ĮVADAS

Mes tiria ataskaitos saugos problemos su "Microsoft" Windows interneto vardų tarnyba (WINS). Ši saugos problema kyla, Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server ir Microsoft Windows Server 2003. Ši saugos problema nedaro įtakos "Microsoft" Windows 2000 Professional, Microsoft Windows XP arba Microsoft Windows Millennium Edition.

Daugiau informacijos

Pagal numatytuosius parametrus WINS nėra įdiegtas "Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server, arba" Windows Server 2003. Pagal numatytuosius parametrus WINS yra įdiegta ir veikia Microsoft Small Business Server 2000 ir Microsoft Windows Small Business Server 2003. Pagal numatytuosius nustatymus visos versijos Microsoft Small Business Server, WINS komponentų ryšio prievadai blokuojami iš interneto, ir WINS galima tik vietiniame tinkle.Šis saugos problemą būtų galima įsilaužėlis nuotoliniu būdu pakenkti WINS serveris, jei tenkinama bent viena iš šių sąlygų:

  • Pakeičiate numatytoji konfigūracija ir WINS serverio vaidmenį įdiegiate Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server arba Windows Server 2003.

  • Jūs naudojate Microsoft Small Business Server 2000 arba Microsoft Windows Small Business Server 2003, ir pažeidėjas turi prieigą prie vietinio tinklo.

Norėdami apsaugoti kompiuterį nuo galimų šį pažeidžiamumą, atlikite šiuos veiksmus:

  1. Blokas TCP prievado 42 ir UDP prievado 42 ties užkarda.Šie prievadai, kuriuos naudoja užmegzti ryšį su nuotolinio WINS serveris. Jei jūs galite blokuoti šiuos prievadus, ties užkarda, galite išvengti kompiuterių, kurie yra iš bando naudoti šį pažeidžiamumą, užkardą. TCP prievadas 42 ir UDP prievado 42 yra numatytasis WINS replikavimas prievadų. Rekomenduojame blokuoti visus gaunamus nepageidaujamus ryšių iš interneto.

  2. Naudodami interneto protokolo sauga (IPsec) apsaugoti eismo WINS serverio replikacijos partnerių. Norėdami tai padaryti, naudokite vieną iš toliau nurodytų parinkčių.Dėmesio Dėl to, kad kiekvienas WINS infrastruktūra yra unikalus, šie pakeitimai gali būti netikėti poveikį savo infrastruktūrą. Primygtinai rekomenduojame atlikti rizikos analizę, kol nuspręsite taikyti šį mažinimas. Taip pat rekomenduojame atlikti visą tikrinimo prieš šį mažinimas į gamybos.

    • 1 būdas: Rankiniu būdu konfigūruoti IPSec filtraiRankiniu būdu konfigūruoti IPSec filtrus, ir tada vadovaukitės šiame "Microsoft" žinių bazės straipsnyje įtraukti blokas filtro kuri blokuoja visus paketus iš IP adresą į sistemos IP adresą:

      813878 kaip blokuoti konkrečių tinklo protokolus ir prievadus naudodami IPSecGalite naudoti IPSec Windows 2000 Active Directory domeno aplinkoje, jūsų IPSec strategijos diegiate naudodami grupės strategiją, domeno politika pakeičia bet vietoje nustatytų strategijos. Šis įvykis neleidžia paketus, norite blokuoti šią parinktį.Norėdami nustatyti, ar jūsų serveriai gauna IPSec strategiją iš Windows 2000 domeno arba naujesnė versija, žr. skyrių "Nustatyti, ar yra IPSec strategiją priskirtas" žinių bazės straipsnyje 813878.Kai jums nustatė, kad galite sukurti veiksmingą vietos IPSec politiką, atsisiųsti IPSeccmd.exe įrankį arba įrankį IPSecpol.exe.Toliau nurodytas komandas užblokuoti gavimo ir siuntimo TCP 42 ir 42 UDP prievadą.Pastaba. Šios komandosIPSEC_Command% reiškia Ipsecpol.exe (su Windows 2000) arba Ipseccmd.exe ("Windows Server 2003").

