ĮVADAS

Tiriame ataskaitas apie "Microsoft Windows" interneto vardų tarnybos (WINS) saugos problemą. Ši saugos problema turi įtakos "Microsoft Windows NT Server 4.0", "Microsoft Windows NT Server 4.0 Terminal Server Edition", "Microsoft Windows 2000 Server" ir "Microsoft Windows Server 2003". Ši saugos problema neturi įtakos "Microsoft Windows 2000 Professional", "Microsoft Windows XP" arba "Microsoft Windows Millennium Edition".

Daugiau informacijos

Pagal numatytuosius parametrus WINS neįdiegta "Windows NT Server 4.0", "Windows NT Server 4.0 Terminal Server Edition", "Windows 2000 Server" arba "Windows Server 2003". Pagal numatytuosius parametrus WINS yra įdiegta ir veikia "Microsoft Small Business Server 2000" ir "Microsoft Windows Small Business Server 2003". Pagal numatytuosius parametrus visose "Microsoft Small Business Server" versijose WINS komponento ryšių prievadai blokuojami internete, o WINS galima naudoti tik vietiniame tinkle. Ši saugos problema gali leisti pažeidėjui nuotoliniu būdu pažeisti WINS serverį, jei tenkinama viena iš šių sąlygų:

  • Pakeitėte numatytąją konfigūraciją, kad įdiegtumėte WINS serverio vaidmenį "Windows NT Server 4.0", "Windows NT Server 4.0 Terminal Server Edition", "Windows 2000 Server" arba "Windows Server 2003".

  • Naudojate "Microsoft Small Business Server 2000" arba "Microsoft Windows Small Business Server 2003" ir pažeidėjas turi prieigą prie jūsų vietinio tinklo.

Norėdami apsaugoti savo kompiuterį nuo šio galimo pažeidžiamumo, atlikite šiuos veiksmus:

  1. Užkardoje blokuokite TCP prievadą 42 ir UDP prievadą 42.Šie prievadai naudojami inicijuoti ryšį su nuotoliniu WINS serveriu. Jei užblokuosite šiuos prievadus užkardoje, padėsite išvengti kompiuterių, kurie yra už užkardos bando naudoti šį pažeidžiamumą. TCP prievadas 42 ir UDP prievadas 42 yra numatytieji WINS replikavimo prievadai. Rekomenduojame blokuoti visą nepageidaujamą interneto ryšį.

  2. Naudokite interneto protokolo saugą (IPsec), kad apsaugotumėte srautą tarp WINS serverio replikavimo partnerių. Norėdami tai padaryti, naudokite vieną iš toliau nurodytų parinkčių. Įspėjimas Kadangi kiekviena WINS infrastruktūra yra unikali, šie pakeitimai gali turėti netikėtą poveikį jūsų infrastruktūrai. Primygtinai rekomenduojame atlikti rizikos analizę prieš pradedant taikyti šį rizikos mažinimą. Taip pat primygtinai rekomenduojame atlikti visišką tikrinimą prieš perkeliant šį rizikos mažinimą į gamybą.

    • 1 galimybė: Rankiniu būdu konfigūruoti IPSec filtrai Rankiniu būdu konfigūruoti IPSec filtrus, ir vykdykite nurodymus šiame "Microsoft" žinių bazės straipsnyje įtraukti bloko filtrą, kuris blokuoja visus paketus iš bet kurio IP adreso į savo sistemos IP adresą:

      813878 Kaip blokuoti konkrečius tinklo protokolus ir prievadus naudojant IPSec Jei naudojate IPSec"Windows 2000 Active Directory" domeno aplinkoje ir diegiate savo IPSec strategiją naudodami Grupės strategija, domeno strategija perrašo bet kurią vietinę strategiją. Šis įvykis neleidžia šiai parinkčiai blokuoti norimų paketų.Norėdami nustatyti, ar jūsų serveriai gauna IPSec strategiją iš "Windows 2000" domeno, ar naujesnės versijos, žr. žinių bazės straipsnyje 813878 skyrių "Nustatyti, ar priskirta IPSec strategija". Nustatę, kad galite sukurti efektyvią vietinę IPSec strategiją, atsisiųskite IPSeccmd.exe įrankį arba IPSecpol.exe įrankį. Toliau nurodytos komandos blokuoja gaunamą ir siunčiamą prieigą prie TCP prievado 42 ir UDP prievado 42.Pastaba Šiose komandose %IPSEC_Command% nurodo Ipsecpol.exe ("Windows 2000") arba Ipseccmd.exe (2003 Windows Server.

