INTRODUÇÃO

Estamos a investigar relatórios de um problema de segurança com o Microsoft Windows Internet Name Service (WINS). Este problema de segurança afeta o Microsoft Windows NT Server 4.0, o Microsoft Windows NT Server 4.0 Terminal Server Edition, o Microsoft Windows 2000 Server e o Microsoft Windows Server 2003. Este problema de segurança não afeta o Microsoft Windows 2000 Professional, o Microsoft Windows XP ou o Microsoft Windows Millennium Edition.

Mais Informações

Por predefinição, o WINS não está instalado no Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server ou Windows Server 2003. Por predefinição, o WINS está instalado e em execução no Microsoft Small Business Server 2000 e no Microsoft Windows Small Business Server 2003. Por predefinição, em todas as versões do Microsoft Small Business Server, as portas de comunicação do componente WINS são bloqueadas a partir da Internet e o WINS só está disponível na rede local. Este problema de segurança pode permitir que um atacante comprometa remotamente um servidor WINS se uma das seguintes condições for verdadeira:

  • Alterou a configuração predefinida para instalar a função de servidor WINS no Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server ou Windows Server 2003.

  • Está a executar o Microsoft Small Business Server 2000 ou o Microsoft Windows Small Business Server 2003 e um atacante tem acesso à sua rede local.

Para ajudar a proteger o seu computador contra esta potencial vulnerabilidade, siga estes passos:

  1. Bloqueie a porta TCP 42 e a porta UDP 42 na firewall.Estas portas são utilizadas para iniciar uma ligação com um servidor WINS remoto. Se bloquear estas portas na firewall, ajuda a impedir que os computadores protegidos por essa firewall tentem utilizar esta vulnerabilidade. A porta TCP 42 e a porta UDP 42 são as portas de replicação WINS predefinidas. Recomendamos que bloqueie todas as comunicações não solicitadas recebidas da Internet.

  2. Utilize a segurança do Protocolo Internet (IPsec) para ajudar a proteger o tráfego entre parceiros de replicação de servidor WINS. Para tal, utilize uma das seguintes opções. Atenção Porque cada infraestrutura WINS é exclusiva, estas alterações podem ter efeitos inesperados na sua infraestrutura. Recomendamos vivamente que faça uma análise de risco antes de optar por implementar esta mitigação. Também recomendamos vivamente que realize testes completos antes de colocar esta mitigação em produção.

    • Opção 1: configure manualmente os filtros IPSec Configure manualmente os filtros IPSec e, em seguida, siga as instruções no seguinte artigo da Base de Dados de Conhecimento Microsoft para adicionar um filtro de bloco que bloqueia todos os pacotes de qualquer endereço IP para o endereço IP do sistema:

      813878 Como bloquear portas e protocolos de rede específicos através do IPSecSe utilizar IPSec no seu ambiente de domínio do Active Directory do Windows 2000 e implementar a política IPSec com Política de Grupo, a política de domínio substitui qualquer política definida localmente. Esta ocorrência impede que esta opção bloqueie os pacotes pretendidos.Para determinar se os servidores estão a receber uma política IPSec de um domínio do Windows 2000 ou de uma versão posterior, consulte a secção "Determinar se está atribuída uma política IPSec" no artigo da Base de Dados de Conhecimento 813878. Quando tiver determinado que pode criar uma política IPSec local eficaz, transfira a ferramenta IPSeccmd.exe ou a ferramenta IPSecpol.exe. Os comandos seguintes bloqueiam o acesso de entrada e saída à porta TCP 42 e à porta UDP 42.Nota Nestes comandos, %IPSEC_Command% refere-se a Ipsecpol.exe (no Windows 2000) ou Ipseccmd.exe (no Windows Server 2003).

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK

      O comando seguinte torna a política IPSec em vigor imediatamente se não existir nenhuma política em conflito. Este comando começará a bloquear todos os pacotes da porta TCP de entrada/saída 42 e da porta UDP 42. Isto impede efetivamente que a replicação WINS ocorra entre o servidor no qual estes comandos foram executados e quaisquer parceiros de replicação WINS.

