Kā aizsargāt datoru no drošības problēma WINS

IEVADS

Mums ir izpēti ziņojumus par drošības problēmām ar Microsoft Windows Internet Name Service (WINS). Drošības problēma attiecas uz Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server un Microsoft Windows Server 2003. Drošības problēma neietekmē Microsoft Windows 2000 Professional, Microsoft Windows XP vai Microsoft Windows Millennium Edition.

Papildinformācija

Pēc noklusējuma WINS nav instalēta Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server vai Windows Server 2003. Pēc noklusējuma WINS ir instalēta un darbojas Microsoft Small Business Server 2000 un Microsoft Windows Small Business Server 2003. Pēc noklusējuma visas Microsoft Small Business Server versijās WINS komponentu komunikāciju porti ir bloķēti internetā un WINS ir pieejama tikai uz lokālo tīklu.

Drošības problēma varētu, uzbrucējam ļaut attāli neapdraud WINS servera, ja ir spēkā kāds no šiem nosacījumiem:

  • Jūs esat nomainījis noklusēto konfigurāciju WINS servera lomu instalēt Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server vai Windows Server 2003.

  • Lietojat Microsoft Small Business Server 2000 vai Microsoft Windows Small Business Server 2003, un uzbrucējs var piekļūt lokālajā tīklā.

Lai aizsargātu datoru pret šo potenciālu drošības problēmu, rīkojieties šādi:

  1. Block TCP portu 42 un UDP portu 42 pie ugunsmūri.


    Šie porti tiek izmantoti inicializēt savienojumu ar attālo WINS serveri. Ja šie porti uz ugunsmūra bloķēt jums palīdzēt novērst datoriem, kas ir aiz ugunsmūra mēģināt izmantot šo ievainojamību. TCP portu 42 un UDP portu 42 ir noklusējuma WINS replicēšanas portus. Mēs iesakām bloķē nepieprasītus visus ienākošos sakarus internetā.

  2. Izmantot interneta protokola drošība (IPsec), lai aizsargātu trafika WINS servera replicēšanas partneriem. Lai to izdarītu, izmantojiet kādu no tālāk norādītajām opcijām.

    Uzmanību! Tā ir unikāla katram WINS infrastruktūra, šīs izmaiņas var būt neparedzēti ietekmē jūsu infrastruktūra. Ļoti ieteicams veikt riska analīzi pirms nolemjat ieviest šo samazināšanas. Arī ļoti ieteicams veikt pilnu pārbaudes pirms šīs samazināšanas ražošanā.

    • 1. risinājums: Manuāli konfigurēt IPSec filtri
      Manuāli konfigurēt IPSec filtri un pēc tam izpildiet norādījumus šajā Microsoft zināšanu bāzes rakstā pievienot filtru bloku kas bloķē visas paketes no jebkuras IP adreses datora IP adresi:

      Kā bloķēt konkrētu tīkla protokolu un portu, izmantojot IPSec 813878

      Ja izmantojat Windows 2000 Active Directory domēna vidē IPSec un izvietojat IPSec politika, izmantojot grupas politiku, domēna politika ignorē visas lokāli definēta politika. Šī opcija bloķēt paketēm, kas novērš šo gadījumu.

      Lai noteiktu, vai serverus saņem IPSec politikas domēnā Windows 2000 vai jaunāka versija, skatiet zināšanu bāzes rakstā 813878 sadaļai "Noteiktu, vai ir piešķirts IPSec politika".

      Kad esat noteicis, varat izveidot efektīvu lokālo IP drošības politiku, lejupielādējiet rīku IPSeccmd.exe vai IPSecpol.exe.

      Šīs komandas bloķēt TCP portu 42 un UDP portu 42 ienākošie un izejošie piekļuvi.

      Piezīme. Šīs komandasIPSEC_Command% attiecas uz Ipsecpol.exe (sistēmā Windows 2000) vai Ipseccmd.exe (operētājsistēmā Windows Server 2003).

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK

      Komandu ir spēkā uzreiz, ja nav konflikta politikas IPSec politikas. Šī komanda startēs bloķēt visus ienākošais/izejošais TCP portu 42 un UDP portu 42 paketes. Tādējādi efektīvi replicēšanas WINS serveris, kas bija palaist šīs komandas un visas WINS replicēšanas partneru rašanos.

      %IPSEC_Command% -w REG -p "Block WINS Replication" –x 

      Ja rodas problēmas tīklā pēc tam, kad iespējojat šo politiku IPSec, varat anulējiet politika un pēc tam dzēsiet politiku, izmantojot šādas komandas:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -y 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -o

      Atļaut WINS replicēšanas funkcijas starp konkrēto WINS nedrīkst ignorēt šīs bloķēšanas kārtulas ar replicēšanas partneriem ļauj noteikumi. Atļaut nosacījumos ir no uzticama WINS replicēšanas partneriem tikai IP adreses.


      Šīs komandas var izmantot, lai atjauninātu bloku WINS replicēšanas IPSec politiku, lai atļautu konkrētu IP adreses sazināties ar serveri, kas izmanto bloku WINS replicēšanas politika.

      Piezīme. Šīs komandasIPSEC_Command% attiecas uz Ipsecpol.exe (sistēmā Windows 2000) vai Ipseccmd.exe (operētājsistēmā Windows Server 2003) unIP% attiecas uz vēlaties kopēt ar attālo WINS servera IP adresi.

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS

      Lai piešķirtu politika nekavējoties, izmantojiet šādu komandu:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -x
    • 2. risinājums: Palaist skriptu, lai automātiski konfigurētu IPSec filtri
      Lejupielādēt un pēc tam palaidiet WINS replicēšanas bloķēšanas skriptu, kas izveido IPSec politiku, lai bloķētu portus. Lai to izdarītu, izpildiet tālāk norādītās darbības.

      1. Lai lejupielādētu un izvērst .exe failus, rīkojieties šādi:

        1. Lejupielādējiet WINS replicēšanas bloķēšanas skriptu.

          Šo failu var lejupielādēt no Microsoft lejupielādes centra:

          Download Lejupielādēt skriptu WINS replicēšanas bloķēšanas pakotni tūlīt.

          Izlaides datums: 2004. gada 2. decembris

          Lai iegūtu papildinformāciju par Microsoft Support failu lejupielādi, noklikšķiniet uz šī raksta numura un lasiet Microsoft zināšanu bāzes rakstu:

          119591 kā iegūt Microsoft atbalsta failus no tiešsaistes pakalpojumiem
          Microsoft ir skenējusi šo failu, nav vīrusu. Korporācija Microsoft izmantoja visjaunāko vīrusu noteikšanas programmatūru, kas bija pieejama faila izlikšanas datumā. Fails ir saglabāts serveros ar paaugstinātu drošību; tas palīdz aizsargāt failu no nesankcionētu izmaiņu veikšanas.

          Ja lejupielādējat WINS replicēšanas bloķēšanas skriptu disketē, izmantojiet tukšu formatētu disku. Ja lejupielādējat WINS replicēšanas bloķēšanas skriptu cietajā diskā, izveidojiet jaunu mapi īslaicīgi saglabāt failu un izvērstu failu.


          Uzmanību! Nevar lejupielādēt failus tieši uz mapi Windows. Šī darbība var pārrakstīt failus, kas nepieciešamas jūsu datorā darbojas pareizi.

        2. Atrodiet mapi, varat to lejupielādēt failu, un pēc tam veiciet dubultklikšķi uz .exe pašizpletes failu izvēršanai pagaidu mapes saturu. Piemēram, izvērsiet C:\Tempsaturu.

      2. Atveriet komandu uzvedni un pēc tam pārvietojiet uz direktoriju, kur failu izvēršanas.

      3. Brīdinājums

        • Ja jums ir aizdomas, ka var būt inficēts WINS serveri, bet neesat pārliecināts, kāda WINS serveri ir apdraudēts vai vai pašreizējā WINS serveris ir apdraudēts, nav jāievada IP adreses 3. darbībā. Tomēr no 2004. gada novembrī mēs neesam informēti par klientiem, kuri, šī problēma ietekmē. Tādēļ, ja jūsu serveris darbojas kā paredzēts, turpināt, kā aprakstīts.

        • Nepareizi iestatāt IPsec, var rasties nopietnas problēmas, WINS replicēšanas uzņēmuma tīklā.

        Palaidiet failu Block_Wins_Replication.cmd. Lai izveidotu TCP portu 42 un UDP portu 42 ienākošie un izejošie bloķēšanas kārtulas, ierakstiet
        1 un pēc tam nospiediet taustiņu ENTER, lai atlasītu opciju 1. kad tiek parādīts aicinājums atlasīt vēlamo opciju.

        Kad esat atlasījis opciju 1, skriptu tiek parādīta uzvedne ar aicinājumu ievadīt uzticamu WINS replicēšanas serveru IP adreses.


        Katram IP adresi, kas ir ievadīta neattiecas bloķēšanas TCP portu 42 un UDP portu 42 politiku. Tiek parādīts ciklā un tik IP adreses pēc nepieciešamības var ievadīt. Ja nezināt IP adreses WINS replicēšanas partneriem, vēlāk var palaist skriptu. Sākt ievadīt IP adreses no uzticama WINS replicēšanas partneriem, ierakstiet 2 un pēc tam nospiediet taustiņu ENTER, lai atlasītu opciju 2. kad tiek parādīts aicinājums atlasīt šo opciju, jūs vēlaties.


        Pēc drošības atjauninājuma izvietošanas IPSec politika var noņemt. Lai to izdarītu, palaidiet skriptu. Ierakstiet 3 un pēc tam nospiediet taustiņu ENTER un atlasiet opciju 3. kad tiek parādīts aicinājums atlasīt vēlamo opciju.

        Lai iegūtu papildinformāciju par IPsec un lietotu filtru, noklikšķiniet uz šī raksta numura un lasiet Microsoft zināšanu bāzes rakstu:

        Kā sistēmā Windows 2000 izmantot IPsec IP filtrēšanas sarakstus 313190

  3. Ja jums nav nepieciešams noņemt WINS.

    Ja WINS vairs nav nepieciešama, veiciet šīs darbības, lai noņemtu. Šīs darbības attiecas uz sistēmu Windows 2000, Windows Server 2003 un jaunākās versijās šo operētājsistēmu. Windows NT Server 4.0, izpildiet procedūras, kas ir iekļauta produkta dokumentāciju.

    Svarīgi! Daudzos uzņēmumos nepieciešams WINS veikt vienu uzlīmi vai plakanā nosaukumu reģistrāciju un risinājumu funkcijas to tīklā. Administratori nevar noņemt WINS, ja ir spēkā kāds no šiem nosacījumiem:

    • Administrators pilnībā jāizprot ietekmi, noņemot WINS tas būs to tīklā.

    • Administrators ir konfigurējis DNS, lai nodrošinātu līdzvērtīga funkcionalitāte, izmantojot pilnu domēna nosaukumu un DNS domēna sufiksu.

    Arī ja administrators WINS funkcionalitāte noņemšana serverī, kurā turpinās koplietotajiem resursiem tīklā, administrators pareizi konfigurējiet sistēmu izmantot pārējās nosaukuma atrisināšanas pakalpojumus kā DNS lokālajā tīkla.

    Lai iegūtu papildinformāciju par WINS, apmeklējiet šo Microsoft Web vietu:

    http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=trueLai iegūtu papildinformāciju par to, kā noteikt, vai ir nepieciešams WINS vai NETBIOS nosaukumu atpazīšanu un DNS konfigurēšana, apmeklējiet šo Microsoft Web vietu:

    http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxLai noņemtu WINS, rīkojieties šādi:

    1. Vadības panelī atveriet programmu pievienošana vai noņemšana.

    2. Noklikšķiniet uz Pievienot/noņemt Windows komponentus.

    3. Windows komponentu vedņa lapā sadaļā
      Komponentus, noklikšķiniet uz Tīkla pakalpojumiun pēc tam noklikšķiniet uz detaļas.

    4. Noklikšķiniet, lai notīrītu izvēles rūtiņu Windows interneta nosaukumdošanas pakalpojumu (WINS) , lai noņemtu WINS.

    5. Izpildiet ekrānā redzamos norādījumus, lai pabeigtu Windows komponentu vednis.

Mēs strādājam pie atjauninājums novērš šo drošības problēmu mūsu regulāras atjaunināšanas procesā. Ja atjauninājums ir sasniedzis atbilstoša līmeņa kvalitāti, mēs sniegsim atjauninājumu, izmantojot Windows Update.


Ja uzskatāt, ka varat saskarties, sazinieties ar produkta atbalsta pakalpojumi.

Ārvalstu klientiem jāsazinās ar produktu atbalsta pakalpojumu, izmantojot jebkuru metodi, kas ir norādīta šajā Microsoft vietnē:

http://support.microsoft.com

Vai nepieciešama papildu palīdzība?

Paplašiniet savas prasmes
Iepazīties ar apmācību
Esiet pirmais, kas saņem jaunās iespējas
Pievienoties Microsoft Insider

Vai šī informācija bija noderīga?

Paldies par jūsu atsauksmēm!

Paldies par atsauksmēm! Šķiet, ka jums varētu būt noderīgi sazināties ar kādu no mūsu Office atbalsta speciālistiem.

×