วิธีการป้องกันปัญหาความปลอดภัย WINS

นำไปใช้กับ: Microsoft Windows Server 2003 Standard Edition (32-bit x86)Microsoft Windows Server 2003 Web EditionMicrosoft Windows Server 2003 Enterprise Edition (32-bit x86)

บทนำ


เรากำลังตรวจรายงานของปัญหาที่มีความปลอดภัยกับ Microsoft Windows Internet ชื่อบริการ (WINS) ปัญหาด้านความปลอดภัยนี้มีผลต่อ Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 เทอร์มินัลเซิร์ฟเวอร์ Edition, Microsoft Windows 2000 Server และ Microsoft Windows Server 2003 ปัญหาด้านความปลอดภัยนี้ไม่มีผลกับ Microsoft Windows 2000 Professional, Microsoft Windows XP หรือ Microsoft Windows Millennium Edition

ข้อมูลเพิ่มเติม


โดยค่าเริ่มต้น WINS จะไม่ติดตั้งบนเซิร์ฟเวอร์ของ Windows NT 4.0, Windows NT Server 4.0 เทอร์มินัลเซิร์ฟเวอร์ Edition, Windows 2000 Server หรือ Windows Server 2003 โดยค่าเริ่มต้น WINS ถูกติดตั้งอยู่ และกำลังทำงานบน Microsoft Small Business Server 2000 และ Microsoft Windows Small Business Server 2003 โดยค่าเริ่มต้น บนรุ่นทั้งหมดของ Microsoft Small Business Server พอร์ตการสื่อสารของคอมโพเนนต์ WINS ถูกบล็อคจากอินเทอร์เน็ต และ WINS จะพร้อมใช้งานบนเครือข่ายท้องถิ่นเท่านั้น

ปัญหาด้านความปลอดภัยนี้ไม่สามารถช่วยให้ผู้โจมตีสามารถทำอันตรายต่อ WINS เซิร์ฟเวอร์ระยะไกลหากมีเงื่อนไขใด ๆ ต่อไปนี้เป็นจริง:
  • คุณได้เปลี่ยนแปลงการตั้งค่าคอนฟิกที่เริ่มต้นการติดตั้งบทบาทเซิร์ฟเวอร์ WINS ที่บนเซิร์ฟเวอร์ของ Windows NT 4.0, Windows NT Server 4.0 เทอร์มินัลเซิร์ฟเวอร์ Edition, Windows 2000 Server หรือ Windows Server 2003
  • คุณกำลังเรียกใช้ Microsoft Small Business Server 2000 หรือ Microsoft Windows Small Business Server 2003 และการโจมตีที่มีการเข้าถึงเครือข่ายท้องถิ่นของคุณ
เพื่อช่วยปกป้องคอมพิวเตอร์ของคุณจากความเสี่ยงที่อาจเกิดขึ้นนี้ ให้ทำตามขั้นตอนเหล่านี้:
  1. พอร์ต TCP บล็อก 42 และ UDP พอร์ต 42 ในไฟร์วอลล์


    ใช้พอร์ตต่อไปนี้เพื่อเริ่มต้นการเชื่อมต่อกับเซิร์ฟเวอร์ WINS ระยะไกล ถ้าคุณบล็อค พอร์ตต่อไปนี้ที่ไฟร์วอลล์คุณช่วยป้องกันคอมพิวเตอร์ที่อยู่หลังไฟร์วอลล์นั้นจากความพยายามที่ใช้ช่องโหว่นี้ พอร์ต TCP 42 และพอร์ต UDP 42 มีพอร์ตเริ่มต้น WINS จำลองแบบ เราขอแนะนำให้บล็อกการสื่อสารไม่ได้ร้องขอขาเข้าทั้งหมดจากอินเทอร์เน็ต
  2. ใช้ Internet Protocol security (IPsec) เพื่อช่วยป้องกันการรับส่งข้อมูลระหว่างคู่การจำลองแบบเซิร์ฟเวอร์ WINS เมื่อต้องการทำเช่นนี้ ใช้หนึ่งในตัวเลือกต่อไปนี้

