ЗНАКОМСТВО
Мы изучаем сообщения о проблемах с безопасностью в Службе имен Интернета (WINS) Microsoft Windows. Эта проблема безопасности затрагивает Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server и Microsoft Windows Server 2003. Эта проблема безопасности не влияет на Microsoft Windows 2000 Professional, Microsoft Windows XP или Microsoft Windows Millennium Edition.
Дополнительные сведения
По умолчанию WINS не устанавливается на Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server или Windows Server 2003. По умолчанию WINS устанавливается и работает на Microsoft Small Business Server 2000 и Microsoft Windows Small Business Server 2003. По умолчанию во всех версиях Microsoft Small Business Server порты связи компонента WINS заблокированы в Интернете, а WINS доступен только в локальной сети. Эта проблема безопасности может позволить злоумышленнику удаленно компрометировать сервер WINS, если выполняется одно из следующих условий:
-
Вы изменили конфигурацию по умолчанию, чтобы установить роль сервера WINS на Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server или Windows Server 2003.
-
Вы используете Microsoft Small Business Server 2000 или Microsoft Windows Small Business Server 2003, и злоумышленник имеет доступ к вашей локальной сети.
Чтобы защитить компьютер от этой потенциальной уязвимости, выполните следующие действия.
-
Блокировка TCP-порта 42 и порта UDP 42 в брандмауэре.Эти порты используются для инициации подключения к удаленному серверу WINS. Если эти порты заблокированы в брандмауэре, вы поможете предотвратить попытки использования этой уязвимости компьютерами, которые находятся за этим брандмауэром. TCP-порт 42 и UDP-порт 42 являются портами репликации WINS по умолчанию. Рекомендуется блокировать все входящие незапрошенные сообщения из Интернета.
-
Используйте протокол IPsec для защиты трафика между партнерами по репликации серверов WINS. Для этого используйте один из следующих параметров. Внимание! Поскольку каждая инфраструктура WINS уникальна, эти изменения могут оказать неожиданное влияние на вашу инфраструктуру. Мы настоятельно рекомендуем провести анализ рисков, прежде чем реализовать эту меру. Мы также настоятельно рекомендуем выполнить полное тестирование перед развертыванием этой защиты в рабочей среде.
-
Вариант 1. Вручную настройте фильтры IPSec. Настройте фильтры IPSec вручную, а затем следуйте инструкциям, приведенным в следующей статье базы знаний Майкрософт, чтобы добавить фильтр блоков, который блокирует все пакеты с любого IP-адреса на IP-адрес вашей системы:
813878 Как заблокировать определенные сетевые протоколы и порты с помощью IPSec. Если вы используете IPSec в доменной среде Windows 2000 Active Directory и развертываете политику IPSec с помощью групповая политика, политика домена переопределяет любую локально определенную политику. Это вхождение не позволяет этому параметру блокировать нужные пакеты.Чтобы определить, получают ли серверы политику IPSec из домена Windows 2000 или более поздней версии, см. раздел "Определение назначения политики IPSec" статьи базы знаний 813878. Когда вы определили, что вы можете создать эффективную локальную политику IPSec, скачайте средство IPSeccmd.exe или средство IPSecpol.exe. Следующие команды блокируют входящий и исходящий доступ к TCP-порту 42 и UDP-порту 42.Примечание. В этих командах %IPSEC_Command% относится к Ipsecpol.exe (в Windows 2000) или Ipseccmd.exe (в Windows Server 2003).
%IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK
Следующая команда немедленно вступает в силу политики IPSec, если конфликтующая политика отсутствует. Эта команда начнет блокировать все входящие или исходящие пакеты TCP-порта 42 и UDP-порта 42. Это эффективно предотвращает репликацию WINS между сервером, на который выполнялись эти команды, и любыми партнерами по репликации WINS.
%IPSEC_Command% -w REG -p "Block WINS Replication" –x
Если после включения этой политики IPSec возникают проблемы в сети, вы можете отменить назначение политики, а затем удалить политику с помощью следующих команд:
%IPSEC_Command% -w REG -p "Block WINS Replication" -y %IPSEC_Command% -w REG -p "Block WINS Replication" -o
Чтобы разрешить репликацию WINS работать между определенными партнерами по репликации WINS, необходимо переопределить эти правила блоков правилами разрешений. Правила разрешения должны указывать ТОЛЬКО IP-адреса доверенных партнеров по репликации WINS.Вы можете использовать следующие команды, чтобы обновить политику IPSec репликации блочных WINS, чтобы разрешить определенным IP-адресам взаимодействовать с сервером, использующим политику блочного репликации WINS.Примечание. В этих командах %IPSEC_Command% ссылается на Ipsecpol.exe (в Windows 2000) или Ipseccmd.exe (в Windows Server 2003), а %IP% — на IP-адрес удаленного сервера WINS, с которым вы хотите выполнить репликацию.
%IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS
Чтобы назначить политику немедленно, используйте следующую команду:
%IPSEC_Command% -w REG -p "Block WINS Replication" -x
-
Вариант 2. Запустите скрипт для автоматической настройки загрузки фильтров IPSec, а затем запустите скрипт блокировки репликации WINS, который создает политику IPSec для блокировки портов. Для этого выполните следующие действия.
-
Чтобы скачать и извлечь файлы .exe, выполните следующие действия.
