Come contribuire alla protezione da un problema di sicurezza WINS

INTRODUZIONE

Stiamo esaminando i report relativi a un problema di sicurezza relativo a Microsoft Windows Internet Name Service (WINS). Questo problema di sicurezza riguarda Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server e Microsoft Windows Server 2003. Questo problema di sicurezza non riguarda Microsoft Windows 2000 Professional, Microsoft Windows XP o Microsoft Windows Millennium Edition.

Altre informazioni

Per impostazione predefinita, WINS non è installato in Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server o Windows Server 2003. Per impostazione predefinita, WINS è installato ed eseguito in Microsoft Small Business Server 2000 e Microsoft Windows Small Business Server 2003. Per impostazione predefinita, in tutte le versioni di Microsoft Small Business Server le porte di comunicazione del componente WINS sono bloccate da Internet e WINS è disponibile solo nella rete locale.

Questo problema di sicurezza potrebbe consentire a un utente malintenzionato di compromettere in remoto un server WINS se si verifica una delle condizioni seguenti:

• È stata modificata la configurazione predefinita per installare il ruolo del server WINS in Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server o Windows Server 2003.

• Si esegue Microsoft Small Business Server 2000 o Microsoft Windows Small Business Server 2003 e un utente malintenzionato ha accesso alla rete locale.

Per proteggere il computer da questa potenziale vulnerabilità, attenersi alla seguente procedura:

1. Blocca la porta TCP 42 e la porta UDP 42 sul firewall.
   
   
   Queste porte vengono utilizzate per avviare una connessione con un server WINS remoto. Se si bloccano queste porte nel firewall, si impedisce ai computer che si trovano dietro il firewall di provare a usare questa vulnerabilità. La porta TCP 42 e la porta UDP 42 sono le porte di replica WINS predefinite. È consigliabile bloccare tutte le comunicazioni non richieste in ingresso da Internet.

2. Usare Internet Protocol security (IPsec) per proteggere il traffico tra i partner di replica server WINS. A questo scopo, usare una delle opzioni seguenti.
   
   Attenzione Poiché ogni infrastruttura WINS è univoca, queste modifiche potrebbero avere effetti imprevisti sull'infrastruttura. È consigliabile eseguire un'analisi dei rischi prima di scegliere di implementare questa prevenzione. È anche consigliabile eseguire test completi prima di mettere questa prevenzione in produzione.
   

   • Opzione 1: configurare manualmente i filtri
     IPSec Configurare manualmente i filtri IPSec e quindi seguire le istruzioni contenute nel seguente articolo della Microsoft Knowledge Base per aggiungere un filtro di blocco che blocchi tutti i pacchetti da qualsiasi indirizzo IP all'indirizzo IP del sistema:

     813878 Come bloccare porte e protocolli di rete specifici tramite IPSec
     
     Se si usa IPSec nell'ambiente di dominio di Windows 2000 Active Directory e si distribuiscono i criteri IPSec usando Criteri di gruppo, i criteri di dominio sostituiscono qualsiasi criterio definito in locale. Questa occorrenza impedisce a questa opzione di bloccare i pacchetti desiderati.
     
     Per determinare se i server ricevono un criterio IPSec da un dominio di Windows 2000 o da una versione successiva, vedere la sezione "Determinare se è assegnato un criterio IPSec" nell'articolo della Knowledge Base 813878.
     
     Dopo aver stabilito che è possibile creare un criterio IPSec locale efficace, scaricare lo strumento IPSeccmd.exe o lo strumento IPSecpol.exe.
     
     I comandi seguenti bloccano l'accesso in ingresso e in uscita alla porta TCP 42 e alla porta UDP 42.
     
     Nota In questi comandi%IPSEC_Command% fa riferimento a Ipsecpol.exe (in Windows 2000) o a Ipseccmd.exe (Windows Server 2003).

