Jak ułatwić ochronę przed zagrożeniem związanym z luką w zabezpieczeniach usługi WINS


WPROWADZENIE


Firma Microsoft analizuje raporty dotyczące problemu z zabezpieczeniami usługi Microsoft Windows Internet Name Service (WINS). Ten problem z zabezpieczeniami występuje w systemach Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server i Microsoft Windows Server 2003. Ten problem z zabezpieczeniami nie występuje w systemach Microsoft Windows 2000 Professional, Microsoft Windows XP i Microsoft Windows Millennium Edition.

Więcej informacji


Usługa WINS domyślnie nie jest instalowana w systemach Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server i Windows Server 2003. Usługa WINS jest domyślnie instalowana i uruchamiana w programach Microsoft Small Business Server 2000 i Microsoft Windows Small Business Server 2003. We wszystkich wersjach programu Microsoft Small Business Server komunikacja z Internetem przez porty składnika usługi WINS jest domyślnie zablokowana i usługa WINS jest dostępna tylko w sieci lokalnej.

Atakujący mógłby wykorzystać ten problem z zabezpieczeniami, aby zdalnie włamać się do serwera WINS, jeśli spełniony jest jeden z następujących warunków:
  • Konfiguracja domyślna systemu Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server lub Windows Server 2003 została zmieniona i jest instalowana rola serwera WINS.
  • Użytkownik korzysta z programu Microsoft Small Business Server 2000 lub Microsoft Windows Small Business Server 2003, a atakujący ma dostęp do sieci lokalnej.
Aby ułatwić ochronę komputera przed tą potencjalną luką w zabezpieczeniach, wykonaj następujące kroki:
  1. Zablokuj port 42 protokołu TCP i port 42 protokołu UDP na zaporze.


    Te porty są używane do inicjowania połączenia ze zdalnym serwerem WINS. Zablokowanie tych portów na zaporze ułatwi ochronę komputerów znajdujących się za zaporą przed próbami wykorzystania tej luki w zabezpieczeniach. Port 42 protokołu TCP i port 42 protokołu UDP są domyślnymi portami replikacji usługi WINS. Firma Microsoft zdecydowanie zaleca blokowanie wszystkich niepożądanych połączeń przychodzących, inicjowanych z Internetu.
  2. Użyj protokołu IPSec, aby zapewnić lepszą ochronę ruchu między serwerami będącymi partnerami replikacji usługi WINS. W tym celu zastosuj jedną z następujących opcji.

    Ostrzeżenie: Ponieważ każda infrastruktura usługi WINS jest unikatowa, zmiany te mogą przynieść nieoczekiwane skutki dla infrastruktury. Firma Microsoft zdecydowanie zaleca przeprowadzenie analizy ryzyka przed wdrożeniem tych dodatkowych środków ochrony. Wdrożenie ich w środowisku produkcyjnym powinno ponadto zostać poprzedzone kompleksowymi testami.
    • Opcja 1: Ręczne konfigurowanie filtrów IPSec
      Skonfiguruj ręcznie filtry IPSec, a następnie wykonaj instrukcje zawarte w następującym artykule z bazy wiedzy Microsoft Knowledge Base, aby dodać filtr blokujący wszystkie pakiety przychodzące z dowolnego adresu IP na adres IP danego systemu:
      813878 Jak blokować wybrane protokoły i porty sieciowe za pomocą protokołu IPSec

      Jeśli protokół IPSec jest używany w środowisku domeny usługi Active Directory systemu Windows 2000, a zasady IPSec są wdrażane za pomocą przystawki Zasady grupy, to zasady domeny zastępują wszystkie zasady zdefiniowane lokalnie. Uniemożliwia to zablokowanie odpowiednich pakietów za pomocą tej opcji.

      Aby określić, czy serwery otrzymują zasady IPSec z domeny systemu Windows 2000 lub nowszej wersji, zobacz sekcję „Weryfikacja przypisania zasady IPSec” w artykule 813878 bazy wiedzy Knowledge Base.

      Po ustaleniu, że można utworzyć efektywne lokalne zasady IPSec, pobierz narzędzie IPSeccmd.exe lub IPSecpol.exe.

      Następujące polecenia blokują dostęp przychodzący i wychodzący do portu 42 protokołu TCP i portu 42 protokołu UDP.

