Uw computer beveiligen tegen een beveiligingsprobleem van WINS


Inleiding


Er worden meldingen onderzocht van een beveiligingsprobleem met Microsoft Windows Internet Name Service (WINS). Dit beveiligingsprobleem is van toepassing op Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server en Microsoft Windows Server 2003. Dit beveiligingsprobleem is niet van toepassing op Microsoft Windows 2000 Professional, Microsoft Windows XP of Microsoft Windows ME.

Meer informatie


WINS wordt standaard niet geïnstalleerd bij Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server of Windows Server 2003. WINS wordt standaard wel geïnstalleerd en uitgevoerd bij Microsoft Small Business Server 2000 en Microsoft Windows Small Business Server 2003. Bij alle versies van Microsoft Small Business Server worden de communicatiepoorten van het WINS-onderdeel standaard geblokkeerd voor internet en is WINS alleen beschikbaar in het lokale netwerk.

Door dit beveiligingsprobleem kan een aanvaller extern inbreken op een WINS-server als aan een van de volgende voorwaarden wordt voldaan:
  • U hebt de standaardconfiguratie gewijzigd voor de installatie van de rol van de WINS-server onder Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server of Windows Server 2003.
  • U werkt met Microsoft Small Business Server 2000 of Microsoft Windows Small Business Server 2003 en een aanvaller heeft toegang tot uw lokale netwerk.
Voer de volgende stappen uit om uw computer te beschermen tegen dit beveiligingsprobleem:
  1. Blokkeer TCP-poort 42 en UDP-poort 42 via de firewall.


    Deze poorten worden gebruikt om een verbinding tot stand te brengen met een externe WINS-server. Als u deze poorten via de firewall blokkeert, voorkomt u dat computers achter de firewall misbruik kunnen maken van dit beveiligingsprobleem. TCP-poort 42 en UDP-poort 42 zijn de standaardpoorten voor WINS-replicatie. U wordt aangeraden alle ongevraagde inkomende communicatie via internet te blokkeren.
  2. Gebruik IPSec (Internet Protocol Security) om het verkeer tussen replicatiepartners van WINS-servers te beveiligen. Gebruik hiervoor een van de volgende opties.

    Let op Omdat elke WINS-infrastructuur uniek is, kunnen deze wijzigingen onverwachte effecten hebben op uw infrastructuur. We raden u met klem aan een risicoanalyse uit te voeren voordat u deze oplossing implementeert. We raden u ook met klem aan een complete test uit te voeren voordat u deze oplossing in gebruik neemt.
    • Optie 1: De IPSec-filters handmatig configureren
      Configureer de IPSec-filters handmatig en volg de instructies in het volgende artikel in de Microsoft Knowledge Base om een filter toe te voegen waarmee alle pakketen vanaf elk IP-adres naar het IP-adres van uw systeem worden geblokkeerd:
      813878 Specifieke netwerkprotocollen en -poorten blokkeren met behulp van IPSec
      Als u IPSec gebruikt in een omgeving met Active Directory-domeinen onder Windows 2000 en u het IPSec-beleid implementeert via Groepsbeleid, overschrijft het domeinbeleid elk lokaal gedefinieerd beleid. Hiermee wordt voorkomen dat met deze optie de door u gewenste pakketten worden geblokkeerd.

      Raadpleeg de sectie “Determine whether an IPSec policy is assigned” in artikel 813878 in de Knowledge Base om te bepalen of uw servers IPSec-beleid ontvangen van een domein onder Windows 2000 of latere Windows-versie.

      Wanneer u zeker weet dat u een effectief lokaal IPSec-beleid kunt maken, downloadt u het hulpprogramma IPSeccmd.exe of IPSecpol.exe.

      Met de volgende opdrachten blokkeert u binnenkomend en uitgaand verkeer op TCP-poort 42 en UDP-poort 42.

      Opmerking In deze opdrachten verwijst %IPSEC_Command% naar Ipsecpol.exe (Windows 2000) of Ipseccmd.exe (Windows Server 2003).
      %IPSEC-opdracht% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK 
      %IPSEC-opdracht% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK
      %IPSEC-opdracht% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK
      %IPSEC-opdracht% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK
      Met de volgende opdracht wordt het IPSec-beleid onmiddellijk van kracht als er geen strijdig beleid actief is. Met deze opdracht start u het blokkeren van alle binnenkomende/uitgaande pakketten op TCP-poort 42 en UDP-poort 42. Op deze manier voorkomt u WINS-replicatie tussen de server waarop deze opdrachten zijn uitgevoerd en andere WINS-replicatiepartners.
      %IPSEC_Command% -w REG -p "Block WINS Replication" –x 
      Als er problemen in het netwerk optreden nadat u dit IPSec-beleid hebt ingeschakeld, kunt u de toewijzing van dit beleid opheffen en het beleid verwijderen met de volgende opdrachten:
      %IPSEC-opdracht% -w REG -p "Block WINS Replication" -y 
      %IPSEC-opdracht% -w REG -p "Block WINS Replication" -o
      Als u WINS-replicatie wilt laten functioneren tussen specifieke WINS-replicatiepartners, moet u deze blokkeringsregels vervangen door toestemmingsregels. In deze toestemmingsregels geeft u dan alleen de IP-adressen van vertrouwde WINS-replicatiepartners op.


      Met de volgende opdrachten kunt u IPSec-beleid voor de blokkering van WINS-replicatie bijwerken, zodat bepaalde IP-adressen kunnen communiceren met de server waarop het beleid voor de blokkering van WINS-replicatie wordt uitgevoerd.

      Opmerking In deze opdrachten verwijst %IPSEC-opdracht% naar Ipsecpol.exe (Windows 2000) of Ipseccmd.exe (Windows Server 2003) en verwijst %IP% naar het IP-adres van de externe WINS-server waarmee u de replicatie wilt uitvoeren.
      %IPSEC-opdracht% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS 
      %IPSEC-opdracht% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS
      %IPSEC-opdracht% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS
      %IPSEC-opdracht% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS
      Als het beleid onmiddellijk van kracht moet worden, gebruikt u de volgende opdracht:
      %IPSEC-opdracht% -w REG -p "Block WINS Replication" -x
    • Optie 2: Een script uitvoeren om de IPSec-filters automatisch te configureren
      Download het script voor de blokkering van WINS-replicatie waarmee u een IPSec-beleid maakt om de poorten te blokkeren en voer dit script uit. Ga hiervoor als volgt te werk:
      1. Ga als volgt te werk om de EXE-bestanden te downloaden en uit te pakken:
        1. Download het script voor de blokkering van WINS-replicatie.

          U kunt het volgende bestand downloaden van het Microsoft Downloadcentrum:

          Downloaden Het script voor de blokkering van WINS-replicatie nu downloaden.

          Releasedatum: 2 december 2004

          Als u meer informatie wilt over het downloaden van Microsoft-ondersteuningsbestanden, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
          119591 Microsoft-ondersteuningsbestanden via online services downloaden
          Microsoft heeft dit bestand op virussen gecontroleerd. Hiervoor is de meest actuele software voor virusdetectie gebruikt die beschikbaar was op de datum dat het bestand werd gepubliceerd. Het bestand is ondergebracht op beveiligde servers die onbevoegde wijzigingen aan het bestand helpen verhinderen.
          Als u het script voor de blokkering van WINS-replicatie naar een diskette wilt downloaden, gebruik dan een lege, geformatteerde diskette. Als u het script voor de blokkering van WINS-replicatie naar uw vaste schijf wilt downloaden, maakt u een nieuwe map waarin het bestand tijdelijk wordt opgeslagen en van waaruit het wordt uitgepakt.


          Let op Download bestanden niet rechtstreeks naar de Windows-map. Daardoor kunnen bestanden worden overschreven die nodig zijn voor een juiste werking van uw computer.
        2. Zoek het bestand in de map waarin u het hebt gedownload en dubbelklik op het zelfuitpakkende EXE-bestand om de inhoud in een tijdelijke map uit te pakken. Pak de inhoud bijvoorbeeld uit naar C:\Temp.
      2. Open een opdrachtprompt en ga naar de map waarin de bestanden zijn uitgepakt.
      3. Waarschuwing
        • Als u denkt dat uw WINS-servers mogelijk geïnfecteerd zijn, maar als u niet zeker weet welke WINS-servers gevaar lopen en of uw huidige WINS-server gevaar loopt, voert u geen IP-adres in bij stap 3. Sinds november 2004 hebben we echter geen signalen meer ontvangen van klanten die dit probleem ondervinden. Als uw servers werken zoals verwacht, kunt u daarom gewoon doorgaan zoals wordt beschreven.
        • Als u IPSec onjuist instelt, kunnen er in uw bedrijfsnetwerk ernstige problemen optreden met WINS-replicatie. Meer informatie over IPSec-beveiliging vindt u op de volgende Microsoft-website:
        Voer het bestand Block_Wins_Replication.cmd uit. Als u blokkeringsregels wilt maken om binnenkomend en uitgaand verkeer op TCP-poort 42 en UDP-poort 42 te blokkeren, typt u 1 en drukt u op ENTER wanneer u wordt gevraagd een optie te selecteren.
        Nadat u optie 1 hebt geselecteerd, moet u het IP-adres invoeren van de vertrouwde WINS-replicatieservers.


        Elk IP-adres dat u invoert, wordt uitgesloten van het blokkeringsbeleid voor TCP-poort 42 en UDP-poort 42. U kunt zoveel IP-adressen invoeren als nodig is. Als u niet alle IP-adressen van de WINS-replicatiepartners kent, kunt u het script later opnieuw uitvoeren. Typ 2 en druk op ENTER om optie 2 te selecteren en te beginnen met het invoeren van IP-adressen van vertrouwde WINS-replicatiepartners.


        Nadat u de beveiligingsupdate hebt geïmplementeerd, kunt u het IPSec-beleid verwijderen. Voer hiervoor het script uit. Typ 3 en druk op ENTER om optie 3 te selecteren wanneer u wordt gevraagd een optie te selecteren.

        Voor meer informatie over IPSec en over het toepassen van filters klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:

        313190 IPSec IP-filterlijsten gebruiken in Windows 2000
  3. Verwijder WINS als u dit niet nodig hebt.

    Als u WINS niet meer nodig hebt, voert u de volgende stappen uit om het te verwijderen. Deze stappen gelden voor Windows 2000, Windows Server 2003 en latere versies van deze besturingssystemen. Voor Windows NT Server 4.0 volgt u de procedure die is opgenomen in de productdocumentatie.

    Belangrijk In veel organisaties is WINS vereist voor naamregistratie- en naamresolutiefuncties op het netwerk. Beheerders moeten WINS niet verwijderen, tenzij aan een van de volgende voorwaarden is voldaan:
    • De beheerder is zich volledig bewust van de gevolgen die het verwijderen van WINS heeft op het netwerk.
    • De beheerder heeft DNS voor een overeenkomstige functionaliteit geconfigureerd door gebruik te maken van de volledige domeinnamen en DNS-domeinachtervoegsels.
    Als een beheerder de WINS-functionaliteit verwijdert van een server die gedeelde bronnen blijft leveren in het netwerk, moet de beheerder het systeem bovendien op de juiste manier opnieuw configureren voor het gebruik van de overige services voor de omzetting van adressen, zoals DNS in het lokale netwerk.

    Ga voor meer informatie over WINS naar de volgende Microsoft-website: Meer informatie over hoe u kunt bepalen of u NETBIOS- of WINS-naamomzetting en DNS-configuratie nodig hebt, vindt u op de volgende Microsoft-website: Voer de volgende stappen uit om WINS te verwijderen:
    1. Open Software in het Configuratiescherm.
    2. Klik op Windows-onderdelen toevoegen of verwijderen.
    3. In het dialoogvenster Wizard Windows-onderdelen klikt u op Netwerkservices onder Onderdelen en klikt u op Details.
    4. Schakel het selectievakje Windows Internet Naming Service (WINS) uit om WINS te verwijderen.
    5. Voer de instructies op het scherm uit om de wizard Windows-onderdelen te voltooien.
We werken aan een update waarmee u dit beveiligingsprobleem kunt oplossen via ons normale updateproces. Wanneer deze update gereed is, zullen we deze aanbieden via Windows Update.


Als u denkt dat de beveiliging van uw systeem gevaar loopt, neemt u contact op met Product Support Services. Neem in Noord-Amerika via het volgende telefoonnummer contact op met Product Support Services voor hulp bij beveiligingsproblemen of problemen met virussen:
1-866-PCSAFETY
Opmerking Dit is een gratis nummer.

Internationale klanten moeten met Product Support Services contact opnemen op een van de manieren die zijn aangegeven op de volgende Microsoft-website: