WINS szolgáltatással kapcsolatos biztonsági problémával szembeni védekezés megkönnyítése

BEVEZETÉS

A Microsoft vizsgálja azokat a jelentéseket, amelyek a Microsoft Windows Internet Name Service (WINS) szolgáltatással kapcsolatos biztonsági problémát jeleznek. Az ismertetett biztonsági probléma a Microsoft Windows NT Server 4.0, a Microsoft Windows NT Server 4.0 Terminal Server Edition, a Microsoft Windows 2000 Server és a Microsoft Windows Server 2003 operációs rendszerű számítógépeken jelentkezik. A Microsoft Windows 2000 Professional, a Microsoft Windows XP vagy a Microsoft Windows Millennium Edition operációs rendszert nem érinti ez a probléma.

További információ

Alapértelmezés szerint a WINS szolgáltatás Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server vagy Windows Server 2003 rendszeren nem települ. A WINS szolgáltatás alapértelmezés szerint a Microsoft Small Business Server 2000 és a Microsoft Windows Small Business Server 2003 rendszeren van telepítve, és ezeken működik. A WINS összetevő kommunikációs portjainak internetről történő elérése alapértelmezés szerint a Microsoft Small Business Server összes verziójában blokkolva van, és csak a helyi hálózaton érhetők el.

A biztonsági rés lehetővé teheti a támadók számára, hogy az alábbi feltételek valamelyikének fennállása esetén távolról veszélyeztessenek egy WINS-kiszolgálót:

• Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server és Windows Server 2003 operációs rendszerben módosította az alapértelmezett beállításokat a WINS-kiszolgálói szerepkör telepítéséhez.

• Microsoft Small Business Server 2000 vagy Microsoft Windows Small Business Server 2003 rendszert használ, és egy támadó hozzáférhet a helyi hálózathoz.

Számítógépe biztonságának megőrzése érdekében hajtsa végre az alábbi lépéseket:

1. Tiltsa le a 42-es TCP- és a 42-es UDP-portot a tűzfal beállításaiban.
   
   
   Ezek a portok a távoli WINS-kiszolgálókkal létesített kapcsolat kezdeményezésére használhatók. Amennyiben a tűzfal segítségével blokkolja őket, megakadályozza, hogy a tűzfal mögött található számítógépekről megpróbálhassák kihasználni a biztonsági rést. A 42-es TCP- és UDP-portok a WINS szolgáltatás alapértelmezés szerinti replikációs portjai. Azt javasoljuk, hogy az internetről érkező minden olyan csatlakozási kísérletet blokkoljon, amelynek nem ismeri az eredetét.

2. Biztosítsa a WINS-kiszolgáló replikációs partnereivel való adatcsere védelmét az IP-biztonság (IPsec) segítségével. Ezt az alábbi lehetőségek valamelyikének révén teheti meg:
   
   Figyelem! Mivel minden egyes WINS-infrastruktúra egyedi, a módosítások váratlan jelenségeket idézhetnek elő az infrastruktúra működésében, ezért javasoljuk, hogy végezzen kockázatelemzést, mielőtt az itt ismertetett problémaenyhítő megoldás mellett döntene. Emellett ajánlott teljes körű tesztelést is végrehajtani a megoldás alkalmazásba vétele előtt.
   

   • 1. lehetőség: Az IPSec-szűrők kézi beállítása
     Állítsa be saját maga az IPSec-szűrőket, majd a Microsoft Tudásbázis alábbi cikkének útmutatásait követve adjon hozzá egy olyan tiltó szűrőt, amely blokkolja a bármely IP-címről a rendszer IP-címére érkező csomagokat:

     813878 Hálózati protokollok és portok blokkolása az IPSec használatával (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)Amennyiben Windows 2000 rendszerben, Active Directory tartományi környezetben használja az IPSec funkciót, és a Csoportházirend segítségével telepíti az IPSec-házirendet, a tartományházirend felülírja az esetleges helyileg definiált házirendeket. Ebben az esetben ezzel a lehetőséggel nem tudja blokkolni a kívánt csomagokat.
     
     A Tudásbázis 813878. számú cikkének a hozzárendelt IPSec-házirend megállapítására vonatkozó szakaszában olvashat annak meghatározási módjáról, hogy a kiszolgálók Windows 2000 rendszerű vagy újabb verziójú tartománytól kapnak-e IPSec-házirendet (előfordulhat, hogy a 813878. számú cikk angol nyelven jelenik meg).
     
     Amennyiben megállapította, hogy létrehozható érvényes helyi IPSec-házirend, töltse le az IPSeccmd.exe vagy az IPSecpol.exe eszközt.
     
     Az alábbi parancsok segítségével letilthatja a kimenő adatok továbbítását, illetve a bejövő adatok fogadását a 42-es számú TCP- illetve a 42-es számú UDP-porton.
     
     Megjegyzés: E parancsokban az %IPSEC_parancs% helyőrző helyére az Ipsecpol.exe (Windows 2000 esetén) vagy az Ipseccmd.exe (Windows Server 2003 esetén) fájlnevet kell beírnia.

     %IPSEC_parancs% -w REG -p "WINS-replikáció blokkolása" -r "Szabály az összes bejövő adatforgalom blokkolására a 42-es TCP-porton" -f *=0:42:TCP -n BLOCK 
     %IPSEC_parancs% -w REG -p "WINS-replikáció blokkolása" -r "Szabály az összes bejövő adatforgalom blokkolására a 42-es UDP-porton" -f *=0:42:UDP -n BLOCK 
     %IPSEC_parancs% -w REG -p "WINS-replikáció blokkolása" -r "Szabály az összes kimenő adatforgalom blokkolására a 42-es TCP-porton" -f 0=*:42:TCP -n BLOCK 
     %IPSEC_parancs% -w REG -p "WINS-replikáció blokkolása" -r "Szabály az összes kimenő adatforgalom blokkolására a 42-es UDP-porton" -f 0=*:42:UDP -n BLOCK 
     

     Amennyiben nincs ütköző házirend, a következő parancs hatására az IPSec-házirend azonnal érvénybe lép, és blokkolja a 42-es TCP- és UDP-portra érkező, illetve arról küldött csomagokat. Ez hatékonyan megakadályozza a WINS-replikáció végrehajtását a WINS-replikációs partnerek, illetve azon kiszolgálók között, melyeken ezeket a parancsokat lefuttatták.

     %IPSEC_parancs% -w REG -p "WINS-replikáció blokkolása" –x 

     Ha ezen IPSec-házirend engedélyezését követően problémákat tapasztal a hálózat működésében, az alábbi parancsok segítségével megszüntetheti a házirend hozzárendelését, majd törölheti azt:

     %IPSEC_parancs% -w REG -p "WINS-replikáció blokkolása" -y 
     %IPSEC_parancs% -w REG -p "WINS-replikáció blokkolása" -o 

     Ha engedélyezni szeretné, hogy a WINS-replikáció meghatározott WINS-replikációs partnerek között működjön, a fenti tiltási szabályokat engedélyezési szabályokkal kell felülbírálnia. Az engedélyezési szabályokban csak megbízható WINS-replikációs partnereinek IP-címét adja meg.
     
     
     Az alábbi parancsokkal módosíthatja a WINS-replikáció blokkolása IPSec-házirendet oly módon, hogy engedélyezze adott IP-címek kommunikációját a házirendet használó kiszolgálóval.
     
     Megjegyzés: E parancsokban az %IPSEC_parancs% helyőrző helyére az Ipsecpol.exe (Windows 2000 esetén) vagy az Ipseccmd.exe (Windows Server 2003 esetén) fájlnevet kell beírnia, az %IP% helyőrző helyett pedig azon távoli WINS-kiszolgáló IP-címét, amellyel replikációt kíván végezni.

     %IPSEC_parancs% -w REG -p "WINS-replikáció blokkolása" -r "Szabály a(z) %IP% címről érkező adatforgalom engedélyezésére a 42-es TCP-porton" -f %IP%=0:42:TCP -n PASS 
     %IPSEC_parancs% -w REG -p "WINS-replikáció blokkolása" -r "Szabály a(z) %IP% címről érkező adatforgalom engedélyezésére a 42-es UDP-porton" -f %IP%=0:42:UDP -n PASS 
     %IPSEC_parancs% -w REG -p "WINS-replikáció blokkolása" -r "Szabály a(z) %IP% címre irányuló adatforgalom engedélyezésére a 42-es TCP-porton" -f 0=%IP%:42:TCP -n PASS 
     %IPSEC_parancs% -w REG -p "WINS-replikáció blokkolása" -r "Szabály a(z) %IP% címre irányuló adatforgalom engedélyezésére a 42-es UDP-porton" -f 0=%IP%:42:UDP -n PASS 
     

     A következő parancs hatására a házirend azonnal érvénybe lép:

     %IPSEC_parancs% -w REG -p "WINS-replikáció blokkolása" -x

   • 2. lehetőség: Az IPSec-szűrőket automatikusan konfiguráló parancsfájl futtatása
     Töltse le és futtassa a WINS-replikációt blokkoló parancsfájlt, amely egy portokat blokkoló IPSec-házirendet hoz létre. Ehhez hajtsa végre a következő lépéseket:
     

     1. Az .exe fájlok letöltéséhez és kibontásához hajtsa végre az alábbi lépéseket:
        

        1. Töltse le a WINS-replikációt blokkoló parancsfájlt.
           
           A következő fájl letölthető a Microsoft letöltőközpontjából:
           
           A WINS-replikációt blokkoló parancsfájl letöltése
           
           Kiadás dátuma: 2004. december 2.
           
           A Microsoft terméktámogatási fájljainak letöltéséről a Microsoft Tudásbázis alábbi cikkében tájékozódhat:

           119591 Microsoft terméktámogatási fájlok beszerzése az online szolgáltatások segítségével A Microsoft a fájl ellenőrzéséhez a kiadás napján rendelkezésre álló legújabb vírusellenőrző szoftvert használta. A fájlt biztonságos kiszolgálók tárolják, megakadályozva annak jogosulatlan módosítását.
           

           A WINS-replikációt blokkoló parancsfájl hajlékonylemezre való letöltése esetén formázott, üres lemezt használjon. Amennyiben a WINS-replikációt blokkoló parancsfájlt a merevlemezre tölti le, hozzon létre egy új mappát a fájl átmeneti mentésére és kibontására.
           
           
           Figyelem! Ne töltsön le fájlokat közvetlenül a Windows mappába. Ezzel a művelettel felülírhat olyan fájlokat, amelyek szükségesek a számítógép megfelelő működéséhez.

        2. Keresse meg a fájlt abban a mappában, amelybe letöltötte, majd kattintson duplán az önkicsomagoló .exe fájlra tartalmának egy ideiglenes, például a C:\Temp mappába való kibontásához.

     2. Nyisson meg egy parancssorablakot, majd lépjen abba a könyvtárba, amelybe a fájlokat kibontotta.

     3. Figyelmeztetés

        • Ha azt gyanítja, hogy WINS-kiszolgálói megfertőződtek, de nem tudja biztosan, hogy melyek azok, illetve hogy az aktuális WINS-kiszolgáló is megfertőződött-e, ne adjon meg IP-címet a 3. lépésben. 2004 novembere óta azonban nem tudunk olyan ügyfélről, akinél ez a probléma fellépett volna, ezért ha kiszolgálói megfelelően működnek, kövesse az itt leírt eljárást.

        • Az IPsec helytelen beállítása súlyos WINS-replikációs hibákat okozhat a vállalati hálózatban.

        Futtassa a Block_Wins_Replication.cmd fájlt. A 42-es számú TCP- és UDP-port bejövő és kimenő adatforgalmát blokkoló szabályok létrehozásához írja be: 1, majd nyomja le az ENTER billentyűt az 1. lehetőség kiválasztásához (amikor a program a kívánt lehetőség megadását kéri).

        Az 1. lehetőség kiválasztása után a parancsfájl kéri a megbízható WINS-replikációs kiszolgálók IP-címeinek megadását.
        
        
        Az itt megadott IP-címekre nem vonatkozik a 42-es TCP- és UDP-portot blokkoló házirend. A címek bekérése ciklusszerűen történik, így annyi IP-címet adhat meg, amennyi szükséges. Amennyiben nem ismeri a WINS-replikációs partnerek összes IP-címét, a parancsfájl a későbbiekben is futtathatja. A megbízható WINS-replikációs partnerek IP-címei megadásának megkezdéséhez írja be: 2, majd nyomja le az ENTER billentyűt a 2. lehetőség kiválasztásához (amikor a program a kívánt lehetőség megadását kéri).
        
        
        A biztonsági frissítés telepítését követően eltávolíthatja az IPSec-házirendet a parancsfájl futtatásával. Ehhez a 3, majd az ENTER billentyű lenyomásával válassza ki a 3. lehetőséget, amikor a program a kívánt lehetőség megadását kéri.
        
        További információt az IPsec protokollról és a szűrők alkalmazásáról a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
        
        

        313190 Az IPSec IP-szűrőlisták használata Windows 2000 rendszerben (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

3. Ha fölöslegessé válik, távolítsa el a WINS szolgáltatást.
   
   Amennyiben nincs már szüksége a WINS szolgáltatásra, az alábbi lépésekkel távolítsa el. Az ismertetett lépések a Windows 2000-re, a Windows Server 2003-ra és ezen operációs rendszerek újabb verzióira vonatkoznak. A Windows NT Server 4.0-s verziója esetén kövesse a termékdokumentációban leírt lépéseket.
   
   Fontos: Számos szervezetnél a WINS szolgáltatás látja el a hálózat egycímkés vagy egyszerű névregisztrálási és névfeloldási feladatait. A rendszergazdáknak csak akkor javasoljuk a WINS eltávolítását, ha
   

   • teljes körű ismeretekkel rendelkeznek a WINS szolgáltatás eltávolításának a hálózat működésére gyakorolt hatásáról, illetve

   • konfigurálták a DNS szolgáltatást annak érdekében, hogy teljesen minősített tartománynevek és DNS-tartományutótagok használatával egyenértékű funkciókat biztosítsanak.

   Ha a rendszergazda olyan kiszolgálóról távolítja el a WINS szolgáltatást, amely továbbra is megosztott erőforrásokat biztosít a hálózaton, megfelelően újra kell konfigurálnia a rendszert a fennmaradó névfeloldási szolgáltatások (például DNS) helyi hálózaton való használatához.
   
   A WINS szolgáltatásról a Microsoft következő webhelyén talál további információt:

   http://technet.microsoft.com/hu-hu/library/cc776284.aspx A NETBIOS- vagy WINS-névfeloldás és a DNS-konfigurálás szükségességének megállapítási módjáról a Microsoft következő webhelyén talál további információt:

   http://technet.microsoft.com/hu-hu/library/cc778112.aspxA WINS eltávolításához kövesse az alábbi lépéseket:
   

   1. Nyissa meg a Vezérlőpult Programok telepítése és törlése segédprogramját.

   2. Kattintson a Windows-összetevők hozzáadása vagy eltávolítása gombra.
      

   3. A Windows-összetevők varázsló Összetevők listájában jelölje ki a Hálózatszolgáltatás elemet, és kattintson a Részletek gombra.

   4. A WINS eltávolításához törölje a jelölést a Windows Internet Naming Service (WINS) jelölőnégyzetből.

   5. A Windows-összetevők varázsló befejezéséhez kövesse a képernyőn megjelenő utasításokat.

A Microsoft dolgozik az itt tárgyalt biztonsági problémát a szokásos frissítési folyamat részeként megszüntető frissítés elkészítésén. Amint e frissítés olyan minőségi szintre került, amelyen már biztonsággal alkalmazható, a Windows Update webhelyen keresztül lesz elérhető.


Ha úgy gondolja, hogy érintett az itt ismertetett biztonsági problémában, forduljon a Microsoft terméktámogatási szolgálatához. A terméktámogatási szolgálatot Észak-Amerikából a következő PC Safety telefonszámon hívhatja biztonsági frissítésekkel vagy vírusokkal kapcsolatos kérdéseivel:

1-866-PCSAFETYMegjegyzés: A hívás díjmentes.

A világ többi országában lévő ügyfelek a Microsoft következő webhelyén felsorolt módokon léphetnek kapcsolatba a terméktámogatási szolgálattal:

http://support.microsoft.com/?LN=hu