Ako ochranu proti WINS zabezpečenia

ÚVOD

Sme sa skúma správy bezpečnostný problém s Microsoft názov služby WINS (Windows Internet). Tento problém zabezpečenia ovplyvňuje systém Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server a Microsoft Windows Server 2003. Tento bezpečnostný problém neovplyvňuje systém Microsoft Windows 2000 Professional, Microsoft Windows XP alebo Microsoft Windows Millennium Edition.

Ďalšie informácie

Predvolene WINS nie je nainštalovaný systém Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server alebo Windows Server 2003. WINS je predvolene nainštalovaný a spustený program Microsoft Small Business Server 2000 a Microsoft Windows Small Business Server 2003. V predvolenom nastavení vo všetkých verziách systému Microsoft Small Business Server WINS súčasť komunikačné porty sú blokované a WINS je k dispozícii iba v lokálnej sieti.

Tento problém zabezpečenia môže umožniť útočníkovi vzdialene narušiť WINS server, ak je splnená jedna z nasledujúcich podmienok:

• Zmenili ste predvolené konfigurácie nainštalovať úlohu servera WINS v systéme Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server alebo Windows Server 2003.

• Používate program Microsoft Small Business Server 2000 alebo Microsoft Windows Small Business Server 2003 a útočník má prístup k lokálnej sieti.

Na ochranu počítača pred tejto potenciálne nedostatočné zabezpečenie, postupujte nasledovne:

1. Blokovanie portu 42 a UDP port 42 v bráne firewall.
   
   
   Tieto porty sú použité nadviazať spojenie so serverom WINS. Ak zablokujete tieto porty brány firewall, môžete zabrániť počítačov tento firewall z pokusu o použitie tejto chyby. TCP 42 a portu UDP 42 sú predvolené WINS replikácie. Odporúča sa, že blokuje všetky prichádzajúce nevyžiadanú komunikáciu z internetu.

2. Použiť zabezpečenie protokolu IP (IPsec) na ochranu prenosu partnerom replikácie servera WINS. Na tento účel použite jednu z nasledujúcich možností.
   
   Upozornenie: Každý WINS infraštruktúry je jedinečný, tieto zmeny majú neočakávané účinky na infraštruktúry. Dôrazne odporúčame vykonať pred sa rozhodnete implementovať tento zníženie rizík. Odporúčame vykonať úplné testovanie pred tento zahltenia do výrobného.
   

   • Možnosť 1: Manuálne nakonfigurovať filtrov protokolu IPSec
     Manuálne konfigurovať filtrov protokolu IPSec, a potom postupujte podľa pokynov v nasledujúcom článku databázy Microsoft Knowledge Base pridať filter blokovať ktorá blokuje všetky pakety z všetky adresa IP adresu IP počítača:

     813878 ako blokovať konkrétne sieťové protokoly a porty pomocou protokolu IPSec
     
     Ak používate protokol IPSec v prostredí domény služby Active Directory systému Windows 2000 a nasadenie svoje politiky protokolu IPSec pomocou skupinovej politiky, politiky domény prepíše všetky lokálne definovanú politiku. Táto udalosť zabraňuje tejto možnosti blokovania paketov, ktoré chcete.
     
     Na určenie, či servery prijímajú politiky protokolu IPSec v doméne Windows 2000 alebo novšia verzia, nájdete časti "Zistiť, či je priradená politika protokolu IPSec" v článku databázy Knowledge Base 813878.
     
     Ak ste zistili, že môžete vytvoriť efektívne lokálne politiky protokolu IPSec, prevzatie nástroja IPSeccmd.exe alebo IPSecpol.exe.
     
     Tieto príkazy blokovať prichádzajúce a odchádzajúce prístup k portu TCP 42 a UDP port 42.
     
     Poznámka: V uvedených príkazochIPSEC_Command% odkazuje na Ipsecpol.exe (v systéme Windows 2000) alebo Ipseccmd.exe (v systéme Windows Server 2003).

     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK 
     

     Príkaz je politika protokolu IPSec okamžite, ak nie je žiadny konflikt politiky. Tento príkaz spustí všetky prichádzajúce a odchádzajúce port TCP 42 a portu 42 pakety protokolu UDP. To zabraňuje WINS replication výskytu medzi serverom, ktoré príkazy boli spustené žiadne partnermi replikácie WINS.

