Cum să vă protejați împotriva o problemă de securitate WINS

INTRODUCERE

Investigăm rapoarte de o problemă de securitate cu Microsoft Windows Internet Name Service (WINS). Această problemă de securitate afectează Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server și Microsoft Windows Server 2003. Această problemă de securitate nu afectează Microsoft Windows 2000 Professional, Microsoft Windows XP sau Microsoft Windows Millennium Edition.

Mai multe informații

În mod implicit, WINS nu este instalat pe Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server sau Windows Server 2003. În mod implicit, WINS este instalat şi rulează pe Microsoft Small Business Server 2000 și Microsoft Windows Small Business Server 2003. În mod implicit, pe toate versiunile de Microsoft Small Business Server, WINS componentă comunicare porturi sunt blocate de pe Internet și WINS este disponibil numai din rețeaua locală.

Această problemă de securitate ar putea permite unui atacator să compromis la distanță un server WINS, dacă este adevărată una dintre următoarele condiții:

  • Ați schimbat configurația implicită pentru a instala rolul de server WINS pe Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server sau Windows Server 2003.

  • Executați Microsoft Small Business Server 2000 sau Microsoft Windows Small Business Server 2003, iar un atacator are acces la rețeaua locală.

Pentru a contribui la protejarea computerului împotriva această vulnerabilitate potențială, urmați acești pași:

  1. Portul TCP bloc 42 şi UDP port 42 la Paravanul de protecție.


    Aceste porturi sunt folosite pentru a iniţia o conexiune cu un server WINS. Dacă se blochează porturile în Paravanul de protecție, care a împiedica computerele pe care se află în spatele că Paravanul de protecție de la încercarea de a utiliza această vulnerabilitate. Portul TCP 42 și portul UDP 42 sunt implicit WINS reproducerea porturi. Vă recomandăm să blocheze toate intrare comunicații nesolicitate din Internet.

  2. Utilizați Internet Protocol security (IPsec) pentru a proteja traficul între parteneri de reproducere server WINS. Pentru aceasta, utilizați una dintre următoarele opțiuni.

    Atenție Deoarece fiecare infrastructură WINS este unic, aceste modificări pot avea efecte neaşteptate pe infrastructura. Vă recomandăm să efectuați o analiză de risc înainte să alegeți să implementați această afluxului. De asemenea, recomandăm că efectuați complet de testare înainte de a pune această afluxului în producție.

    • Opțiunea 1: Configurați manual filtrele de IPSec
      Configurați manual filtrele de IPSec și apoi urmați instrucțiunile din următorul articol din baza de cunoștințe Microsoft pentru a adăuga un bloc filtru care blochează toate pachetele de la orice adresă IP la adresa IP de sistemul dvs.:

      Cum 813878 pentru a bloca anumite protocoale de rețea și porturi utilizând IPSec

      Dacă utilizați IPSec în mediul de domeniu Windows 2000 Active Directory și implementați de politică IPSec utilizând politica de grup, Politica de domeniu suprascrie orice politică definite local. Acest lucru împiedică această opțiune la blocarea pachete pe care doriți.

      Pentru a determina dacă primiți o politică IPSec serverele dintr-un domeniu Windows 2000 sau o versiune ulterioară, consultați secțiunea "Determină dacă o politică IPSec este atribuit" din articolul din baza de cunoștințe 813878.

      Când ați determinat că aveți posibilitatea să creați o politică IPSec locală eficientă, descărcați instrumentul de IPSeccmd.exe sau IPSecpol.exe.

      Următoarele comenzi bloca accesul la intrare și de ieșire pentru portul TCP 42 și portul UDP 42.

      Notă În aceste comenzi,IPSEC_Command% se referă la Ipsecpol.exe (în Windows 2000) sau Ipseccmd.exe (pe Windows Server 2003).

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK

      Următoarea comandă face politica IPSec efective imediat dacă nu există nici o politică în conflict. Această comandă va porni blocarea toate de intrare/ieșire portul TCP 42 și pachete de port 42 UDP. Aceasta împiedică în mod eficient WINS reproducerea la care apar între aceste comenzi au fost executați pe server și orice parteneri de reproducere WINS.

