Beschermen tegen een WINS-beveiligingsprobleem

INTRODUCTIE

We onderzoeken meldingen van een beveiligingsprobleem met Microsoft Windows Internet Name Service (WINS). Dit beveiligingsprobleem is van invloed op Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server en Microsoft Windows Server 2003. Dit beveiligingsprobleem is niet van invloed op Microsoft Windows 2000 Professional, Microsoft Windows XP of Microsoft Windows Millennium Edition.

Meer informatie

WINS wordt standaard niet geïnstalleerd op Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server of Windows Server 2003. WINS wordt standaard geïnstalleerd en uitgevoerd op Microsoft Small Business Server 2000 en Microsoft Windows Small Business Server 2003. Standaard zijn in alle versies van Microsoft Small Business Server de communicatiepoorten van het WINS-onderdeel geblokkeerd voor internet en is WINS alleen beschikbaar op het lokale netwerk.

Door dit beveiligingsprobleem kan een aanvaller op afstand inbreuk maken op een WINS-server als aan een van de volgende voorwaarden wordt voldaan:

• U hebt de standaardconfiguratie gewijzigd om de WINS-serverfunctie te installeren op Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server of Windows Server 2003.

• U gebruikt Microsoft Small Business Server 2000 of Microsoft Windows Small Business Server 2003 en een aanvaller heeft toegang tot uw lokale netwerk.

Voer de volgende stappen uit om uw computer te beschermen tegen dit potentiële beveiligingsprobleem:

1. Blokkeer TCP-poort 42 en UDP-poort 42 bij de firewall.
   
   
   Deze poorten worden gebruikt voor het tot stand brengen van een verbinding met een externe WINS-server. Als u deze poorten op de firewall blokkeert, voorkomt u dat computers achter die firewall proberen dit beveiligingsprobleem te gebruiken. TCP-poort 42 en UDP-poort 42 zijn de standaard WINS-replicatiepoorten. We raden u aan alle binnenkomende ongevraagde communicatie van internet te blokkeren.

2. Gebruik Internet Protocol Security (IPsec) om verkeer tussen WINS-serverreplicatiepartners te beveiligen. Gebruik hiervoor een van de volgende opties.
   
   Waarschuwing Omdat elke WINS-infrastructuur uniek is, kunnen deze wijzigingen onverwachte gevolgen hebben voor uw infrastructuur. We raden u ten zeerste aan een risicoanalyse uit te voeren voordat u ervoor kiest om deze beperking te implementeren. We raden u ook ten zeerste aan om volledige tests uit te voeren voordat u deze beperking in productie neemt.
   

   • Optie 1: Configureer de IPSec-filters
     handmatig Configureer de IPSec-filters handmatig en volg vervolgens de instructies in het volgende Microsoft Knowledge Base-artikel om een blokfilter toe te voegen waarmee alle pakketten van een IP-adres naar het IP-adres van uw systeem worden geblokkeerd:

     813878 Specifieke netwerkprotocollen en -poorten blokkeren met behulp van IPSec
     
     Als u IPSec gebruikt in uw Windows 2000 Active Directory-domeinomgeving en u uw IPSec-beleid implementeert met behulp van groepsbeleid, overschrijft het domeinbeleid elk lokaal gedefinieerd beleid. Met deze gebeurtenis voorkomt u dat deze optie de gewenste pakketten blokkeert.
     
     Als u wilt bepalen of uw servers een IPSec-beleid ontvangen van een Windows 2000-domein of een latere versie, raadpleegt u de sectie 'Bepalen of een IPSec-beleid wordt toegewezen' in het Knowledge Base-artikel 813878.
     
     Wanneer u hebt vastgesteld dat u een effectief lokaal IPSec-beleid kunt maken, downloadt u het hulpprogramma IPSeccmd.exe of het hulpprogramma IPSecpol.exe.
     
     De volgende opdrachten blokkeren binnenkomende en uitgaande toegang tot TCP-poort 42 en UDP-poort 42.
     
     Opmerking In deze opdrachten verwijst %IPSEC_Command% naar Ipsecpol.exe (in Windows 2000) of Ipseccmd.exe (op Windows Server 2003).

