipseccmd.exe (Windows Server 2003-ban) hivatkozik.

     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK 
     

     A következő parancs azonnal hatékonyabbá teszi az IPSec-szabályzatot, ha nincs ütköző szabályzat. Ez a parancs elkezdi blokkolni az összes bejövő/kimenő 42-s TCP-portot és a 42-s UDP-portot. Ez hatékonyan megakadályozza a WINS-replikációt azon kiszolgáló és a WINS-replikációs partnerek között, amelyen ezeket a parancsokat futtatták.

     %IPSEC_Command% -w REG -p "Block WINS Replication" –x 

     Ha az IPSec-szabályzat engedélyezése után problémákat tapasztal a hálózaton, a következő parancsokkal megszüntetheti a szabályzat hozzárendelését, majd törölheti a szabályzatot:

     %IPSEC_Command% -w REG -p "Block WINS Replication" -y 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -o 

     Ahhoz, hogy a WINS-replikáció egyes WINS-replikációs partnerek között működjön, felül kell bírálnia ezeket a blokkszabályokat engedélyezési szabályokkal. Az engedélyezési szabályoknak csak a megbízható WINS-replikációs partnerek IP-címét kell megadniuk.
     
     
     Az alábbi parancsokkal frissítheti a WINS-replikáció blokkolása IPSec-házirendet, hogy lehetővé tegye bizonyos IP-címek számára a WINS-replikáció blokkolása házirendet használó kiszolgálóval való kommunikációt.
     
     Megjegyzés Ezekben a parancsokban a %IPSEC_Command% az Ipsecpol.exe (Windows 2000 rendszeren) vagy a Ipseccmd.exe (2003-Windows Server) kifejezésre, a %IP% pedig annak a távoli WINS-kiszolgálónak az IP-címét jelenti, amellyel replikálni szeretné.

     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS 
     

     A szabályzat azonnali hozzárendeléséhez használja a következő parancsot:

     %IPSEC_Command% -w REG -p "Block WINS Replication" -x

   • 2. lehetőség: Futtasson egy szkriptet az IPSec-szűrők
     automatikus konfigurálásához Letöltés, majd futtassa a WINS replikációblokkoló szkriptet, amely létrehoz egy IPSec-szabályzatot a portok blokkolásához. Ehhez kövesse az alábbi lépéseket:
     

     1. A .exe fájlok letöltéséhez és kibontásához kövesse az alábbi lépéseket:
        

        1. Töltse le a WINS replikációblokkoló szkriptet.
           
           A következő fájl letölthető a Microsoft letöltőközpontból:
           
           Töltse le a WINS replikációblokkoló szkriptcsomagját.
           
           Kiadási dátum: 2004
           
           . december 2. Ha további információt szeretne Microsoft ügyfélszolgálata fájlok letöltéséről, kattintson a következő cikkszámra a Cikk a Microsoft Tudásbázisban való megtekintéséhez:

           119591 Hogyan szerezhető be a Microsoft támogatási fájljainak beszerzése online szolgáltatások
           a Microsoft víruskeresést használt a fájlban. A Microsoft a fájl közzétételekor elérhető legújabb vírusészlelő szoftvert használta. A fájl tárolása biztonsági fejlesztésű kiszolgálókon történik, amelyek segítenek megelőzni a fájl jogosulatlan módosítását.
           

           Ha a WINS replikációblokkoló szkriptet hajlékonylemezre tölti le, használjon formázott üres lemezt. Ha letölti a WINS replikációblokkoló szkriptet a merevlemezre, hozzon létre egy új mappát, amely ideiglenesen menti a fájlt a fájlba, és kinyeri onnan.
           
           
           Figyelem Ne töltsön le fájlokat közvetlenül a Windows mappába. Ez a művelet felülírhatja a számítógép megfelelő működéséhez szükséges fájlokat.

        2. Keresse meg a fájlt abban a mappában, amelybe letöltötte, majd kattintson duplán az önkicsomagoló .exe fájlra a tartalom ideiglenes mappába való kibontásához. Bontsa ki például a tartalmát a C:\Temp mappába.

     2. Nyisson meg egy parancssort, majd lépjen arra a könyvtárra, amelyben a fájlok ki vannak csomagolva.

     3. Figyelmeztetés

        • Ha azt gyanítja, hogy a WINS-kiszolgálók fertőzöttek lehetnek, de nem biztos abban, hogy milyen WINS-kiszolgálók sérültek, vagy hogy a jelenlegi WINS-kiszolgáló biztonsága sérült-e, ne adjon meg IP-címeket a 3. lépésben. 2004 novemberétől azonban nem tudunk a probléma által érintett ügyfelekről. Ezért ha a kiszolgálók a várt módon működnek, folytassa az alábbiak szerint.

        • Ha helytelenül állította be az IPsec-et, komoly WINS-replikációs problémákat okozhat a vállalati hálózaton.

        Futtassa a Block_Wins_Replication.cmd fájlt. A 42-es TCP-port és a 42-es UDP-port bejövő és kimenő blokkszabályainak létrehozásához írja be
        az 1 értéket, majd nyomja le az ENTER billentyűt az 1. lehetőség kiválasztásához, amikor a rendszer a kívánt beállítás megadását kéri.

        Az 1. lehetőség kiválasztása után a szkript kéri, hogy adja meg a megbízható WINS replikációs kiszolgálók IP-címét.
        
        
        Minden megadott IP-cím mentesül a blokkoló 42-s TCP-port és a 42-s UDP-port szabályzat alól. A rendszer egy ciklusban kéri, és tetszőleges számú IP-címet adhat meg. Ha nem ismeri a WINS-replikációs partnerek összes IP-címét, a jövőben újra futtathatja a szkriptet. A megbízható WINS-replikációs partnerek IP-címeinek megadásához írja be a 2 értéket, majd nyomja le az ENTER billentyűt a 2. lehetőség kiválasztásához, amikor a rendszer a kívánt beállítás kiválasztására kéri.
        
        
        A biztonsági frissítés telepítése után eltávolíthatja az IPSec-szabályzatot. Ehhez futtassa a szkriptet. Írja be a 3 értéket, majd nyomja le az ENTER billentyűt a 3. lehetőség kiválasztásához, amikor a rendszer a kívánt beállítás megadását kéri.
        
        Az IPsec-ről és a szűrők alkalmazásáról az alábbi cikkszámra kattintva tekintheti meg a cikket a Microsoft Tudásbázisban:
        
        

        313190 IPsec IP-szűrőlisták használata Windows 2000 rendszerben
        
        

3. Távolítsa el a WINS-t, ha nincs rá szüksége.
   
   Ha már nincs szüksége a WINS-re, az alábbi lépésekkel távolíthatja el. Ezek a lépések ezen operációs rendszerek Windows 2000, Windows Server 2003 és újabb verzióira vonatkoznak. Windows NT Server 4.0 esetén kövesse a termékdokumentációban található eljárást.
   
   Fontos: Számos szervezet megköveteli, hogy a WINS egycímkés vagy egyszerű névregisztrációs és -feloldási funkciókat végezzen a hálózatán. A rendszergazdák csak akkor távolíthatják el a WINS-t, ha az alábbi feltételek valamelyike teljesül:
   

   • A rendszergazda teljes mértékben tisztában van azzal, hogy a WINS eltávolítása milyen hatással lesz a hálózatára.

   • A rendszergazda úgy konfigurálta a DNS-t, hogy az egyenértékű funkciókat teljes tartománynevek és DNS-tartományutótagok használatával biztosítsa.

   Emellett ha egy rendszergazda eltávolítja a WINS funkciót egy olyan kiszolgálóról, amely továbbra is megosztott erőforrásokat biztosít a hálózaton, a rendszergazdának megfelelően újra kell konfigurálnia a rendszert, hogy a fennmaradó névfeloldási szolgáltatásokat, például a DNS-t használja a helyi hálózaton.
   
   A WINS szolgáltatással kapcsolatos további információkért látogasson el a Microsoft következő webhelyére:

   http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true A NETBIOS- vagy WINS-névfeloldás és a DNS-konfiguráció szükségességének meghatározásával kapcsolatos további információkért látogasson el a Microsoft következő webhelyére:

   http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxA WINS eltávolításához kövesse az alábbi lépéseket:
   

   1. A Vezérlőpult nyissa meg a Programok hozzáadása vagy eltávolítása elemet.

   2. Kattintson a Windows-összetevők hozzáadása/eltávolítása elemre.
      

   3. A Windows-összetevők varázsló lapÖsszetevők területén
      kattintson a Hálózati szolgáltatások, majd a Részletek elemre.

   4. Kattintson ide a WINDOWS Internet Naming Service (WINS) jelölőnégyzet jelölésének törléséhez a WINS eltávolításához.

   5. Kövesse a képernyőn megjelenő utasításokat a Windows-összetevők varázsló befejezéséhez.

A rendszeres frissítési folyamat részeként dolgozunk a biztonsági probléma megoldásán. Ha a frissítés elérte a megfelelő minőségi szintet, Windows Update biztosítjuk a frissítést.


Ha úgy véli, hogy érintett, forduljon a terméktámogatási szolgáltatásokhoz.

A nemzetközi ügyfeleknek kapcsolatba kell lépnie a terméktámogatási szolgáltatásokkal az alábbi Microsoft-webhelyen felsorolt bármely módszerrel:

http://support.microsoft.com