Så här skyddar du mot ett WINS-säkerhetsproblem

INFÖRANDET

Vi undersöker rapporter om ett säkerhetsproblem med WINS (Microsoft Windows Internet Name Service). Det här säkerhetsproblemet påverkar Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server och Microsoft Windows Server 2003. Det här säkerhetsproblemet påverkar inte Microsoft Windows 2000 Professional, Microsoft Windows XP eller Microsoft Windows Millennium Edition.

Mer information

SOM standard är WINS inte installerat på Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server eller Windows Server 2003. WINS installeras och körs som standard på Microsoft Small Business Server 2000 och Microsoft Windows Small Business Server 2003. Som standard blockeras WINS-komponentkommunikationsportarna från Internet i alla versioner av Microsoft Small Business Server och WINS är endast tillgängligt i det lokala nätverket.

Det här säkerhetsproblemet kan göra det möjligt för en angripare att fjärrensa en WINS-server om något av följande villkor uppfylls:

• Du har ändrat standardkonfigurationen för att installera WINS-serverrollen i Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server eller Windows Server 2003.

• Du kör Microsoft Small Business Server 2000 eller Microsoft Windows Small Business Server 2003 och en angripare har åtkomst till ditt lokala nätverk.

Gör så här för att skydda datorn mot den här potentiella säkerhetsrisken:

1. Blockera TCP-port 42 och UDP-port 42 i brandväggen.
   
   
   Dessa portar används för att initiera en anslutning till en FJÄRR-WINS-server. Om du blockerar dessa portar i brandväggen kan du förhindra att datorer som ligger bakom brandväggen försöker använda den här säkerhetsrisken. TCP-port 42 och UDP-port 42 är standard-WINS-replikeringsportar. Vi rekommenderar att du blockerar all inkommande oönskad kommunikation från Internet.

2. Använd IPsec (Internet Protocol Security) för att skydda trafiken mellan WINS-serverreplikeringspartner. Det gör du genom att använda något av följande alternativ.
   
   Varning Eftersom varje WINS-infrastruktur är unik kan dessa ändringar få oväntade effekter på infrastrukturen. Vi rekommenderar starkt att du utför en riskanalys innan du väljer att implementera den här begränsningen. Vi rekommenderar också att du utför fullständiga tester innan du lägger den här begränsningen i produktion.
   

   • Alternativ 1: Konfigurera IPSec-filtren
     manuellt konfigurera IPSec-filtren manuellt och följ sedan anvisningarna i följande Microsoft Knowledge Base-artikel för att lägga till ett blockfilter som blockerar alla paket från en IP-adress till systemets IP-adress:

     813878 Blockera specifika nätverksprotokoll och portar genom att använda IPSec
     
     Om du använder IPSec i Windows 2000 Active Directory-domänmiljön och du distribuerar din IPSec-princip med hjälp av grupprincip, åsidosätter domänprincipen alla lokalt definierade principer. Den här förekomsten förhindrar det här alternativet från att blockera de paket som du vill använda.
     
     Information om huruvida servrarna får en IPSec-princip från en Windows 2000-domän eller en senare version finns i avsnittet "Avgöra om en IPSec-princip har tilldelats" i Knowledge Base-artikeln 813878.
     
     När du har fastställt att du kan skapa en effektiv lokal IPSec-princip kan du ladda ned verktyget IPSeccmd.exe eller verktyget IPSecpol.exe.
     
     Följande kommandon blockerar inkommande och utgående åtkomst till TCP-port 42 och UDP-port 42.
     
     Obs! I dessa kommandon refererar %IPSEC_Command% till Ipsecpol.exe (i Windows 2000) eller Ipseccmd.exe (den Windows Server 2003).

     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK 
     

     Följande kommando gör att IPSec-principen träder i kraft omedelbart om det inte finns någon princip i konflikt. Det här kommandot börjar blockera alla inkommande/utgående TCP-port 42- och UDP-port 42-paket. Detta förhindrar att WINS-replikering sker mellan servern som dessa kommandon kördes på och alla WINS-replikeringspartners.

     %IPSEC_Command% -w REG -p "Block WINS Replication" –x 

     Om du får problem i nätverket efter att du har aktiverat den här IPSec-principen kan du ta bort tilldelningen av principen och sedan ta bort principen med hjälp av följande kommandon:

     %IPSEC_Command% -w REG -p "Block WINS Replication" -y 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -o 

     Om du vill tillåta att WINS-replikering fungerar mellan specifika WINS-replikeringspartner måste du åsidosätta blockeringsreglerna med tillåtna regler. Tillåt-reglerna ska endast ange IP-adresserna för dina betrodda WINS-replikeringspartner.
     
     
     Du kan använda följande kommandon för att uppdatera principen Blockera WINS-replikerings-IPSec för att tillåta specifika IP-adresser att kommunicera med servern som använder principen Blockera WINS-replikering.
     
     Obs! I de här kommandona refererar %IPSEC_Command% till Ipsecpol.exe (i Windows 2000) eller Ipseccmd.exe (på Windows Server 2003), och %IP% refererar till IP-adressen för den WINS-fjärrserver som du vill replikera med.

     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS 
     

     Om du vill tilldela principen direkt använder du följande kommando:

     %IPSEC_Command% -w REG -p "Block WINS Replication" -x

   • Alternativ 2: Kör ett skript för att automatiskt konfigurera IPSec-filtren
     Ladda ned och kör sedan skriptet WINS Replication Blocker som skapar en IPSec-princip för att blockera portarna. Gör så här:
     

     1. Om du vill ladda ned och extrahera .exe filer gör du så här:
        

        1. Ladda ned WINS Replication Blocker-skriptet.
           
           Följande fil kan laddas ned från Microsoft Download Center:
           
           Ladda ned skriptpaketet för WINS Replication Blocker nu.
           
           Utgivningsdatum: 2 december 2004
           
           Om du vill ha mer information om hur du laddar ned Microsoft Support filer klickar du på följande artikelnummer för att visa artikeln i Microsoft Knowledge Base:

           119591 Så här skaffar du Microsoft-supportfiler från onlinetjänster
           Microsoft genomsökt den här filen efter virus. Microsoft använde den senaste virusidentifieringsprogramvaran som var tillgänglig det datum då filen publicerades. Filen lagras på säkerhetsförbättrade servrar för att förhindra obehöriga ändringar i filen.
           

           Om du laddar ned skriptet WINS Replication Blocker till en diskett använder du en formaterad tom disk. Om du laddar ned WINS Replication Blocker-skriptet till hårddisken skapar du en ny mapp för att tillfälligt spara filen till och extrahera filen från.
           
           
           Varning! Ladda inte ned filer direkt till Windows-mappen. Den här åtgärden kan skriva över filer som krävs för att datorn ska fungera korrekt.

        2. Leta reda på filen i mappen som du laddade ned den till och dubbelklicka sedan på den självextraktionerade .exe filen för att extrahera innehållet till en tillfällig mapp. Extrahera till exempel innehållet till C:\Temp.

     2. Öppna en kommandotolk och flytta sedan till katalogen där filerna extraheras.

     3. Varning

        • Om du misstänker att WINS-servrarna är infekterade, men du är osäker på vilka WINS-servrar som komprometteras eller om din nuvarande WINS-server har komprometterats, ska du inte ange några IP-adresser i steg 3. Men från och med november 2004 känner vi inte till några kunder som har påverkats av det här problemet. Fortsätt därför enligt beskrivningen om servrarna fungerar som förväntat.

        • Om du har konfigurerat IPsec felaktigt kan du orsaka allvarliga WINS-replikeringsproblem i företagsnätverket.

        Kör den Block_Wins_Replication.cmd filen. Om du vill skapa regler för TCP-port 42 och UDP-port 42 för inkommande och utgående block skriver
        du 1 och trycker sedan på RETUR för att välja alternativ 1 när du uppmanas att välja det alternativ du vill använda.

        När du har valt alternativ 1 uppmanas du att ange IP-adresserna för de betrodda WINS-replikeringsservrarna.
        
        
        Varje IP-adress som du anger är undantagen från principen för blockering av TCP-port 42 och UDP-port 42. Du uppmanas att göra det i en slinga och du kan ange så många IP-adresser som behövs. Om du inte känner till alla IP-adresser för WINS-replikeringspartner kan du köra skriptet igen i framtiden. Om du vill börja ange IP-adresser för betrodda WINS-replikeringspartner skriver du 2 och trycker sedan på RETUR för att välja alternativ 2 när du uppmanas att välja det alternativ du vill använda.
        
        
        När du har distribuerat säkerhetsuppdateringen kan du ta bort IPSec-principen. Det gör du genom att köra skriptet. Skriv 3 och tryck sedan på RETUR för att välja alternativ 3 när du uppmanas att välja önskat alternativ.
        
        Om du vill ha mer information om IPsec och om hur du använder filter klickar du på följande artikelnummer för att visa artikeln i Microsoft Knowledge Base:
        
        

        313190 Använda IP-filterlistor för IPsec i Windows 2000
        
        

3. Ta bort WINS om du inte behöver det.
   
   Om du inte längre behöver WINS följer du de här stegen för att ta bort det. De här stegen gäller för Windows 2000, Windows Server 2003 och senare versioner av dessa operativsystem. För Windows NT Server 4.0 följer du anvisningarna i produktdokumentationen.
   
   Viktigt! Många organisationer kräver ATT WINS utför registrerings- och upplösningsfunktioner med enstaka etiketter eller platta namn i nätverket. Administratörer bör inte ta bort WINS om inte något av följande villkor är sant:
   

   • Administratören förstår helt och hållet den effekt som borttagning av WINS detta kommer att ha på deras nätverk.

   • Administratören har konfigurerat DNS för att tillhandahålla motsvarande funktioner med fullständigt kvalificerade domännamn och DNS-domänsuffix.

   Om en administratör tar bort WINS-funktionen från en server som fortsätter att tillhandahålla delade resurser i nätverket måste administratören också konfigurera om systemet korrekt så att de använder de återstående namnmatchningstjänster som DNS i det lokala nätverket.
   
   Mer information om WINS finns på följande Microsoft-webbplats:

   http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true Mer information om hur du avgör om du behöver NETBIOS eller WINS-namnmatchning och DNS-konfiguration finns på följande Microsoft-webbplats:

   http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxSå här tar du bort WINS:
   

   1. Öppna Lägg till eller ta bort program i Kontrollpanelen.

   2. Klicka på Lägg till/ta bort Windows-komponenter.
      

   3. Klicka på Nätverkstjänster under
      Komponenter på sidan Windows-komponentguiden och klicka sedan på Information.

   4. Avmarkera kryssrutan WINS (Windows Internet Naming Service) om du vill ta bort WINS.

   5. Följ anvisningarna på skärmen för att slutföra guiden För Windows-komponenter.

Vi arbetar med en uppdatering för att åtgärda det här säkerhetsproblemet som en del av vår vanliga uppdateringsprocess. När uppdateringen har nått en lämplig kvalitetsnivå tillhandahåller vi uppdateringen via Windows Update.


Om du tror att du har påverkats kontaktar du Produktsupporttjänster.

Internationella kunder bör kontakta supporttjänster för produkter genom att använda någon metod som anges på följande Microsoft-webbplats:

http://support.microsoft.com