     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK 
     

     Il comando seguente rende il criterio IPSec immediatamente valido in assenza di criteri in conflitto. Questo comando avvia il blocco di tutti i pacchetti 42 e 42 della porta TCP in ingresso/uscita. Ciò impedisce in modo efficace la replica WINS tra il server in cui sono stati eseguiti questi comandi e gli eventuali partner di replica WINS.

     %IPSEC_Command% -w REG -p "Block WINS Replication" –x 

     Se si verificano problemi di rete dopo l'abilitazione del criterio IPSec, è possibile annullare l'assegnazione del criterio ed eliminarlo usando i comandi seguenti:

     %IPSEC_Command% -w REG -p "Block WINS Replication" -y 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -o 

     Per consentire alla replica WINS di funzionare tra partner di replica WINS specifici, è necessario eseguire l'override di queste regole di blocco con le regole di consenti. Le regole di consenti devono specificare solo gli indirizzi IP dei partner di replica WINS attendibili.
     
     
     È possibile utilizzare i comandi seguenti per aggiornare il criterio IPSec di replica WINS di blocco per consentire a indirizzi IP specifici di comunicare con il server che usa il criterio di replica WINS di blocco.
     
     Nota In questi comandi%IPSEC_Command% fa riferimento a Ipsecpol.exe (in Windows 2000) o a Ipseccmd.exe (in Windows Server 2003) e %IP% fa riferimento all'indirizzo IP del server WINS remoto con cui si vuole replicare.

     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS 
     

     Per assegnare immediatamente il criterio, usare il comando seguente:

     %IPSEC_Command% -w REG -p "Block WINS Replication" -x

   • Opzione 2: eseguire uno script per configurare automaticamente i filtri
     IPSec Scaricare ed eseguire lo script WINS Replication Blocker che crea un criterio IPSec per bloccare le porte. A tale scopo, procedere come segue:
     

     1. Per scaricare ed estrarre i file .exe, procedere come segue:
        

        1. Scarica lo script Wins Replication Blocker.
           
           Il file seguente è disponibile per il download dall'Area download Microsoft:
           
           Scarica subito il pacchetto di script WINS Replication Blocker.
           
           Data di rilascio: 2 dicembre 2004
           
           Per altre informazioni su come scaricare file supporto tecnico Microsoft, fare clic sul numero dell'articolo seguente per visualizzare l'articolo della Microsoft Knowledge Base:

           119591 Come ottenere i file di supporto Microsoft da Servizi online
           microsoft ha analizzato questo file alla ricerca di virus. Microsoft ha usato il software di rilevamento dei virus più recente disponibile alla data di pubblicazione del file. Il file viene archiviato in server di sicurezza avanzati che consentono di impedire modifiche non autorizzate al file.
           

           Se si scarica lo script WINS Replication Blocker su un disco floppy, usare un disco vuoto formattato. Se si sta scaricando lo script WINS Replication Blocker nel disco rigido, creare una nuova cartella in cui salvare temporaneamente il file ed estrarlo.
           
           
           Attenzione Non scaricare file direttamente nella cartella Windows. Questa azione potrebbe sovrascrivere i file necessari per il corretto funzionamento del computer.

        2. Individuare il file nella cartella in cui è stato scaricato e quindi fare doppio clic sul file di .exe autoestraente per estrarre il contenuto in una cartella temporanea. Ad esempio, estrarre il contenuto in C:\Temp.

     2. Aprire un prompt dei comandi e quindi passare alla directory in cui vengono estratti i file.

     3. Attenzione

        • Se si sospetta che i server WINS possano essere infettati, ma non si sa quali server WINS sono compromessi o se il server WINS corrente è compromesso, non immettere alcun indirizzo IP nel passaggio 3. Tuttavia, a partire da novembre 2004, non siamo a conoscenza di clienti che sono stati interessati da questo problema. Pertanto, se i server funzionano come previsto, continuare come descritto.

        • Se IPsec è stato configurato in modo errato, è possibile che si verifichino gravi problemi di replica WINS nella rete aziendale.

        Eseguire il file Block_Wins_Replication.cmd. Per creare le regole di blocco in ingresso e in uscita della porta TCP 42 e della porta UDP 42, digitare
        1 e quindi premere INVIO per selezionare l'opzione 1 quando viene richiesto di selezionare l'opzione desiderata.

        Dopo aver selezionato l'opzione 1, lo script chiede di immettere gli indirizzi IP dei server di replica WINS attendibili.
        
        
        Ogni indirizzo IP immesso non è soggetto ai criteri di blocco della porta TCP 42 e UDP 42. Viene richiesto un ciclo e si può immettere il numero di indirizzi IP necessario. Se non si conoscono tutti gli indirizzi IP dei partner di replica WINS, è possibile eseguire di nuovo lo script in futuro. Per iniziare a immettere gli indirizzi IP dei partner di replica WINS attendibili, digitare 2 e quindi premere INVIO per selezionare l'opzione 2 quando viene richiesto di selezionare l'opzione desiderata.
        
        
        Dopo aver distribuito l'aggiornamento della sicurezza, è possibile rimuovere il criterio IPSec. A questo scopo, eseguire lo script. Digitare 3 e quindi premere INVIO per selezionare l'opzione 3 quando viene richiesto di selezionare l'opzione desiderata.
        
        Per altre informazioni su IPSec e su come applicare i filtri, fare clic sul numero dell'articolo seguente per visualizzare l'articolo della Microsoft Knowledge Base:
        
        

        313190 Come usare gli elenchi di filtri IP IPsec in Windows 2000
        
        

3. Rimuovere WINS se non è necessario.
   
   Se WINS non è più necessario, seguire questa procedura per rimuoverlo. Questi passaggi si applicano a Windows 2000, Windows Server 2003 e alle versioni successive di questi sistemi operativi. Per Windows NT Server 4.0, seguire la procedura inclusa nella documentazione del prodotto.
   
   Importante Molte organizzazioni richiedono che WINS esegua funzioni di registrazione di singole etichette o nomi flat e di risoluzione sulla propria rete. Gli amministratori non devono rimuovere WINS a meno che non sia vera una delle condizioni seguenti:
   

   • L'amministratore comprende pienamente l'effetto che la rimozione di WINS avrà sulla propria rete.

   • L'amministratore ha configurato il DNS per fornire le funzionalità equivalenti usando nomi di dominio completi e suffissi di dominio DNS.

   Inoltre, se un amministratore sta rimuovendo la funzionalità WINS da un server che continuerà a fornire risorse condivise nella rete, l'amministratore deve riconfigurare correttamente il sistema per utilizzare i servizi di risoluzione dei nomi rimanenti, come il DNS, nella rete locale.
   
   Per ulteriori informazioni su WINS, visita il seguente sito Web Microsoft:

   http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true Per ulteriori informazioni su come determinare se è necessaria la risoluzione dei nomi NETBIOS o WINS e la configurazione DNS, visitare il seguente sito Web Microsoft:

   http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxPer rimuovere WINS, attenersi alla seguente procedura:
   

   1. In Pannello di controllo aprire Installazione applicazioni.

   2. Fare clic su Aggiungi/Rimuovi componenti di Windows.
      

   3. Nella pagina Creazione guidata componenti di Windows, in
      Componenti, fare clic su Servizi di rete e quindi su Dettagli.

   4. Fare clic per deselezionare la casella di controllo WINS (Windows Internet Naming Service) per rimuovere WINS.

   5. Segui le istruzioni visualizzate per completare la Creazione guidata Componenti di Windows.

Stiamo lavorando a un aggiornamento per risolvere questo problema di sicurezza nell'ambito del nostro normale processo di aggiornamento. Quando l'aggiornamento raggiunge un livello di qualità appropriato, microsoft fornirà l'aggiornamento tramite Windows Update.


Se ritie ne sei interessato, contatta il Servizio Supporto Tecnico Clienti.

I clienti internazionali devono contattare il Servizio Supporto Tecnico Clienti Utilizzando qualsiasi metodo elencato nel seguente sito Web Microsoft:

http://support.microsoft.com