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK

      Ši komanda padaro IPSec strategiją efektyvią nedelsiant, jei nėra nesuderinamos strategijos. Ši komanda pradės blokuoti visus gaunamo / siunčiamo TCP prievado 42 ir UDP prievado 42 paketus. Tai efektyviai neleidžia WINS replikavimo atsirasti tarp serverio, kad šios komandos buvo paleisti ir bet WINS replikavimo partnerių.

      %IPSEC_Command% -w REG -p "Block WINS Replication" –x

      Jei kyla problemų tinkle įgalinus šią IPSec strategiją, galite pašalinti strategiją ir tada panaikinti strategiją naudodami šias komandas:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -y %IPSEC_Command% -w REG -p "Block WINS Replication" -o

      Jei norite, kad WINS replikavimas veiktų tarp konkrečių WINS replikavimo partnerių, turite perrašyti šias blokavimo taisykles leidžiamų taisyklių. Leisti taisyklės turėtų nurodyti tik patikimų WINS replikavimo partnerių IP adresus.Galite naudoti šias komandas norėdami atnaujinti blokuoti WINS replikavimo IPSec strategiją leisti konkrečių IP adresų bendrauti su serveriu, kuris naudoja blokuoti WINS replikavimo strategiją.Pastaba Šiose komandose %IPSEC_Command% nurodo Ipsecpol.exe ("Windows 2000") arba Ipseccmd.exe (2003 Windows Server m.), o %IP% nurodo nuotolinio WINS serverio, su kuriuo norite replikuoti, IP adresą.

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS

      Norėdami iš karto priskirti strategiją, naudokite šią komandą:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -x

    • 2 parinktis: Paleiskite scenarijų automatiškai konfigūruoti IPSec filtrai Atsisiųsti ir paleiskite WINS replikavimo blokavimo programos scenarijų, kuris sukuria IPSec strategiją blokuoti prievadus. Norėdami tai padaryti, atlikite šiuos veiksmus:

      1. Norėdami atsisiųsti ir išskleisti .exe failus, atlikite šiuos veiksmus:

        1. Atsisiųskite WINS replikavimo blokavimo programos scenarijų. Šį failą galima atsisiųsti iš "Microsoft" atsisiuntimo centro:AtsisiųstiAtsisiųskite WINS replikavimo blokavimo programos scenarijaus paketą dabar. Leidimo data: 2004 m. gruodžio 2 d. Papildomos informacijos apie tai, kaip atsisiųsti "Microsoft" palaikymo failus, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:

          119591 Kaip gauti "Microsoft" palaikymo failus iš internetinės paslaugos "Microsoft" nuskaitytų šį failą ieškant virusų. "Microsoft" naudojo naujausią virusų aptikimo programinę įrangą, kuri buvo pasiekiama failo paskelbimo dieną. Failas saugomas sustiprintos saugos serveriuose, kurie padeda apsisaugoti nuo nepatvirtintų failo pakeitimų.

          Jei atsisiunčiate WINS replikavimo blokavimo programos scenarijų į diskelį, naudokite suformatuotą tuščią diską. Jei atsisiunčiate WINS replikavimo blokavimo programos scenarijų į standųjį diską, sukurkite naują aplanką, kuriame laikinai įrašysite failą ir jį išskleisite. Įspėjimas Failų nesiųskite tiesiai į aplanką Windows. Šis veiksmas gali perrašyti failus, kurie būtini, kad kompiuteris veiktų tinkamai.

        2. Raskite failą aplanke, į kurį jį atsisiuntėte, tada dukart spustelėkite automatiškai išskleidžiamą .exe failą, kad išskleistumėte turinį į laikinąjį aplanką. Pavyzdžiui, išskleiskite turinį iki C:\Temp.

      2. Atidarykite komandinę eilutę ir pereikite į katalogą, kuriame išskleisti failai.

      3. Įspėjimas

        • Jei įtariate, kad jūsų WINS serveriai gali būti užkrėsti, bet nesate tikri, į kokius WINS serverius buvo įsilaužta ir ar į jūsų dabartinį WINS serverį buvo įsilaužta, atlikdami 3 veiksmą neįveskite jokių IP adresų. Tačiau nuo 2004 m. lapkričio nežinome jokių klientų, kuriems ši problema buvo paveikta. Todėl, jei jūsų serveriai veikia taip, kaip tikėtasi, tęskite, kaip aprašyta.

        • Jei netinkamai nustatėte IPsec, galite sukelti rimtų WINS replikavimo problemų įmonės tinkle.

        Paleiskite Block_Wins_Replication.cmd failą. Norėdami sukurti TCP prievado 42 ir UDP prievado 42 gavimo ir siuntimo bloko taisykles, įveskite 1 ir paspauskite ENTER, kad pasirinktumėte 1 parinktį, kai būsite paraginti pasirinkti norimą parinktį.

        Pasirinkus 1 parinktį, scenarijus ragina įvesti IP adresus patikimų WINS replikavimo serverių. Kiekvienam jūsų įvestame IP adrese nėra blokuojamas TCP prievadas 42 ir UDP prievado 42 strategija. Būsite paraginti cikle ir galėsite įvesti tiek IP adresų, kiek reikia. Jei nežinote visų WINS replikavimo partnerių IP adresų, galite paleisti scenarijų dar kartą ateityje. Norėdami pradėti įvesti patikimų WINS replikavimo partnerių IP adresus, įveskite 2 , tada paspauskite ENTER, kad pasirinktumėte 2 parinktį, kai būsite paraginti pasirinkti norimą parinktį. Įdiegę saugos naujinimą, galite pašalinti IPSec strategiją. Norėdami tai padaryti, vykdykite scenarijų. Įveskite 3, tada paspauskite ENTER, kad pasirinktumėte 3 parinktį, kai būsite paraginti pasirinkti norimą parinktį.Jei norite gauti papildomos informacijos apie IPsec ir kaip taikyti filtrus, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:

        313190 Kaip naudoti IPsec IP filtrų sąrašus sistemoje "Windows 2000"

  3. Pašalinkite WINS, jei jums jo nereikia. Jei jums nebereikia WINS, atlikite šiuos veiksmus, kad ją pašalintumėte. Šie veiksmai taikomi "Windows 2000", "Windows Server 2003" ir naujesnėms šių operacinių sistemų versijoms. Jei naudojate "Windows NT Server 4.0", atlikite produkto dokumentacijoje nurodytą procedūrą. Svarbu. Daugelis organizacijų reikalauja, kad WINS savo tinkle atliktų vienos etiketės arba bazinio pavadinimo registravimo ir sprendimo funkcijas. Administratoriai neturėtų pašalinti WINS, nebent tenkinama viena iš šių sąlygų:

    • Administratorius visiškai supranta, kokią įtaką tai turės pašalinus WINS tinkle.

    • Administratorius sukonfigūravo DNS, kad teiktų atitinkamas funkcijas naudodamas visiškai apibrėžtus domenų vardus ir DNS domenų plėtinius.

    Be to, jei administratorius šalina WINS funkciją iš serverio, kuris toliau teiks bendrinamus išteklius tinkle, administratorius turi tinkamai iš naujo sukonfigūruoti sistemą naudoti likusias vardų nustatymo tarnybas, pvz., vietinio tinklo DNS. Norėdami gauti daugiau informacijos apie WINS, apsilankykite šioje "Microsoft" žiniatinklio svetainėje:

    http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true Norėdami gauti daugiau informacijos apie tai, kaip nustatyti, ar jums reikia NETBIOS arba WINS vardo skiriamoji geba ir DNS konfigūracija, apsilankykite šioje "Microsoft" svetainėje:

    http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxNorėdami pašalinti WINS, atlikite šiuos veiksmus:

    1. Programoje valdymo skydas atidarykite Įtraukti arba šalinti programas.

    2. Spustelėkite Įtraukti / šalinti "Windows" komponentus.

    3. Puslapio "Windows" komponentų vediklis dalyjeKomponentai spustelėkite Tinklo tarnybos, tada spustelėkite Išsami informacija.

    4. Spustelėdami išvalykite žymės langelį "Windows" interneto vardų suteikimo tarnyba (WINS), kad pašalintumėte WINS.

    5. Vykdykite ekrane pateikiamus nurodymus, kad užbaigtumėte "Windows" komponentų vediklį.

Stengiamės išspręsti šią saugos problemą, vykdydami įprastą naujinimo procesą. Kai naujinimas pasieks tinkamą kokybės lygį, naujinimą teiksime per „Windows Update“.Jei manote, kad jums tai turėjo įtakos, kreipkitės į produktų palaikymo tarnybą.Tarptautiniai klientai turėtų susisiekti su produktų palaikymo paslaugomis bet kuriuo būdu, nurodytu šioje "Microsoft" žiniatinklio svetainėje:

http://support.microsoft.com

Facebook LinkedIn Elektroninis paštas
UŽSISAKYTI RSS INFORMACIJOS SANTRAUKAS

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

„Microsoft 365“ prenumeratos pranašumai

„Microsoft 365“ mokymas

„Microsoft“ sauga

Pritaikymo neįgaliesiems centras