Slik bidrar du til å beskytte deg mot et WINS-sikkerhetsproblem

INNLEDNING

Vi undersøker rapporter om et sikkerhetsproblem med Microsoft Windows Internet Name Service (WINS). Dette sikkerhetsproblemet påvirker Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server og Microsoft Windows Server 2003. Dette sikkerhetsproblemet påvirker ikke Microsoft Windows 2000 Professional, Microsoft Windows XP eller Microsoft Windows Millennium Edition.

Mer informasjon

Som standard er ikke WINS installert på Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server eller Windows Server 2003. Som standard er WINS installert og kjører på Microsoft Small Business Server 2000 og Microsoft Windows Small Business Server 2003. Som standard er kommunikasjonsporter for WINS-komponenten blokkert fra Internett, og WINS er bare tilgjengelig på det lokale nettverket på alle versjoner av Microsoft Small Business Server.

Dette sikkerhetsproblemet kan gjøre det mulig for en angriper å skade sikkerheten til en WINS-server eksternt hvis en av følgende betingelser er oppfylt:

  • Du har endret standardkonfigurasjonen for å installere WINS-serverrollen på Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server eller Windows Server 2003.

  • Du kjører Microsoft Small Business Server 2000 eller Microsoft Windows Small Business Server 2003, og en angriper har tilgang til lokalnettet.

Bruk følgende fremgangsmåte for å beskytte datamaskinen mot denne potensielle sårbarheten:

  1. Blokker TCP-port 42 og UDP-port 42 i brannmuren.


    Disse portene brukes til å opprette en tilkobling til en ekstern WINS-server. Hvis du blokkerer disse portene i brannmuren, kan du hindre datamaskiner som er bak denne brannmuren, i å forsøke å utnytte denne sårbarheten. TCP-port 42 og UDP-port 42 er de standard WINS-replikeringsportene. Det anbefales at all innkommende, ubedt kommunikasjon fra Internett blokkeres.

  2. Bruk IPsec (Internet Protocol security) til å beskytte trafikk mellom WINS-serverreplikeringspartnere. Bruk et av følgende alternativer for å gjøre dette.

    Advarsel!  Fordi hver WINS-infrastruktur er unik, kan disse endringene har uventede innvirkninger på infrastrukturen. Det anbefales sterkt at du utfører en risikoanalyse før du velger å implementere denne innstrammingen. Det anbefales også sterkt at du utfører en fullstendig test før du innfører denne innstrammingen i et produksjonsmiljø.

    • Alternativ 1: Konfigurer IPSec-filtrene manuelt
      Konfigurer IPSec-filtrene manuelt, og følg deretter instruksjonene i den følgende Microsoft Knowledge Base-artikkelen for å legge til et blokkeringsfilter som blokkerer alle pakker fra enhver IP-adresse til systemets IP-adresse:

      813878 Slik blokkerer du bestemte nettverksprotokoller og porter ved hjelp av IPSec (Denne artikkelen kan være på engelsk.)

      Hvis du bruker IPSec i Windows 2000 Active Directory-domenemiljøet, og du distribuerer IPSec-policyen ved hjelp av Gruppepolicy, vil domenepolicyen overstyre alle policyer som er definert lokalt. Dette hindrer dette alternativet i å blokkere pakkene du ønsker.

      Hvis du vil fastslå om serverne mottar en IPSec-policy fra et Windows 2000-domene eller en senere versjon, kan du se delen "Determine whether an IPSec policy is assigned" i Knowledge Base-artikkel 813878.

      When you have determined that you can create an effective local IPSec policy, download the IPSeccmd.exe tool or the IPSecpol.exe tool.

      Følgende kommandoer blokkerer innkommende og utgående tilgang til TCP-port 42 og UDP-port 42.

      Obs!  I disse kommandoene refererer %IPSEC_Command% til Ipsecpol.exe (på Windows 2000) eller Ipseccmd.exe (på Windows Server 2003).

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK

      Følgende kommando aktiverer IPSec-policyen umiddelbart hvis det ikke finnes en policy i konflikt. Denne kommandoen starter å blokkere alle innkommende/utgående pakker for TCP-port 42 og UDP-port 42. Dette forhindrer at det oppstår WINS-replikering mellom serveren der disse kommandoene ble kjørt, og på eventuelle WINS-replikeringspartnere.

