UVOD

Raziskujemo poročila o varnostni težavi s storitvijo WINS (Microsoft Windows Internet Name Service). Ta varnostna težava vpliva na Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server in Microsoft Windows Server 2003. Ta varnostna težava ne vpliva na Microsoft Windows 2000 Professional, Microsoft Windows XP ali Microsoft Windows Millennium Edition.

Več informacij

Wins ni nameščen v sistemih Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server ali Windows Server 2003. Wins je privzeto nameščen in se izvaja v strežnikih Microsoft Small Business Server 2000 in Microsoft Windows Small Business Server 2003. Privzeto so v vseh različicah strežnika Microsoft Small Business Server vrata za komunikacijo s komponento WINS blokirana v internetu, WINS pa je na voljo le v lokalnem omrežju. Ta varnostna težava lahko povzroči, da napadalec oddaljeno ogrozi strežnik WINS, če velja eden od teh pogojev:

  • Privzeto konfiguracijo ste spremenili tako, da je bila v sistemih Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server ali Windows Server 2003 nameščena vloga strežnika WINS.

  • Uporabljate Microsoft Small Business Server 2000 ali Microsoft Windows Small Business Server 2003, napadalec pa ima dostop do vašega lokalnega omrežja.

Če želite zaščititi računalnik pred to morebitno ranljivostjo, sledite tem korakom:

  1. Blokirajte vrata TCP 42 in vrata UDP 42 v požarnem zidu.Ta vrata se uporabljajo za začetek povezave z oddaljenim strežnikom WINS. Če ta vrata blokirate pri požarnem zidu, preprečite računalnikom, ki so za tem požarnim zidom, da bi poskušali uporabiti to ranljivost. Vrata TCP 42 in vrata UDP 42 so privzeta vrata WINS replikacije. Priporočamo, da blokirate vso dohodno neželeno komunikacijo iz interneta.

  2. Če želite zaščititi promet med partnerji za podvajanje strežnikov WINS, uporabite varnost internetnega protokola (IPsec). To naredite tako, da uporabite eno od teh možnosti. Pozor Ker je vsaka infrastruktura WINS enolična, lahko te spremembe imajo nepričakovane učinke na infrastrukturo. Toplo priporočamo, da izvedete analizo tveganja, preden se odločite za izvedbo tega ublažitve posledic. Priporočamo tudi, da izvedete popolno preskušanje, preden ublažite to zmanjšanje v proizvodnjo.

    • 1. možnost: Ročno konfigurirajte filtre IPSec Ročno konfigurirajte filtre IPSec in nato sledite navodilom v tem članku iz Microsoftove zbirke znanja, da dodate filter bloka, ki blokira vse pakete iz katerega koli naslova IP v naslov IP sistema:

      813878 Kako blokirati določene omrežne protokole in vrata s funkcijo IPSec Če uporabljate IPSecv okolju domene imenika Active Directory sistema Windows 2000 in uvedete pravilnik IPSec s programom pravilnik skupine, pravilnik domene preglasi kateri koli lokalno določen pravilnik. Ta ponovitev prepreči to možnost, da bi blokirala želene pakete.Če želite ugotoviti, ali strežniki prejemajo pravilnik IPSec iz domene sistema Windows 2000 ali novejše različice, glejte razdelek »Določanje, ali je ipsec pravilnik dodeljen« v članku 813878. Ko ste se odločili, da lahko ustvarite učinkovit lokalni pravilnik IPSec, prenesite orodje IPSeccmd.exe ali orodje IPSecpol.exe ipSec. Ti ukazi blokirajo dohodni in odhodni dostop do vrat TCP 42 in VRAT UDP 42.Opomba V teh ukazih se %IPSEC_Command% nanaša na Ipsecpol.exe (v sistemu Windows 2000) ali Ipseccmd.exe (v sistemu Windows Server 2003).

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK

      S tem ukazom takoj aktivirate pravilnik IPSec, če ni pravilnika v sporu. Ta ukaz bo začel blokirati vsa dohodna/odhodna vrata TCP 42 in vrata UDP 42 paketov. S tem učinkovito preprečite, da bi se podvajanje WINS pojavilo med strežnikom, v katerem so bili ti ukazi zagnali, in morebitnimi partnerji za podvajanje WINS.