      %IPSEC_Command% -w REG -p "Block WINS Replication" –x 

      Dacă întâmpinați probleme în rețea după ce activați această politică IPSec, puteți dezasigna politica și apoi ștergeți politica utilizând următoarele comenzi:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -y 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -o

      Pentru a permite reproducerea WINS funcţia între specifice WINS reproducerea parteneri care trebuie să suprascrie aceste reguli de blocare cu permite reguli. Regulile allow ar trebui să specificați adresele IP partenerilor de încredere WINS reproducerea numai.


      Utilizați următoarele comenzi pentru a actualiza bloc WINS reproducerea IPSec politica pentru a permite anumite adrese IP pentru a comunica cu serverul care utilizează politica de blocare WINS reproducere.

      Notă În aceste comenzi,IPSEC_Command% se referă la Ipsecpol.exe (în Windows 2000) sau Ipseccmd.exe (pe Windows Server 2003), șiIP% se referă la adresa IP a remote server WINS care doriți să se reproducă cu.

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS

      Pentru a atribui politica imediat, utilizați următoarea comandă:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -x
    • Opțiunea 2: Executați un script pentru a configura automat filtrele de IPSec
      Descărcați și executați scriptul de blocare de reproducere WINS care creează o politică IPSec pentru a bloca porturile. Pentru a face acest lucru, urmați acești pași:

      1. Pentru a descărca și a extrage fișierele .exe, urmați acești pași:

        1. Descărcare script Blocker de reproducere WINS.

          Fişierul următor este disponibil pentru descărcare de la Microsoft Download Center:

          Download Descărcați acum pachetul de script Blocker de reproducere WINS.

          Data publicării: 2 decembrie 2004

          Pentru informații suplimentare despre modul de descărcare Microsoft Support fișiere, faceți clic pe următorul număr de articol pentru a vedea articolul în baza de cunoștințe Microsoft:

          119591 cum se obțin fișierele de asistență Microsoft de la serviciile online
          Microsoft a scanat acest fișier pentru viruşi. Microsoft utilizează cele mai actualizate software pentru detectarea virușilor care sunt disponibile la data la care fișierul a fost postat. Fișierul este stocat pe servere securizate care împiedică modificările neautorizate ale fișierului.

          Dacă descărcați script Blocker de reproducere WINS o dischetă, utilizați un disc gol formatat. Dacă descărcați script Blocker de reproducere WINS pe hard disk, creați un folder nou pentru a temporar, Salvați fișierul și extrageți fișierul din.


          Atenție Descărcați fișierele direct la folderul Windows. Această acțiune poate suprascrie fișierele necesare pentru computerul dvs. să funcționeze corect.

        2. Găsiți fișierul în folderul pe care l-ați descărcat să și apoi faceți dublu clic pe fișierul .exe cu auto-extragere pentru a extrage conținutul într-un folder temporar. De exemplu, extrage conținutul pentru C:\Temp.

      2. Deschideți un prompt de comandă și apoi mutați în directorul unde se extrag fișierele.

      3. Avertizare

        • Dacă suspectați că serverele WINS pot fi infectate, dar nu sunteți sigur ce servere WINS sunt compromise sau dacă serverul WINS curentă este compromis, introduceți orice adrese IP în pasul 3. Cu toate acestea, noiembrie 2004, am nu sunt conștient de orice client care au fost afectate de această problemă. De aceea, dacă serverele funcționează așa cum vă așteptați, continua conform descrierii.

        • Dacă ați configurat incorect IPsec, poate provoca probleme grave de reproducere WINS din rețeaua de firmă.

        Executați fișierul Block_Wins_Replication.cmd. Pentru a crea 42 portul TCP și UDP port 42 regulile de intrare și de ieșire bloc, tastați
        1 și apoi apăsați pe ENTER pentru a selecta opţiunea 1 atunci când vi se solicită să selectați opțiunea dorită.

        După ce ați selectat opțiunea 1, script vă solicită să introduceți adresele IP de încredere WINS reproducerea de servere.


        Fiecare adresă IP introdus este scutit de la portul TCP blocare 42 și UDP port 42 politică. Vi se solicită într-o buclă și aveți posibilitatea să introduceți cât mai multe adrese IP, după cum este necesar. Dacă nu cunoașteți toate adresele IP de parteneri de reproducere WINS, executați scriptul din nou în viitor. Pentru a începe să introduceți adresele IP de încredere parteneri de reproducere WINS, tip 2 și apoi apăsați ENTER pentru a selecta opțiunea 2, atunci când vi se solicită să selectați care opţiune vă doriți.


        După ce implementați actualizarea de securitate, aveți posibilitatea să eliminați politica IPSec. Pentru aceasta, executați scriptul. Tastați 3 , apoi apăsați ENTER pentru a selecta opțiunea 3 atunci când vi se solicită să selectați opțiunea dorită.

        Pentru informații suplimentare despre IPsec și despre cum se aplică filtre, faceți clic pe următorul număr de articol pentru a vedea articolul în baza de cunoștințe Microsoft:

        313190 cum se utilizează listele de filtrare IPsec IP în Windows 2000

  3. Eliminați WINS, dacă nu aveţi nevoie de ea.

    Dacă nu mai aveți nevoie WINS, urmați acești pași pentru a elimina. Acești pași se aplică pentru Windows 2000, Windows Server 2003 şi versiunile ulterioare ale acestor sisteme de operare. Pentru Windows NT Server 4.0, urmați procedura care este inclus în documentația produsului.

    Important Numeroase organizaţii necesită WINS pentru a efectua singur eticheta sau nume flat rezolvare și înregistrarea funcții lor de rețea. Administratorii nu trebuie să eliminați WINS decât dacă este adevărată una dintre următoarele condiții:

    • Administratorul înţelege pe deplin efect ca eliminarea WINS aceasta va avea lor de rețea.

    • Administratorul a configurat DNS pentru a furniza funcționalitatea echivalent utilizând numele de domeniu complet calificat și sufixe de domeniu DNS.

    De asemenea, dacă un administrator este eliminarea WINS funcționalitatea de pe un server care va continua să ofere resursele partajate în rețea, administratorul trebuie să corect reconfigurați sistemul să utilizeze rămase serviciile rezolvare nume ca DNS local rețea.

    Pentru mai multe informații despre WINS, vizitați următorul site Web Microsoft:

    http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=truePentru mai multe informații despre cum se determină dacă aveți nevoie de rezoluție de nume NETBIOS sau WINS și configurarea DNS, vizitați următorul site Web Microsoft:

    http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxPentru a elimina WINS, urmați acești pași:

    1. În panoul de Control, deschideţi Adăugare sau eliminare programe.

    2. Faceți clic pe Adăugare/Eliminare componente Windows.

    3. Pe pagina Windows Components Wizard, sub
      Componente, Networking Services, și apoi faceți clic pe Detalii.

    4. Faceți clic pentru a debifa caseta de selectare Windows Internet Naming Service (WINS) pentru a elimina WINS.

    5. Urmați instrucțiunile de pe ecran pentru a termina expertul componente Windows.

Lucrăm la o actualizare pentru a rezolva această problemă de securitate, ca parte a procesului de actualizare obișnuită. Atunci când actualizarea a ajuns la un nivel corespunzător de calitate, vă vom oferi actualizarea prin Windows Update.


Dacă credeţi că au fost afectate, contactați serviciile de asistență pentru produs.

Clienții internaționale ar trebui să contactați serviciile de asistență produs utilizând orice metodă care este listat la următorul site Web Microsoft:

http://support.microsoft.com

Aveți nevoie de ajutor suplimentar?

Extindeți-vă competențele
Explorați instruirea
Fiți primul care obține noile caracteristici
Alăturați-vă la Microsoft Insider

V-a fost de ajutor această informație?

Vă mulțumim pentru feedback!

Vă mulțumim pentru feedback! Se pare că ar fi util să luați legătura cu unul dintre agenții noștri de asistență Office.

×