Защита компьютера от уязвимости в службе WINS


ВВЕДЕНИЕ


Корпорация Майкрософт занимается исследованием сообщений об уязвимости, связанной со службой WINS. Данная уязвимость существует на компьютерах с Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server, Microsoft Windows 2000 Server и Microsoft Windows Server 2003. Компьютеры с Microsoft Windows 2000 Professional, Microsoft Windows XP и Microsoft Windows Millennium не подвержены этой уязвимости.

Дополнительная информация


По умолчанию служба WINS не устанавливается на компьютерах с Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server, Windows 2000 Server и Windows Server 2003. По умолчанию служба WINS устанавливается и запускается на компьютерах с Microsoft Small Business Server 2000 и Microsoft Windows Small Business Server 2003. По умолчанию во всех версиях Microsoft Small Business Server доступ к портам службы WINS разрешен только из локальной сети. Доступ к данным портам из Интернета отключен.

Рассматриваемая уязвимость позволяет злоумышленнику удаленно получить доступ к серверу WINS, если выполняется одно из нижеследующих условий.
  • Изменена конфигурация по умолчанию: на компьютере с Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server, Windows 2000 Server или Windows Server 2003 установлена роль сервера WINS.
  • Компьютер работает под управлением Microsoft Small Business Server 2000 или Microsoft Windows Small Business Server 2003, и злоумышленник имеет доступ к локальной сети.
Чтобы защитить компьютер от атак, использующих данную уязвимость, выполните действия, указанные ниже.
  1. С помощью брандмауэра отключите доступ к порту 42 протокола TCP и порту 42 протокола UDP.


    Эти порты используются для подключения к удаленному серверу WINS. Отключение доступа к данным портам с помощью брандмауэра позволяет защитить компьютеры, находящиеся за брандмауэром, от атак с использованием рассматриваемой уязвимости. Указанные порты по умолчанию используются при репликации WINS. Корпорация Майкрософт рекомендует блокировать все непредусмотренные входящие пакеты, поступающие из Интернета.
  2. При репликации данных между серверами WINS для защиты трафика используйте протокол IPsec. Для этого воспользуйтесь любым из нижеперечисленных способов.

    Предупреждение. Поскольку каждая организация имеет уникальную инфраструктуру WINS, данные изменения могут вызывать непредвиденные эффекты в работе серверов WINS. Корпорация Майкрософт рекомендует перед внесением указанных изменений выполнить анализ рисков и тщательно проверить влияние этих изменений на работоспособность системы в тестовой среде.
    • Способ 1. Настройка фильтров IPSec вручную
      Настройте фильтры IPSec вручную, а затем следуйте инструкциям, приведенным в указанной ниже статье базы знаний Майкрософт. В результате будут созданы фильтры, блокирующие все пакеты, которые поступают на IP-адрес компьютера.
      813878 Блокирование определенных сетевых протоколов и портов с помощью IPSec

      Если протокол IPSec используется в доменной среде Windows 2000 Active Directory, а параметры IPSec определяются с помощью групповой политики, то параметры, задаваемые политикой домена, переопределяют любые параметры, задаваемые локальными политиками. Это предотвращает блокировку требуемых пакетов.

      Чтобы проверить, получают ли серверы политику IPSec от домена Windows 2000 или более поздней версии, обратитесь к разделу "Определение наличия назначенной политики IPSec" статьи 813878 базы знаний Майкрософт.

      Если установлено, что на компьютере можно создавать и применять локальную политику IPSec, загрузите средство IPSeccmd.exe или IPSecpol.exe.

      Команды, приведенные ниже, отключают входящий и исходящий доступ по порту 42 протокола TCP и порту 42 протокола UDP.