      %IPSEC_Command% -w REG -p "Block WINS Replication" –x

      Če pride do težav v omrežju, ko omogočite ta pravilnik IPSec, lahko odstranite pravilnik in nato izbrišete pravilnik s temi ukazi:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -y %IPSEC_Command% -w REG -p "Block WINS Replication" -o

      Če želite omogočiti, da replikacija WINS omogoča delovanje med določenimi partnerji WINS replikacije, morate preglasiti ta pravila bloka s pravili za omogočanje. Pravila za omogočanje morajo določati le naslove IP zaupanja vrednih partnerjev replikacije WINS.S temi ukazi lahko posodobite pravilnik IPSec block WINS Replication, da določenim naslovom IP omogočite komunikacijo s strežnikom, ki uporablja pravilnik Block WINS Replication.Opomba V teh ukazih se %IPSEC_Command% nanaša na Ipsecpol.exe (v sistemu Windows 2000) ali Ipseccmd.exe (v sistemu Windows Server 2003), %IP% pa na naslov IP oddaljenega strežnika WINS, s katerim želite ponoviti kopijo.

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS

      Če želite pravilnik dodeliti takoj, uporabite ta ukaz:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -x

    • 2. možnost: Zaženite skript, da samodejno konfigurirate filtre IPSec Prenesi, nato pa zaženite skript za blokiranje replikacij WINS, ki ustvari pravilnik IPSec za blokiranje vrat. To naredite tako:

      1. Če želite prenesti in ekstrahirati .exe datotek, sledite tem korakom:

        1. Prenesite skript blokiranje podvajanja WINS. Ta datoteka je na voljo za prenos iz Microsoftovega centra za prenose:Prenosprenesite skriptni paket za blokiranje replikacij WINS. Datum izdaje: 2. december 2004 Če želite več informacij o tem, kako prenesete datoteke Microsoftove podpore, kliknite to številko članka iz Microsoftove zbirke znanja:

          119591 Kako pridobiti Datoteke Microsoftove podpore iz spletne storitve Microsoft je v tej datoteki pregledal, ali so v datoteki virusi. Microsoft je uporabil najnovejšo programsko opremo za zaznavanje virusov, ki je bila na voljo na datum lokacije datoteke. Datoteka je shranjena v strežnikih z izboljšano varnostjo, ki preprečujejo nepooblaščene spremembe datoteke.

          Če želite prenesti skript za blokiranje podvajanja WINS na disketo, uporabite formatirane prazne diske. Če želite prenesti skript za blokiranje replikacij WINS na trdi disk, ustvarite novo mapo, v katero boste začasno shranili datoteko in jo ekstrahirati iz datoteke. Pozor Datoteke ne prenašajte neposredno v mapo s sistemom Windows. S tem dejanjem lahko prepišete datoteke, ki jih računalnik zahteva za pravilno delovanje.

        2. Poiščite datoteko v mapi, v katero ste jo prenesli, in nato dvokliknite samodejno ekstrahiranje datoteke .exe, da izvlečete vsebino v začasno mapo. Vsebino ekstrahiraj na primer v C:\Temp.

      2. Odprite ukazni poziv in se premaknite v imenik, kjer so datoteke ekstrahirano.

      3. Opozorilo

        • Če sumite, da so vaši strežniki WINS morda okuženi, vendar ne veste, kateri strežniki WINS so ogroženi ali ali je ogrožen vaš trenutni strežnik WINS, v 3. koraku ne vnašajte naslovov IP. Vendar od novembra 2004 nismo seznanjeni s strankami, na katere je ta težava vplivala. Če torej vaši strežniki delujejo po pričakovanjih, nadaljujte, kot je opisano.

        • Če ste IPsec nepravilno nastavili, lahko v omrežju podjetja pride do resnih težav pri podvajanju WINS.

        Zaženite Block_Wins_Replication.cmd datoteko. Če želite ustvariti pravila vrat TCP 42 in UDP 42 za dohodni in odhodni blok, vnesite 1 in nato pritisnite ENTER, da izberete možnost 1, ko ste pozvani, da izberete želeno možnost.

