Protezione da un problema di sicurezza WINS

INTRODUZIONE

Microsoft sta analizzando le segnalazioni su un problema di protezione del servizio WINS (Microsoft Windows Internet Name Service). Questo problema di protezione influisce su Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server e Microsoft Windows Server 2003, mentre non riguarda Microsoft Windows 2000 Professional, Microsoft Windows XP o Microsoft Windows Millennium Edition.

Informazioni

Per impostazione predefinita, WINS non è installato in Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server o Windows Server 2003, mentre lo è e viene eseguito in Microsoft Small Business Server 2000 e Microsoft Windows Small Business Server 2003. Per impostazione predefinita, in tutte le versioni di Microsoft Small Business Server le porte di comunicazione del componente WINS sono bloccate in entrata da Internet, per cui WINS è disponibile solo sulla rete locale.


Questo problema di protezione potrebbe consentire a un utente malintenzionato collegato in remoto di compromettere un server WINS se si verifica una delle condizioni seguenti:

  • La configurazione predefinita è stata modificata per installare il ruolo di server WINS in Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server o Windows Server 2003.

  • È in esecuzione Microsoft Small Business Server 2000 o Microsoft Windows Small Business Server 2003, e un utente malintenzionato ha accesso alla rete locale.

Per proteggere il computer da questa potenziale vulnerabilità, attenersi alla procedura seguente:

  1. Bloccare la porta TCP 42 e la porta UDP 42 nel firewall.


    Queste porte vengono utilizzate per iniziare una connessione con un server WINS remoto. Se queste porte vengono bloccate nel firewall, si può impedire che i computer che si trovano dietro al firewall possano sfruttare questa vulnerabilità. La porta TCP 42 e la porta UDP 42 sono le porte di replica WINS predefinite. Si consiglia pertanto di bloccare tutte le comunicazioni non desiderate in entrata da Internet.

  2. Utilizzare IPSec per consentire la protezione del traffico tra i partner di replica del server WINS. Per eseguire questa operazione, utilizzare una delle opzioni seguenti.

    Avviso Poiché ogni infrastruttura WINS è univoca, tali modifiche possono avere conseguenze impreviste sull'infrastruttura in uso. È vivamente consigliabile eseguire un'analisi dei rischi prima di implementare questa attenuazione. Inoltre, è assai opportuno eseguire un testing completo prima di trasferire questa attenuazione nei sistemi di produzione.

    • Opzione 1: Configurazione manuale dei filtri IPSec
      Configurare manualmente i filtri IPSec, quindi attenersi alle istruzioni dell'articolo seguente della Microsoft Knowledge Base per aggiungere un filtro che blocchi tutti i pacchetti provenienti da qualsiasi indirizzo IP la cui destinazione sia l'indirizzo IP del sistema in uso:

      813878 Blocco di specifici protocolli di rete e porte utilizzando IPSec

      Se si utilizza IPSec nell'ambiente del dominio Windows 2000 Active Directory e si distribuisce il criterio IPSec mediante Criteri di gruppo, il criterio del dominio ha la precedenza su qualsiasi criterio definito localmente. Ciò impedisce il blocco dei pacchetti desiderati.

      Per stabilire se i server ricevono un criterio IPSec da un dominio Windows 2000 o versione successiva, vedere la sezione "Determinare se un criterio IPSec è assegnato" nell'articolo 813878 della Microsoft Knowledge Base.

      Dopo aver stabilito che è possibile creare un criterio IPSec locale efficace, scaricare lo strumento IPSeccmd.exe o lo strumento IPSecpol.exe.

      I comandi seguenti consentono di bloccare l'accesso in entrata e in uscita per la porta TCP 42 e per la porta UDP 42.

      Nota In questi comandi, %Comando_IPSEC% si riferisce a Ipsecpol.exe (in Windows 2000) o a Ipseccmd.exe (in Windows Server 2003).

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK

      Il comando seguente consente di rendere immediatamente efficace il criterio IPSec qualora non esistano criteri in conflitto, bloccando tutti i pacchetti in entrata e in uscita per la porta TCP 42 e per la porta UDP 42. In questo modo viene impedita la replica WINS tra il server su cui sono stati eseguiti questi comandi e qualsiasi partner di replica WINS.