      Примечание. В этих командах %Команда_IPSEC% относится к Ipsecpol.exe (в Windows 2000) или Ipseccmd.exe (в Windows Server 2003).
      оманда_IPSEC% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK 
      %Команда_IPSEC% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK
      %Команда_IPSEC% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK
      оманда_IPSEC% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK
      Следующая команда вызывает немедленное применение политики IPSec (если отсутствуют конфликтующие политики). Данная команда блокирует входящие и исходящие пакеты, использующие порт 42 протокола TCP и порт 42 протокола UDP. Это предотвращает выполнение репликации WINS между сервером WINS, на котором запущены данные команды, и любыми партнерами по репликации.
      %Команда_IPSEC% -w REG -p "Block WINS Replication" –x 
      Если после включения данной политики IPSec в работе сети возникают сбои, отмените назначение политики, а затем удалите ее с помощью следующих команд:
      %Команда_IPSEC% -w REG -p "Block WINS Replication" -y 
      %Команда_IPSEC% -w REG -p "Block WINS Replication" -o
      Чтобы разрешить выполнение репликации WINS между указанными партнерами по репликации, необходимо вместо правил блокировки указать разрешающие правила, которые содержат IP-адреса только доверенных партнеров по репликации WINS.


      Приведенные ниже команды позволяют изменить политику IPSec, блокирующую выполнение репликации WINS, и разрешить компьютерам с указанными IP-адресами обмениваться данными с сервером, на котором применяется политика блокировки.

      Примечание. В этих командах %Команда_IPSEC% относится к Ipsecpol.exe (в Windows 2000) или Ipseccmd.exe (в Windows Server 2003), а %IP% — к IP-адресу удаленного WINS-сервера, который должен участвовать в репликации.
      %Команда_IPSEC% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS 
      %Команда_IPSEC% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS
      %Команда_IPSEC% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS
      оманда_IPSEC% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS
      Следующая команда вызывает немедленное назначение данной политики:
      %Команда_IPSEC% -w REG -p "Block WINS Replication" -x
    • Способ 2. Использование сценария автоматической настройки фильтров IPSec
      Загрузите и запустите сценарий WINS Replication Blocker, создающий политику IPSec, которая блокирует обмен пакетами через указанные выше порты. Для этого выполните действия, указанные ниже.
      1. Загрузите и извлеките файлы EXE. Для этого выполните перечисленные ниже действия.
        1. Загрузите сценарий WINS Replication Blocker.

          Загрузите следующий файл с веб-сайта Центра загрузки Майкрософт:

          Загрузка Загрузить сценарий WINS Replication Blocker

          Дата выпуска: 2 декабря 2004 г.

          Дополнительные сведения о загрузке файлов поддержки Майкрософт см. в следующей статье базы знаний Майкрософт:
          119591 Как загрузить файлы поддержки Microsoft через оперативные службы
          Корпорация Майкрософт проверила этот файл на наличие вирусов. Корпорация Майкрософт использует последние версии антивирусного программного обеспечения на момент публикации файла для его проверки на наличие вирусов. Файл хранится на защищенных серверах, что предотвращает его несанкционированное изменение.
          Чтобы загрузить сценарий WINS Replication Blocker на дискету, необходимо использовать пустую отформатированную дискету. Чтобы загрузить данный сценарий на жесткий диск, создайте временную папку для сохранения загруженного архива и извлечения из него файлов.


          Предупреждение. Не загружайте файлы непосредственно в папку Windows, поскольку при этом будут перезаписаны файлы, необходимые для работы компьютера.
        2. Перейдите в папку, в которую был загружен файл, и дважды щелкните самораскрывающийся EXE-файл, чтобы извлечь содержимое архива во временную папку. Например, извлеките файлы в папку C:\Temp.
      2. Откройте окно командной строки и перейдите в папку, в которую были извлечены файлы.
      3. Предупреждение
        • Если имеется подозрение, что злоумышленник получил доступ к серверам WINS, но неизвестно, к каким именно серверам, а также отсутствуют данные о том, получил ли злоумышленник доступ к текущему серверу WINS, не указывайте IP-адреса в действии 3. Однако по состоянию на ноябрь 2004 г. корпорации Майкрософт не известны случаи возникновения проблем у клиентов, связанные с данной уязвимостью. Поэтому, если серверы работают должным образом, выполните приведенные инструкции.
        • Неправильная настройка IPSec может послужить причиной возникновения серьезных неполадок репликации WINS в корпоративной сети.
        Запустите файл Block_Wins_Replication.cmd. При появлении предложения указать номер режима введите 1 и нажмите клавишу ВВОД, чтобы создать правила, блокирующие обмен пакетами через порт 42 протокола TCP и порт 42 протокола UDP.
        После выбора режима 1 будет предложено указать IP-адреса доверенных серверов репликации WINS.