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK 

      Šią komandą galite IPSec strategijos veiksminga iš karto, jei nėra jokių konfliktas strategija. Ši komanda pradės blokuoti visus įeinančio/išeinančio TCP prievado 42 ir UDP prievado 42 paketus. Tai veiksmingai neleidžia WINS dubliavimo nesikartotų, šios komandos buvo paleisti serverio ir visus WINS replikacijos partnerių.

      %IPSEC_Command% -w REG -p "Block WINS Replication" –x 

      Jei patiriate problemų dėl tinklo po to, kai šis IPSec strategijos, galite priskyrimą strategija ir panaikinkite strategija, naudodami šias komandas:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -y %IPSEC_Command% -w REG -p "Block WINS Replication" -o 

      Kad WINS kopijavimo funkcija tarp konkrečių WINS replikacijos partnerių, turite pakeisti bendrosios taisyklės leidžia taisyklės. Leisti taisyklės turi nurodyti savo patikimų WINS replikacijos partnerių tik IP adresus.Atnaujinti blokuoti WINS dubliavimo IPSec politika, kad konkrečios IP adresų su serveriu, kuriame naudojamos blokas WINS replikavimo strategija, galite naudoti toliau nurodytas komandas.Pastaba. Šios komandos,IPSEC_Command% reiškia Ipsecpol.exe (su Windows 2000) arba Ipseccmd.exe ("Windows Server 2003"), irIP% nurodo nuotolinio WINS serveris, kurį norite pakartoti su IP adresu.

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS 

      Priskirkite strategiją iš karto, naudokite šią komandą:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -x
    • 2 būdas: Paleiskite scenarijų automatiškai konfigūruoti IPSec filtraiAtsisiųskite ir paleiskite WINS dubliavimo langų blokavimo programa scenarijų, kuris sukuriamas IPSec politika blokuoti prievadus. Norėdami tai padaryti, atlikite šiuos veiksmus:

      1. Norėdami atsisiųsti ir išskleisti .exe failus, atlikite šiuos veiksmus:

        1. Atsisiųskite WINS dubliavimo langų blokavimo programa scenarijų.Iš „Microsoft“ atsisiuntimo centro galima atsisiųsti šį failą:Download Atsisiųskite WINS dubliavimo langų blokavimo programa scenarijų paketą dabar.Išleidimo data: 2, 2004 m. gruodžioJei norite gauti papildomos informacijos apie tai, kaip atsisiųsti Microsoft Support failus, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:

          119591 kaip gauti "Microsoft" palaikymo failus iš interneto tarnybų„Microsoft“ patikrino, ar šiame faile nėra virusų. „Microsoft“ naudojo naujausią virusų aptikimo programinę įrangą, kuri buvo pasiekiama failo paskelbimo dieną. Failas laikomas sustiprintos saugos serveriuose, Norėdami apsisaugoti nuo neteisėto keitimo į failą.

          Jei atsisiunčiate WINS dubliavimo langų blokavimo programa scenarijų į diskelį, naudokite formatuotas diskas tuščias. Jei atsisiunčiate WINS dubliavimo langų blokavimo programa scenarijų į standųjį diską, sukurkite naują aplanką laikinai įrašyti failą ir išskleisti iš failo.Dėmesio Nesiųskite failų tiesiogiai į "Windows" aplanką. Šį veiksmą galite perrašyti failus, kurių reikia jūsų kompiuteryje veiktų tinkamai.

        2. Suraskite failą į aplanką, kurį atsisiuntėte, ir du kartus spustelėkite savaime išsiskleidžiantį .exe failą, kad išskleistumėte turinį į laikiną aplanką. Pvz., išskleisti turinį į C:\Temp.

      2. Atidarykite komandinę eilutę, ir tada perkelti į katalogą, kur išskleidžiami failai.

      3. Įspėjimas

        • Jei manote, kad jūsų WINS serveris gali būti užkrėstas, bet nežinote, kokia WINS serveris yra sugadintas arba ar jūsų dabartinis WINS serveris yra sugadintas, neįveskite visus IP adresus, atliekant 3 veiksmą. Vis dėlto iki 2004 m. lapkričio mėn., mes nežino jokių klientams, kurie buvo paveikti šią problemą. Todėl, jei jūsų serveriai veikia tinkamai, toliau kaip aprašyta.

        • Jei norite neteisingai nustatyti IPsec, gali kilti rimtų WINS replikavimo problemų, jūsų įmonės tinklo.