    ข้อควรระวัง เนื่องจากแต่ละโครงสร้างพื้นฐาน WINS เฉพาะ การเปลี่ยนแปลงเหล่านี้อาจมีผลกระทบที่ไม่คาดคิดในโครงสร้างพื้นฐานของคุณได้ เราขอแนะนำให้ คุณทำการวิเคราะห์ความเสี่ยงก่อนที่คุณเลือกใช้การลดนี้ นอกจากนี้เรายังขอแนะนำให้ คุณทำการทดสอบเสร็จสมบูรณ์ก่อนที่คุณทำนี้ลดลงในการผลิต
    • ตัวเลือกที่ 1: กำหนดค่าตัวกรองของ IPSec ด้วยตนเอง
      กำหนดค่าตัวกรองของ IPSec ด้วยตนเอง และจากนั้น ทำตามคำแนะนำในบทความฐานความรู้ของ Microsoft ต่อไปนี้เมื่อต้องการเพิ่มตัวกรองบล็อกซึ่งบล็อกแพคเก็ตทั้งหมดจากที่อยู่ IP ใด ๆ ไปยังที่อยู่ IP ของระบบของคุณ:
      วิธีการ813878การบล็อกรโทคอลเครือข่ายเฉพาะและพอร์ต โดยใช้ IPSec

      ถ้าคุณใช้ IPSec ในระบบโดเมนของไดเรกทอรีที่ใช้งานอยู่ของ Windows 2000 และคุณสามารถปรับใช้นโยบาย IPSec ของคุณ โดยใช้'นโยบายกลุ่ม' นโยบายโดเมนแทนนโยบายใด ๆ ที่กำหนดไว้ภายในเครื่อง เหตุการณ์นี้ป้องกันไม่ให้ตัวเลือกนี้จากแพคเก็ตที่คุณต้องการบล็อค

      การตรวจสอบว่า เซิร์ฟเวอร์ของคุณได้รับนโยบาย IPSec การจากโดเมน Windows 2000 หรือรุ่นที่ใหม่กว่า ดูส่วน "ตรวจสอบว่า มีกำหนดนโยบาย IPSec การ" ในบทความ Knowledge base 813878

      เมื่อคุณได้กำหนดว่า คุณสามารถสร้างนโยบาย IPSec บนเครื่องที่มีผลบังคับใช้ ดาวน์โหลดเครื่องมือ IPSeccmd.exe หรือเครื่องมือ IPSecpol.exe

      คำสั่งต่อไปนี้บล็อกขาเข้า และขาออกเข้าถึงพอร์ต TCP 42 และพอร์ต UDP 42

      หมายเหตุ ในคำสั่งเหล่านี้, %IPSEC_Command%อ้างอิงถึง Ipsecpol.exe (ใน Windows 2000) หรือ Ipseccmd.exe (ใน Windows Server 2003)
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK
      คำสั่งต่อไปนี้ทำให้นโยบาย IPSec มีผลบังคับใช้ทันทีถ้ามีไม่มีนโยบายที่ขัดแย้งกัน คำสั่งนี้จะเริ่มต้นการบล็อคขาเข้า/ขาออกพอร์ต TCP 42 และ UDP พอร์ต 42 เก็ตทั้งหมด ซึ่งป้องกันการจำลองแบบ WINS เกิดขึ้นระหว่างที่คำสั่งเหล่านี้ถูกเรียกใช้บนเซิร์ฟเวอร์และคู่ค้าการจำลองแบบ WINS ใด ๆ ได้อย่างมีประสิทธิภาพ
      %IPSEC_Command% -w REG -p "Block WINS Replication" –x 
      หากคุณประสบปัญหาบนเครือข่ายหลังจากที่คุณเปิดใช้งานนโยบาย IPSec นี้ คุณสามารถยกเลิกกำหนดนโยบาย และลบนโยบาย โดยใช้คำสั่งต่อไปนี้:
      %IPSEC_Command% -w REG -p "Block WINS Replication" -y 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -o
      เมื่อต้องการอนุญาตให้มีการจำลองแบบ WINS ทำงานระหว่าง WINS เฉพาะ คู่การจำลองแบบคุณต้องแทนกฎเหล่านี้บล็อกที่มีอนุญาตให้กฎ กฎการอนุญาตควรระบุอยู่ IP ของคุณเชื่อถือ WINS จำลองแบบคู่เท่านั้น