      %IPSEC_Command% -w REG -p "Block WINS Replication" –x

      Se tiver problemas na rede depois de ativar esta política IPSec, pode anular a atribuição da política e, em seguida, eliminar a política com os seguintes comandos:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -y %IPSEC_Command% -w REG -p "Block WINS Replication" -o

      Para permitir que a replicação WINS funcione entre parceiros de replicação WINS específicos, tem de substituir estas regras de bloco com regras de permissão. As regras de permissão devem especificar apenas os endereços IP dos seus parceiros de replicação WINS fidedignos.Pode utilizar os seguintes comandos para atualizar a política BLOQUEAR IPSec de Replicação WINS para permitir que endereços IP específicos comuniquem com o servidor que está a utilizar a política bloquear replicação WINS.Nota Nestes comandos, %IPSEC_Command% refere-se a Ipsecpol.exe (no Windows 2000) ou Ipseccmd.exe (no Windows Server 2003) e %IP% refere-se ao endereço IP do servidor WINS remoto com o qual pretende replicar.

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS

      Para atribuir imediatamente a política, utilize o seguinte comando:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -x

    • Opção 2: execute um script para configurar automaticamente os filtros IPSec Transferir e, em seguida, execute o script do Bloqueador de Replicação WINS que cria uma política IPSec para bloquear as portas. Para tal, siga estes passos:

      1. Para transferir e extrair os ficheiros .exe, siga estes passos:

        1. Transfira o script do Bloqueador de Replicação WINS. O seguinte ficheiro está disponível para transferência a partir do Centro de Transferências da Microsoft:TransferirTransferir o pacote de scripts do Bloqueador de Replicação WINS agora.Data de Lançamento: 2 de dezembro de 2004 Para obter informações adicionais sobre como transferir ficheiros Suporte da Microsoft, clique no seguinte número de artigo para ver o artigo na Base de Dados de Conhecimento Microsoft:

          119591 Como obter ficheiros de suporte da Microsoft de serviços online a Microsoft analisou este ficheiro para procurar vírus. A Microsoft utilizou o software de deteção de vírus mais atual que estava disponível na data em que o ficheiro foi publicado. O ficheiro é armazenado em servidores com segurança melhorada que ajudam a impedir alterações não autorizadas ao ficheiro.

          Se estiver a transferir o script do Bloqueador de Replicação WINS para uma disquete, utilize um disco em branco formatado. Se estiver a transferir o script do Bloqueador de Replicação WINS para o disco rígido, crie uma nova pasta para guardar temporariamente o ficheiro e extrair o ficheiro. Atenção Não transfira ficheiros diretamente para a pasta do Windows. Esta ação pode substituir os ficheiros necessários para que o computador funcione corretamente.

        2. Localize o ficheiro na pasta para a qual o transferiu e, em seguida, faça duplo clique no ficheiro de .exe de extração automática para extrair os conteúdos para uma pasta temporária. Por exemplo, extraia os conteúdos para C:\Temp.

      2. Abra uma linha de comandos e, em seguida, mude para o diretório onde os ficheiros são extraídos.

      3. Aviso

        • Se suspeitar que os servidores WINS podem estar infetados, mas não tem a certeza de que servidores WINS estão comprometidos ou se o servidor WINS atual está comprometido, não introduza nenhum endereço IP no passo 3. No entanto, a partir de Novembro de 2004, não temos conhecimento de quaisquer clientes que tenham sido afectados por este problema. Por conseguinte, se os servidores estiverem a funcionar conforme esperado, continue conforme descrito.

        • Se tiver configurado incorretamente o IPsec, poderá causar graves problemas de replicação wins na sua rede empresarial.

