UVOD

Istražujemo izveštaje o bezbednosnom problemu sa Uslugom Microsoft Windows Internet Name Service (WINS). Ovaj bezbednosni problem utiče na Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server i Microsoft Windows Server 2003. Ovaj bezbednosni problem ne utiče na Microsoft Windows 2000 Professional, Microsoft Windows XP ili Microsoft Windows Millennium Edition.

Više informacija

WINS podrazumevano nije instaliran u sistemima Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server ili Windows Server 2003. WINS je podrazumevano instaliran i radi na sistemu Microsoft Small Business Server 2000 i Microsoft Windows Small Business Server 2003. Na svim verzijama Microsoft Small Business servera, portovi komunikacije WINS komponente su podrazumevano blokirani sa interneta, a WINS je dostupan samo na lokalnoj mreži. Ovaj bezbednosni problem bi mogao da spreči napadača da daljinski ugrozi WINS server ako je ispunjen neki od sledećih uslova:

  • Promenili ste podrazumevanu konfiguraciju da biste instalirali ulogu WINS servera u sistemu Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server ili Windows Server 2003.

  • Koristite Microsoft Small Business Server 2000 ili Microsoft Windows Small Business Server 2003, a napadač ima pristup lokalnoj mreži.

Da biste zaštitili računar od ove potencijalne ranjivosti, pratite ove korake:

  1. Blokirajte TCP port 42 i UDP port 42 na zaštitnom zidu.Ovi portovi se koriste za pokretanje veze sa udaljenim WINS serverom. Ako blokirate ove portove u zaštitnom zidu, pomažete u sprečavanju računara koji se nalaze iza zaštitnog zida da pokušaju da koriste ovu ranjivost. TCP port 42 i UDP port 42 su podrazumevani WINS portovi replikacije. Preporučujemo da blokirate sve dolazne nezahtevane komunikacije sa interneta.

  2. Koristite bezbednost Internet protokola (IPsec) da biste zaštitili saobraćaj između partnera za replikaciju WINS servera. Da biste to uradili, koristite jednu od sledećih opcija. Oprez Pošto je svaka WINS infrastruktura jedinstvena, ove promene mogu imati neočekivane efekte na infrastrukturu. Preporučujemo da izvršite analizu rizika pre nego što odaberete da primenite ovo umanjivanje. Preporučujemo i da obavite kompletno testiranje pre nego što uvedete ovo umanjivanje u proizvodnju.

    • 1. opcija: Ručno konfigurišite IPSec filtere Ručno konfigurišite IPSec filtere, a zatim pratite uputstva u sledećem članku Microsoft baze znanja da biste dodali filter za blokiranje koji blokira sve pakete sa bilo koje IP adrese na IP adresu sistema:

      813878 Blokiranje određenih mrežnih protokola i portova pomoću IPSec protokola Ako koristite IPSecu okruženju Domena sistema Windows 2000 Active Directory i primenite IPSec smernice pomoću Smernice grupe, smernice domena zamenjuju sve lokalno definisane smernice. Ovo pojavljivanje sprečava ovu opciju da blokira željene pakete.Da biste utvrdili da li vaši serveri dobijaju IPSec smernice sa Windows 2000 domena ili novije verzije, pogledajte odeljak "Utvrđivanje da li je dodeljena IPSec smernica" u članku baze 813878. Kada utvrdite da možete da kreirate važeće lokalne IPSec smernice, preuzmite alatku IPSeccmd.exe ili alatku IPSecpol.exe IPSec. Sledeće komande blokiraju dolazni i odlazni pristup TCP portu 42 i UDP portu 42.Napomena U ovim komandama% IPSEC_Command% se odnosi na Ipsecpol.exe (u operativnom sistemu Windows 2000) ili Ipseccmd.exe (na Windows Server 2003).

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK

      Sledeća komanda čini smernice IPSec efikasnim odmah ako nema neusaglašenih smernica. Ova komanda će početi da blokira sve dolazne/odlazne TCP portove 42 i UDP port 42 pakete. To efikasno sprečava WINS replikaciju između servera na kom su pokrenute ove komande i partnera za replikaciju WINS.

      %IPSEC_Command% -w REG -p "Block WINS Replication" –x

      Ako naiđete na probleme na mreži kada omogućite ove IPSec smernice, možete da opozovete dodelu smernica, a zatim da ih izbrišete pomoću sledećih komandi:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -y %IPSEC_Command% -w REG -p "Block WINS Replication" -o

      Da biste dozvolili funkciju WINS replikacije između određenih WINS partnera za replikaciju, morate da zamenite ova pravila bloka pravilima za dozvoljavanje. Pravila za dozvoljavanje bi trebalo da navedu samo IP adrese pouzdanih WINS partnera za replikaciju.Možete da koristite sledeće komande da biste ažurirali smernice Block WINS Replication IPSec da biste dozvolili određenim IP adresama da komuniciraju sa serverom koji koristi smernice Blokiraj WINS replikaciju.Napomena U ovim komandama% IPSEC_Command% upućuje na Ipsecpol.exe (u operativnom sistemu Windows 2000) ili Ipseccmd.exe (na Windows Server 2003), a %IP% upućuje na IP adresu udaljenog WINS servera sa kojim želite da izvršite repliciranje.

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS

      Da biste odmah dodelili smernice, koristite sledeću komandu:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -x

    • 2. opcija: Pokrenite skriptu da biste automatski konfigurisali IPSec filtere Preuzmi, a zatim pokrenite skriptu blokatora WINS replikacije koja kreira smernice IPSec za blokiranje portova. Da biste to uradili, pratite ove korake:

      1. Da biste preuzeli i izdvojili .exe datoteke, pratite ove korake:

        1. Preuzmite skriptu blokatora WINS replikacije. Sledeća datoteka je dostupna za preuzimanje sa sajta Microsoft Download Center:Preuzimanjeodmah preuzmite paket skripte WINS replikacije. Datum izdavanja: 2. decembar 2004 . Dodatne informacije o tome kako da preuzmete datoteke Microsoft podrške potražite u sledećem broju članka u Microsoft bazi znanja:

          119591 Kako da od korporacije Microsoft dobijete datoteke podrške usluge na mreži je Microsoft skenirao ovu datoteku zbog virusa. Microsoft je koristio najnoviji softver za otkrivanje virusa koji je bio dostupan na datum objavljivanja datoteke. Datoteka se skladišti na serverima unapređenim u bezbednosti koji vam pomažu da sprečite neovlašćene promene u datoteci.

          Ako preuzimate skriptu BLOKATORA WINS replikacije na disketu, koristite oblikovani prazan disk. Ako preuzimate skriptu BLOKATORA WINS replikacije na čvrsti disk, kreirajte novu fasciklu u kojoj ćete privremeno sačuvati datoteku i iz koje ćete je izdvojiti. Oprez Nemojte preuzimati datoteke direktno u Windows fasciklu. Ova radnja može da zameni datoteke koje su neophodne da bi računar ispravno funkcionisao.

        2. Pronađite datoteku u fascikli u koju ste je preuzeli, a zatim kliknite dvaput na datoteku koja .exe koja se sama izdvaja da biste izdvojali sadržaj u privremenu fasciklu. Na primer, izdvojite sadržaj na C:\Temp.

      2. Otvorite komandnu liniju, a zatim se premestite u direktorijum u kojem se izdvajaju datoteke.

      3. Upozorenje

        • Ako sumnjate da su vaši WINS serveri možda zaraženi, ali niste sigurni koji WINS serveri su ugroženi ili da li je trenutni WINS server ugrožen, nemojte unositi IP adrese u 3. koraku. Međutim, od novembra 2004. Stoga, ako vaši serveri funkcionišu kao što je očekivano, nastavite kao što je opisano.

        • Ako ste neispravno podesili IPsec, možete da izazovete ozbiljne probleme sa WINS replikacije na korporativnoj mreži.

        Pokrenite datoteku Block_Wins_Replication.cmd datoteku. Da biste kreirali pravila za TCP port 42 i UDP port 42 za dolazni i odlazni blok, otkucajte 1, a zatim pritisnite taster ENTER da biste izabrali opciju 1 kada se od vas zatraži da izaberete željenu opciju.

        Kada izaberete opciju 1, skripta traži da unesete IP adrese pouzdanih WINS servera za replikaciju. Svaka IP adresa koju unesete izuzima se iz smernica blokiranja TCP porta 42 i UDP porta 42. Od vas će se tražiti da unesete koliko god IP adresa je potrebno. Ako ne znate sve IP adrese WINS partnera za replikaciju, možete ponovo da pokrenete skriptu u budućnosti. Da biste počeli da unosite IP adrese pouzdanih WINS partnera za replikaciju, otkucajte 2 i pritisnite taster ENTER da biste izabrali opciju 2 kada se od vas zatraži da izaberete željenu opciju. Kada primenite bezbednosnu ispravku, možete da uklonite IPSec smernice. Da biste to uradili, pokrenite skriptu. Otkucajte 3, a zatim pritisnite taster ENTER da biste izabrali opciju 3 kada se od vas zatraži da izaberete željenu opciju.Za dodatne informacije o IPsec-u i o tome kako da primenite filtere kliknite na sledeći broj članka da biste videli članak u Microsoft bazi znanja:

        313190 Kako se koriste liste IPsec IP filtera u operativnom sistemu Windows 2000

  3. Uklonite WINS ako vam nije potreban. Ako vam WINS više nije potreban, pratite ove korake da biste ga uklonili. Ovi koraci se odnose na Windows 2000, Windows Server 2003 i novije verzije ovih operativnih sistema. Za Windows NT Server 4.0 pratite proceduru koja je uključena u dokumentaciju proizvoda. Važno Mnoge organizacije zahtevaju DA WINS izvrši jedinstvenu nalepnicu ili ravnu registraciju imena i funkcije za razrešavanje na mreži. Administratori ne bi trebalo da uklone WINS ako neki od sledećih uslova nije ispunjen:

    • Administrator u potpunosti razume efekat koji će uklanjanje WINS-a imati na njihovu mrežu.

    • Administrator je konfigurisao DNS da obezbedi jednaku funkcionalnost pomoću potpuno kvalifikovanih imena domena i sufiksa DNS domena.

    Takođe, ako administrator uklanja funkcionalnost WINS sa servera koji će nastaviti da obezbeđuje deljene resurse na mreži, administrator mora ispravno ponovo da konfiguriše sistem da bi koristio preostale usluge za rešavanje imena kao što je DNS na lokalnoj mreži. Za više informacija o WINS-u posetite sledeću Microsoft veb lokaciju:

    http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true Za više informacija o tome kako da utvrdite da li vam je potrebna rezolucija imena NETBIOS ili WINS i DNS konfiguracija, posetite sledeću Microsoft Veb lokaciju:

    http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxDa biste uklonili WINS, pratite ove korake:

    1. U Kontrolna tabla stavku Dodaj ili ukloni programe.

    2. Izaberite stavku Dodaj/ukloni Windows komponente.

    3. Na stranici Windows čarobnjaka za komponente, u okviruKomponente izaberite stavku Usluge umrežavanja, a zatim stavku Detalji.

    4. Kliknite da biste opozvali izbor u polju za potvrdu Windows Internet Naming Service (WINS) da biste uklonili WINS.

    5. Pratite uputstva na ekranu da biste dovršili čarobnjak za Windows komponente.

Radimo na ažuriranju da bismo rešili ovaj bezbednosni problem kao deo našeg redovnog procesa ažuriranja. Kada ispravka dostigne odgovarajući nivo kvaliteta, ispravku ćemo obezbediti putem Windows Update.Ako smatrate da to utiče na vas, obratite se uslugama za podršku proizvodima.Međunarodni klijenti treba da se obrate uslugama podrške za proizvod pomoću bilo kog metoda navedenog na sledećoj Microsoft veb lokaciji:

http://support.microsoft.com

Facebook LinkedIn E-pošta
PRETPLATITE SE NA RSS FEEDOVE

Da li vam je potrebna dodatna pomoć?

Želite još opcija?

Istražite pogodnosti pretplate, pregledajte kurseve za obuku, saznajte kako da obezbedite uređaj i još mnogo toga.

Pogodnosti pretplate na Microsoft 365

Obuka za Microsoft 365

Microsoft bezbednost

Centar za pristupačnost