        Ko izberete 1. možnost, vas skript pozove, da vnesete naslove IP zaupanja vrednih strežnikov WINS. Vsak naslov IP, ki ga vnesete, je izvzet iz blokiranja vrat TCP 42 in vrat UDP 42. Pozvani boste v zanki in po potrebi lahko vnesete poljubno število naslovov IP. Če ne poznate vseh naslovov IP partnerjev za podvajanje WINS, lahko skript znova zaženete v prihodnosti. Če želite začeti vnašati naslove IP zaupanja vrednih partnerjev za podvajanje WINS, vnesite 2 in pritisnite enter, da izberete možnost 2, ko ste pozvani, da izberete želeno možnost. Ko uvedete varnostno posodobitev, lahko odstranite pravilnik IPSec. To naredite tako, da zaženete skript. Vnesite 3 in nato pritisnite ENTER, da izberete možnost 3, ko ste pozvani, da izberete želeno možnost.Če želite več informacij o IPsec in o tem, kako uporabiti filtre, kliknite to številko članka iz Microsoftove zbirke znanja:

        313190 Uporaba seznamov filtrov IP za IPsec v sistemu Windows 2000

  3. Če ga ne potrebujete, odstranite WINS. Če wins ne potrebujete več, ga odstranite tako, da upoštevate ta navodila. Ta navodila veljajo za Windows 2000, Windows Server 2003 in novejše različice teh operacijskih sistemov. Za Windows NT Server 4.0 upoštevajte postopek, ki je vključen v dokumentacijo izdelka. Pomembno Številne organizacije zahtevajo, da WINS v svojem omrežju izvajajo funkcije registracije in razreševanja imen z eno samo oznako ali plosko. Skrbniki naj ne odstranijo wins, razen če velja eden od teh pogojev:

    • Skrbnik v celoti razume, kako bo odstranjevanje WINS-a to imelo v svojem omrežju.

    • Skrbnik je konfiguriral dns tako, da zagotavlja enakovredno funkcionalnost s popolnoma kvalificiranimi imeni domen in priponami domene DNS.

    Če skrbnik iz strežnika odstrani funkcijo WINS, ki bo še naprej zagotavljal sredstva v skupni rabi v omrežju, mora skrbnik pravilno znova konfigurirati sistem, da bo lahko uporabil preostale storitve za razreševanje imen, kot so DNS v lokalnem omrežju. Če želite več informacij o storitvi WINS, obiščite to Microsoftovo spletno mesto:

    http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true Če želite več informacij o tem, kako ugotovite, ali potrebujete netbios ali WINS ime ločljivost in konfiguracijo DNS, obiščite to Microsoftovo spletno mesto:

    http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxČe želite odstraniti WINS, sledite tem korakom:

    1. V nadzorna plošča kliknite Dodaj ali odstrani programe.

    2. Kliknite Dodaj/odstrani komponente sistema Windows.

    3. Na strani čarovnika za komponente sistema Windows vrazdelku Komponente kliknite Omrežne storitve in nato podrobnosti.

    4. Kliknite, da počistite potrditveno polje Wins (Windows Internet Naming Service), da odstranite WINS.

    5. Sledite navodilom na zaslonu, da dokončate čarovnika za komponente sistema Windows.

Trudimo se, da bi to varnostno težavo odpravili v okviru rednega postopka posodabljanja. Ko posodobitev doseže ustrezno raven kakovosti, jo bomo zagotovili prek Windows Update.Če ste menimo, da je to vplivalo na vas, se obrnite na storitve podpore za izdelke.Mednarodne stranke naj se obrnejo na storitve podpore za izdelke na kateri koli način, naveden na tem Microsoftovem spletnem mestu:

http://support.microsoft.com

Facebook LinkedIn E-pošta
NAROČITE SE NA VIRE RSS

Ali potrebujete dodatno pomoč?

Ali želite več možnosti?

Raziščite ugodnosti naročnine, prebrskajte izobraževalne tečaje, preberite, kako zaščitite svojo napravo in še več.

Ugodnosti naročnine na Microsoft 365

Izobraževanje za Microsoft 365

Microsoftova varnost

Središče za dostopnost