Cum să contribuiți la protejarea împotriva unei probleme de securitate WINS

INTRODUCERE

Investigăm rapoarte privind o problemă de securitate cu Serviciul de nume internet (WINS) Microsoft Windows. Această problemă de securitate afectează Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server și Microsoft Windows Server 2003. Această problemă de securitate nu afectează Microsoft Windows 2000 Professional, Microsoft Windows XP sau Microsoft Windows Millennium Edition.

Mai multe informații

În mod implicit, WINS nu este instalat pe Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server sau Windows Server 2003. În mod implicit, WINS este instalat și rulează pe Microsoft Small Business Server 2000 și Microsoft Windows Small Business Server 2003. În mod implicit, pe toate versiunile de Microsoft Small Business Server, porturile de comunicare ale componentelor WINS sunt blocate de pe internet, iar WINS este disponibil doar în rețeaua locală.

Această problemă de securitate ar putea face posibilă compromiterea de la distanță a unui server WINS dacă una dintre următoarele condiții este adevărată:

• Ați modificat configurația implicită pentru a instala rolul de server WINS pe Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server sau Windows Server 2003.

• Rulați Microsoft Small Business Server 2000 sau Microsoft Windows Small Business Server 2003 și un atacator are acces la rețeaua locală.

Pentru a contribui la protejarea computerului împotriva acestei vulnerabilități potențiale, urmați acești pași:

1. Blocați portul TCP 42 și portul UDP 42 la firewall.
   
   
   Aceste porturi sunt utilizate pentru a iniția o conexiune cu un server WINS la distanță. Dacă blocați aceste porturi la firewall, împiedicați computerele care se află în spatele acelui firewall să încerce să utilizeze această vulnerabilitate. Portul TCP 42 și portul UDP 42 sunt porturile de replicare WINS implicite. Vă recomandăm să blocați toate comunicațiile nesolicitate primite de pe internet.

2. Utilizați Internet Protocol security (IPsec) pentru a contribui la protejarea traficului între partenerii de reproducere a serverelor WINS. Pentru a face acest lucru, utilizați una dintre următoarele opțiuni.
   
   Atenție Deoarece fiecare infrastructură WINS este unică, aceste modificări pot avea efecte neașteptate asupra infrastructurii dvs. Vă recomandăm ferm să efectuați o analiză a riscurilor înainte de a alege să implementați această atenuare. De asemenea, vă recomandăm ferm să efectuați testarea completă înainte de a introduce această atenuare în producție.
   

   • Opțiunea 1: Configurați manual filtrele
     IPSec Configurați manual filtrele IPSec, apoi urmați instrucțiunile din următorul articol din Baza de cunoștințe Microsoft pentru a adăuga un filtru de bloc care blochează toate pachetele de la orice adresă IP la adresa IP a sistemului:

     813878 Cum să blocați anumite protocoale și porturi de rețea utilizând IPSec Dacă utilizați IPSec
     
     în mediul de domeniu Windows 2000 Active Directory și implementați politica IPSec utilizând Politică de grup, politica de domeniu înlocuiește orice politică definită local. Această ocurență împiedică această opțiune să blocheze pachetele dorite.
     
     Pentru a determina dacă serverele dvs. primesc o politică IPSec de la un domeniu Windows 2000 sau de la o versiune mai recentă, consultați secțiunea "Determinați dacă este atribuită o politică IPSec" din articolul 813878 din Baza de cunoștințe.
     
     După ce ați stabilit că puteți crea o politică locală eficientă IPSec, descărcați instrumentul de IPSeccmd.exe sau instrumentul de IPSecpol.exe.
     
     Următoarele comenzi blochează accesul de intrare și ieșire la portul TCP 42 și portul UDP 42.
     
     Notă În aceste comenzi, %IPSEC_Command% se referă la Ipsecpol.exe (în Windows 2000) sau la Ipseccmd.exe (în Windows Server 2003).

     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK 
     

     Următoarea comandă face politica IPSec eficientă imediat dacă nu există nicio politică conflictuală. Această comandă va începe să blocheze toate pachetele port TCP de intrare/ieșire 42 și portul UDP 42. Acest lucru împiedică în mod eficient replicarea WINS între serverul pe care au fost rulate aceste comenzi și orice parteneri de replicare WINS.