-
Скачайте сценарий блокировки репликации WINS. Следующий файл доступен для скачивания из Центра загрузки Майкрософт:
119591 Как получить файлы поддержки Майкрософт от веб-службы корпорация Майкрософт проверила этот файл на наличие вирусов. Корпорация Майкрософт использовала самое последнее программное обеспечение для обнаружения вирусов, доступное на дату публикации файла. Файл хранится на серверах с повышенной безопасностью, которые помогают предотвратить любые несанкционированные изменения файла.
Если вы скачиваете сценарий блокировки репликации WINS на дискету, используйте отформатированный пустой диск. Если вы скачиваете сценарий блокировки репликации WINS на жесткий диск, создайте новую папку, чтобы временно сохранить файл в и извлечь его из. Внимание! Не загружайте файлы непосредственно в папку Windows. Это действие может перезаписать файлы, необходимые для правильной работы компьютера.
-
Найдите файл в папке, в которую вы его скачали, а затем дважды щелкните самораспаковывающуюся .exe файл, чтобы извлечь содержимое во временную папку. Например, извлеките содержимое в C:\Temp.
-
-
Откройте командную строку и перейдите в каталог, в котором извлекаются файлы.
-
Предупреждение
-
Если вы подозреваете, что серверы WINS могут быть заражены, но не знаете, какие серверы WINS скомпрометировались или ваш текущий сервер WINS скомпрометирован, не вводите IP-адреса на шаге 3. Однако по состоянию на ноябрь 2004 года мы не знаем о клиентах, затронутых этой проблемой. Поэтому, если серверы работают должным образом, продолжайте, как описано.
-
Если вы неправильно настроили IPsec, вы можете вызвать серьезные проблемы с репликацией WINS в корпоративной сети.
Запустите файл Block_Wins_Replication.cmd. Чтобы создать правила блокировки tcp-порта 42 и UDP-порта 42 для входящего и исходящего трафика, введите 1 и нажмите клавишу ВВОД, чтобы выбрать вариант 1 при появлении запроса на выбор нужного параметра.
После выбора варианта 1 скрипт предложит ввести IP-адреса доверенных серверов репликации WINS. Каждый вводимый IP-адрес освобождается от политики блокировки TCP-порта 42 и порта UDP 42. Появится запрос в цикле, и вы можете ввести любое количество IP-адресов. Если вы не знаете все IP-адреса партнеров по репликации WINS, вы можете снова запустить скрипт в будущем. Чтобы начать вводить IP-адреса доверенных партнеров по репликации WINS, введите 2 , а затем нажмите клавишу ВВОД, чтобы выбрать вариант 2 при появлении запроса на выбор нужного параметра. После развертывания обновления для системы безопасности можно удалить политику IPSec. Для этого запустите скрипт. Введите 3, а затем нажмите клавишу ВВОД, чтобы выбрать вариант 3, когда вам будет предложено выбрать нужный параметр.Дополнительные сведения об IPsec и применении фильтров см. в следующем номере статьи, чтобы просмотреть статью в базе знаний Майкрософт:
313190 Использование списков фильтров IP-адресов IPsec в Windows 2000
-
-
-
-
Удалите WINS, если он вам не нужен. Если wins больше не требуется, выполните следующие действия, чтобы удалить его. Эти действия применяются к Windows 2000, Windows Server 2003 и более поздним версиям этих операционных систем. Для Windows NT Server 4.0 выполните процедуру, приведенную в документации по продукту. Важно! Многие организации требуют от WINS выполнять функции регистрации и разрешения с одной меткой или неструктурированными именами в своей сети. Администраторы не должны удалять WINS, если не выполняется одно из следующих условий:
-
Администратор полностью понимает влияние удаления WINS, которое это окажет на его сеть.
-
Администратор настроил DNS для предоставления эквивалентных функций с помощью полных доменных имен и доменных суффиксов DNS.
Кроме того, если администратор удаляет функцию WINS с сервера, который будет по-прежнему предоставлять общие ресурсы в сети, администратор должен правильно перенастроить систему для использования оставшихся служб разрешения имен, таких как DNS, в локальной сети. Дополнительные сведения о WINS см. на следующем веб-сайте Майкрософт:
http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true Дополнительные сведения о том, как определить, требуется ли разрешение имен NETBIOS или WINS и конфигурация DNS, см. на следующем веб-сайте Майкрософт:
http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxЧтобы удалить WINS, выполните следующие действия.
-
В панель управления откройте раздел Установка и удаление программ.
-
Щелкните Добавить и удалить компоненты Windows.
-
На странице Мастера компонентов Windows в разделеКомпоненты щелкните Сетевые службы, а затем — Сведения.
-
Щелкните, чтобы очистить проверка windows Internet Naming Service (WINS) для удаления WINS.
-
Следуйте инструкциям на экране, чтобы завершить работу мастера компонентов Windows.
-
Мы работаем над обновлением для решения этой проблемы безопасности в рамках нашего регулярного процесса обновления. Когда обновление достигнет соответствующего уровня качества, мы предоставим его через клиентский компонент Центра обновления Windows.Если вы считаете, что вы пострадали, обратитесь в службу поддержки продуктов.Международным клиентам следует обратиться в службу поддержки продуктов, используя любой метод, указанный на следующем веб-сайте Майкрософт:
