Cara membantu melindungi terhadap masalah keamanan WINS

PERKENALAN

Kami sedang menyelidiki laporan masalah keamanan dengan Microsoft Windows Internet Name Service (WINS). Masalah keamanan ini memengaruhi Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server, dan Microsoft Windows Server 2003. Masalah keamanan ini tidak memengaruhi Microsoft Windows 2000 Professional, Microsoft Windows XP, atau Microsoft Windows Millennium Edition.

Informasi Selengkapnya

Secara default, WINS tidak diinstal di Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server, atau Windows Server 2003. Secara default, WINS diinstal dan berjalan di Microsoft Small Business Server 2000 dan Microsoft Windows Small Business Server 2003. Secara default, pada semua versi Microsoft Small Business Server, port komunikasi komponen WINS diblokir dari Internet, dan WINS hanya tersedia di jaringan lokal.

Masalah keamanan ini dapat memungkinkan penyerang untuk membahayakan server WINS dari jarak jauh jika salah satu kondisi berikut ini benar:

• Anda telah mengubah konfigurasi default untuk menginstal peran server WINS di Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server, atau Windows Server 2003.

• Anda menjalankan Microsoft Small Business Server 2000 atau Microsoft Windows Small Business Server 2003, dan penyerang memiliki akses ke jaringan lokal Anda.

Untuk membantu melindungi komputer Anda dari potensi kerentanan ini, ikuti langkah-langkah berikut:

1. Blokir port TCP 42 dan port UDP 42 di firewall.
   
   
   Port ini digunakan untuk memulai koneksi dengan server WINS jarak jauh. Jika Anda memblokir port ini di firewall, Anda membantu mencegah komputer yang berada di belakang firewall tersebut agar tidak mencoba menggunakan kerentanan ini. Port TCP 42 dan port UDP 42 adalah port replikasi WINS default. Sebaiknya blokir semua komunikasi masuk yang tidak diinginkan dari Internet.

2. Gunakan Keamanan Protokol Internet (IPsec) untuk membantu melindungi lalu lintas antar mitra replikasi server WINS. Untuk melakukan ini, gunakan salah satu opsi berikut ini.
   
   Hati-hati Karena setiap infrastruktur WINS unik, perubahan ini mungkin memiliki efek yang tidak diharapkan pada infrastruktur Anda. Kami sangat menyarankan agar Anda melakukan analisis risiko sebelum memilih untuk menerapkan mitigasi ini. Kami juga sangat menyarankan agar Anda melakukan pengujian lengkap sebelum Anda memasukkan mitigasi ini ke dalam produksi.
   

   • Opsi 1: Mengonfigurasi filter
     IPSec secara manual Mengonfigurasi filter IPSec, lalu ikuti instruksi dalam artikel Pangkalan Pengetahuan Microsoft berikut ini untuk menambahkan filter blokir yang memblokir semua paket dari alamat IP apa pun ke alamat IP sistem Anda:

     813878 Cara memblokir protokol dan port jaringan tertentu dengan menggunakan IPSec
     
     Jika Anda menggunakan IPSec di lingkungan domain Direktori Aktif Windows 2000 Anda dan Anda menyebarkan kebijakan IPSec Anda dengan menggunakan Kebijakan Grup, kebijakan domain menimpa kebijakan yang ditentukan secara lokal. Kemunculan ini mencegah opsi ini memblokir paket yang Anda inginkan.
     
     Untuk menentukan apakah server Anda menerima kebijakan IPSec dari domain Windows 2000 atau versi yang lebih baru, lihat bagian "Menentukan apakah kebijakan IPSec ditetapkan" dalam artikel Pangkalan Pengetahuan 813878.
     
     Setelah menentukan bahwa Anda dapat membuat kebijakan IPSec lokal yang efektif, unduh alat IPSeccmd.exe atau alat IPSecpol.exe.
     
     Perintah berikut ini memblokir akses keluar dan masuk ke port TCP 42 dan port UDP 42.
     
     Catatan Dalam perintah ini, %IPSEC_Command% merujuk ke Ipsecpol.exe (di Windows 2000) atau Ipseccmd.exe (pada Windows Server 2003).

     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK 
     

     Perintah berikut membuat kebijakan IPSec langsung efektif jika tidak ada kebijakan yang bertentangan. Perintah ini akan mulai memblokir semua port TCP masuk/keluar 42 dan paket port 42 UDP. Ini secara efektif mencegah replikasi WINS terjadi di antara server tempat perintah ini dijalankan dan mitra replikasi WINS apa pun.