     %IPSEC_Command% -w REG -p "Block WINS Replication" –x 

     Ak sa vyskytnú problémy v sieti, po zapnutí tejto politiky protokolu IPSec, môžete priradenie politiky a odstráňte politiku pomocou nasledujúcich príkazov:

     %IPSEC_Command% -w REG -p "Block WINS Replication" -y 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -o 

     Povoliť WINS replikácie funkcie medzi konkrétne WINS partnerom replikácie, musíte zmeniť tieto pravidlá blokovať umožňujú pravidlá. Povoliť pravidlá by zadajte adresy IP dôveryhodné WINS partnera replikácie iba.
     
     
     Aktualizovať blokovať WINS replikáciu politiky protokolu IPSec umožňuje konkrétne adresy IP na komunikáciu so serverom, ktorý používa politika replikácie blok WINS, môžete použiť nasledujúce príkazy.
     
     Poznámka: V uvedených príkazochIPSEC_Command% odkazuje na Ipsecpol.exe (v systéme Windows 2000) alebo Ipseccmd.exe (v systéme Windows Server 2003), aIP% na adresu IP vzdialeného servera WINS, ktoré chcete replikovať.

     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS 
     

     Priradiť politiku ihneď, použite nasledujúci príkaz:

     %IPSEC_Command% -w REG -p "Block WINS Replication" -x

   • Možnosť 2: Spustenie skriptu na automatickú konfiguráciu filtrov protokolu IPSec
     Prevezmite a spustite WINS replikácie blokovanie skript, ktorý vytvorí politiky protokolu IPSec blokuje porty. Ak to chcete urobiť, postupujte nasledovne:
     

     1. Prevzatie a extrahujte súbory .exe, postupujte nasledovne:
        

        1. Stiahnuť WINS replikácie Blocker skript.
           
           Tento súbor je k dispozícii na prevzatie z Microsoft Download Center:
           
           Prevziať balík skript blokovanie replikácie WINS.
           
           Dátum vydania: 2. decembra 2004
           
           Ďalšie informácie o preberaní súborov Technickej podpory spoločnosti Microsoft nájdete po kliknutí na nasledovné číslo článku publikovaného v databáze Microsoft Knowledge Base:

           119591 Získanie podporných súborov zo služieb online
           Spoločnosť Microsoft preverila, či tento súbor neobsahuje vírusy. Spoločnosť Microsoft použila aktuálny antivírusový softvér, dostupný v deň zverejnenia tohto súboru. Súbor je uložený na zabezpečených serveroch, ktoré neumožňujú neoprávnené zmeny do súboru.
           

           Ak preberáte WINS replikácie Blocker skript na disketu, použite prázdny disk formátovaný. Ak preberáte WINS replikácie Blocker skript na pevný disk, vytvorte nový priečinok dočasne uložiť súbor a extrahovať súbor.
           
           
           Upozornenie: Nepreberať súbory priamo do priečinka Windows. Táto akcia môže prepísať súbory, ktoré sú potrebné pre správne fungovanie počítača.

        2. Vyhľadajte súbor v priečinku, ktorý ste prevzali a dvakrát samorozbaľovací súbor .exe obsahu dočasného priečinka. Napríklad Rozbaľte obsah C:\Temp.

     2. Otvorte príkazový riadok a potom presunúť do adresára, kde sú extrahované súbory.

     3. Upozornenie

        • Ak máte podozrenie, že môžu byť infikované servery WINS, ale neviete aké servery WINS ohrozená alebo či je váš aktuálny server WINS zneužité, nezadávajte žiadne adresy IP v kroku 3. Však November 2004, sme nevedia zákazníkov, ktorí sú ovplyvnené tento problém. Preto ak servery pracujú podľa očakávania, potom pokračujte podľa pokynov.

        • Ak nesprávne IPsec, môže spôsobiť vážne problémy s replikácie WINS v podnikovej sieti.