      %IPSEC_Command% -w REG -p "Block WINS Replication" –x 

      Se si verificano problemi nella rete nonostante l'attivazione di questo criterio IPSec, è possibile annullare l'assegnazione del criterio ed eliminarlo mediante i comandi seguenti:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -y 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -o

      Per permettere la replica WINS tra partner di replica WINS specifici, è necessario ignorare queste regole di blocco utilizzando regole di consenso, nelle quali occorre specificare gli indirizzi IP dei soli partner di replica WINS attendibili.

      È possibile utilizzare i comandi seguenti per aggiornare il criterio IPSec di blocco della replica WINS in modo da consentire a determinati indirizzi IP di comunicare con il server che utilizza il criterio di blocco della replica WINS.

      Nota In questi comandi, %Comando_IPSEC% si riferisce a Ipsecpol.exe (in Windows 2000) o a Ipseccmd.exe (in Windows Server 2003), mentre %IP% si riferisce all'indirizzo IP del server WINS remoto con il quale eseguire la replica.

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS

      Per assegnare immediatamente il criterio, utilizzare il comando seguente:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -x
    • Opzione 2: Esecuzione di uno script per configurare automaticamente i filtri IPSec
      Scaricare ed eseguire lo script di blocco della replica WINS che crea un criterio IPSec in grado di bloccare le porte. A questo scopo, attenersi alla procedura seguente:

      1. Per scaricare ed estrarre i file exe, attenersi alla procedura seguente:

        1. Scaricare lo script di blocco della replica WINS.

          Il seguente file è disponibile per il download dall'Area download Microsoft (informazioni in lingua inglese):

          Download dello script di blocco della replica WINS

          Data di rilascio: 2 dicembre 2004

          Per ulteriori informazioni sul download di file di supporto Microsoft, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:

          119591 Come ottenere file di supporto Microsoft dai servizi online Il file è stato controllato e non contiene virus. Microsoft ha utilizzato il software antivirus più recente disponibile al momento della data di pubblicazione del file. Il file viene salvato su server con un livello di protezione avanzata che impedisce modifiche non autorizzate.

          Se lo script di blocco della replica WINS viene scaricato su un disco floppy, utilizzare un disco vuoto formattato. Se lo script di blocco della replica WINS viene scaricato sul disco rigido, creare una nuova cartella in cui salvare temporaneamente il file e da cui estrarlo.


          Avviso Non scaricare file direttamente nella cartella di Windows, altrimenti potrebbero essere sovrascritti file necessari per il corretto funzionamento del computer.

        2. Individuare il file nella cartella in cui è stato scaricato, quindi fare doppio clic sul file exe a estrazione automatica per estrarne il contenuto in una cartella temporanea. Ad esempio, estrarre il contenuto in C:\Temp.

      2. Avviare il prompt dei comandi, quindi rimuovere la directory in cui i file sono stati estratti.

      3. Avviso

        • Se si sospetta che i server WINS siano infetti ma non si è certi di quali server WINS siano compromessi o se il server WINS corrente sia compromesso, non immettere alcun indirizzo IP nel passaggio 3. Al novembre 2004, tuttavia, non erano noti casi di utenti interessati da questo problema. Se pertanto i server funzionano come previsto, continuare come descritto.

        • Se si configura IPSec in modo errato, si potrebbero causare gravi problemi di replica WINS nella rete aziendale. Per ulteriori informazioni sulle considerazioni di protezione IPSec, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):

          http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sag_ipsecsec_con.mspx

        Eseguire il file Block_Wins_Replication.cmd. Per creare le regole di blocco in entrata e in uscita della porta TCP 42 e della porta UDP 42, digitare 1 e premere INVIO per selezionare l'opzione 1 quando viene chiesto di scegliere l'opzione desiderata.

        Dopo avere selezionato l'opzione 1, viene richiesto di immettere gli indirizzi IP dei server di replica WINS attendibili.