        Execute o ficheiro Block_Wins_Replication.cmd. Para criar as regras de bloqueio de entrada e saída da porta TCP 42 e da porta UDP 42, escreva 1 e, em seguida, prima ENTER para selecionar a opção 1 quando lhe for pedido para selecionar a opção pretendida.

        Depois de selecionar a opção 1, o script pede-lhe para introduzir os endereços IP dos servidores de replicação WINS fidedignos. Cada endereço IP introduzido está excluído da política de bloqueio da porta TCP 42 e da porta UDP 42. É-lhe pedido um ciclo e pode introduzir o número de endereços IP necessários. Se não souber todos os endereços IP dos parceiros de replicação WINS, poderá executar o script novamente no futuro. Para começar a introduzir endereços IP de parceiros de replicação WINS fidedignos, escreva 2 e, em seguida, prima ENTER para selecionar a opção 2 quando lhe for pedido para selecionar a opção pretendida. Depois de implementar a atualização de segurança, pode remover a política IPSec. Para tal, execute o script. Escreva 3 e, em seguida, prima ENTER para selecionar a opção 3 quando lhe for pedido para selecionar a opção pretendida.Para obter informações adicionais sobre o IPsec e sobre como aplicar filtros, clique no seguinte número de artigo para ver o artigo na Base de Dados de Conhecimento Microsoft:

        313190 Como utilizar listas de filtros ip IPsec no Windows 2000

  3. Remova WINS se não precisar. Se já não precisar de WINS, siga estes passos para removê-lo. Estes passos aplicam-se ao Windows 2000, Windows Server 2003 e versões posteriores destes sistemas operativos. Para o Windows NT Server 4.0, siga o procedimento incluído na documentação do produto. Importante Muitas organizações necessitam de WINS para efetuar funções de registo de nome único ou de nome simples e resolução na respetiva rede. Os administradores não devem remover WINS, a menos que uma das seguintes condições seja verdadeira:

    • O administrador compreende totalmente o efeito que a remoção do WINS terá na respetiva rede.

    • O administrador configurou o DNS para fornecer a funcionalidade equivalente ao utilizar nomes de domínio completamente qualificados e sufixos de domínio DNS.

    Além disso, se um administrador estiver a remover a funcionalidade WINS de um servidor que continuará a fornecer recursos partilhados na rede, o administrador tem de reconfigurar corretamente o sistema para utilizar os serviços de resolução de nomes restantes, como o DNS na rede local. Para obter mais informações sobre o WINS, visite o seguinte Web site da Microsoft:

    http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true Para obter mais informações sobre como determinar se precisa de resolução de nomes NETBIOS ou WINS e configuração de DNS, visite o seguinte Web site da Microsoft:

    http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxPara remover WINS, siga estes passos:

    1. No Painel de Controlo, abra Adicionar ou Remover Programas.

    2. Clique em Adicionar/Remover Componentes do Windows.

    3. Na página Assistente de Componentes do Windows, emComponentes, clique em Serviços de Rede e, em seguida, clique em Detalhes.

    4. Clique para desmarcar a caixa de verificação Serviço de Nomenclatura da Internet (WINS) do Windows para remover WINS.

    5. Siga as instruções apresentadas no ecrã para concluir o Assistente de Componentes do Windows.

Estamos a trabalhar numa atualização para resolver este problema de segurança como parte do nosso processo de atualização regular. Quando a atualização atingir um nível de qualidade adequado, iremos fornecer a atualização através de Windows Update.Se acredita ter sido afetado, contacte os Serviços de Suporte técnico.Os clientes internacionais devem contactar os Serviços de Suporte de Produtos através de qualquer método listado no seguinte Web site da Microsoft:

http://support.microsoft.com

Facebook LinkedIn E-mail
SUBSCREVER FEEDS RSS

Precisa de mais ajuda?

Quer mais opções?

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

Benefícios da subscrição do Microsoft 365

Formação do Microsoft 365

Segurança da Microsoft

Centro de acessibilidade