     %IPSEC_Command% -w REG -p "Block WINS Replication" –x 

     Jika Anda mengalami masalah pada jaringan setelah Anda mengaktifkan kebijakan IPSec ini, Anda bisa menghapus penetapan kebijakan lalu menghapus kebijakan dengan menggunakan perintah berikut:

     %IPSEC_Command% -w REG -p "Block WINS Replication" -y 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -o 

     Untuk memungkinkan replikasi WINS berfungsi antara mitra replikasi WINS tertentu, Anda harus menimpa aturan blokir ini dengan aturan yang diperbolehkan. Aturan yang diperbolehkan harus menentukan alamat IP mitra replikasi WINS tepercaya Anda saja.
     
     
     Anda bisa menggunakan perintah berikut ini untuk memperbarui kebijakan IPSec Blok WINS Replikasi untuk memungkinkan alamat IP tertentu berkomunikasi dengan server yang menggunakan kebijakan Blokir Replikasi WINS.
     
     Catatan Dalam perintah ini, %IPSEC_Command% merujuk ke Ipsecpol.exe (di Windows 2000) atau Ipseccmd.exe (pada Windows Server 2003), dan %IP% merujuk ke alamat IP server WINS jarak jauh yang ingin Anda replikasi.

     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS 
     

     Untuk segera menetapkan kebijakan, gunakan perintah berikut:

     %IPSEC_Command% -w REG -p "Block WINS Replication" -x

   • Opsi 2: Jalankan skrip untuk secara otomatis mengonfigurasi filter
     IPSec Unduh lalu jalankan skrip WINS Replication Blocker yang membuat kebijakan IPSec untuk memblokir port. Untuk melakukannya, ikuti langkah-langkah ini:
     

     1. Untuk mengunduh dan mengekstrak file .exe, ikuti langkah-langkah berikut:
        

        1. Unduh skrip WINS Replication Blocker.
           
           File berikut ini tersedia untuk diunduh dari Pusat Unduhan Microsoft:
           
           Unduh paket skrip WINS Replication Blocker sekarang.
           
           Tanggal Rilis: 2 Desember 2004
           
           Untuk informasi tambahan tentang cara mengunduh file Dukungan Microsoft, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

           119591 Cara mendapatkan file dukungan Microsoft dari layanan online
           Microsoft memindai file ini untuk virus. Microsoft menggunakan perangkat lunak pendeteksi virus terbaru yang tersedia pada tanggal file diposting. File disimpan di server yang disempurnakan keamanan yang membantu mencegah perubahan yang tidak sah pada file.
           

           Jika Anda mengunduh skrip WINS Replication Blocker ke disk floppy, gunakan disk kosong yang diformat. Jika Anda mengunduh skrip WINS Replication Blocker ke hard disk Anda, buat folder baru untuk menyimpan file untuk sementara waktu dan mengekstrak file dari.
           
           
           Hati-hati Jangan mengunduh file secara langsung ke folder Windows Anda. Aksi ini bisa menimpa berkas yang diperlukan agar komputer Anda dapat beroperasi dengan benar.

        2. Temukan file di folder tempat Anda mengunduhnya, lalu klik ganda file .exe yang diekstrak sendiri untuk mengekstrak konten ke folder sementara. Misalnya, ekstrak konten ke C:\Temp.

     2. Buka prompt perintah, lalu pindahkan ke direktori tempat file diekstrak.

     3. Peringatan

        • Jika Anda menduga bahwa server WINS Anda mungkin terinfeksi, tetapi Anda tidak yakin server WINS apa yang dibobol atau apakah server WINS Anda saat ini disusupi, jangan masukkan alamat IP apa pun di langkah 3. Namun, mulai November 2004, kami tidak menyadari adanya pelanggan yang telah terpengaruh oleh masalah ini. Oleh karena itu, jika server Anda berfungsi seperti yang diharapkan, lanjutkan seperti yang dijelaskan.

        • Jika Anda salah menyiapkan IPsec, Anda mungkin menyebabkan masalah replikasi WINS yang serius di jaringan perusahaan Anda.

        Jalankan file Block_Wins_Replication.cmd. Untuk membuat port TCP 42 dan UDP port 42 aturan blok masuk dan keluar, ketik
        1 lalu tekan ENTER untuk memilih opsi 1 saat Anda diminta untuk memilih opsi yang Anda inginkan.

        Setelah Anda memilih opsi 1, skrip meminta Anda untuk memasukkan alamat IP server replikasi WINS tepercaya.
        
        
        Setiap alamat IP yang Anda masukkan dikecualikan dari kebijakan pemblokiran port TCP 42 dan port UDP 42. Anda akan diminta dalam pengulangan, dan Anda bisa memasukkan alamat IP sebanyak yang diperlukan. Jika Anda tidak mengetahui semua alamat IP mitra replikasi WINS, Anda bisa menjalankan skrip lagi di masa mendatang. Untuk mulai memasukkan alamat IP mitra replikasi WINS tepercaya, ketik 2 lalu tekan ENTER untuk memilih opsi 2 ketika diminta untuk memilih opsi yang diinginkan.
        
        
        Setelah menyebarkan pembaruan keamanan, Anda dapat menghapus kebijakan IPSec. Untuk melakukan ini, jalankan skrip. Ketik 3 lalu tekan ENTER untuk memilih opsi 3 ketika diminta untuk memilih opsi yang Anda inginkan.
        
        Untuk informasi tambahan tentang IPsec dan tentang cara menerapkan filter, klik nomor artikel berikut ini untuk menampilkan artikel di Pangkalan Pengetahuan Microsoft:
        
        

        313190 Cara menggunakan daftar filter IP IPsec di Windows 2000
        
        

3. Hapus WINS jika Anda tidak membutuhkannya.
   
   Jika Anda tidak lagi memerlukan WINS, ikuti langkah-langkah ini untuk menghapusnya. Langkah-langkah ini berlaku untuk Windows 2000, Windows Server 2003, dan versi yang lebih baru dari sistem operasi ini. Untuk Windows NT Server 4.0, ikuti prosedur yang disertakan dalam dokumentasi produk.
   
   Penting Banyak organisasi mengharuskan WINS untuk melakukan fungsi pendaftaran dan resolusi label tunggal atau nama datar di jaringan mereka. Administrator tidak boleh menghapus WINS kecuali salah satu kondisi berikut ini benar:
   

   • Administrator sepenuhnya memahami efek yang menghapus WINS yang akan dimiliki pada jaringan mereka.

   • Administrator telah mengonfigurasi DNS untuk menyediakan fungsionalitas yang setara dengan menggunakan nama domain dan akhiran domain DNS yang sepenuhnya memenuhi syarat.

   Juga, jika administrator menghapus fungsionalitas WINS dari server yang akan terus menyediakan sumber daya bersama di jaringan, administrator harus mengonfigurasi ulang sistem dengan benar untuk menggunakan layanan resolusi nama yang tersisa seperti DNS di jaringan lokal.
   
   Untuk informasi selengkapnya tentang WINS, kunjungi situs Web Microsoft berikut ini:

   http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true Untuk informasi selengkapnya tentang cara menentukan apakah Anda memerlukan resolusi nama NETBIOS atau WINS dan konfigurasi DNS, kunjungi situs Web Microsoft berikut ini:

   http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxUntuk menghapus WINS, ikuti langkah-langkah berikut:
   

   1. Di Panel Kontrol, buka Tambahkan atau Hapus Program.

   2. Klik Tambahkan/Hapus Komponen Windows.
      

   3. Pada halaman Panduan Komponen Windows, di bawah
      Komponen, klik Layanan Jaringan, lalu klik Detail.

   4. Klik untuk mengosongkan kotak centang Layanan Penamaan Internet Windows (WINS) untuk menghapus WINS.

   5. Ikuti instruksi di layar untuk menyelesaikan Panduan Komponen Windows.

Kami sedang berupaya melakukan pembaruan untuk mengatasi masalah keamanan ini sebagai bagian dari proses pembaruan rutin kami. Ketika pembaruan telah mencapai tingkat kualitas yang sesuai, kami akan memberikan pembaruan melalui Windows Update.


Jika Anda yakin bahwa Anda telah terpengaruh, hubungi Layanan Dukungan Produk.

Pelanggan internasional harus menghubungi Layanan Dukungan Produk dengan menggunakan metode apa pun yang tercantum di situs Web Microsoft berikut ini:

http://support.microsoft.com