Jak chronić się przed problemami z zabezpieczeniami WINS

WPROWADZENIE

Badamy raporty o problemie z zabezpieczeniami usługi Microsoft Windows Internet Name Service (WINS). Ten problem z zabezpieczeniami dotyczy systemów Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server i Microsoft Windows Server 2003. Ten problem z zabezpieczeniami nie ma wpływu na system Microsoft Windows 2000 Professional, Microsoft Windows XP ani Microsoft Windows Millennium Edition.

Więcej informacji

Domyślnie usługa WINS nie jest instalowana w systemach Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server i Windows Server 2003. Domyślnie usługa WINS jest instalowana i uruchomiona w programach Microsoft Small Business Server 2000 i Microsoft Windows Small Business Server 2003. Domyślnie we wszystkich wersjach programu Microsoft Small Business Server porty komunikacji składnika WINS są blokowane z Internetu, a usługa WINS jest dostępna tylko w sieci lokalnej.

Ten problem z zabezpieczeniami może umożliwić napastnikowi zdalne włamanie się na serwer WINS, jeśli spełniony jest jeden z następujących warunków:

• Zmieniono domyślną konfigurację w celu zainstalowania roli serwera WINS w systemie Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server lub Windows Server 2003.

• Korzystasz z programu Microsoft Small Business Server 2000 lub Microsoft Windows Small Business Server 2003, a osoba atakująca ma dostęp do Twojej sieci lokalnej.

Aby chronić komputer przed potencjalną luką w zabezpieczeniach, wykonaj następujące czynności:

1. Zablokuj port TCP 42 i port UDP 42 w zaporze.
   
   
   Te porty służą do inicjowania połączenia ze zdalnym serwerem WINS. Zablokowanie tych portów przez zaporę pomaga zapobiec próbom użycia tej luki na komputerach znajdujących się za zaporą. Port TCP 42 i port UDP 42 to domyślne porty replikacji WINS. Zalecamy zablokowanie całej przychodzącej, niezamawianej komunikacji z Internetu.

2. Zabezpieczenia protokołu internetowego (IPsec) ułatwiają ochronę ruchu między partnerami replikacji serwerów WINS. W tym celu użyj jednej z następujących opcji.
   
   Przestroga Ponieważ każda infrastruktura usługi WINS jest unikatowa, te zmiany mogą mieć nieoczekiwany wpływ na infrastrukturę. Zdecydowanie zalecamy przeprowadzenie analizy ryzyka przed zaimplementowaniem tego rozwiązania. Zdecydowanie zalecamy również przeprowadzenie pełnych testów przed wprowadzeniem tego łagodzenia do produkcji.
   

   • Opcja 1: Ręcznie skonfiguruj filtry
     IPSec Ręcznie konfiguruj filtry IPSec, a następnie postępuj zgodnie z instrukcjami podanymi w poniższym artykule z bazy wiedzy Microsoft Knowledge Base, aby dodać filtr blokowy blokujący wszystkie pakiety z dowolnego adresu IP do adresu IP systemu:

     813878 Jak blokować określone protokoły i porty sieciowe przy użyciu protokołu IPSec
     
     Jeśli używasz protokołu IPSec w środowisku domeny usługi Active Directory systemu Windows 2000 i wdrażasz zasady IPSec przy użyciu zasady grupy, zasady domeny zastępują wszelkie zasady zdefiniowane lokalnie. To wystąpienie zapobiega blokowaniu odpowiednich pakietów przez tę opcję.
     
     Aby ustalić, czy serwery otrzymują zasady IPSec z domeny systemu Windows 2000, czy nowszej, zobacz sekcję "Określanie, czy przypisano zasady IPSec" w artykule z bazy wiedzy Knowledge Base 813878.
     
     Po ustaleniu, że można utworzyć skuteczne lokalne zasady IPSec, pobierz narzędzie IPSeccmd.exe lub narzędzie IPSecpol.exe.
     
     Następujące polecenia blokują dostęp przychodzący i wychodzący do portu TCP 42 i portu UDP 42.
     
     Uwaga W tych poleceniach %IPSEC_Command% oznacza Ipsecpol.exe (w systemie Windows 2000) lub Ipseccmd.exe (w systemie Windows Server 2003).

     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK 
     

     Następujące polecenie sprawia, że zasady IPSec są skuteczne natychmiast, jeśli nie ma żadnych zasad powodujących konflikty. To polecenie rozpocznie blokowanie wszystkich pakietów przychodzących/wychodzących portów TCP 42 i UDP port 42. Dzięki temu replikacja wins nie występuje między serwerem, na którego uruchomiono te polecenia, a dowolnymi partnerami replikacji WINS.

     %IPSEC_Command% -w REG -p "Block WINS Replication" –x 

     Jeśli po włączeniu tej zasady IPSec wystąpią problemy w sieci, możesz anulować przypisanie zasad, a następnie usunąć zasady za pomocą następujących poleceń:

     %IPSEC_Command% -w REG -p "Block WINS Replication" -y 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -o 

     Aby umożliwić funkcję replikacji WINS między określonymi partnerami replikacji WINS, należy zastąpić te reguły bloków regułami dozwolonymi. Reguły zezwalania powinny określać adresy IP tylko zaufanych partnerów replikacji WINS.
     
     
     Za pomocą następujących poleceń można zaktualizować zasady Block WINS Replication IPSec w celu umożliwienia określonym adresom IP komunikowania się z serwerem korzystającym z zasad replikacji Block WINS.
     
     Uwaga W tych poleceniach %IPSEC_Command% odnosi się do Ipsecpol.exe (w systemie Windows 2000) lub Ipseccmd.exe (w systemie Windows Server 2003), a %IP% odnosi się do adresu IP zdalnego serwera WINS, z który chcesz zreplikować.

     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS 
     

     Aby natychmiast przypisać zasady, użyj następującego polecenia:

     %IPSEC_Command% -w REG -p "Block WINS Replication" -x

   • Opcja 2: Uruchom skrypt, aby automatycznie skonfigurować filtry
     IPSec Pobierz, a następnie uruchom skrypt blokowania replikacji WINS, który tworzy zasady IPSec w celu zablokowania portów. W tym celu wykonaj następujące czynności:
     

     1. Aby pobrać i wyodrębnić pliki .exe, wykonaj następujące czynności:
        

        1. Pobierz skrypt blokowania replikacji WINS.
           
           Następujący plik jest dostępny do pobrania z Centrum pobierania Microsoft:
           
           Pobierz pakiet skryptów blokowania replikacji WINS.
           
           Data wydania: 2 grudnia 2004
           
           R. Aby uzyskać dodatkowe informacje na temat pobierania plików pomoc techniczna firmy Microsoft, kliknij następujący numer artykułu, aby wyświetlić ten artykuł w bazie wiedzy Microsoft Knowledge Base:

           119591 Jak uzyskać pliki pomocy technicznej firmy Microsoft od Usługi online
           firma Microsoft przeskanował ten plik w poszukiwaniu wirusów. Firma Microsoft używała najnowszego oprogramowania do wykrywania wirusów, które było dostępne w dniu opublikowania pliku. Plik jest przechowywany na serwerach z ulepszonymi zabezpieczeniami, które pomagają zapobiec wprowadzaniu nieautoryzowanych zmian w pliku.
           

           Jeśli pobierasz skrypt blokowania replikacji WINS na dyskietkę, użyj sformatowanego pustego dysku. Jeśli pobierasz skrypt blokowania replikacji WINS na dysk twardy, utwórz nowy folder, aby tymczasowo zapisać plik i wyodrębnić z niego plik.
           
           
           Przestroga Nie pobieraj plików bezpośrednio do folderu systemu Windows. Ta akcja może zastąpić pliki, które są wymagane do prawidłowego działania komputera.

        2. Zlokalizuj plik w folderze, do który został pobrany, a następnie kliknij dwukrotnie plik .exe wyodrębniając go, aby wyodrębnić zawartość do folderu tymczasowego. Na przykład wyodrębnij zawartość do komórki C:\Temp.

     2. Otwórz wiersz polecenia, a następnie przejdź do katalogu, w którym są wyodrębniane pliki.

     3. Ostrzeżenie

        • Jeśli podejrzewasz, że twoje serwery WINS mogą zostać zainfekowane, ale nie masz pewności, jakie serwery WINS są zagrożone lub czy twój bieżący serwer WINS jest naruszony, nie wprowadzaj żadnych adresów IP w kroku 3. Jednak od listopada 2004 r. nie znamy żadnych klientów, którzy zostali dotknięci tym problemem. Dlatego, jeśli serwery działają zgodnie z oczekiwaniami, kontynuuj zgodnie z opisem.

        • Jeśli protokół IPsec został niepoprawnie skonfigurowany, może to spowodować poważne problemy z replikacją usługi WINS w sieci firmowej.

        Uruchom plik Block_Wins_Replication.cmd. Aby utworzyć reguły bloków ruchu przychodzącego i wychodzącego portu TCP 42 i UDP, wpisz
        1, a następnie naciśnij ENTER, aby wybrać opcję 1, gdy zostanie wyświetlony monit o wybranie odpowiedniej opcji.