        Ogni indirizzo IP immesso è escluso dal criterio di blocco della porta TCP 42 e della porta UDP 42. Le richieste di immissione sono diverse, pertanto è possibile immettere tutti gli indirizzi IP desiderati. Se non si conoscono tutti gli indirizzi IP dei partner di replica WINS, è possibile eseguire di nuovo lo script in un secondo momento. Per iniziare a immettere gli indirizzi IP dei partner di replica WINS attendibili, digitare 2 e premere INVIO per selezionare l'opzione 2 quando viene richiesto di scegliere l'opzione desiderata.


        Dopo aver distribuito l'aggiornamento della protezione, è possibile rimuovere il criterio IPSec. A questo scopo, eseguire lo script. Digitare 3 e premere INVIO per selezionare l'opzione 3 quando viene chiesto di scegliere l'opzione desiderata.

        Per ulteriori informazioni su IPSec e sull'applicazione di filtri, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:

        313190 HOW TO: Utilizzare gli elenchi di filtri IP IPSec in Windows 2000

  3. Rimuovere WINS se non è necessario.

    Se WINS non è più necessario, attenersi alla procedura seguente per rimuoverlo. La procedura riguarda Windows 2000, Windows Server 2003 e le versioni successive di questi sistemi operativi. Per Windows NT Server 4.0 seguire la procedura indicata nella documentazione del prodotto.

    Importante Molte organizzazioni necessitano di WINS per eseguire le funzioni di registrazione e di risoluzione di nomi semplici o a etichetta singola all'interno della rete. Gli amministratori non dovrebbero rimuovere WINS se non si verifica una delle seguenti condizioni:

    • L'amministratore conosce le conseguenze della rimozione di WINS sulla rete.

    • L'amministratore ha configurato DNS affinché fornisca una funzionalità equivalente mediante nomi di dominio completi e suffissi di dominio DNS.

    Inoltre, se un amministratore rimuove la funzionalità WINS da un server che continuerà a fornire le risorse condivise sulla rete, dovrà riconfigurare il sistema in modo corretto per l'utilizzo dei servizi di risoluzione dei nomi rimanenti, ad esempio DNS, all'interno della rete locale.


    Per ulteriori informazioni su WINS, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):

    http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true Per ulteriori informazioni su come determinare se occorrono la risoluzione dei nomi NETBIOS o WINS e la configurazione DNS, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):

    http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxPer rimuovere WINS, attenersi alla procedura seguente:

    1. Nel Pannello di controllo aprire Installazione applicazioni.

    2. Scegliere Installazione componenti di Windows.

    3. Nella schermata dell'Aggiunta guidata componenti di Windows, in corrispondenza di Componenti, fare clic su
      Servizi di rete, quindi su Dettagli.

    4. Deselezionare la casella di controllo relativa al servizio WINS per rimuovere WINS.

    5. Seguire le istruzioni visualizzate per completare l'Aggiunta guidata componenti di Windows.

È in corso lo sviluppo di un aggiornamento per la risoluzione di questo problema di protezione nell'ambito del normale processo di aggiornamento. Quando l'aggiornamento avrà raggiunto un adeguato livello di qualità, sarà reso disponibile in Windows Update.

Se si pensa di essere affetti da questo problema, contattare il Servizio Supporto Tecnico Clienti Microsoft. Utilizzare il seguente numero di telefono del servizio PC Safety per contattare il Servizio Supporto Tecnico Clienti Microsoft in Nord America ed ottenere assistenza per i problemi degli aggiornamenti della protezione o per i virus:

1-866-PCSAFETYNota La telefonata è gratuita.

Gli utenti residenti nelle altri parti del mondo devono contattare il Servizio Supporto Tecnico Clienti Microsoft nel modo indicato nel seguente sito Web Microsoft:

http://support.microsoft.com

Serve aiuto?

Amplia le tue competenze
Esplora i corsi di formazione
Ottieni in anticipo le nuove caratteristiche
Partecipa a Microsoft Insider

Queste informazioni sono risultate utili?

Grazie per il feedback!

Grazie per il tuo feedback! Potrebbe essere utile metterti in contatto con uno dei nostri operatori del supporto di Office.

×