      คุณสามารถใช้คำสั่งต่อไปนี้เพื่อปรับปรุงนโยบายบล็อก IPSec การจำลองแบบ WINS จะอนุญาตให้เฉพาะ IP แอดเดรสเพื่อสื่อสารกับเซิร์ฟเวอร์ที่ใช้นโยบายการจำลองแบบ WINS บล็อก

      หมายเหตุ ในคำสั่งเหล่านี้, %IPSEC_Command%ถึง Ipsecpol.exe (ใน Windows 2000) หรือ Ipseccmd.exe (ใน Windows Server 2003), และIP%%หมายถึงอยู่ IP ของเซิร์ฟเวอร์ WINS ระยะไกลที่คุณต้องการจำลองแบบด้วย
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS
      การกำหนดนโยบายทันที ใช้คำสั่งต่อไปนี้:
      %IPSEC_Command% -w REG -p "Block WINS Replication" -x
    • ตัวเลือกที่ 2: การเรียกใช้สคริปต์การกำหนดค่าตัวกรอง IPSec โดยอัตโนมัติ
      ดาวน์โหลด และจากนั้น เรียกใช้สคริปต์ชนะตัวบล็อกการจำลองแบบที่สร้างนโยบาย IPSec การบล็อกพอร์ เมื่อต้องการทำเช่นนี้ ให้ทำตามขั้นตอนเหล่านี้
      1. เมื่อต้องการดาวน์โหลด และขยายแฟ้ม.exe ให้ทำตามขั้นตอนเหล่านี้:
        1. ดาวน์โหลดสคริปต์ตัวบล็อกการจำลองแบบที่ชนะ

          แฟ้มต่อไปนี้จะสามารถดาวน์โหลดได้จากศูนย์ดาวน์โหลดของ Microsoft:

          Download ดาวน์โหลดแพคเกจสคริปต์ชนะตัวบล็อกการจำลองแบบ

          วันออกจำหน่าย: 2 ธันวาคม 2004

          สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการดาวน์โหลดแฟ้มสนับสนุนของ Microsoft ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
          119591วิธีการขอรับแฟ้มสนับสนุนของ Microsoft จากบริการออนไลน์
          Microsoft สแกนแฟ้มนี้เพื่อหาไวรัสแล้ว Microsoft ใช้ซอฟต์แวร์ตรวจสอบไวรัสที่เป็นปัจจุบันที่สุดซึ่งพร้อมใช้งานตั้งแต่วันที่ซึ่งมีการประกาศแฟ้มนี้ แฟ้มเก็บอยู่บนเซิร์ฟเวอร์ที่สนับสนุนความปลอดภัยที่ช่วยป้องกันการเปลี่ยนแปลงใด ๆ ที่ไม่ได้รับอนุญาตไปยังแฟ้ม
          ถ้าคุณกำลังดาวน์โหลดสคริปต์ชนะตัวบล็อกการจำลองแบบไปยังฟลอปปีดิสก์ ใช้ดิสก์เปล่าฟอร์แมตแล้ว ถ้าคุณกำลังดาวน์โหลดสคริปต์ตัวบล็อกการจำลองแบบ WINS บนฮาร์ดดิสก์ของคุณ สร้างโฟลเดอร์ใหม่เพื่อบันทึกแฟ้มชั่วคราว และแยกแฟ้มจาก


