Slik bidrar du til å beskytte deg mot et WINS-sikkerhetsproblem

INTRODUKSJON

Vi undersøker rapporter om et sikkerhetsproblem med Microsoft Windows Internet Name Service (WINS). Dette sikkerhetsproblemet påvirker Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server og Microsoft Windows Server 2003. Dette sikkerhetsproblemet påvirker ikke Microsoft Windows 2000 Professional, Microsoft Windows XP eller Microsoft Windows Millennium Edition.

Mer informasjon

WINS er som standard ikke installert på Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server eller Windows Server 2003. SOM standard er WINS installert og kjører på Microsoft Small Business Server 2000 og Microsoft Windows Small Business Server 2003. Som standard blokkeres kommunikasjonsportene for WINS-komponenter på alle versjoner av Microsoft Small Business Server, og WINS er bare tilgjengelig på det lokale nettverket.

Dette sikkerhetsproblemet kan gjøre det mulig for en angriper å eksternt kompromittere en WINS-server hvis en av følgende betingelser er oppfylt:

• Du har endret standardkonfigurasjonen for å installere WINS-serverrollen på Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server eller Windows Server 2003.

• Du kjører Microsoft Small Business Server 2000 eller Microsoft Windows Small Business Server 2003, og en angriper har tilgang til det lokale nettverket.

Følg disse trinnene for å beskytte datamaskinen mot dette potensielle sikkerhetsproblemet:

1. Blokker TCP-port 42 og UDP-port 42 ved brannmuren.
   
   
   Disse portene brukes til å starte en tilkobling med en ekstern WINS-server. Hvis du blokkerer disse portene i brannmuren, bidrar du til å forhindre at datamaskiner som er bak brannmuren, prøver å bruke dette sikkerhetsproblemet. TCP-port 42 og UDP-port 42 er standard WINS-replikeringsporter. Vi anbefaler at du blokkerer all innkommende uønsket kommunikasjon fra Internett.

2. Bruk Internet Protocol Security (IPsec) til å beskytte trafikken mellom WINS-serverreplikeringspartnere. Hvis du vil gjøre dette, kan du bruke ett av følgende alternativer.
   
   Forsiktig! Siden hver WINS-infrastruktur er unik, kan disse endringene ha uventede effekter på infrastrukturen. Vi anbefaler på det sterkeste at du utfører en risikoanalyse før du velger å implementere denne begrensningen. Vi anbefaler også på det sterkeste at du utfører fullstendig testing før du setter denne reduksjonen i produksjon.
   

   • Alternativ 1: Konfigurer IPSec-filtrene
     manuelt konfigurer IPSec-filtrene manuelt, og følg deretter instruksjonene i følgende Microsoft Knowledge Base-artikkel for å legge til et blokkfilter som blokkerer alle pakker fra en IP-adresse til systemets IP-adresse:

     813878 Slik blokkerer du bestemte nettverksprotokoller og porter ved hjelp av IPSec
     
     Hvis du bruker IPSec i Windows 2000 Active Directory-domenemiljøet og du distribuerer IPSec-policyen ved hjelp av gruppepolicy, overstyrer domenepolicyen alle lokalt definerte policyer. Denne forekomsten forhindrer at dette alternativet blokkerer pakkene du vil bruke.
     
     Hvis du vil finne ut om serverne mottar en IPSec-policy fra et Windows 2000-domene eller en senere versjon, kan du se avsnittet Fastslå om en IPSec-policy er tilordnet i Knowledge Base-artikkelen 813878.
     
     Når du har fastslått at du kan opprette en effektiv lokal IPSec-policy, laster du ned verktøyet IPSeccmd.exe eller IPSecpol.exe verktøyet.
     
     Følgende kommandoer blokkerer innkommende og utgående tilgang til TCP-port 42 og UDP-port 42.
     
     Obs! I disse kommandoene refererer %IPSEC_Command % til Ipsecpol.exe (i Windows 2000) eller Ipseccmd.exe (Windows Server 2003).

