Åtgärder mot ett WINS-säkerhetsproblem

INLEDNING

Vi undersöker för närvarande rapporter om ett säkerhetsproblem i Microsoft WINS (Windows Internet Name Service), som berör Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server och Microsoft Windows Server 2003. Problemet berör inte Microsoft Windows 2000 Professional, Microsoft Windows XP eller Microsoft Windows Millennium Edition.

Mer Information

WINS installeras normalt inte i Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server eller Windows Server 2003. Normalt installeras och körs WINS i Microsoft Small Business Server 2000 och Microsoft Windows Small Business Server 2003. I alla versioner av Microsoft Small Business Server blockeras normalt WINS-komponentens kommunikationsportar för Internet och WINS är bara tillgängligt i det lokala nätverket.

Det här säkerhetsproblemet kan göra det möjligt att angripa en WINS-server från en annan dator om någon av följande förutsättningar är uppfylld:

  • Standardkonfigurationen har ändrats till installation av WINS-serverrollen i Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server eller Windows Server 2003.

  • Du använder Microsoft Small Business Server 2000 eller Microsoft Windows Small Business Server 2003, och en angripare har tillgång till det lokala nätverket.

Så här skyddar du datorn mot säkerhetsproblemet:

  1. Blockera TCP-port 42 och UDP-port 42 i brandväggen.


    Dessa portar används för att initiera en anslutning till en fjärr-WINS-server. Om du blockerar de här portarna i brandväggen förhindrar du att säkerhetsproblemet kan utnyttjas från datorer bakom brandväggen. TCP-port 42 och UDP-port 42 är standardportarna för WINS-replikering. Vi rekommenderar att du blockerar all oönskad kommunikation från Internet.

  2. Använd IPSec (Internet Protocol Security) för att skydda trafik mellan partners för WINS-serverreplikering. Använd någon av följande metoder.

    Varning! Eftersom varje WINS-infrastruktur är unik kan de här förändringarna få oväntade effekter på infrastrukturen. Vi rekommenderar att du genomför en riskanalys innan du implementerar den här lösningen. Vi rekommenderar även att du genomför ett fullständigt test innan du implementerar lösningen i full skala.

    • Alternativ 1: Konfigurera IPSec-filter manuellt
      Konfigurera IPSec-filtren manuellt, och följ sedan instruktionerna i följande artikel i Microsoft Knowledge Base för tillägg av ett blockfilter som blockerar alla paket från alla IP-adresser till datorns IP-adress:

      813878 Blockera vissa nätverksprotokoll och portar med hjälp av IPSec (Länken kan leda till en webbplats som är helt eller delvis på engelska)Om du använder IPSec i en Windows 2000 Active Directory-domänmiljö och distribuerar IPSec-principen med hjälp av Grupprincip, har domänprincipen företräde framför alla lokalt definierade principer. Detta förhindrar blockering av önskade paket.

      Du kan ta reda på om dina servrar tar emot en IPSec-princip från en Windows 2000-domän eller en senare version genom att läsa ”Determine whether an IPSec policy is assigned” i artikel 813878 i Knowledge Base.

      När du har fastställt att du kan skapa en effektiv lokal IPSec-princip hämtar du verktyget IPSeccmd.exe eller IPSecpol.exe.

      Följande kommandon blockerar inkommande och utgående åtkomst till TCP-port 42 och UDP-port 42.

      Obs! I de här kommandona refererar %IPSEC_Command% till Ipsecpol.exe (i Windows 2000) eller Ipseccmd.exe (i Windows Server 2003).

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK

      Följande kommando gör att IPSec-principen träder i kraft omedelbart om det inte finns någon princip som står i konflikt med den. Det här kommandot blockerar alla inkommande/utgående paket för TCP-port 42 och UDP-port 42. Detta förhindrar WINS-replikering mellan servern som kommandona kördes på och WINS-replikeringspartners.

      %IPSEC_Command% -w REG -p "Block WINS Replication" –x 

      Om det uppstår några problem i nätverket efter aktivering av den här IPSec-principen kan du göra den icke tilldelad och sedan ta bort den med följande kommandon:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -y 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -o

      Om du vill tillåta WINS-replikering mellan vissa WINS-replikeringspartners måste du åsidosätta dessa blockeringsregler med tillåtelseregler. I dessa regler ska endast IP-adresser till tillförlitliga WINS-replikeringspartners anges.


      Du kan använda följande kommandon för att uppdatera principen Block WINS Replication IPSec, så att vissa IP-adresser tillåts kommunicera med servern där principen Block WINS Replication används.

      Obs! I de här kommandona refererar %IPSEC_Command% till Ipsecpol.exe (i Windows 2000) eller Ipseccmd.exe (i Windows Server 2003), och %IP% refererar till IP-adressen för fjärr-WINS-servern du vill replikera med.

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS

      Om du vill tilldela principen omedelbart använder du följande kommando:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -x
    • Alternativ 2: Kör ett skript för automatisk konfigurering av IPSec-filtren
      Hämta och kör skriptet WINS Replication Blocker som skapar en IPSec-princip för blockering av portarna. Gör så här:

      1. Så här hämtar och extraherar du EXE-filerna:

        1. Hämta skriptet WINS Replication Blocker.

          Följande fil kan hämtas från Microsoft Download Center:

          Hämta paketet med skriptet WINS Replication Blocker nu.

          Utgivningsdatum: 2 december 2004

          Om du vill veta mer om hur du hämtar supportfiler från Microsoft klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:

          119591 Hämta Microsoft-supportfiler från Onlinetjänster Microsoft har genomsökt denna fil med ett antivirusprogram. Genomsökningen har gjorts med det mest aktuella antivirusprogram som var tillgängligt när filen lades upp. Filen finns sparad på servrar med utökad säkerhet, vilket bidrar till att förhindra otillåtna ändringar av den.

          Om du hämtar skriptet WINS Replication Blocker till en diskett använder du en formaterad tom diskett. Om du hämtar skriptet WINS Replication Blocker till hårddisken skapar du en ny mapp att tillfälligt spara filen i och extrahera den från.


          Varning! Hämta inte filer direkt till Windows-mappen. Filer som krävs för att datorn ska fungera på rätt sätt kan skrivas över.

        2. Leta upp filen i mappen du har hämtat den till, och extrahera sedan innehållet till en tillfällig mapp genom att dubbelklicka på den självextraherande EXE-filen. Extrahera till exempel innehållet till C:\Temp.

      2. Öppna Kommandotolken och flytta sedan till katalogen dit filerna extraheras.

      3. Varning!

        • Om du misstänker att WINS-servrarna är angripna, men inte vet vilka WINS-servrar som har angripits eller om din aktuella WINS-server är angripen, anger du inte några IP-adresser i steg 3. För närvarande, i november 2004, känner vi emellertid inte till några kunder som har drabbats av det här problemet. Fortsätt därför enligt instruktionerna om servrarna fungerar som förväntat.

        • Om du konfigurerar IPsec felaktigt kan det medföra allvarliga WINS-replikeringsproblem i företagsnätverket. Mer information om IPSec-säkerhetsfrågor finns på följande Microsoft-webbplats:

          http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/sag_ipsecsec_con.mspx

        Kör filen Block_Wins_Replication.cmd. Skapa regler för inkommande och utgående blockering av TCP-port 42 och UDP-port 42 genom att skriva 1 och sedan välja alternativ 1 med RETUR när du ombeds ange önskat alternativ.

        När du har valt alternativ 1 ombeds du ange IP-adresserna till de tillförlitliga WINS-replikeringsservrarna.


        Varje IP-adress du anger undantas från blockeringsprincipen för TCP-port 42 och UDP-port 42. Du kan ange så många IP-adresser som det krävs. Om du inte känner till alla IP-adresser till WINS-replikeringspartnerna kan du köra skriptet igen vid ett senare tillfälle. Så här börjar du ange IP-adresser till tillförlitliga WINS-replikeringspartner: skriv 2 och välj sedan alternativ 2 med RETUR när du ombeds ange önskat alternativ.


        När du har distribuerat säkerhetsuppdateringen kan du ta bort IPSec-principen. Gör det genom att köra skriptet. Skriv 3 och välj sedan alternativ 3 med RETUR när du ombeds välja önskat alternativ.

        Om du vill veta mer om IPSec och filter klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:

        313190 Använda IPsec-IP-filterlistor i Windows 2000 (Länken kan leda till en webbplats som är helt eller delvis på engelska)

  3. Ta bort WINS om du inte behöver det.

    Om du inte längre behöver WINS tar du bort det med följande åtgärder. Åtgärderna avser Windows 2000, Windows Server 2003 och senare versioner av dessa operativsystem. För Windows NT Server 4.0 följer du instruktionerna i produktdokumentationen.

    Viktigt! Många organisationer kräver WINS för enkla eller platta funktioner för namnregistrering och namnmatchning i nätverket. Administratörer bör endast ta bort WINS om någon av följande förutsättningar är uppfyllda:

    • Administratören inser till fullo vad borttagning av WINS kommer att innebära för nätverket.

    • Administratören har konfigurerat DNS så att det ger motsvarande funktioner med fullt kvalificerade domännamn och DNS-domänsuffix.

    Om en administratör tar bort WINS-funktionerna från en server som kommer att tillhandahålla delade resurser i nätverket, måste administratören dessutom konfigurera om datorn på rätt sätt för användning av återstående namnmatchningstjänster som DNS i det lokala nätverket.

    Ytterligare information om WINS finns på följande Microsoft-webbplats:

    http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true Mer information om hur du tar reda på om du behöver NETBIOS- eller WINS-namnmatchning och DNS-konfiguration finns på följande Microsoft-webbplats:

    http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxSå här tar du bort WINS:

    1. Öppna Lägg till eller ta bort program på Kontrollpanelen.

    2. Klicka på Lägg till/ta bort Windows-komponenter.

    3. På sidan Guiden Windows-komponenter, under Komponenter, klickar du på Nätverkstjänster och sedan på Information.

    4. Ta bort WINS genom att avmarkera kryssrutan Windows Internet Naming Service (WINS).

    5. Slutför guiden Windows-komponenter genom att följa instruktionerna på skärmen.

Vi arbetar på en uppdatering som ska lösa det här säkerhetsproblemet inom ramen för vår vanliga uppdateringsprocess. När uppdateringen har tillräckligt hög kvalitet kommer den att tillhandahållas via Windows Update.


Om du tror att du berörs kontaktar du Microsoft Support. Använd följande PC Safety-telefonnummer till Microsoft Support i Nordamerika för hjälp med säkerhetsuppdateringar eller virus:

1-866-PCSAFETYObs! Samtalet är kostnadsfritt.

Kunder utanför Nordamerika kontaktar Microsoft Support enligt anvisningarna på följande Microsoft-webbplats:

http://support.microsoft.com/?ln=sv

Behöver du mer hjälp?

Utöka dina kunskaper
Utforska utbildning
Få nya funktioner först
Anslut till Microsoft Insiders

Hade du nytta av den här informationen?

Hur nöjd är du med översättningskvaliteten?

Vad påverkade din upplevelse?

Har du ytterligare feedback? (Valfritt)

Tack för din feedback!

×