        Spustite súbor Block_Wins_Replication.cmd. Ak chcete vytvoriť TCP port 42 a UDP port 42 blokovať prichádzajúce a odchádzajúce pravidlá, zadajte
        1 a stlačením klávesu ENTER vyberte možnosť 1, po zobrazení výzvy vyberte požadovanú možnosť.

        Po výbere možnosti 1, skript sa zobrazí výzva na zadanie adresy IP replikáciu serverov WINS.
        
        
        Každú adresu IP, ktoré zadáte je vyňaté z blokuje port TCP 42 a UDP port 42 politiky. Výzva slučku a môžete zadať čo najviac adries IP podľa potreby. Ak nepoznáte adresu IP WINS replikácie partnerov, spustením skriptu v budúcnosti. Zadajte adresy IP dôveryhodných partnerov replikácie WINS typu 2 a potom stlačením klávesu ENTER vyberte možnosť 2, po zobrazení výzvy vyberte možnosť sa chcete.
        
        
        Po zavedení aktualizácie zabezpečenia, môžete odstrániť politiky protokolu IPSec. Chcete urobiť, spustite skript. Zadajte 3 , a stlačením klávesu ENTER vyberte možnosť 3 po zobrazení výzvy vyberte požadovanú možnosť.
        
        Ďalšie informácie o protokole IPsec a o tom, ako použiť filter, kliknite na nasledovné číslo článku publikovaného v databáze Microsoft Knowledge Base:
        
        

        313190 ako používať zoznamy filtrov protokolu IPsec IP v systéme Windows 2000
        
        

3. Odstránenie WINS, ak nie je potrebné ho.
   
   Ak potrebujete viac WINS, postupujte nasledovne odstrániť. Tieto kroky sa vzťahujú na systém Windows 2000, Windows Server 2003 a novšie verzie týchto operačných systémov. Pre systém Windows NT Server 4.0 podľa postupu, ktorý je zahrnutý v produktovej dokumentácii.
   
   Dôležité upozornenie: Mnohé organizácie vyžadujú WINS vykonať jednu menovku alebo plochý Názov registrovanie a rozlišovanie funkcie v sieti. Správcovia by nemali odstrániť WINS, ak je splnená jedna z nasledujúcich podmienok:
   

   • Správca plne chápe vplyv, odstránenie výhier bude mať v sieti.

   • Správca nakonfiguroval poskytujú rovnakú funkčnosť domény názvy a prípony domény DNS server DNS.

   Ak správca odstraňuje funkcie WINS zo servera, ktorý bude poskytovať zdieľané prostriedky v sieti, správca musí správne zmeniť konfiguráciu služby zostávajúce názov rozlíšenie ako DNS lokálneho systému v sieti.
   
   Ďalšie informácie o WINS, nájdete na webovej lokalite spoločnosti Microsoft:

   http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=trueĎalšie informácie o tom, ako zistiť, či potrebujete názvov NETBIOS a WINS a konfigurácii servera DNS, nájdete na webovej lokalite spoločnosti Microsoft:

   http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxOdstránenie WINS, postupujte nasledovne:
   

   1. V ovládacom paneli otvorte Pridať alebo odstrániť programy.

   2. Kliknite na položku Pridať alebo odstrániť súčasti systému Windows.
      

   3. Na stránke Sprievodcu súčasťami systému Windows, v časti
      Súčasti, kliknite na položku Networking Servicesa kliknite na tlačidlo Podrobnosti.

   4. Zrušte začiarknutie políčka odstrániť WINS Pomenovanie služby WINS (Windows Internet) .

   5. Podľa pokynov na obrazovke dokončite Sprievodcu súčasťami systému Windows.

Pracujeme na aktualizáciu na riešenie tohto problému zabezpečenia ako súčasť procesu aktualizovaný. Pri aktualizácii dosiahol primeranú kvalitu, poskytneme aktualizácie prostredníctvom služby Windows Update.


Ak sa domnievate, že ste boli ovplyvnené, obráťte sa na služby technickej podpory.

Zákazníkov, kontaktujte technickú podporu spoločnosti pomocou postupu, ktorý je uvedený na webovej lokalite spoločnosti Microsoft:

http://support.microsoft.com