INTRODUÇÃO

Estamos investigando relatórios de um problema de segurança relacionado ao Serviço de Cadastramento na Internet do Windows (WINS). Esse problema de segurança afeta o Microsoft Windows NT Server 4.0, o Microsoft Windows NT Server 4.0 Terminal Server Edition, o Microsoft Windows 2000 Server e o Microsoft Windows Server 2003. Porém, não afeta o Microsoft Windows 2000 Professional, o Microsoft Windows XP ou o Microsoft Windows Millennium Edition.

Mais Informações

Por padrão, o WINS não é instalado no Windows NT Server 4.0, no Windows NT Server 4.0 Terminal Server Edition, no Windows 2000 Server ou no Windows Server 2003. Por padrão, o WINS é instalado e ativado no Microsoft Small Business Server 2000 e no Microsoft Windows Small Business Server 2003. Por padrão, em todas as versões do Microsoft Small Business Server, as portas de comunicação do componente WINS são bloqueadas pela Internet, disponibilizando o WINS apenas para a rede local.

Esse problema de segurança poderá permitir que um invasor comprometa remotamente um servidor WINS se uma das seguintes condições for verdadeira:

  • Você alterou a configuração padrão para instalar a função de servidor WINS no Windows NT Server 4.0, no Windows NT Server 4.0 Terminal Server Edition, no Windows 2000 Server ou no Windows Server 2003.

  • Você está executado o Microsoft Small Business Server 2000 ou o Microsoft Windows Small Business Server 2003 e o invasor tem acesso à sua rede local.

Para ajudar a proteger seu computador contra essa vulnerabilidade, siga estas etapas:

  1. Bloqueie as portas TCP 42 e UDP 42 no firewall.


    Essas portas são usadas para iniciar uma conexão com um servidor WINS remoto. Se essas portas forem bloqueadas no firewall, você ajudará a evitar que os computadores ligados ao firewall tenham esse problema. As portas TCP 42 e UDP 42 são as portas de replicação padrão do WINS. É recomendável bloquear todas as comunicações não solicitadas recebidas pela Internet.

  2. Use o protocolo IPsec para ajudar a proteger o tráfego entre os parceiros de replicação do servidor WINS. Para fazer isso, execute uma das seguintes opções:

    Cuidado Como cada infra-estrutura do WINS é única, essas alterações podem ter efeitos inesperados na sua infra-estrutura. É altamente recomendável que você faça uma análise de riscos antes de optar por implementar esta atenuação. Também é altamente recomendável que você faça todos os testes antes de executar a atenuação.

    • Opção 1: Configurar os filtros IPSec manualmente
      Configure os filtros IPsec manualmente e siga as instruções no seguinte artigo da Base de Dados de Conhecimento Microsoft para adicionar um filtro que bloqueia todos os pacotes de qualquer endereço IP no endereço IP do seu sistema:

      813878 Como bloquear os protocolos e portas de rede específicos usando o IPSecSe você usar o IPsec no ambiente de domínio do Windows 2000 Active Directory e implementar a diretiva IPsec usando a diretiva de grupo, a diretiva do domínio substituirá qualquer outra definida localmente. Isso evita que essa opção bloqueie os pacotes que você precisa.

      Para verificar se os seus servidores estão recebendo uma diretiva IPsec de um domínio do Windows 2000 ou de versão posterior, consulte a seção “Determinar se uma diretiva IPSec está atribuída” no artigo 813878 da Base de Dados de Conhecimento.

      Depois de verificar se pode criar uma diretiva IPsec local efetiva, baixe a ferramenta IPSeccmd.exe ou IPSecpol.exe.

      Os comandos a seguir bloqueiam os acessos de entrada e de saída às portas TCP 42 e UDP 42.

      Observação Nesses comandos, %IPSEC_Command% refere-se ao Ipsecpol.exe (no Windows 2000) ou ao Ipseccmd.exe (no Windows Server 2003).

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK

      O comando a seguir aplicará a diretiva IPSec imediatamente se não houver diretivas conflitantes. Este comando bloqueará todos os pacotes de entrada e saída das portas TCP 42 e UDP 42. Ele evita que a replicação do WINS ocorra entre o servidor no qual esses comandos são executados e os parceiros de replicação do WINS.

      %IPSEC_Command% -w REG -p "Block WINS Replication" –x 

      Se você encontrar problemas na rede depois de habilitar a diretiva IPsec, será possível cancelar a atribuição da diretiva e exclui-la usando os seguintes comandos:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -y 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -o

      Para permitir o funcionamento da replicação do WINS entre parceiros de replicação do WINS específicos é necessário substituir essas regras de bloqueio por regras de permissão. As regras de permissão devem especificar apenas os endereços IP dos parceiros de replicação do WINS confiáveis.


      Use os comandos a seguir para atualizar a diretiva IPsec Bloquear Replicação do WINS para permitir que determinados endereços IP se comuniquem com o servidor que usa essa diretiva.

      Observação Nesses comandos, %IPSEC_Command% refere-se ao Ipsecpol.exe (no Windows 2000) ou ao Ipseccmd.exe (no Windows Server 2003) e %IP% refere-se ao endereço IP do servidor WINS remoto com o qual você deseja fazer a replicação.

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS

      Para atribuir a diretiva imediatamente, use o seguinte comando:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -x
    • Opção 2: Execute um script para configurar os filtros IPSec automaticamente
      Baixe e execute o script Bloqueador de Replicação do WINS que cria uma diretiva IPsec para bloquear as portas. Para fazer isso, execute as seguintes etapas:

      1. Para baixar e extrair os arquivos .exe, execute estas etapas:

        1. Baixe o script Bloqueador de Replicação do WINS.

          O seguinte arquivo está disponível para download no Centro de Download da Microsoft:

          Download Baixe o pacote do script bloqueador de duplicação de WINS agora.

          Data de lançamento: 2 de dezembro de 2004

          Para obter informações adicionais sobre como baixar os arquivos de Suporte da Microsoft, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:

          119591 Como obter arquivos de suporte da Microsoft nos serviços online A Microsoft examinou este arquivo em busca de vírus. A Microsoft usou o mais recente software de detecção de vírus disponível na data em que o arquivo foi publicado. O arquivo está armazenado em servidores de segurança avançada que ajudam a evitar qualquer alteração não autorizada no arquivo.

          Se você estiver baixando o script Bloqueador de Replicação do WINS para um disquete, use um disco vazio e formatado. Se você estiver baixando o script Bloqueador de Replicação do WINS para o disco rígido, crie uma nova pasta para salvar e extrair o arquivo temporariamente.


          Cuidado Não baixe arquivos diretamente para a sua pasta Windows. Essa ação pode substituir arquivos necessários para que o computador funcione corretamente.

        2. Localize o arquivo na pasta para onde foi ele baixado e, em seguida, clique duas vezes no arquivo auto-extraível .exe para extrair o conteúdo para uma pasta temporária. Por exemplo, extraia o conteúdo para C:\Temp.

      2. Abra um prompt de comando e acesse o diretório no qual os arquivos foram extraídos.

      3. Aviso

        • Se você suspeitar que seus servidores WINS podem estar infectados, mas não tiver certeza de quais servidores estão comprometidos ou se o atual servidor WINS está infectado, não insira endereços IP na etapa 3. No entanto, desde novembro de 2004, não temos sido informados sobre clientes com esse problema. Por isso, se os seus servidores estão funcionando corretamente, prossiga conforme descrito.

        • Se o IPsec for configurado de forma incorreta, sua rede corporativa poderá ter problemas sérios de replicação do WINS.

        Execute o arquivo Block_Wins_Replication.cmd. Para criar as regras de bloqueio de entrada e saída para as portas TCP 42 e UDP 42, digite 1 e pressione ENTER para selecionar a opção 1 quando você for solicitado a selecionar a opção desejada.

        Depois de selecionar a opção 1, o script solicitará os endereços IP dos servidores de replicação do WINS confiáveis.


        Cada endereço IP digitado será isento do bloqueio de diretiva das portas TCP 42 e UDP 42. Você será solicitado em um loop e poderá inserir os endereços IP que precisar. Se não souber todos os endereços IP dos parceiros de replicação do WINS, você poderá executar o script novamente no futuro. Para começar a inserir os endereços IP dos parceiros de replicação do WINS confiáveis, digite 2 e pressione ENTER para selecionar a opção 2 quando for solicitado a selecionar a opção desejada.


        Após a implantação da atualização de segurança, a diretiva IPsec poderá ser removida. Para fazer isso, execute o script. Digite 3 e pressione ENTER para selecionar a opção 3 quando for solicitado a selecionar a opção desejada.

        Para obter informações adicionais sobre o IPsec e sobre como aplicar filtros, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft:

        313190 Como usar as listas de filtro IP da diretiva IPsec no Windows 2000

  3. Remova o WINS se ele não for necessário.

    Se você não precisar mais do WINS, siga estas etapas para removê-lo. Estas etapas são aplicáveis ao Windows 2000, ao Windows Server 2003 e a versões superiores desses sistemas operacionais. Para o Windows NT Server 4.0, siga o procedimento incluído na documentação do produto.

    Importante Muitas empresas exigem o WINS para registrar rótulos únicos ou nomes simples e para executar funções de resolução em suas redes. Os administradores não devem remover o WINS a menos que uma das seguintes condições seja verdadeira:

    • O administrador entende o efeito que a remoção do WINS terá sobre a rede.

    • O administrador configurou o DNS para fornecer a funcionalidade equivalente usando nomes de domínio e sufixos de domínio DNS totalmente qualificados.

    Além disso, se um administrador remover a funcionalidade do WINS de um servidor que continuará a fornecer recursos compartilhados na rede, ele deverá reconfigurar corretamente o sistema para usar os serviços de resolução de nomes restantes como o DNS na rede local.

    Para obter informações adicionais sobre o WINS, visite o seguinte site da Microsoft :

    http://technet.microsoft.com/pt-br/library/cc776284.aspx Para obter mais informações sobre como determinar se a resolução de nomes NETBIOS ou WINS e a configuração DNS são necessárias, visite o seguinte site da Microsoft:

    http://technet.microsoft.com/pt-br/library/cc778112.aspxPara remover o WINS, siga estas etapas:

    1. No Painel de Controle, abra Adicionar ou Remover Programas.

    2. Clique em Adicionar ou remover componentes do Windows.

    3. Na página do Assistente de componentes do Windows, em Componentes, clique em Serviços de Rede e em Detalhes.

    4. Clique para desmarcar a caixa de seleção Serviço de Cadastramento na Internet do Windows (WINS) para remover o WINS.

    5. Siga as instruções na tela para concluir o Assistente de componentes do Windows.

Estamos trabalhando em uma atualização para resolver esse problema de segurança como parte de nosso constante processo de atualização. Quando a atualização atingir um nível apropriado de qualidade, ela será fornecida por meio do Windows Update.


Se você acha que foi afetado, contate o Atendimento Microsoft (PSS). Use o seguinte número de segurança do PC para entrar em contato com o Atendimento Microsoft na América do Norte para obter ajuda com problemas de atualização de segurança ou com vírus:

1-866-PCSAFETYObservação Essa chamada não será cobrada.

Clientes internacionais devem contatar o Atendimento Microsoft usando um dos métodos listados no seguinte site da Microsoft:

http://support.microsoft.com

Precisa de mais ajuda?

Expanda suas habilidades
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Microsoft Insider

Estas informações foram úteis?

Qual é o seu grau de satisfação com a qualidade da tradução?
O que afetou sua experiência?

Obrigado por seus comentários!

×