     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK 
     

     Met de volgende opdracht wordt het IPSec-beleid onmiddellijk van kracht als er geen conflicterend beleid is. Met deze opdracht worden alle binnenkomende/uitgaande TCP-poort 42- en UDP-poort 42-pakketten geblokkeerd. Hiermee voorkomt u dat WINS-replicatie plaatsvindt tussen de server waarop deze opdrachten zijn uitgevoerd en eventuele WINS-replicatiepartners.

     %IPSEC_Command% -w REG -p "Block WINS Replication" –x 

     Als u problemen ondervindt op het netwerk nadat u dit IPSec-beleid hebt ingeschakeld, kunt u de toewijzing van het beleid ongedaan maken en het beleid vervolgens verwijderen met behulp van de volgende opdrachten:

     %IPSEC_Command% -w REG -p "Block WINS Replication" -y 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -o 

     Als u wilt toestaan dat WINS-replicatie werkt tussen specifieke WINS-replicatiepartners, moet u deze blokregels overschrijven met regels voor toestaan. De regels voor toestaan moeten alleen de IP-adressen van uw vertrouwde WINS-replicatiepartners opgeven.
     
     
     U kunt de volgende opdrachten gebruiken om het IPSec-beleid voor HET blokkeren van WINS-replicatie bij te werken, zodat specifieke IP-adressen kunnen communiceren met de server die gebruikmaakt van het beleid Voor blokkeren van WINS-replicatie.
     
     Opmerking In deze opdrachten verwijst %IPSEC_Command% naar Ipsecpol.exe (in Windows 2000) of Ipseccmd.exe (op Windows Server 2003) en %IP% naar het IP-adres van de externe WINS-server waarmee u wilt repliceren.

     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS 
     

     Als u het beleid onmiddellijk wilt toewijzen, gebruikt u de volgende opdracht:

     %IPSEC_Command% -w REG -p "Block WINS Replication" -x

   • Optie 2: Voer een script uit om de IPSec-filters
     automatisch te configureren Download en voer vervolgens het SCRIPT WINS-replicatieblokkering uit waarmee een IPSec-beleid wordt gemaakt om de poorten te blokkeren. Voer hiervoor de volgende stappen uit:
     

     1. Voer de volgende stappen uit om de .exe-bestanden te downloaden en uit te pakken:
        

        1. Download het script WINS Replication Blocker.
           
           Het volgende bestand is beschikbaar om te downloaden via het Microsoft Downloadcentrum:
           
           Download het scriptpakket WINS Replication Blocker nu.
           
           Releasedatum: 2 december 2004
           
           Voor meer informatie over het downloaden van Microsoft Ondersteuning bestanden klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

           119591 Microsoft-ondersteuningsbestanden verkrijgen van onlineservices
           Microsoft dit bestand op virussen heeft gescand. Microsoft heeft de meest recente virusdetectiesoftware gebruikt die beschikbaar was op de datum waarop het bestand werd gepost. Het bestand wordt opgeslagen op servers met verbeterde beveiliging die helpen bij het voorkomen van onbevoegde wijzigingen in het bestand.
           

           Als u het wins-replicatieblokkeringsscript downloadt naar een diskette, gebruikt u een geformatteerde lege schijf. Als u het WINS Replication Blocker-script naar de harde schijf downloadt, maakt u een nieuwe map om het bestand tijdelijk op te slaan en het bestand uit te pakken.
           
           
           Let op Download bestanden niet rechtstreeks naar uw Windows-map. Met deze actie kunnen bestanden worden overschreven die nodig zijn om uw computer correct te laten werken.

        2. Zoek het bestand in de map waarnaar u het hebt gedownload en dubbelklik vervolgens op het zelfuitpakkende .exe-bestand om de inhoud uit te pakken in een tijdelijke map. Pak bijvoorbeeld de inhoud uit naar C:\Temp.

     2. Open een opdrachtprompt en ga naar de map waar de bestanden worden uitgepakt.

     3. Waarschuwing

        • Als u vermoedt dat uw WINS-servers zijn geïnfecteerd, maar u niet zeker weet welke WINS-servers zijn gecompromitteerd of dat uw huidige WINS-server is gecompromitteerd, voert u geen IP-adressen in stap 3 in. Vanaf november 2004 zijn we echter niet op de hoogte van klanten die door dit probleem zijn getroffen. Als uw servers werken zoals verwacht, gaat u daarom verder zoals beschreven.

        • Als u IPsec onjuist instelt, kunt u ernstige WINS-replicatieproblemen veroorzaken op uw bedrijfsnetwerk.

        Voer het Block_Wins_Replication.cmd-bestand uit. Als u de regels voor binnenkomende en uitgaande blokkeringen voor TCP-poort 42 en UDP-poort 42 wilt maken, typt
        u 1 en drukt u op Enter om optie 1 te selecteren wanneer u wordt gevraagd om de gewenste optie te selecteren.

        Nadat u optie 1 hebt geselecteerd, wordt u in het script gevraagd om de IP-adressen van de vertrouwde WINS-replicatieservers in te voeren.
        
        
        Elk IP-adres dat u invoert, is uitgesloten van het blokkerende TCP-poort 42- en UDP-poort 42-beleid. U wordt gevraagd in een lus en u kunt zoveel IP-adressen invoeren als nodig is. Als u niet alle IP-adressen van de WINS-replicatiepartners weet, kunt u het script in de toekomst opnieuw uitvoeren. Als u IP-adressen van vertrouwde WINS-replicatiepartners wilt invoeren, typt u 2 en drukt u op Enter om optie 2 te selecteren wanneer u wordt gevraagd de gewenste optie te selecteren.
        
        
        Nadat u de beveiligingsupdate hebt geïmplementeerd, kunt u het IPSec-beleid verwijderen. Voer hiervoor het script uit. Typ 3 en druk op Enter om optie 3 te selecteren wanneer u wordt gevraagd de gewenste optie te selecteren.
        
        Voor meer informatie over IPsec en het toepassen van filters klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:
        
        

        313190 IP-filterlijsten voor IP-adressen gebruiken in Windows 2000
        
        

3. Verwijder WINS als u deze niet nodig hebt.
   
   Als u WINS niet meer nodig hebt, volgt u deze stappen om het te verwijderen. Deze stappen zijn van toepassing op Windows 2000, Windows Server 2003 en latere versies van deze besturingssystemen. Voor Windows NT Server 4.0 volgt u de procedure die is opgenomen in de productdocumentatie.
   
   Belangrijk Veel organisaties vereisen dat WINS functies voor registratie en oplossing van één label of platte naam op hun netwerk uitvoert. Beheerders moeten WINS niet verwijderen, tenzij aan een van de volgende voorwaarden wordt voldaan:
   

   • De beheerder begrijpt volledig wat het effect is van het verwijderen van WINS op het netwerk.

   • De beheerder heeft DNS geconfigureerd om de equivalente functionaliteit te bieden met behulp van volledig gekwalificeerde domeinnamen en DNS-domeinachtervoegsels.

   Als een beheerder de WINS-functionaliteit verwijdert van een server die gedeelde resources op het netwerk blijft leveren, moet de beheerder het systeem correct configureren om de resterende services voor naamomzetting te gebruiken, zoals DNS op het lokale netwerk.
   
   Ga naar de volgende Microsoft-website voor meer informatie over WINS:

   http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true Ga naar de volgende Microsoft-website voor meer informatie over het bepalen of u NETBIOS- of WINS-naamomzetting en DNS-configuratie nodig hebt:

   http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxVoer de volgende stappen uit om WINS te verwijderen:
   

   1. Open in Configuratiescherm Programma's toevoegen of verwijderen.

   2. Klik op Windows-onderdelen toevoegen/verwijderen.
      

   3. Klik op de pagina Wizard Windows-onderdelen onder
      Onderdelen op Netwerkservices en klik vervolgens op Details.

   4. Klik om het selectievakje Windows Internet Naming Service (WINS) uit te schakelen om WINS te verwijderen.

   5. Volg de instructies op het scherm om de wizard Windows-onderdelen te voltooien.

We werken aan een update om dit beveiligingsprobleem op te lossen als onderdeel van ons reguliere updateproces. Wanneer de update een geschikt kwaliteitsniveau heeft bereikt, bieden we de update via Windows Update.


Als u denkt dat u bent getroffen, neemt u contact op met productondersteuningsservices.

Internationale klanten moeten contact opnemen met productondersteuningsservices met behulp van een methode die wordt vermeld op de volgende Microsoft-website:

http://support.microsoft.com