      Uwaga: W tych poleceniach %Polecenie_IPSEC% oznacza narzędzie Ipsecpol.exe (w systemie Windows 2000) lub Ipseccmd.exe (w systemie Windows Server 2003).
      %IPolecenie_IPSEC% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK 
      %Polecenie_IPSEC% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK
      %Polecenie_IPSEC% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK
      %IPolecenie_IPSEC% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK
      Następujące polecenie sprawia, że zasady IPSec natychmiast wchodzą w życie, pod warunkiem że nie są sprzeczne z żadnymi innymi zasadami. Polecenie to rozpoczyna blokowanie wszystkich przychodzących/wychodzących pakietów na porcie 42 protokołu TCP i porcie 42 protokołu UDP. Zapobiega to efektywnie replikacji usługi WINS między serwerem, na którym te polecenia zostały uruchomione, oraz dowolnymi jego partnerami replikacji usługi WINS.
      %Polecenie_IPSEC% -w REG -p "Block WINS Replication" –x 
      Gdyby po włączeniu tych zasad IPSec wystąpiły problemy w sieci, można anulować przypisanie zasad, a następnie usunąć zasady za pomocą następujących poleceń:
      %Polecenie_IPSEC% -w REG -p "Block WINS Replication" -y 
      %Polecenie_IPSEC% -w REG -p "Block WINS Replication" -o
      Aby zezwolić na funkcjonowanie replikacji usługi WINS między określonymi partnerami replikacji usługi WINS, należy zastąpić te reguły blokowania regułami zezwalania. W tych regułach blokowania powinny być określone tylko adresy IP zaufanych partnerów replikacji usługi WINS.


      Aby zezwolić na komunikowanie się z serwerem korzystającym z zasad IPSec Block WINS Replication z określonych adresów IP, należy zmodyfikować zasady Block WINS Replication za pomocą następujących poleceń.

      Uwaga: W tych poleceniach %Polecenie_IPSEC% oznacza narzędzie Ipsecpol.exe (w systemie Windows 2000) lub narzędzie Ipseccmd.exe (w systemie Windows Server 2003), a %IP% oznacza adres IP zdalnego serwera WINS, z którym replikacja ma być dozwolona.
      %Polecenie_IPSEC% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS 
      %Polecenie_IPSEC% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS
      %Polecenie_IPSEC% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS
      %Polecenie_IPSEC% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS
      Aby natychmiast przypisać zasadę, użyj następującego polecenia:
      %Polecenie_IPSEC% -w REG -p "Block WINS Replication" -x
    • Opcja 2: Automatyczne konfigurowanie filtrów protokołu IPSec za pomocą skryptu
      Pobierz i uruchom skrypt WINS Replication Blocker, który tworzy zasady IPSec blokujące porty. Aby to zrobić, wykonaj następujące kroki:
      1. Aby pobrać i wyodrębnić pliki .exe, wykonaj następujące kroki:
        1. Pobierz skrypt WINS Replication Blocker.

          Następujący plik jest udostępniony do pobrania w witrynie Microsoft — Centrum pobierania:

          Pobierz Pobierz pakiet skryptu WINS Replication Blocker.

          Data wydania: 2 grudnia 2004

          Aby uzyskać dodatkowe informacje dotyczące pobierania plików Pomocy technicznej firmy Microsoft, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
          119591 Jak uzyskać pliki Pomocy technicznej Microsoft w usługach online
          Firma Microsoft przeskanowała ten plik w poszukiwaniu wirusów. Firma Microsoft używa najnowszego oprogramowania do wykrywania wirusów dostępnego w chwili opublikowania pliku. Plik jest przechowywany na serwerach z zaawansowanym poziomem zabezpieczeń, co zapewnia lepszą ochronę przed wprowadzaniem nieautoryzowanych zmian w pliku.
          Jeśli pobierasz skrypt WINS Replication Blocker na dyskietkę, użyj sformatowanej, czystej dyskietki. Jeśli pobierasz skrypt WINS Replication Blocker na dysk twardy, utwórz nowy folder, w którym tymczasowo zapiszesz plik i do którego wyodrębnisz jego zawartość.


          Ostrzeżenie: Nie pobieraj plików bezpośrednio do folderu systemu Windows. Mogłoby to spowodować zastąpienie plików wymaganych do poprawnego działania komputera.
        2. Zlokalizuj plik w folderze, do którego został pobrany, a następnie kliknij dwukrotnie plik .exe, aby automatycznie wyodrębnić jego zawartość do folderu tymczasowego. Wyodrębnij zawartość na przykład do folderu C:\Temp.
      2. Otwórz wiersz polecenia, a następnie przejdź do katalogu, do którego pliki zostały wyodrębnione.
      3. Ostrzeżenie:
        • Jeśli zachodzi podejrzenie, że serwery WINS mogą być zainfekowane, ale nie wiadomo, do których serwerów WINS się włamano i czy włamano się do bieżącego serwera WINS, w kroku 3 nie należy wprowadzać żadnych adresów IP. Jednak do listopada 2004 nie otrzymaliśmy zgłoszeń o żadnych klientach, których dotyczyłby ten problem. W związku z tym, jeśli serwery działają w oczekiwany sposób, można kontynuować opisaną procedurę.
        • Niepoprawna konfiguracja protokołu IPSec może być przyczyną poważnych problemów z replikacją usługi WINS w sieci firmowej. Aby uzyskać dodatkowe informacje dotyczące problemów związanych z zabezpieczeniami protokołu IPSec, odwiedź następującą witrynę firmy Microsoft w sieci Web:
        Uruchom plik Block_Wins_Replication.cmd. Aby utworzyć reguły blokowania ruchu wychodzącego i przychodzącego na porcie 42 protokołu TCP i porcie 42 protokołu UDP, wpisz 1 i naciśnij klawisz ENTER, aby wybrać opcję 1, gdy zostanie wyświetlony monit o wybranie żądanej opcji.
        Po wybraniu opcji 1 skrypt monituje o wprowadzenie adresów IP zaufanych serwerów replikacji usługi WINS.


        Każdy wprowadzony adres IP zostaje zwolniony ze stosowania zasad blokowania portu 42 protokołu TCP i portu 42 protokołu UDP. Monit jest wyświetlany w pętli i można wprowadzić dowolną liczbę adresów IP. Jeśli nie znasz jeszcze wszystkich adresów IP partnerów replikacji usługi WINS, możesz uruchomić ten skrypt w dowolnej chwili w przyszłości. W celu rozpoczęcia wprowadzania adresów IP zaufanych partnerów replikacji usługi WINS wpisz 2, a następnie naciśnij klawisz ENTER, aby wybrać opcję 2, gdy zostanie wyświetlony monit o wybranie żądanej opcji.


        Po wdrożeniu aktualizacji zabezpieczeń można usunąć zasady IPSec. W tym celu uruchom skrypt. Wpisz 3 i naciśnij klawisz ENTER, aby wybrać opcję 3, gdy zostanie wyświetlony monit o wybranie żądanej opcji.

        Aby uzyskać dodatkowe informacje dotyczące protokołu IPSec i sposobu stosowania filtrów, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

        313190 JAK: Korzystanie z list filtrów IPSec w systemie Windows 2000

  3. Usuń usługę WINS, jeżeli jest zbędna.

    Jeżeli usługa WINS nie jest już potrzebna, można wykonać następujące kroki, aby ją usunąć. Te kroki dotyczą systemu Windows 2000, Windows Server 2003 i nowszych wersji tych systemów operacyjnych. W systemie Windows NT 4.0 należy wykonać procedurę zawartą w dokumentacji produktu.

    Ważne: W sieciach wielu organizacji usługa WINS jest wymagana przez funkcje rozpoznawania i rejestrowania nazw jednoetykietowych i nazw typu płaskiego. Administratorzy powinni usunąć usługę WINS dopiero po spełnieniu następujących warunków:
    • Administrator ma pełną świadomość skutków usunięcia usługi WINS dla sieci.
    • Administrator skonfigurował usługę DNS, aby udostępnić równoważne funkcje wykorzystujące w pełni kwalifikowane nazwy domen oraz sufiksy domeny DNS.
    Ponadto, jeżeli administrator usuwa funkcje związane z usługą WINS z serwera, który będzie nadal dostarczać udostępnione zasoby w sieci, musi poprawnie ponownie skonfigurować system, aby korzystać z pozostałych usług związanych z rozpoznawaniem nazw w sieci lokalnej, jak na przykład usługa DNS.

    Aby uzyskać więcej informacji o usłudze WINS, odwiedź następującą witrynę firmy Microsoft w sieci Web: Aby uzyskać więcej informacji o sposobie określenia, czy potrzebujesz rozpoznawania nazw NETBIOS i WINS oraz konfiguracji DNS, odwiedź następującą witrynę firmy Microsoft w sieci Web: Aby usunąć usługę WINS, wykonaj następujące kroki:
    1. W Panelu sterowania otwórz aplet Dodaj lub usuń programy.
    2. Kliknij przycisk Dodaj/Usuń składniki systemu Windows.
    3. Na stronie Kreator składników systemu Windows, w obszarze Składniki kliknij pozycję Usługi sieciowe, a następnie kliknij przycisk Szczegóły.
    4. Kliknij, aby wyczyścić pole wyboru Usługa nazw internetowych systemu Windows (WINS) w celu usunięcia usługi WINS.
    5. Postępuj zgodnie z instrukcjami wyświetlanymi na ekranie, aby zakończyć działanie Kreatora składników systemu Windows.
Firma Microsoft opracowuje aktualizację umożliwiającą rozwiązanie tego problemu z zabezpieczeniami w ramach naszego regularnego procesu aktualizacji. Gdy tylko aktualizacja ta osiągnie odpowiedni poziom jakości, firma Microsoft udostępni ją za pośrednictwem witryny Windows Update.


Użytkownicy, którzy są przekonani, że na ich komputerach występuje ten problem, powinni skontaktować się z Pomocą techniczną. W Ameryce Północnej w celu uzyskania pomocy w rozwiązywaniu problemów z aktualizacjami zabezpieczeń należy zadzwonić na następujący numer telefonu PC Safety:
1-866-PCSAFETY
Uwaga: Połączenie z tym numerem jest bezpłatne.

Klienci zagraniczni mogą skontaktować się z Pomocą techniczną, korzystając z metod podanych w następującej witrynie firmy Microsoft w sieci Web: