Como ajudar a proteger contra um problema de segurança do WINS

INTRODUÇÃO

A Microsoft está a investigar relatórios de um problema de segurança relacionado com o Microsoft WINS (Windows Internet Name Service). Este problema de segurança afecta o Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server e Microsoft Windows Server 2003. Este problema de segurança não afecta o Microsoft Windows 2000 Professional, Microsoft Windows XP ou Microsoft Windows Millennium Edition.

Mais Informação

Por predefinição, o WINS não é instalado no Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server ou Windows Server 2003. Por predefinição, o WINS é instalado e executado no Microsoft Small Business Server 2000 e Microsoft Windows Small Business Server 2003. Por predefinição, em todas as versões do Microsoft Small Business Server, as portas de comunicação do componente WINS estão bloqueadas em relação à Internet e o WINS está disponível apenas na rede local.

Este problema de segurança poderia permitir a um atacante comprometer remotamente um servidor de WINS caso se verifique uma das seguintes condições:

  • Alterou a configuração predefinida para instalar a função de servidor de WINS no Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server ou no Windows Server 2003.

  • Tem o Microsoft Small Business Server 2000 ou Microsoft Windows Small Business Server 2003 em execução e um atacante tem acesso à sua rede local.

Para ajudar proteger o computador contra esta potencial vulnerabilidade, siga estes passos:

  1. Bloqueie a porta TCP 42 e a porta UDP 42 no firewall.


    Estas portas são utilizadas para iniciar uma ligação a um servidor de WINS remoto. Se bloquear estas portas no firewall, ajuda a impedir que os computadores que estão protegidos pelo firewall tentem utilizar esta vulnerabilidade. As portas TCP 42 e UDP 42 são as portas de replicação de WINS predefinidas. Recomendamos o bloqueio de todas as comunicações de entrada não solicitadas da Internet.

  2. Utilize a segurança do protocolo Internet (IPSec, Internet Protocol security) para ajudar a proteger tráfego entre o servidor de WINS e parceiros de replicação. Para o fazer, utilize uma das opções que se seguem.

    Atenção: uma vez que cada infra-estrutura de WINS é exclusiva, estas alterações poderão ter efeitos inesperados na sua infra-estrutura. É vivamente recomendada a realização de uma análise de risco antes de optar por implementar esta atenuante. Recomendamos vivamente que proceda a testes completos antes de colocar estas alterações atenuantes em produção.

    • Opção 1: Configurar manualmente os filtros de IPSec
      Configure manualmente os filtros de IPSec e, depois, siga as instruções constantes do seguinte artigo da base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base) para adicionar um filtro que bloqueie todos os pacotes de qualquer endereço IP para o endereço IP do seu sistema:

      813878 Como bloquear protocolos e portas de rede específicos utilizando a IPSecSe utilizar a IPSec no seu ambiente de domínio do Active Directory do Windows 2000 e implementar a política IPSec utilizando a política de grupo, a política de domínio substitui qualquer política definida localmente. Esta ocorrência impede que esta opção bloqueie os pacotes pretendidos.

      Para determinar se os servidores estão a receber uma política IPSec a partir de um domínio do Windows 2000 ou de uma versão posterior, consulte a secção “Determine whether an IPSec policy is assigned” no artigo 813878 da Base de Dados de Conhecimento.

      Quando tiver determinado que pode criar uma política IPSec local eficaz, transfira a ferramenta IPSeccmd.exe ou a ferramenta IPSecpol.exe.

      Os comandos que se seguem bloqueiam o acesso de entrada e saída às portas TCP 42 e UDP 42.

      Nota: nestes comandos, %IPSEC_Command% refere-se a Ipsecpol.exe (no Windows 2000) ou Ipseccmd.exe (no Windows Server 2003).

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK

      O comando que se segue torna a política IPSec efectiva de imediato se não existir uma política em conflito. Este comando iniciará o bloqueio de todos os pacotes de entrada/saída nas portas TCP 42 e UDP 42. Isto impede eficazmente que a replicação de WINS ocorra entre o servidor em que foram executados estes comandos e quaisquer parceiros de replicação do WINS.

      %IPSEC_Command% -w REG -p "Block WINS Replication" –x 

      Se detectar problemas na rede depois de activar esta política IPSec, pode anular a atribuição da política e, em seguida, eliminar a política utilizando os seguintes comandos:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -y 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -o

      Para permitir que a replicação de WINS funcione entre parceiros específicos de replicação do WINS, tem de substituir estas regras de bloqueio por regras de permissão. As regras de permissão devem especificar apenas os endereços IP dos parceiros de replicação do WINS fidedignos.


      Pode utilizar os seguintes comandos para actualizar a política IPSec "Block WINS Replication" para permitir que endereços IP específicos comuniquem com o servidor que está a utilizar a política "Block WINS Replication".

      Nota: nestes comandos, %IPSEC_Command% refere-se a Ipsecpol.exe (no Windows 2000) ou Ipseccmd.exe (no Windows Server 2003) e %IP% refere-se ao endereço IP do servidor de WINS remoto com o qual pretende efectuar a replicação.

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS

      Para atribuir a política imediatamente, utilize o seguinte comando:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -x
    • Opção 2: Executar um script para configurar automaticamente os filtros de IPSec
      Transfira e execute o script WINS Replication Blocker que cria uma política de IPSec para bloquear as portas. Para tal, siga estes passos:

      1. Para transferir e extrair os ficheiros .exe, siga estes passos:

        1. Transfira o script WINS Replication Blocker.

          O ficheiro que se segue está disponível para transferência a partir do centro de transferências da Microsoft:

          Transferir o pacote do script WINS Replication Blocker agora.

          Data de edição: 2 de Dezembro de 2004

          Para obter informações adicionais sobre como transferir ficheiros de suporte da Microsoft, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):

          119591 Como obter ficheiros de suporte da Microsoft a partir de serviços online A Microsoft procedeu à detecção de vírus neste ficheiro. A Microsoft utilizou o software de detecção de vírus mais actual, disponível na data de publicação do ficheiro. O ficheiro está armazenado em servidores com segurança melhorada, que ajudam a impedir quaisquer alterações não autorizadas ao ficheiro.

          Se estiver a efectuar a transferência do script WINS Replication Blocker para uma disquete, utilize uma disquete vazia e formatada. Se estiver a transferir o script WINS Replication Blocker para o disco rígido, crie uma nova pasta para guardar temporariamente o ficheiro, e de onde o extrair.


          Atenção: não transfira ficheiros directamente para a pasta do Windows. Esta acção poderia substituir ficheiros necessários para o funcionamento correcto do computador.

        2. Localize o ficheiro na pasta para a qual transferiu o mesmo e, em seguida, faça duplo clique no ficheiro .exe de extracção automática para extrair o conteúdo para uma pasta temporária. Por exemplo, extraia o conteúdo para C:\Temp.

      2. Abra uma linha de comandos e passe para o directório para onde foram extraídos os ficheiros.

      3. Aviso

        • Se suspeitar de que os servidores de WINS podem estar infectados, mas não tiver a certeza de que estão comprometidos, ou se o servidor de WINS actual estiver comprometido, não introduza quaisquer endereços IP no passo 3. No entanto, desde Novembro de 2004, não temos conhecimento de que qualquer cliente tenha sido afectado por este problema. Por este motivo, se os seus servidores estiverem a funcionar como previsto, continue como descrito.

        • Se configurar a IPSec incorrectamente, poderá provocar problemas de replicação de WINS graves na rede empresarial.

        Execute o ficheiro Block_Wins_Replication.cmd. Para criar as regras bloqueio de entrada e saída das portas TCP 42 e UDP 42, escreva 1 e prima ENTER para seleccionar a opção 1 quando lhe for pedido para seleccionar a opção pretendida.

        Depois de seleccionar a opção 1, o script solicita a introdução dos endereços IP dos servidores de replicação de WINS fidedignos.


        A política de bloqueio das portas TCP 42 e UDP 42 não será aplicada aos endereços IP que introduzir. A solicitação de endereços é efectuada num ciclo e pode introduzir tantos endereços IP quantos os necessários. Se não souber todos os endereços IP dos parceiros de replicação do WINS, pode executar o script novamente no futuro. Para começar a introduzir endereços IP de parceiros de replicação do WINS fidedignos, escreva 2 e prima ENTER para seleccionar a opção 2 quando lhe for solicitado que seleccione a opção pretendida.


        Depois de implementar a actualização de segurança, pode remover a política IPSec. Para o fazer, execute o script. Escreva 3 e prima ENTER para seleccionar a opção 3 quando lhe for solicitado que seleccione a opção pretendida.

        Para obter informações adicionais sobre a IPSec e sobre como aplicar filtros, clique nos números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):

        313190 Como utilizar listas de filtros IP da IPsec no Windows 2000

  3. Remova o WINS se não necessitar do mesmo.

    Se já não necessitar do WINS, siga estes passos para removê-lo. Estes passos aplicam-se ao Windows 2000, Windows Server 2003 e versões posteriores destes sistemas operativos. Para o Windows NT Server 4.0, siga o procedimento incluído na documentação do produto.

    Importante: muitas empresas necessitam do WINS para executar funções de registo de nomes de domínio - simples (single label name) ou de NetBIOS (flat name) - e funções de resolução de nomes na respectiva rede. Os administradores não devem remover o WINS excepto se se verificar uma das seguintes condições:

    • O administrador sabe com precisão qual o efeito da remoção do WINS na respectiva rede.

    • O administrador configurou o DNS para fornecer a funcionalidade equivalente utilizando nomes de domínio totalmente qualificados (FQDN, Fully Qualified Domain Names) e sufixos de domínio DNS.

    Além disso, se um administrador estiver a remover a funcionalidade WINS de um servidor que vai continuar a fornecer recursos partilhados na rede, deve reconfigurar correctamente o sistema de forma a utilizar os restantes serviços de resolução de nomes à semelhança do DNS na rede local.

    Para obter mais informações sobre o WINS, visite o seguinte Web site da Microsoft:

    http://technet.microsoft.com/pt-pt/library/cc776284.aspx Para obter mais informações sobre como determinar se necessita de uma resolução de nomes de NETBIOS ou WINS e de uma configuração de DNS, visite o seguinte Web site da Microsoft:

    http://technet.microsoft.com/pt-pt/library/cc778112.aspxPara remover o WINS, siga estes passos:

    1. No Painel de controlo (Control Panel), clique em Adicionar ou remover programas (Add or Remove Programs).

    2. Clique em Adicionar/remover componentes do Windows (Add/Remove Windows Components).

    3. No Assistente de componentes do Windows (Windows Components Wizard), em Componentes (Components), clique em Serviços de funcionamento em rede (Networking Services) e clique em Detalhes (Details).

    4. Clique para desmarcar a caixa de verificação WINS (Windows Internet Naming Service) [Windows Internet Naming Service (WINS)] para remover o WINS.

    5. Siga as instruções apresentadas no ecrã para concluir o assistente.

Estamos a desenvolver uma actualização para resolver este problema de segurança, como parte do nosso processo regular de actualização. Quando a actualização atingir um nível de qualidade adequado, forneceremos a mesma através do Windows Update.


Se suspeitar de que foi afectado, contacte os serviços de suporte técnico. Utilize o número de telefone PC Safety que se segue para contactar o Suporte Técnico da Microsoft na América do Norte, de modo a obter ajuda relacionada com problemas de actualizações de segurança ou vírus:

1-866-PCSAFETYNota: Esta chamada é gratuita.

Os clientes que não se encontrem na América do Norte devem contactar o suporte técnico através de qualquer dos métodos listado no seguinte Web site da Microsoft:

http://support.microsoft.com

Precisa de mais ajuda?

Aumente os seus conhecimentos
Explore as formações
Seja o primeiro a obter novas funcionalidades
Aderir ao Microsoft insiders

As informações foram úteis?

Obrigado pelos seus comentários!

Obrigado pelo seu feedback! Parece que poderá ser benéfico reencaminhá-lo para um dos nossos agentes de suporte do Office.

×