     %IPSEC_Command% -w REG -p "Block WINS Replication" –x 

     Dacă întâmpinați probleme în rețea după ce activați această politică IPSec, puteți să anulați atribuirea politicii, apoi să ștergeți politica utilizând următoarele comenzi:

     %IPSEC_Command% -w REG -p "Block WINS Replication" -y 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -o 

     Pentru a permite replicarea WINS să funcționeze între anumiți parteneri de reproducere WINS, trebuie să înlocuiți aceste reguli de blocare cu regulile de permitere. Regulile de permitere trebuie să specifice numai adresele IP ale partenerilor dvs. de reproducere WINS de încredere.
     
     
     Puteți utiliza următoarele comenzi pentru a actualiza politica Block WINS Replication IPSec pentru a permite anumitor adrese IP să comunice cu serverul care utilizează politica de replicare Block WINS.
     
     Notă În aceste comenzi, %IPSEC_Command% se referă la Ipsecpol.exe (în Windows 2000) sau la Ipseccmd.exe (în Windows Server 2003), iar %IP% se referă la adresa IP a serverului WINS la distanță cu care doriți să reproduceți.

     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS 
     

     Pentru a atribui imediat politica, utilizați următoarea comandă:

     %IPSEC_Command% -w REG -p "Block WINS Replication" -x

   • Opțiunea 2: rulați un script pentru a configura automat filtrele
     IPSec Descărcați și rulați scriptul WINS Replication Blocker care creează o politică IPSec pentru a bloca porturile. Pentru a face acest lucru, urmați acești pași:
     

     1. Pentru a descărca și a extrage fișierele .exe, urmați acești pași:
        

        1. Descărcați scriptul WINS Replication Blocker.
           
           Următorul fișier este disponibil pentru descărcare de la Centrul de descărcare Microsoft:
           
           Descărcați pachetul de scripturi WINS Replication Blocker acum.
           
           Data de lansare: 2 decembrie 2004
           
           Pentru informații suplimentare despre descărcarea fișierelor de asistență Microsoft, faceți clic pe următorul număr de articol pentru a vedea articolul în Baza de cunoștințe Microsoft:

           119591 Cum să obțineți fișiere de asistență Microsoft de la servicii online
           Microsoft a scanat acest fișier împotriva virușilor. Microsoft a utilizat cel mai recent software de detectare a virușilor care era disponibil la data la care a fost publicat fișierul. Fișierul este stocat pe servere cu securitate îmbunătățită, pentru a împiedica orice modificări neautorizate în fișier.
           

           Dacă descărcați scriptul WINS Replication Blocker pe o dischetă, utilizați un disc gol formatat. Dacă descărcați scriptul WINS Replication Blocker pe hard disk, creați un folder nou în care să salvați temporar fișierul și să-l extrageți.
           
           
           Atenție Nu descărcați fișiere direct în folderul Windows. Această acțiune poate suprascrie fișierele necesare pentru funcționarea corectă a computerului.

        2. Găsiți fișierul în folderul în care l-ați descărcat, apoi faceți dublu clic pe fișierul .exe care se extrage singur pentru a extrage conținutul într-un folder temporar. De exemplu, extrageți conținutul în C:\Temp.

     2. Deschideți o linie de comandă, apoi treceți la directorul în care sunt extrase fișierele.

     3. Avertisment

        • Dacă suspectați că serverele WINS ar putea fi infectate, dar nu sunteți sigur ce servere WINS sunt compromise sau dacă serverul WINS curent este compromis, nu introduceți nicio adresă IP la pasul 3. Cu toate acestea, începând din noiembrie 2004, nu cunoaștem niciun client care a fost afectat de această problemă. Prin urmare, dacă serverele funcționează așa cum vă așteptați, continuați așa cum este descris.

        • Dacă ați configurat incorect IPsec, puteți provoca probleme serioase de replicare WINS în rețeaua de corporație.

        Rulați fișierul Block_Wins_Replication.cmd. Pentru a crea regulile de bloc de intrare și de ieșire pentru portul TCP 42 și UDP 42, tastați
        1 și apăsați enter pentru a selecta opțiunea 1 atunci când vi se solicită să selectați opțiunea dorită.

        După ce selectați opțiunea 1, scriptul vă solicită să introduceți adresele IP ale serverelor de replicare WINS de încredere.
        
        
        Fiecare adresă IP pe care o introduceți este exceptată de la politica de blocare a portului TCP 42 și a portului UDP 42. Vi se solicită în buclă și puteți introduce câte adrese IP este necesar. Dacă nu știți toate adresele IP ale partenerilor de reproducere WINS, puteți rula scriptul din nou în viitor. Pentru a începe să introduceți adresele IP ale partenerilor de reproducere WINS de încredere, tastați 2 , apoi apăsați enter pentru a selecta opțiunea 2 atunci când vi se solicită să selectați opțiunea dorită.
        
        
        După ce implementați actualizarea de securitate, puteți elimina politica IPSec. Pentru a face acest lucru, rulați scriptul. Tastați 3, apoi apăsați enter pentru a selecta opțiunea 3 atunci când vi se solicită să selectați opțiunea dorită.
        
        Pentru informații suplimentare despre IPsec și despre aplicarea filtrelor, faceți clic pe următorul număr de articol pentru a vizualiza articolul în Baza de cunoștințe Microsoft:
        
        

        313190 Cum se utilizează listele de filtrare IP IPsec în Windows 2000
        
        

3. Eliminați WINS dacă nu aveți nevoie de el.
   
   Dacă nu mai aveți nevoie de WINS, urmați acești pași pentru a-l elimina. Acești pași se aplică pentru Windows 2000, Windows Server 2003 și versiunile mai recente ale acestor sisteme de operare. Pentru Windows NT Server 4.0, urmați procedura inclusă în documentația produsului.
   
   Important Multe organizații necesită WINS pentru a efectua funcții de înregistrare și rezoluție cu o etichetă unică sau cu nume plat în rețeaua lor. Administratorii nu trebuie să elimine WINS decât dacă una dintre următoarele condiții este adevărată:
   

   • Administratorul înțelege pe deplin efectul pe care eliminarea WINS îl va avea în rețeaua sa.

   • Administratorul a configurat DNS pentru a furniza funcționalitatea echivalentă, utilizând nume de domenii complet calificate și sufixe de domeniu DNS.

   De asemenea, dacă un administrator elimină funcționalitatea WINS de pe un server care va continua să furnizeze resurse partajate în rețea, administratorul trebuie să reconfigureze corect sistemul pentru a utiliza serviciile de rezolvare a numelui rămase, cum ar fi DNS din rețeaua locală.
   
   Pentru mai multe informații despre WINS, vizitați următorul site Web Microsoft:

   http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true Pentru mai multe informații despre cum să determinați dacă aveți nevoie de rezoluția de nume NETBIOS sau WINS și de configurarea DNS, vizitați următorul site web Microsoft:

   http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxPentru a elimina WINS, urmați acești pași:
   

   1. În Panou de control, deschideți Adăugare sau eliminare programe.

   2. Faceți clic pe Adăugare/eliminare componente Windows.
      

   3. Pe pagina Expert componente Windows, sub
      Componente, faceți clic pe Servicii de rețea, apoi faceți clic pe Detalii.

   4. Faceți clic pentru a debifa caseta de selectare WINS (Serviciul de numire a internetului Windows) pentru a elimina WINS.

   5. Urmați instrucțiunile de pe ecran pentru a finaliza Expertul componente Windows.

Lucrăm la o actualizare pentru a rezolva această problemă de securitate ca parte a procesului nostru obișnuit de actualizare. Atunci când actualizarea a atins un nivel corespunzător de calitate, vă vom oferi actualizarea prin Windows Update.


Dacă credeți că ați fost afectat, contactați Serviciile de asistență pentru produse.

Clienții internaționali trebuie să contacteze Serviciile de asistență pentru produse utilizând orice metodă listată pe următorul site Web Microsoft:

http://support.microsoft.com