      %IPSEC_Command% -w REG -p "Block WINS Replication" –x 

      Hvis det oppstår problemer på nettverket etter at du har aktivert denne IPSec-policyen, kan du oppheve tilordningen av policyen, og deretter slette policyen ved hjelp av følgende kommandoer:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -y 
      %IPSEC_Command% -w REG -p "Block WINS Replication" –x

      Hvis du vil tillate at WINS-replikering skal fungere mellom bestemte WINS-replikeringspartnere, må du overstyre disse blokkeringsreglene med tilgangsregler. Tilgangsreglene bør bare angi IP-adressene til klarerte WINS-replikeringspartnere.


      Du kan bruke følgende kommandoer til å oppdatere policyen Block WINS Replication IPSec slik at den tillater at bestemte IP-adresser kan kommunisere med serveren som bruker policyen Block WINS Replication.

      Obs!  I disse kommandoene refererer %IPSEC_Command% til Ipsecpol.exe (på Windows 2000) eller Ipseccmd.exe (på Windows Server 2003), og %IP% refererer til IP-adressen til den eksterne WINS-serveren du vil replikere med.

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS

      Bruk følgende kommando hvis du vil tilorde policyen umiddelbart:

      %IPSEC_Command% -w REG -p "Block WINS Replication" –x
    • Alternativ 2: Kjør et skript for automatisk å konfigurere IPSec-filtrene
      Last ned og kjør deretter WINS Replication Blocker-skriptet som oppretter en IPSec-policy, for å blokkere portene. Gjør dette ved å bruke følgende fremgangsmåte:

      1. Bruk denne fremgangsmåten for å laste ned og pakke ut EXE-filene:

        1. Last ned WINS Replication Blocker-skriptet.

          Følgende fil kan lastes ned fra Microsoft Download Center:

          Last ned WINS Replication Blocker-skriptpakken nå.

          Utgivelsesdato: 02.12.04

          Hvis du vil ha mer informasjon om hvordan du laster ned Microsoft-støttefiler, klikker du dette artikkelnummeret for å vise artikkelen i Microsoft Knowledge Base:

          119591 Slik laster du ned Microsoft-støttefiler fra elektroniske tjenester Microsoft søkte etter virus i denne filen. Microsoft brukte det nyeste antivirusprogrammet som var tilgjengelig den datoen filen ble gjort tilgjengelig. Filen er lagret på servere med forbedret sikkerhet, noe som bidrar til å forhindre at uvedkommende gjør endringer i filen.

          Hvis du laster ned WINS Replication Blocker-skriptet til en diskett, må du bruke en formatert, tom diskett. Hvis du laster ned WINS Replication Blocker-skriptet på harddisken, oppretter du en ny mappe der du kan lagre filen midlertidig og pakke ut filen.


          Advarsel!  Ikke last direkte ned i Windows-mappen. Denne handlingen kan føre til at du overskriver filer som er nødvendige for at datamaskinen skal fungere riktig.

        2. Finn filen i mappen der du lastet den ned, og dobbeltklikk deretter den selvutpakkende EXE-filen for å pakke ut innholdet i en midlertidig mappe. Du kan for eksempel pakke ut innholdet i C:\Temp.

      2. Åpne en ledetekst, og gå deretter til katalogen der filene pakkes ut.

      3. Advarsel!

        • Hvis du mistenker at WINS-serverne er infiserte, men du ikke er sikker på hvilke WINS-servere som er utsatt eller om den gjeldende WINS-serveren er utsatt, bør du ikke angi en IP-adresse i trinn 3. Fra november 2004 vet vi imidlertid ikke om noen kunder som har hatt dette problemet. Hvis serverne fungerer som forventet, kan du fortsette som beskrevet.

        • Hvis du har konfigurert IPsec på feil måte, kan du forårsake alvorlige WINS-replikeringsproblemer i bedriftsnettverket. Hvis du vil ha mer informasjon om IPSec-sikkerhetshensyn, går du til følgende Microsoft-webområde: (Denne artikkelen kan være på engelsk.)

          http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sag_ipsecsec_con.mspx

        Kjør filen Block_Wins_Replication.cmd. Hvis du vil opprette innkommende og utgående blokkeringsregler for TCP-port 42 og UDP-port 42, skriver du inn 1 og deretter trykker du ENTER for å velge alternativ 1 når du blir bedt om å velge ønsket alternativ.

        Når du har valgt alternativ 1, blir du bedt om å angi IP-adressene til de klarerte WINS-replikeringsserverne.


        Hver IP-adresse du angir, er unntatt fra blokkeringspolicyen for TCP-port 42 og UDP-port 42. Du får forespørselen i en sløyfe, og du kan angi så mange IP-adresser som nødvendig. Hvis du ikke kjenner til alle IP-adressene til WINS-replikeringspartnerne, kan du kjøre skriptet på ved en senere anledning. Hvis du vil starte å angi IP-adresser til klarerte WINS-replikeringspartnere, kan du skrive inn 2, og deretter trykke ENTER for å velge alternativ 2 når du blir bedt om å velge ønsket alternativ.


        Når du har distribuert sikkerhetsoppdateringen, kan du fjerne IPSec-policyen. Kjør skriptet for å gjøre dette. Skriv inn 3, og trykk deretter ENTER for å velge alternativ 3 når du blir bedt om å velge ønsket alternativ.

        Hvis du vil ha mer informasjon om IPSec og hvordan du bruker filtre, klikker du artikkelnummeret nedenfor for å vise artikkelen i Microsoft Knowledge Base:

        313190 Slik bruker du IPsec IP-filterlister i Windows 2000 (Denne artikkelen kan være på engelsk.)

  3. Fjern WINS hvis du ikke trenger det.

    Bruk følgende fremgangsmåte for å fjerne WINS hvis du ikke lenger trenger det. Denne fremgangsmåten gjelder for Windows 2000, Windows Server 2003 og senere versjoner av disse operativsystemene. For Windows NT Server 4.0 følger du fremgangsmåten i dokumentasjonen for produktet.

    Viktig!  Mange organisasjoner krever WINS for å bruke flate (ikke-hierarkiske) registrerings- og løsingsfunksjoner på nettverket. Administratorer bør ikke fjerne WINS med mindre én av følgende betingelser er oppfylt:

    • Administratoren forstår fullt ut virkningen på nettverket ved at WINS fjernes.

    • Administratoren har konfigurert DNS for å gi tilsvarende funksjonalitet ved å bruke fullstendig kvalifiserte domenenavn og DNS-domenesuffikser.

    Hvis en administrator fjerner WINS-funksjonaliteten fra en server som fortsatt kan tilby delte ressurser i nettverket, må administratoren konfigurere systemet riktig for å bruke de gjenværende navneløsingstjenestene, for eksempel DNS, i det lokale nettverket.

    Hvis du vil ha mer informasjon om WINS, kan du gå til følgende Microsoft-webområde:

    http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true Hvis du vil ha mer informasjon om hvordan du fastslår om du trenger NETBIOS- eller WINS-navneløsing og DNS-konfigurasjon, kan du gå til følgende Microsoft-webområde:

    http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxBruk følgende fremgangsmåte for å fjerne WINS:

    1. I Kontrollpanel åpner du Legg til eller fjern programmer.

    2. Klikk Legg til / fjern Windows-komponenter.

    3. På siden Veiviser for Windows-komponenter, under Komponenter, klikker du Nettverkstjenester og deretter klikker du Detaljer.

    4. Klikk for å fjerne merket for Windows Internet Naming Service (WINS) for å fjerne WINS.

    5. Følg instruksjonene på skjermen for å fullføre veiviseren for Windows-komponenter.

Vi arbeider med en oppdatering som løser dette sikkerhetsproblemet, som en del av den vanlige oppdateringsprosessen. Så snart denne oppdateringen når et passende kvalitetsnivå, vil vi tilby oppdateringen via Windows Update.


Hvis du tror du har blitt påvirket, kan du kontakte Kundestøtte. I Nord-Amerika kan du kontakte kundestøtte for å få gratis hjelp med sikkerhetsoppdateringsproblemer eller virus ved å bruke PC-sikkerhetstelefonen:

1-866-PCSAFETYObs!  Dette er en gratistjeneste.

Internasjonale kunder kan kontakte Kundestøttetjenesten ved å bruke en av metodene som finnes på følgende Microsoft-webområde:

http://support.microsoft.com

Trenger du mer hjelp?

Utvid ferdighetene dine
Utforsk opplæring
Vær først ute med de nye funksjonene
Bli med i Microsoft Insiders

Var denne informasjonen nyttig?

Takk for tilbakemeldingen!

×