        Po wybraniu opcji 1 skrypt wyświetli monit o wprowadzenie adresów IP zaufanych serwerów replikacji WINS.
        
        
        Każdy wprowadzony adres IP jest wykluczony z zasad blokowania portów TCP 42 i UDP port 42. Zostanie wyświetlony monit w pętli i możesz wprowadzić dowolną liczbę adresów IP. Jeśli nie znasz wszystkich adresów IP partnerów replikacji WINS, możesz uruchomić skrypt ponownie w przyszłości. Aby rozpocząć wprowadzanie adresów IP zaufanych partnerów replikacji WINS, wpisz 2 , a następnie naciśnij ENTER, aby wybrać opcję 2, gdy zostanie wyświetlony monit o wybranie odpowiedniej opcji.
        
        
        Po wdrożeniu aktualizacji zabezpieczeń możesz usunąć zasady IPSec. W tym celu uruchom skrypt. Wpisz 3, a następnie naciśnij ENTER, aby wybrać opcję 3, gdy zostanie wyświetlony monit o wybranie odpowiedniej opcji.
        
        Aby uzyskać dodatkowe informacje na temat protokołu IPsec i sposobu stosowania filtrów, kliknij następujący numer artykułu, aby wyświetlić ten artykuł w bazie wiedzy Microsoft Knowledge Base:
        
        

        313190 Jak używać list filtrów IP protokołu IPsec w systemie Windows 2000
        
        

3. Usuń funkcję WINS, jeśli nie jest potrzebna.
   
   Jeśli nie potrzebujesz już usługi WINS, wykonaj poniższe czynności, aby ją usunąć. Te kroki mają zastosowanie do systemu Windows 2000, Windows Server 2003 i nowszych wersji tych systemów operacyjnych. W przypadku systemu Windows NT Server 4.0 postępuj zgodnie z procedurą dołączoną do dokumentacji produktu.
   
   Ważne Wiele organizacji wymaga usługi WINS do wykonywania funkcji rejestracji i rozpoznawania nazw pojedynczych lub płaskich w swojej sieci. Administratorzy nie powinni usuwać usługi WINS, chyba że spełniony jest jeden z następujących warunków:
   

   • Administrator w pełni rozumie, jaki wpływ na jego sieć będzie miało usunięcie usługi WINS.

   • Administrator skonfigurował system DNS tak, aby zapewniał równoważne funkcje przy użyciu w pełni kwalifikowanych nazw domen i sufiksów domen DNS.

   Ponadto jeśli administrator usuwa funkcję WINS z serwera, który będzie nadal udostępniał zasoby udostępnione w sieci, administrator musi poprawnie ponownie skonfigurować system, aby korzystać z pozostałych usług rozpoznawania nazw, takich jak DNS w sieci lokalnej.
   
   Aby uzyskać więcej informacji na temat usługi WINS, odwiedź następującą witrynę internetową firmy Microsoft:

   http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true Aby uzyskać więcej informacji na temat określania, czy jest potrzebna rozdzielczość nazw NETBIOS lub WINS oraz konfiguracja systemu DNS, odwiedź następującą witrynę internetową firmy Microsoft:

   http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxAby usunąć program WINS, wykonaj następujące czynności:
   

   1. W Panel sterowania otwórz pozycję Dodaj lub usuń programy.

   2. Kliknij pozycję Dodaj/usuń składniki systemu Windows.
      

   3. Na stronie Kreator składników systemu Windows w obszarze
      Składniki kliknij pozycję Usługi sieciowe, a następnie kliknij pozycję Szczegóły.

   4. Kliknij, aby wyczyścić pole wyboru Usługa nazewnictwa internetowego systemu Windows (WINS), aby usunąć usługę WINS.

   5. Postępuj zgodnie z instrukcjami wyświetlanymi na ekranie, aby ukończyć kreatora składników systemu Windows.

Pracujemy nad aktualizacją, aby rozwiązać ten problem z zabezpieczeniami w ramach naszego regularnego procesu aktualizacji. Gdy aktualizacja osiągnie odpowiedni poziom jakości, udostępnimy aktualizację za pośrednictwem Windows Update.


Jeśli uważasz, że problem dotyczy Ciebie, skontaktuj się z usługami pomocy technicznej produktu.

Klienci międzynarodowi powinni skontaktować się z usługami pomocy technicznej produktu przy użyciu dowolnej metody wymienionej w następującej witrynie internetowej firmy Microsoft:

http://support.microsoft.com