        Для всех введенных IP-адресов блокирование обмена через порт 42 протокола TCP и порт 42 протокола UDP выполняться не будет. После ввода очередного IP-адреса сценарий предлагает ввести следующий IP-адрес, что позволяет задать все требуемые IP-адреса. При необходимости в дальнейшем можно будет запускать данный сценарий повторно и расширять список IP-адресов партнеров по репликации WINS. В этом случае при появлении предложения указать номер режима необходимо будет ввести значение 2, нажать клавишу ВВОД и ввести IP-адреса доверенных партнеров по репликации WINS.


        После установки соответствующего обновления для системы безопасности данную политику IPSec можно будет удалить. Для этого запустите сценарий Block_Wins_Replication.cmd, при появлении предложения указать номер режима введите 3 и нажмите клавишу ВВОД.

        Дополнительные сведения о протоколе IPSec и применении фильтров см. в следующей статье базы знаний Майкрософт:

        313190 Использование списка IP-фильтров IPSec в Windows 2000

  3. Если служба WINS не используется, удалите ее.

    Чтобы удалить службу WINS, выполните действия, перечисленные ниже. Приведенные инструкции предназначены для компьютеров с Windows 2000, Windows Server 2003 и более поздних версий этих операционных систем. Для компьютеров с Windows NT Server 4.0 следуйте инструкциям, приведенным в документации по операционной системе.

    Внимание! Во многих организациях служба WINS выполняет регистрацию и разрешение "плоских" и однокомпонентных имен во внутренней сети. Прежде чем удалять службу WINS, необходимо убедиться, что выполняется хотя бы одно из следующих условий.
    • Администратору известно, какое влияние окажет удаление службы WINS на работоспособность сети.
    • В сети настроена служба DNS, обеспечивающая разрешение имен с использованием полных доменных имен и суффиксов DNS.
    Кроме того, в случае удаления службы WINS на сервере, который и дальше предполагается использовать для размещения общих сетевых ресурсов, администратору необходимо настроить систему для использования других служб разрешения имен (например, службы DNS).

    Дополнительные сведения о службе WINS см. на веб-сайте корпорации Майкрософт по адресу: Дополнительные сведения о выборе служб разрешения имен NETBIOS и WINS, а также о конфигурации DNS см. на веб-сайте корпорации Майкрософт по адресу: Для удаления службы WINS выполните действия, перечисленные ниже.
    1. На панели управления откройте компонент Установка и удаление программ.
    2. Нажмите кнопку Установка компонентов Windows.
    3. В окне мастера компонентов Windows выделите в списке Компоненты строку Сетевые службы и нажмите кнопку Состав.
    4. Снимите флажок WINS (Windows Internet Name Service), чтобы удалить службу WINS.
    5. Следуйте инструкциям на экране.
Корпорация Майкрософт в плановом порядке работает над созданием обновления для устранения этой уязвимости. После завершения разработки соответствующее обновление будет доступно для загрузки в Центре обновления Windows.


Если имеются основания полагать, что система подверглась атаке с использованием данной уязвимости, обратитесь в службу технической поддержки. В случае возникновения вопросов, связанных с обновлениями для системы безопасности или с возможным действием вирусов, жители Северной Америки могут обратиться в службу технической поддержки по телефону:
1-866-PCSAFETY
Примечание. Звонки по этому номеру являются бесплатными.

Пользователям, находящимся за пределами Северной Америки, следует обращаться в службу технической поддержки в соответствии с инструкциями, приведенными на веб-сайте корпорации Майкрософт по адресу: