IEVADS

Mēs pētām atskaites par Microsoft Windows interneta nosaukumu pakalpojuma (WINS) drošības problēmu. Šī drošības problēma ietekmē Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server un Microsoft Windows Server 2003. Šī drošības problēma neietekmē Sistēmu Microsoft Windows 2000 Professional, Microsoft Windows XP vai Microsoft Windows Versija Versija.

Papildinformācija

Pēc noklusējuma WINS nav instalēta operētājsistēmā Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server vai Windows Server 2003. Pēc noklusējuma WINS ir instalēta un darbojas microsoft Small Business Server 2000 un Microsoft Windows Small Business Server 2003. Pēc noklusējuma visās Microsoft Small Business Server versijās WINS komponentu saziņas porti ir bloķēti no interneta un WINS ir pieejama tikai lokālajā tīklā. Šī drošības problēma var likt uzbrucējam attāli uz kompromitēt WINS serveri, ja ir patiess viens no šiem nosacījumiem:

  • Esat mainījis noklusējuma konfigurāciju, lai instalētu WINS servera lomu operētājsistēmā Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server vai Windows Server 2003.

  • Datorā darbojas sistēma Microsoft Small Business Server 2000 vai Microsoft Windows Small Business Server 2003 un uzbrukumētājam ir piekļuve jūsu lokālajam tīklam.

Lai palīdzētu aizsargāt datoru no šīs potenciālās ievainojamības, rīkojieties šādi:

  1. Bloķējiet TCP portu 42 un UDP portu 42 ugunsmūrī.Šie porti tiek izmantoti, lai uzsāktu savienojumu ar attālo WINS serveri. Ja bloķēsit šos portus ugunsmūrī, neļausit datoriem, kas atrodas aiz šī ugunsmūra, neļaut izmantot šo ievainojamību. TCP ports 42 un UDP ports 42 ir noklusējuma WINS replicēšanas porti. Ir ieteicams bloķēt visu ienākošo nelūgto saziņu no interneta.

  2. Izmantojiet interneta protokola drošību (IPsec), lai palīdzētu aizsargāt trafiku starp WINS servera replicēšanas partneriem. Lai to izdarītu, izmantojiet kādu no šīm opcijām. Uzmanību! Tā kā katra WINS infrastruktūra ir unikāla, šīm izmaiņām var būt neparedzēti efekti jūsu infrastruktūrā. Pirms izvēlaties ieviest šo risku, iesakām veikt riska analīzi. Ieteicams veikt arī pilnu testēšanu, pirms veikt šo risku mazināšanas pasākumu ražošanā.

    • 1. iespēja. Manuāli konfigurējiet IPSec filtrus Manuāli konfigurējiet IPSec filtrus un pēc tam izpildiet norādījumus šajā Microsoft zināšanu bāzes rakstā, lai bloķētu filtru, kas bloķē visas paketes no jebkuras IP adreses jūsu sistēmas IP adresē:

      813878 Noteiktu tīkla protokolu un portu bloķēšana, izmantojot IPSec Ja IPSecizmantojat Savā Windows 2000 Active Directory domēna vidē un izvietojat savu IPSec politiku, izmantojot grupas politika, domēna politika ignorē jebkuru lokāli definētu politiku. Šis gadījums neļauj šai opcijai bloķēt paketes, kuras vēlaties bloķēt.Lai noteiktu, vai jūsu serveri saņem IPSec politiku no Windows 2000 domēna vai jaunākas versijas, skatiet zināšanu bāzes raksta 813878 sadaļu "Kā noteikt, vai IPSec politika ir piešķirta". Kad esat noteicis, ka varat izveidot efektīvu lokālo IPSec politiku, lejupielādējiet IPSeccmd.exe vai IPSecpol.exe rīku. Tālāk norādītās komandas bloķē ienākošo un izejošo piekļuvi TCP portam 42 un UDP portam 42.Piezīme. Šajās komandās %IPSEC_Command% attiecas uz Ipsecpol.exe (operētājsistēmā Windows 2000) vai Ipseccmd.exe (2003. Windows Server).

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK

      Izmantojot tālāk norādīto komandu, IPSec politika ir spēkā uzreiz, ja nav konfliktējošas politikas. Šī komanda sāk bloķēt visas ienākošā/izejošā TCP porta 42 un UDP porta 42 paketes. Tas efektīvi novērš WINS replicēšanu starp serveri, kurā šīs komandas tika izpildītas, un visiem WINS replicēšanas partneriem.

      %IPSEC_Command% -w REG -p "Block WINS Replication" –x

      Ja pēc šīs IPSec politikas iespējošanas tīklā rodas problēmas, varat noņemt politikas piešķiri un pēc tam izdzēst politiku, izmantojot šādas komandas:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -y %IPSEC_Command% -w REG -p "Block WINS Replication" -o

      Lai ļautu WINS replicēšanai darboties starp noteiktiem WINS replicēšanas partneriem, šīs bloķēšanas kārtulas ir jāignorē ar atļautām kārtulām. Atļauto kārtulu sarakstā ir jānorāda tikai jūsu uzticamo WINS replicēšanas partneru IP adreses.Lai atjauninātu bloķēto WINS replicēšanas IPSec politiku, varat izmantot tālāk norādītās komandas, lai atļautu konkrētām IP adresēm sazināties ar serveri, kas izmanto WINS replicēšanas politiku.Piezīme. Šajās komandās %IPSEC_Command% attiecas uz Ipsecpol.exe (operētājsistēmā Windows 2000) vai Ipseccmd.exe (2003. gada Windows Server. gadā) un %IP% attiecas uz tā attālā WINS servera IP adresi, ar kuru vēlaties veikt replicēt.

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS

      Lai nekavējoties piešķirtu politiku, izmantojiet šādu komandu:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -x

    • 2. iespēja. Izpildiet skriptu, lai automātiski konfigurētu IPSec filtrus Lejupielādēt un pēc tam izpildiet WINS replicēšanas bloķētāja skriptu, kas izveido IPSec politiku, lai bloķētu portus. Lai to izdarītu, veiciet tālāk norādītās darbības.

      1. Lai lejupielādētu un izvilktu .exe failus, rīkojieties šādi:

        1. Lejupielādējiet WINS replicēšanas bloķētāja skriptu. Šis fails ir pieejams lejupielādei no Microsoft lejupielādes centra: Lejupielādējiet WINS replicēšanas bloķētāja skripta pakotni tūlīt Lejupielādētlejupielādējiet. Izlaides datums: 2004 . gada 2. decembris Lai iegūtu papildinformāciju par to, kā lejupielādēt Microsoft atbalsta failus, noklikšķiniet uz šī raksta numura, lai skatītu rakstu Microsoft zināšanu bāzē:

          119591 Kā iegūt Microsoft atbalsta failus no korporācijas tiešsaistes pakalpojumi Microsoft skenētu šo failu, lai tajā nav vīrusu. Microsoft izmantoja jaunāko vīrusu noteikšanas programmatūru, kas bija pieejama faila iz publicētašanas datumā. Fails tiek glabāts drošības uzlabotos serveros, kas palīdz novērst nesankcionētas izmaiņas failā.

          Ja lejupielādēsit WINS replicēšanas bloķētāja skriptu disketē, izmantojiet formatētu tukšu disku. Ja lejupielādēsit WINS replicēšanas bloķētāja skriptu cietajā diskā, izveidojiet jaunu mapi, kur īslaicīgi saglabāt failu un izgūt failu. Uzmanību! Nelejupielādējiet failus tieši windows mapē. Šī darbība var pārrakstīt failus, kas nepieciešami, lai jūsu dators darbotos pareizi.

        2. Atrodiet failu mapē, kurā to lejupielādējāt, un pēc tam veiciet dubultklikšķi uz faila patstāvīgi .exe lai izvilktu saturu pagaidu mapē. Piemēram, izvelciet saturu uz C:\Temp.

      2. Atveriet komandu uzvedni un pēc tam pārejiet uz direktoriju, kurā tiek izvilkti faili.

      3. Brīdinājums

        • Ja jums ir aizdomas, ka jūsu WINS serveri var tikt inficēti, bet neesat pārliecināts, kāds WINS serveris ir apdraudēts vai jūsu pašreizējais WINS serveris ir apdraudēts, neievadiet nekādas IP adreses 3. darbībā. Taču no 2004. gada novembra mēs zinām par klientiem, kurus šī problēma ir ietekmējusi. Tāpēc, ja jūsu serveri darbojas, kā paredzēts, turpiniet, kā aprakstīts.

        • Ja nepareizi iestatījāt IPsec, varat radīt nopietnas WINS replicēšanas problēmas uzņēmuma tīklā.

        Palaidiet Block_Wins_Replication.cmd failu. Lai izveidotu TCP portu 42 un UDP portu 42 ienākošā un izejošā bloka kārtulas, ierakstiet 1 un pēc tam nospiediet taustiņu ENTER, lai atlasītu 1. opciju, kad tiek piedāvāts atlasīt vajadzīgo opciju.

        Pēc 1. opcijas atlases skripts piedāvā ievadīt uzticamo WINS replicēšanas serveru IP adreses. Katra ievadītā IP adrese ir atbrīvota no tcp porta 42 un UDP porta 42 politikas bloķēšanas. Tiek parādīta uzvedne ar cilpu, un varat ievadīt tik daudz IP adrešu, cik nepieciešams. Ja nezināt visas WINS replicēšanas partneru IP adreses, varat palaist skriptu vēlreiz nākotnē. Lai sāktu ievadīt uzticamu WINS replicēšanas partneru IP adreses, ierakstiet 2 un pēc tam nospiediet taustiņu ENTER, lai atlasītu 2. opciju, kad tiek piedāvāts atlasīt vajadzīgo opciju. Pēc drošības atjauninājuma izvietošanas varat noņemt IPSec politiku. Lai to izdarītu, palaidiet skriptu. Ierakstiet 3 un pēc tam nospiediet taustiņu ENTER, lai atlasītu 3. opciju, kad tiek piedāvāts atlasīt vajadzīgo opciju.Lai iegūtu papildinformāciju par IPsec un to, kā lietot filtrus, noklikšķiniet uz šī raksta numura, lai skatītu rakstu Microsoft zināšanu bāzē:

        313190 Kā izmantot IPsec IP filtru sarakstus operētājsistēmā Windows 2000

  3. Noņemiet WINS, ja tas nav nepieciešams. Ja WINS vairs nav nepieciešams, veiciet tālāk aprakstītās darbības, lai to noņemtu. Šīs darbības attiecas uz operētājsistēmu Windows 2000, Windows Server 2003 un jaunākām šo operētājsistēmu versijām. Ja jums ir Windows NT Server 4.0, izpildiet produkta dokumentācijā iekļauto procedūru. Svarīgi Daudzi uzņēmumi pieprasa WINS, lai savā tīklā veiktu atsevišķas uzlīmju vai plakano vārdu reģistrācijas un izšķirtspējas funkcijas. Administratori nevar noņemt WINS, ja vien nav spēkā viens no šiem nosacījumiem:

    • Administrators pilnībā saprot, kā tas ietekmēs WINS noņemšanu savā tīklā.

    • Administrators ir konfigurējis DNS, lai nodrošinātu ekvivalentu funkcionalitāti, izmantojot pilnos domēnu nosaukumus un DNS domēna sufiksus.

    Kā arī, ja administrators noņem WINS funkcionalitāti no servera, kas turpinās nodrošināt koplietotos resursus tīklā, administratoram ir pareizi jāpārkonfigurē sistēma, lai izmantotu pārējos nosaukumu atpazīšanas pakalpojumus, piemēram, DNS lokālajā tīklā. Lai iegūtu papildinformāciju par WINS, apmeklējiet šo Microsoft tīmekļa vietni:

    http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true Lai iegūtu papildinformāciju par to, kā noteikt, vai jums ir nepieciešama NETAGNES vai WINS nosaukumu atpazīšana un DNS konfigurācija, apmeklējiet šo Microsoft tīmekļa vietni:

    http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxLai noņemtu WINS, veiciet tālāk norādītās darbības.

    1. Dialoglodziņā vadības panelis Pievienot vai noņemt programmas.

    2. Noklikšķiniet uz Pievienot/noņemt Windows komponentus.

    3. Windows komponentu vedņa lapā sadaļā Komponenti noklikšķinietuzTīklošanas pakalpojumi un pēc tam noklikšķiniet uz Detalizēta informācija.

    4. Noklikšķiniet, lai noņemtu WINS , notīriet izvēles rūtiņu Windows interneta nosaukumdošanas pakalpojums ( WINS).

    5. Izpildiet ekrānā redzamos norādījumus, lai pabeigtu Windows komponentu vedni.

Mēs strādājam pie atjauninājuma, lai novērstu šo drošības problēmu mūsu regulārās atjaunināšanas procesa ietvaros. Kad atjauninājums būs sasniedzis atbilstošu kvalitātes līmeni, mēs nodrošināsim atjauninājumu, Windows Update.Ja uzskatāt, ka tas ir ietekmēts, sazinieties ar produktu atbalsta pakalpojumiem.Starptautiskiem klientiem ir jāsazinās ar produktu atbalsta pakalpojumiem, izmantojot jebkuru metodi, kas norādīta šajā Microsoft tīmekļa vietnē:

http://support.microsoft.com

Facebook LinkedIn E-pasts
ABONĒT RSS PLŪSMAS

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Microsoft 365 abonementa priekšrocības

Microsoft 365 apmācība

Microsoft drošība

Pieejamības centrs