          ข้อควรระวัง ดาวน์โหลดแฟ้มโดยตรงไปยังโฟลเดอร์ Windows การกระทำนี้ไม่สามารถเขียนทับแฟ้มที่จำเป็นสำหรับคอมพิวเตอร์ของคุณให้ทำงานได้อย่างถูกต้อง
        2. ค้นหาแฟ้มในโฟลเดอร์ที่คุณดาวน์โหลด และจากนั้น คลิกสองครั้งที่แฟ้ม.exe ด้วยตนเองเพื่อขยายเนื้อหาไปยังโฟลเดอร์ชั่วคราว ตัวอย่างเช่น ขยายเนื้อหาเพื่อC:\Temp
      2. เปิดพร้อมท์คำสั่ง แล้ว ย้ายไปยังไดเรกทอรีที่มีขยายแฟ้ม
      3. คำเตือน
        • ถ้าคุณสงสัยว่า อาจติดไวรัส WINS เซิร์ฟเวอร์ของคุณ แต่คุณไม่แน่ใจว่าเซิร์ฟเวอร์ WINS ถูกลดทอนไป หรือว่า WINS เซิร์ฟเวอร์ปัจจุบันของคุณถูกละเมิด ไม่ได้ป้อนที่อยู่ IP ใด ๆ ในขั้นตอนที่ 3 อย่างไรก็ตาม ณ 2004 พฤศจิกายน เราจะไม่เกี่ยวข้องของลูกค้าใด ๆ ที่ได้รับผลกระทบจากปัญหานี้ ดังนั้น ถ้าเซิร์ฟเวอร์ของคุณทำงานอย่างที่คาดไว้ ดำเนินต่อตามที่อธิบายไว้
        • ถ้าคุณตั้งค่า IPsec ไม่ถูกต้อง คุณอาจทำให้เกิดปัญหาร้ายแรงในการจำลองแบบ WINS บนเครือข่ายขององค์กร
        เรียกใช้แฟ้ม Block_Wins_Replication.cmd เมื่อต้องการสร้างพอร์ต TCP 42 และพอร์ต UDP ที่ 42 กฎบล็อกขาเข้า และขาออก พิมพ์
        1จากนั้นกด ENTER เพื่อเลือกตัวเลือก 1 เมื่อได้รับพร้อมท์ให้เลือกตัวเลือกที่คุณต้องการ
        หลังจากที่คุณเลือกตัวเลือกที่ 1 สคริปต์พร้อมท์ให้คุณใส่ที่อยู่ IP ของเซิร์ฟเวอร์ WINS จำลองแบบเชื่อถือได้


        แต่ละที่อยู่ IP ที่คุณป้อนจะได้รับการยกเว้นพอร์ต TCP บล็อก 42 และนโยบาย 42 ของพอร์ต UDP คุณได้รับพร้อมท์แบบวนซ้ำ และคุณสามารถป้อนที่อยู่ IP ได้มากตามความจำเป็น ถ้าคุณไม่ทราบที่อยู่ IP ทั้งหมดของคู่การจำลองแบบ WINS คุณสามารถเรียกใช้สคริปต์อีกครั้งในอนาคต เมื่อต้องการเริ่มการป้อนที่อยู่ IP ของคู่ค้าจำลองแบบ WINS ที่เชื่อถือได้ ชนิด2จากนั้นกด ENTER เพื่อเลือกตัวเลือกที่ 2 เมื่อได้รับพร้อมท์ให้เลือกที่ตัวเลือกที่คุณต้อง


        หลังจากที่คุณปรับใช้การปรับปรุงการรักษาความปลอดภัย คุณสามารถเอานโยบาย IPSec เมื่อต้องการทำเช่นนี้ เรียกใช้สคริปต์ พิมพ์3และจากนั้น กด ENTER เพื่อเลือกตัวเลือก 3 เมื่อคุณได้รับพร้อมท์ให้เลือกตัวเลือกที่คุณต้องการ

        สำหรับข้อมูลเพิ่มเติม เกี่ยวกับ IPsec และวิธีการใช้ตัวกรอง ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:

