Ako pomôcť chrániť proti problému so zabezpečením WINS

ZAVEDENIE

Skúmame správy o probléme so zabezpečením v službe Microsoft Windows Internet Name Service (WINS). Tento problém so zabezpečením sa týka služieb Microsoft systém Windows NT Server 4.0, Microsoft systém Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server a Microsoft Windows Server 2003. Tento problém so zabezpečením nemá vplyv na Microsoft Windows 2000 Professional, Microsoft Windows XP ani Microsoft Windows Millennium Edition.

Ďalšie informácie

Predvolene nie je wins nainštalovaný na systém Windows NT Server 4.0, systém Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server alebo Windows Server 2003. Predvolene je wins nainštalovaný a spustený na Microsoft Small Business Server 2000 a Microsoft Windows Small Business Server 2003. Predvolene sú komunikačné porty súčastí wins vo všetkých verziách servera Microsoft Small Business Server blokované z internetu a funkcia WINS je k dispozícii len v lokálnej sieti.

Tento problém so zabezpečením by mohol útočník na diaľku ohroziť server WINS, ak je splnená jedna z nasledujúcich podmienok:

• Zmenili ste predvolenú konfiguráciu tak, aby sa rola servera WINS nainštalovala na systém Windows NT Server 4.0, systém Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server alebo Windows Server 2003.

• Používate Microsoft Small Business Server 2000 alebo Microsoft Windows Small Business Server 2003 a útočník má prístup k lokálnej sieti.

Ak chcete chrániť počítač pred týmto potenciálnym zraniteľnosťou, postupujte takto:

1. Blokujte port TCP 42 a port UDP 42 v bráne firewall.
   
   
   Tieto porty sa používajú na spustenie pripojenia k vzdialenému serveru WINS. Ak tieto porty zablokujete v bráne firewall, zabránite počítačom, ktoré stoja za touto bránou firewall, aby sa pokúsili použiť toto nedostatočné zabezpečenie. Port TCP 42 a port UDP 42 sú predvolené porty replikácie wins. Odporúčame blokovať všetku prichádzajúcu nevyžiadanú komunikáciu z internetu.

2. Zabezpečenie internetového protokolu (IPsec) použite na ochranu prenosov medzi partnermi replikácie servera WINS. Ak to chcete urobiť, použite niektorú z nasledujúcich možností.
   
   Upozornenie Keďže každá infraštruktúra wins je jedinečná, tieto zmeny môžu mať neočakávané účinky na vašu infraštruktúru. Dôrazne odporúčame, aby ste pred vykonaním tohto zmiernenia vykonali analýzu rizík. Dôrazne tiež odporúčame vykonať úplné testovanie pred tým, než umiestnite toto obmedzenie do produkcie.
   

   • Možnosť č. 1: Manuálne nakonfigurujte filtre
     IPSec Manuálne nakonfigurujte filtre IPSec a potom postupujte podľa pokynov v nasledujúcom článku databázy Microsoft Knowledge Base a pridajte blokový filter, ktorý blokuje všetky pakety z ľubovoľnej IP adresy na IP adresu vášho systému:

     813878 Blokovanie konkrétnych sieťových protokolov a portov pomocou protokolu IPSec
     
     Ak používate ipsec v prostredí domény služby Active Directory systému Windows 2000 a politiku IPSec nasadíte pomocou skupinová politika, politika domény prepíše všetky lokálne definované politiky. Tento výskyt zabráni tejto možnosti blokovať požadované pakety.
     
     Ak chcete zistiť, či vaše servery dostávajú politiku IPSec z domény systému Windows 2000 alebo novšej verzie, pozrite si časť Určenie priradenia politiky PROTOKOLU IPSec v článku 813878 databázy Knowledge Base.
     
     Keď zistíte, že môžete vytvoriť efektívnu lokálnu politiku protokolu IPSec, stiahnite si nástroj IPSeccmd.exe alebo nástroj IPSecpol.exe.
     
     Nasledujúce príkazy blokujú prichádzajúci a výstupný prístup k portu TCP 42 a portu UDP 42.
     
     Poznámka: V týchto príkazoch %IPSEC_Command% odkazuje na Ipsecpol.exe (vo Windowse 2000) alebo Ipseccmd.exe (Windows Server 2003).