        Paleiskite failą Block_Wins_Replication.cmd. Norėdami sukurti 42 prievadas TCP ir UDP prievado 42 gavimo ir siuntimo taisyklės, įveskite 1 ir paspauskite klavišą ENTER, kad pasirinktumėte parinktį 1, kai būsite paraginti, pasirinkite norimą parinktį.

        Pasirinkus parinktį 1 scenarijus paragins įvesti patikimą WINS dubliavimo serverio IP adresų.Kiekvienam IP adresas įvestas netaikoma blokavimo TCP prievado 42 ir UDP prievado 42 strategiją. Būsite paraginti ciklo, ir įveskite IP adresų, tiek, kiek reikia. Jei nežinote WINS replikacijos partnerių IP adresus, galite paleisti scenarijų dar kartą vėliau. Pradėkite vesti IP adresus ir patikimų WINS replikacijos partnerių, įveskite 2 ir tada paspauskite ENTER, kad pasirinktumėte parinktį 2, kai būsite paraginti pasirinkti parinktį, norite.Kai įdiegiate saugos naujinimą, galite pašalinti IPSec strategiją. Norėdami tai padaryti, paleiskite scenarijų. 3 įveskite ir tada paspauskite ENTER, kad pasirinktumėte parinktį 3, kai būsite paraginti, pasirinkite norimą parinktį.Jei norite gauti papildomos informacijos apie IPsec ir taikyti filtrus, spustelėkite šį straipsnio numerį ir peržiūrėkite straipsnį "Microsoft" žinių bazės straipsnį:

        313190 kaip naudoti IPsec IP filtro pateikiamos "Windows 2000"

  3. Jei jums nereikia pašalinti WINS.Jei jums nebereikia WINS, atlikite šiuos veiksmus jį pašalinti. Šie veiksmai atliekami sistemoje Windows 2000, Windows Server 2003 ir vėlesnės versijos iš šių operacinių sistemų. Windows NT Server 4.0, atlikite veiksmus, kuri yra įtraukta į produkto dokumentacijoje.Svarbu. Daugelis organizacijų reikia WINS tinklo atlikti viena etiketė arba paprastųjų vardo registracijos ir sprendimas funkcijas. Administratoriai turi pašalinti WINS, jei tenkinama bent viena iš šių sąlygų:

    • Administratorius tinkamai supranta, kad pašalinus WINS tai poveikį tinklo.

    • Administratorius sukonfigūravo DNS, kad suteikti lygiavertį funkcijas naudojant visiškai apibrėžtus domeno vardus ir DNS domeno plėtiniai.

    Be to, jei iš serverio, kuriame toliau teiks bendro naudojimo išteklių tinklo administratorius yra pašalinti WINS funkcijas, administratorius tinkamai iš naujo naudoti likusius pavadinimas sprendimo paslaugų, pvz., DNS vietos sistemos tinklo.Jei norite gauti daugiau informacijos apie WINS, apsilankykite šioje "Microsoft" svetainėje:

    http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=trueJei norite gauti daugiau informacijos apie tai, kaip nustatyti, ar jums reikia NETBIOS ir WINS pavadinimo vertimas ir DNS konfigūracija, apsilankykite šioje "Microsoft" svetainėje:

    http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxJei norite pašalinti WINS, atlikite šiuos veiksmus:

    1. Valdymo skyde atidarykite pridėti arba šalinti programas.

    2. Spustelėkite Pridėti/šalinti "Windows" komponentus.

    3. Windows komponentų vedlio puslapyje, pagalKomponentus, spustelėkite Tinklo tarnybos, ir spustelėkite išsami informacija.

    4. Spustelėdami išvalykite žymės langelį Windows interneto pavadinimų tarnyba (WINS) pašalinti WINS.

    5. Vykdykite nurodymus ekrane, kad užbaigti Windows komponentų vedlys.

Stengiamės atnaujinti saugos problemai spręsti mūsų reguliariai naujinimo proceso dalis. Kai naujinimas yra pakankamą kokybę, pateiksime naujinimą iš "Windows" naujinimo.Jei manote, kad galite susidurti, kreipkitės į produktų palaikymo tarnyba.Klientų turi su produktų palaikymo tarnybos būdu bet, kuri pateikiama šioje "Microsoft" žiniatinklio svetainėje:

http://support.microsoft.com

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.