     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK 
     

     Følgende kommando gjør IPSec-policyen effektiv umiddelbart hvis det ikke finnes noen motstridende policy. Denne kommandoen starter blokkering av alle inngående/utgående TCP-port 42- og UDP-port 42-pakker. Dette hindrer effektivt WINS-replikering mellom serveren som disse kommandoene ble kjørt på, og eventuelle WINS-replikeringspartnere.

     %IPSEC_Command% -w REG -p "Block WINS Replication" –x 

     Hvis du opplever problemer på nettverket etter at du har aktivert denne IPSec-policyen, kan du oppheve tilordningen av policyen og deretter slette policyen ved hjelp av følgende kommandoer:

     %IPSEC_Command% -w REG -p "Block WINS Replication" -y 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -o 

     Hvis du vil tillate at WINS-replikering fungerer mellom bestemte WINS-replikeringspartnere, må du overstyre disse blokkreglene med tillatte regler. Tillatelsesreglene bør bare angi IP-adressene til de klarerte WINS-replikeringspartnerne.
     
     
     Du kan bruke følgende kommandoer til å oppdatere IPSec-policyen Block WINS Replication for å tillate bestemte IP-adresser å kommunisere med serveren som bruker policyen Block WINS Replication.
     
     Obs! I disse kommandoene refererer %IPSEC_Command% til Ipsecpol.exe (i Windows 2000) eller Ipseccmd.exe (på Windows Server 2003), og %IP% refererer til IP-adressen til den eksterne WINS-serveren du vil replikere med.

     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS 
     

     Hvis du vil tilordne policyen umiddelbart, bruker du følgende kommando:

     %IPSEC_Command% -w REG -p "Block WINS Replication" -x

   • Alternativ 2: Kjør et skript for å automatisk konfigurere IPSec-filtrene
     Last ned, og kjør deretter WINS Replication Blocker-skriptet som oppretter en IPSec-policy for å blokkere portene. Gjør dette ved å følge disse trinnene:
     

     1. Følg disse trinnene for å laste ned og trekke ut .exe filer:
        

        1. Last ned WINS-replikeringsblokkeringsskriptet.
           
           Følgende fil er tilgjengelig for nedlasting fra Microsoft Download Center:
           
           Last ned WINS Replication Blocker-skriptpakken nå.
           
           Utgivelsesdato: 2. desember 2004
           
           Hvis du vil ha mer informasjon om hvordan du laster ned Microsoft Kundestøtte-filer, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:

           119591 Slik henter du Microsoft-støttefiler fra onlinetjenester
           Microsoft skannet denne filen for virus. Microsoft brukte den nyeste programvaren for virusregistrering som var tilgjengelig på datoen da filen ble lagt inn. Filen lagres på sikkerhetsforbedrede servere som bidrar til å forhindre uautoriserte endringer i filen.
           

           Hvis du laster ned WINS-replikeringsblokkeringsskriptet til en diskett, bruker du en formatert tom disk. Hvis du laster ned WINS-replikeringsblokkeringsskriptet til harddisken, oppretter du en ny mappe for midlertidig lagring av filen og pakker ut filen fra.
           
           
           Forsiktig! Ikke last ned filer direkte til Windows-mappen. Denne handlingen kan overskrive filer som kreves for at datamaskinen skal fungere riktig.

        2. Finn filen i mappen du lastet den ned til, og dobbeltklikk deretter den selvutpakkende .exe-filen for å pakke ut innholdet til en midlertidig mappe. Du kan for eksempel trekke ut innholdet til C:\Temp.

     2. Åpne en ledetekst, og flytt deretter til katalogen der filene er pakket ut.

     3. Advarsel

        • Hvis du mistenker at WINS-serverne dine kan være infisert, men du ikke er sikker på hvilke WINS-servere som er kompromittert, eller om den gjeldende WINS-serveren er kompromittert, må du ikke angi IP-adresser i trinn 3. Fra og med november 2004 er vi imidlertid ikke klar over noen kunder som har blitt påvirket av dette problemet. Hvis serverne fungerer som forventet, fortsetter du derfor som beskrevet.

        • Hvis du feilaktig konfigurerer IPsec, kan det føre til alvorlige PROBLEMER med WINS-replikering på firmanettverket.

        Kjør Block_Wins_Replication.cmd-filen. Hvis du vil opprette inngående og utgående regler for TCP-port 42 og UDP-port 42, skriver du inn
        1 og trykker enter for å velge alternativ 1 når du blir bedt om å velge alternativet du vil bruke.

        Når du har valgt alternativ 1, ber skriptet deg om å angi IP-adressene til de klarerte WINS-replikeringsserverne.
        
        
        Hver IP-adresse du angir, er unntatt fra policyen for blokkering av TCP-port 42 og UDP-port 42. Du blir bedt om det i en løkke, og du kan angi så mange IP-adresser som nødvendig. Hvis du ikke kjenner alle IP-adressene til WINS-replikeringspartnerne, kan du kjøre skriptet på nytt i fremtiden. Hvis du vil begynne å skrive inn IP-adresser for klarerte WINS-replikeringspartnere, skriver du inn 2 og trykker enter for å velge alternativ 2 når du blir bedt om å velge alternativet du vil bruke.
        
        
        Når du har distribuert sikkerhetsoppdateringen, kan du fjerne IPSec-policyen. Hvis du vil gjøre dette, kjører du skriptet. Skriv inn 3, og trykk deretter ENTER for å velge alternativ 3 når du blir bedt om å velge alternativet du vil bruke.
        
        Hvis du vil ha mer informasjon om IPsec og hvordan du bruker filtre, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
        
        

        313190 Slik bruker du IP-filterlister for IPsec i Windows 2000
        
        

3. Fjern WINS hvis du ikke trenger det.
   
   Hvis du ikke lenger trenger WINS, følger du disse trinnene for å fjerne det. Disse trinnene gjelder for Windows 2000, Windows Server 2003 og nyere versjoner av disse operativsystemene. For Windows NT Server 4.0 følger du fremgangsmåten som er inkludert i produktdokumentasjonen.
   
   Viktige Mange organisasjoner krever at WINS utfører registrerings- og oppløsningsfunksjoner for enkeltetiketter eller flate navn på nettverket. Administratorer bør ikke fjerne WINS med mindre én av følgende betingelser er oppfylt:
   

   • Administratoren forstår fullt ut effekten av at fjerning av WINS dette vil ha på nettverket.

   • Administratoren har konfigurert DNS til å gi tilsvarende funksjonalitet ved hjelp av fullstendige domenenavn og DNS-domenesuffikser.

   Hvis en administrator fjerner WINS-funksjonaliteten fra en server som vil fortsette å levere delte ressurser på nettverket, må administratoren også konfigurere systemet på nytt for å bruke de gjenværende navneoppløsningstjenestene som DNS på det lokale nettverket.
   
   Hvis du vil ha mer informasjon om WINS, kan du gå til følgende Microsoft-webområde:

   http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true Hvis du vil ha mer informasjon om hvordan du fastslår om du trenger NETBIOS eller WINS-navneoppløsning og DNS-konfigurasjon, kan du gå til følgende Microsoft-webområde:

   http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxFølg disse trinnene for å fjerne WINS:
   

   1. Åpne Legg til eller fjern programmer i Kontrollpanel.

   2. Klikk Legg til / fjern Windows-komponenter.
      

   3. Klikk Nettverkstjenester under
      Komponenter på siden Veiviser for Windows-komponenter, og klikk deretter Detaljer.

   4. Klikk for å fjerne merket for Windows Internet Naming Service (WINS) for å fjerne WINS.

   5. Følg instruksjonene på skjermen for å fullføre veiviseren for Windows-komponenter.

Vi arbeider med en oppdatering for å løse dette sikkerhetsproblemet som en del av vår vanlige oppdateringsprosess. Når oppdateringen har nådd et passende kvalitetsnivå, vil vi gi oppdateringen gjennom Windows Update.


Hvis du tror at du har blitt påvirket, kan du kontakte kundestøtte.

Internasjonale kunder bør kontakte kundestøttetjenester ved hjelp av en hvilken som helst metode som er oppført på følgende Microsoft-webområde:

http://support.microsoft.com