     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK 
     

     Pomocou nasledujúceho príkazu je politika protokolu IPSec okamžite účinná, ak neexistuje žiadna konfliktná politika. Tento príkaz začne blokovať všetky prichádzajúce alebo odchádzajúce pakety TCP portu 42 a portu UDP 42. Týmto sa účinne zabraňuje replikácii rozhrania WINS medzi serverom, na ktorom boli tieto príkazy spustené, a všetkými partnermi replikácie wins.

     %IPSEC_Command% -w REG -p "Block WINS Replication" –x 

     Ak sa po zapnutí tejto politiky protokolu IPSec vyskytnú problémy v sieti, môžete zrušiť priradenie politiky a potom odstrániť politiku pomocou nasledujúcich príkazov:

     %IPSEC_Command% -w REG -p "Block WINS Replication" -y 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -o 

     Ak chcete povoliť replikáciu rozhrania WINS na fungovanie medzi konkrétnymi partnermi replikácie wins, musíte tieto pravidlá blokovania prepísať pravidlami povolenia. Pravidlá povolenia by mali určovať IP adresy iba dôveryhodných partnerov replikácie systému WINS.
     
     
     Nasledujúce príkazy môžete použiť na aktualizáciu politiky Block WINS Replication IPSec, ktorá umožní konkrétnym IP adresám komunikovať so serverom, ktorý používa politiku block WINS Replication.
     
     Poznámka: V týchto príkazoch %IPSEC_Command% odkazuje na Ipsecpol.exe (vo Windowse 2000) alebo Ipseccmd.exe (Windows Server 2003) a %IP% odkazuje na IP adresu vzdialeného servera WINS, s ktorým chcete replikovať.

     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS 
     

     Ak chcete politiku priradiť okamžite, použite nasledujúci príkaz:

     %IPSEC_Command% -w REG -p "Block WINS Replication" -x

   • 2. možnosť: Spustenie skriptu na automatickú konfiguráciu filtrov
     IPSec Stiahnuť a potom spustiť WINS Replication Blocker skript, ktorý vytvára politiku IPSec blokovať porty. Postupujte takto:
     

     1. Ak chcete stiahnuť a extrahovať .exe súbory, postupujte takto:
        

        1. Stiahnite si skript wins replication blocker.
           
           Nasledujúci súbor je k dispozícii na stiahnutie z Centra sťahovania softvéru spoločnosti Microsoft:
           
           Stiahnuť balík skriptu WINS Replication Blocker.
           
           Dátum vydania: 2. decembra 2004
           
           Ďalšie informácie o sťahovaní súborov technickej podpory spoločnosti Microsoft získate kliknutím na toto číslo článku v databáze Microsoft Knowledge Base:

           119591 Ako získať súbory technickej podpory spoločnosti Microsoft od online služby
           spoločnosť Microsoft naskenovaná tento súbor neobsahuje vírusy. Spoločnosť Microsoft použila najaktuálnejší softvér na zisťovanie vírusov, ktorý bol k dispozícii v deň odoslania súboru. Súbor je uložený na serveroch s rozšíreným zabezpečením, ktoré pomáhajú zabrániť neoprávneným zmenám v súbore.
           

           Ak sťahujete skript WINS Replication Blocker na disketu, použite naformátovaný prázdny disk. Ak sťahujete skript WINS Replication Blocker na pevný disk, vytvorte nový priečinok na dočasné uloženie súboru a extrahovanie súboru z neho.
           
           
           Upozornenie: Nesťahujte súbory priamo do priečinka windowsu. Táto akcia môže prepísať súbory, ktoré sú potrebné na správne fungovanie počítača.

        2. Vyhľadajte súbor v priečinku, do ktorý ste ho stiahli, a potom dvojitým kliknutím na samoextrahujúci .exe súbor extrahujte obsah do dočasného priečinka. Napríklad rozbaľte obsah do bunky C:\Temp.

     2. Otvorte príkazový riadok a potom prejdite do adresára, v ktorom sa extrahujú súbory.

     3. Upozornenie

        • Ak máte podozrenie, že vaše WINS servery môžu byť infikované, ale nie ste si istí, čo WINS servery sú ohrozené, alebo či váš aktuálny server WINS je ohrozená, nezadávajte žiadne IP adresy v kroku 3. Od novembra 2004 však nevieme o žiadnych zákazníkoch, ktorých sa tento problém týka. Preto, ak vaše servery fungujú podľa očakávaní, pokračujte podľa popisu.

        • Ak ste nesprávne nastavili IPsec, môžete spôsobiť vážne problémy s replikáciou wins vo vašej podnikovej sieti.

        Spustite súbor Block_Wins_Replication.cmd. Ak chcete vytvoriť pravidlá blokovania prichádzajúcej a odchádzajúcej komunikácie portu TCP 42 a portU UDP 42, zadajte
        1 a potom stlačením klávesu ENTER vyberte možnosť 1, keď sa zobrazí výzva na výber požadovanej možnosti.

        Po výbere možnosti 1 skript zobrazí výzvu na zadanie IP adries dôveryhodných replikujúcich serverov WINS.
        
        
        Každá zadaná IP adresa je oslobodená od politiky blokovania portu TCP 42 a portu UDP 42. Zobrazí sa výzva v slučke a môžete zadať toľko IP adries, koľko potrebujete. Ak nepoznáte všetky IP adresy partnerov replikácie wins, môžete spustiť skript znova v budúcnosti. Ak chcete začať zadávať IP adresy dôveryhodných partnerov replikácie wins, zadajte 2 a potom stlačením klávesu ENTER vyberte možnosť 2, keď sa zobrazí výzva na výber požadovanej možnosti.
        
        
        Po nasadení aktualizácie zabezpečenia môžete politiku IPSec odstrániť. Ak to chcete urobiť, spustite skript. Zadajte 3 a potom stlačením klávesu ENTER vyberte možnosť 3, keď sa zobrazí výzva na výber požadovanej možnosti.
        
        Ďalšie informácie o nástroji IPsec a spôsobe používania filtrov získate kliknutím na nasledujúce číslo článku v databáze Microsoft Knowledge Base:
        
        

        313190 Ako používať zoznamy filtrov IP adries IPsec vo Windowse 2000
        
        

3. Ak ho nepotrebujete, odstráňte wins.
   
   Ak už výhry nepotrebujete, odstráňte ho pomocou týchto krokov. Tieto kroky sa vzťahujú na Windows 2000, Windows Server 2003 a novšie verzie týchto operačných systémov. V prípade systém Windows NT Server 4.0 postupujte podľa postupu, ktorý je zahrnutý v dokumentácii k produktu.
   
   Dôležité Mnoho organizácií vyžaduje WINS vykonávať jedno označenie alebo plochý názov registrácie a riešenia funkcií na ich sieti. Správcovia by nemali odstraňovať wins, pokiaľ nie je splnená jedna z nasledujúcich podmienok:
   

   • Správca plne chápe, aký vplyv bude mať odstránenie rozhrania WINS na jeho sieť.

   • Správca nakonfiguroval DNS systém tak, aby poskytoval ekvivalentné funkcie pomocou úplných názvov domén a prípon DNS domén.

   Ak správca odstraňuje funkciu WINS zo servera, ktorý bude naďalej poskytovať zdieľané zdroje v sieti, správca musí správne prekonfigurovať systém tak, aby používal zostávajúce služby na rozlíšenie názvov, ako je napríklad DNS v lokálnej sieti.
   
   Ďalšie informácie o programe WINS nájdete na nasledujúcej webovej lokalite spoločnosti Microsoft:

   http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true Ďalšie informácie o tom, ako zistiť, či potrebujete rozlíšenie názvov NETBIOS alebo WINS a konfiguráciu DNS, nájdete na nasledujúcej webovej lokalite spoločnosti Microsoft:

   http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxAk chcete odstrániť wins, postupujte takto:
   

   1. V ovládací panel otvorte položku Pridať alebo odstrániť programy.

   2. Kliknite na položku Pridať alebo odstrániť súčasti systému Windows.
      

   3. Na stránke Sprievodcu súčasťami systému Windows kliknite v časti
      Súčasti na položku Sieťové služby a potom na položku Podrobnosti.

   4. Kliknutím zrušte začiarknutie políčka Windows Internet Naming Service (WINS) a odstráňte wins.

   5. Postupujte podľa pokynov na obrazovke a dokončite Sprievodcu súčasťami systému Windows.

Pracujeme na aktualizácii na riešení tohto problému so zabezpečením v rámci nášho bežného procesu aktualizácie. Keď aktualizácia dosiahne primeranú úroveň kvality, aktualizáciu poskytneme prostredníctvom Windows Update.


Ak sa domnievate, že vás to ovplyvnilo, obráťte sa na služby technickej podpory.

Medzinárodní zákazníci by sa mali obrátiť na služby technickej podpory produktov pomocou akejkoľvek metódy, ktorá je uvedená na nasledujúcej webovej lokalite spoločnosti Microsoft:

http://support.microsoft.com