        313190วิธีการใช้รายการตัวกรอง IPsec IP ใน Windows 2000

  3. เอาชนะถ้าคุณไม่จำเป็นต้อง

    ถ้าคุณไม่ต้อง WINS ให้ทำตามขั้นตอนเหล่านี้เมื่อต้องการเอาเส้นขอบออก ขั้นตอนเหล่านี้ใช้กับ Windows 2000, Windows Server 2003 และรุ่นที่ใหม่กว่าของระบบปฏิบัติการเหล่านี้ สำหรับ Windows NT 4.0 เซิร์ฟเวอร์ ให้ทำตามขั้นตอนที่รวมอยู่ในเอกสารประกอบของผลิตภัณฑ์

    สิ่งสำคัญ หลายองค์กรจำเป็นต้องใช้ WINS เพื่อทำป้ายชื่อเดียวหรือฟังก์ชันการลงทะเบียนและการแก้ปัญหาชื่อแบนบนเครือข่ายของตนเอง ผู้ดูแลควรลบ WINS เว้นแต่ว่ามีเงื่อนไขใด ๆ ต่อไปนี้เป็นจริง:
    • ผู้ดูแลทั้งหมด understands ผลที่เอาชนะนี้จะมีอยู่บนเครือข่ายของตนเอง
    • ผู้ดูแลระบบได้กำหนดค่า DNS เพื่อให้ฟังก์ชันการทำงานที่เทียบเท่ากัน โดยใช้ชื่อโดเมนและส่วนต่อท้ายโดเมน DNS
    นอกจากนี้ ถ้าผู้ดูแลระบบเท่านั้นที่จะเอาฟังก์ชันการทำงาน WINS จากเซิร์ฟเวอร์ที่จะดำเนินต่อเพื่อให้มีทรัพยากรที่ใช้ร่วมกันบนเครือข่าย ผู้ดูแลระบบต้องอย่างถูกต้องกำหนดค่าใหม่ระบบจะใช้ความละเอียดของบริการที่เหลือของชื่อเหมือนกับ DNS บนท้องถิ่น เครือข่าย

    สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ WINS แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการตรวจสอบว่า คุณจำเป็นต้องแก้ปัญหาชื่อ NETBIOS หรือ WINS และการกำหนดค่า DNS แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:เมื่อต้องการลบ WINS ให้ทำตามขั้นตอนเหล่านี้:
    1. ในแผงควบคุม เปิดเพิ่มหรือเอาโปรแกรมออก
    2. คลิก'เพิ่ม/เอาคอมโพเนนต์ของ Windows ออก'
    3. บนหน้าตัวช่วยสร้างคอมโพเนนต์ของ Windows ภายใต้
      ส่วนประกอบคลิกบริการระบบเครือข่ายและจากนั้น คลิกรายละเอียด
    4. คลิกเพื่อล้างกล่องกาเครื่องหมายWindows Internet ตั้งชื่อบริการ (WINS)เมื่อต้องการเอาออกเป็นผู้ชนะ
    5. ทำตามคำแนะนำบนหน้าจอเพื่อดำเนินการตัวช่วยสร้างคอมโพเนนต์ของ Windows ให้เสร็จสมบูรณ์
เรากำลังดำเนินการปรับปรุงเพื่อแก้ไขปัญหาการรักษาความปลอดภัยนี้เป็นส่วนหนึ่งของกระบวนการปรับปรุงทั่วไปของเรา เมื่อการปรับปรุงจนถึงระดับเหมาะสมของคุณภาพ เราจะให้การปรับปรุงผ่าน Windows Update


ถ้าคุณเชื่อว่า คุณได้รับผลกระทบ ติดต่อบริการสนับสนุนผลิตภัณฑ์

ลูกค้านานาชาติควรติดต่อบริการสนับสนุนผลิตภัณฑ์ โดยใช้วิธีการใด ๆ ที่แสดงไว้ที่เว็บไซต์ต่อไปนี้ของ Microsoft: