ВВЕДЕННЯ

Ми вивчаємо повідомлення про проблему безпеки в службі інтернет-імен Microsoft Windows (WINS). Ця проблема безпеки впливає на Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server і Microsoft Windows Server 2003. Ця проблема безпеки не впливає на Microsoft Windows 2000 Professional, Microsoft Windows XP або Microsoft Windows Millennium Edition.

Додаткові відомості

За замовчуванням WINS не інстальовано у Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server або Windows Server 2003. За замовчуванням wins інсталюється та працює на Microsoft Small Business Server 2000 і Microsoft Windows Small Business Server 2003. За замовчуванням у всіх версіях Microsoft Small Business Server порти зв'язку компонентів WINS блокуються з Інтернету, а WINS – лише в локальній мережі. Ця проблема безпеки може дозволити зловмиснику віддалено поставити під загрозу сервер WINS, якщо виконується одна з таких умов:

  • Ви змінили конфігурацію за промовчанням, щоб інсталювати серверну роль WINS на Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server або Windows Server 2003.

  • Ви використовуєте Microsoft Small Business Server 2000 або Microsoft Windows Small Business Server 2003, а зловмисник має доступ до локальної мережі.

Щоб захистити комп'ютер від цієї потенційної вразливості, виконайте такі дії:

  1. Блокування TCP-порту 42 та UDP-порту 42 у брандмауері.Ці порти використовуються для ініціювання підключення до віддаленого сервера WINS. Якщо ви блокуєте ці порти в брандмауері, ви допоможете запобігти спробам комп'ютерів, які перебувають за цим брандмауером, використовувати цю вразливість. Порт TCP 42 та порт UDP 42 – це порти реплікації WINS за промовчанням. Радимо блокувати всі вхідні небажані повідомлення з Інтернету.

  2. Використовуйте функцію безпеки протоколу Інтернету (IPsec), щоб захистити трафік між партнерами реплікації сервера WINS. Для цього скористайтеся одним із наведених нижче параметрів. Увага! Кожна інфраструктура WINS унікальна, ці зміни можуть мати неочікуваний вплив на інфраструктуру. Ми наполегливо рекомендуємо провести аналіз ризиків, перш ніж впроваджувати це зниження ризику. Ми також наполегливо рекомендуємо виконати повне тестування, перш ніж виведете це послаблення ризиків у виробництво.

    • Варіант 1. Вручну настройте фільтри IPSec Вручну налаштуйте фільтри IPSec, а потім дотримуйтеся вказівок у наведеній нижче статті бази знань Майкрософт, щоб додати фільтр блоків, який блокує всі пакети з будь-якої IP-адреси на IP-адресу вашої системи:

      813878 Як заблокувати певні мережеві протоколи та порти за допомогою IPSecЯкщо ви використовуєте IPSec у доменному середовищі Windows 2000 Active Directory і розгортаєте свою політику IPSec за допомогою Групова політика, політика домену перевизначає будь-яку локально визначену політику. Цей екземпляр запобігає блокуванню потрібних пакетів.Щоб визначити, чи отримують сервери політику IPSec від домену Windows 2000 або пізнішої версії, див. розділ "Визначення призначення політики IPSec" статті бази знань 813878. Визначивши, що ви можете створити ефективну локальну політику IPSec, завантажте засіб IPSeccmd.exe або засіб IPSecpol.exe. Наведені нижче команди блокують вхідний і вихідний доступ до порту TCP 42 та UDP-порту 42.Примітка. У цих командах %IPSEC_Command% посилається на Ipsecpol.exe (у Windows 2000) або Ipseccmd.exe (Windows Server 2003).

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK

      Наведена нижче команда робить політику IPSec ефективною негайно, якщо немає конфліктних політик. Ця команда почне блокувати всі вхідні/вихідні порт TCP 42 і UDP порт 42 пакетів. Це фактично запобігає реплікації WINS між сервером, на якому запущено ці команди, і будь-якими партнерами реплікації WINS.

      %IPSEC_Command% -w REG -p "Block WINS Replication" –x

      Якщо після ввімкнення цієї політики IPSec виникають проблеми в мережі, ви можете зняти призначення політики, а потім видалити її за допомогою таких команд:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -y %IPSEC_Command% -w REG -p "Block WINS Replication" -o

      Щоб дозволити реплікації WINS функціонувати між певними партнерами реплікації WINS, потрібно перевизначити ці правила блокування правилами довіреності. Правила дозволів мають вказувати ЛИШЕ IP-адреси надійних партнерів реплікації WINS.За допомогою наведених нижче команд можна оновити політику Блокування WINS реплікації IPSec, щоб дозволити певні IP-адреси для обміну даними із сервером, який використовує політику блокування WINS реплікації.Примітка. У цих командах %IPSEC_Command% посилається на Ipsecpol.exe (у Windows 2000) або Ipseccmd.exe (Windows Server 2003), а %IP% – на IP-адресу віддаленого сервера WINS, з яким потрібно виконати реплікацію.

      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS

      Щоб відразу призначити політику, виконайте таку команду:

      %IPSEC_Command% -w REG -p "Block WINS Replication" -x

    • Варіант 2. Запустіть сценарій, щоб автоматично настроїти фільтри IPSec Завантажити, а потім виконайте сценарій блокувальника реплікації WINS, який створює політику IPSec для блокування портів . Для цього виконайте такі дії:

      1. Щоб завантажити та видобути файли .exe, виконайте такі дії:

        1. Завантажте сценарій блокувальника реплікації WINS. Цей файл можна завантажити з Центру завантажень Microsoft:ЗавантажитиЗавантажити пакет сценаріїв блокувальника реплікації WINS зараз. Дата випуску: 2 грудня 2004 р. Щоб отримати додаткові відомості про те, як завантажити файли служби підтримки Microsoft, клацніть номер статті в базі знань Microsoft Knowledge Base:

          119591 Як отримати файли підтримки Microsoft від онлайнові служби Корпорація Майкрософт перевіряла цей файл на наявність вірусів. Корпорація Майкрософт використовувала найновіше програмне забезпечення для виявлення вірусів, доступне в день публікації файлу. Файл зберігається на серверах із посиленою безпекою, які допомагають уникнути несанкціонованих змін у файлі.

          Якщо ви завантажуєте сценарій блокувальника реплікації WINS на дискету, використовуйте відформатований пустий диск. Якщо ви завантажуєте сценарій блокувальника реплікації WINS на жорсткий диск, створіть нову папку, щоб тимчасово зберегти файл і видобути його з. Увага! Не завантажуйте файли безпосередньо до папки Windows. Ця дія може перезаписати файли, необхідні для належної роботи комп'ютера.

        2. Знайдіть файл у папці, у яку ви його завантажили, а потім двічі клацніть файл .exe із самообслуговування, щоб видобути вміст до тимчасової папки. Наприклад, видобути вміст до C:\Temp.

      2. Відкрийте командний рядок і перейдіть до каталогу, у якому видобуваються файли.

      3. Попередження

        • Якщо ви підозрюєте, що сервери WINS можуть бути інфіковані, але не впевнені, які сервери WINS порушено або чи безпеку поточного сервера WINS порушено, не вводьте IP-адреси на кроці 3. Однак станом на листопад 2004 року ми не знаємо про клієнтів, яких торкнулася ця проблема. Тому, якщо сервери працюють належним чином, продовжуйте, як описано.

        • Якщо ви неправильно налаштовуєте IPsec, ви можете спричинити серйозні проблеми реплікації WINS у корпоративній мережі.

        Запустіть файл Block_Wins_Replication.cmd. Щоб створити правила TCP-порту 42 та UDP-порту 42 вхідних і вихідних блоків, введіть 1 і натисніть клавішу Enter, щоб вибрати варіант 1, коли з'явиться запит на вибір потрібного параметра.

        Якщо вибрати варіант 1, сценарій запропонує ввести IP-адреси надійних серверів реплікації WINS. Кожна IP-адреса, яку ви вводите звільняється від блокування TCP порт 42 і UDP порт 42 політики. Вам буде запропоновано ввести стільки IP-адрес, скільки потрібно. Якщо ви не знаєте всі IP-адреси партнерів реплікації WINS, ви можете запустити сценарій знову в майбутньому. Щоб почати вводити IP-адреси довірених партнерів реплікації WINS, введіть 2 , а потім натисніть клавішу Enter, щоб вибрати варіант 2, коли з'явиться запит на вибір потрібного параметра. Після розгортання оновлення системи безпеки можна видалити політику IPSec. Для цього виконайте сценарій. Введіть 3, а потім натисніть клавішу Enter, щоб вибрати варіант 3, коли з'явиться запит на вибір потрібного параметра.Щоб отримати додаткові відомості про IPsec і про застосування фільтрів, клацніть номер статті в базі знань Microsoft Knowledge Base:

        313190 Використання списків ip-фільтрів IPsec у Windows 2000

  3. Видаліть WINS, якщо він вам не потрібен. Якщо вам більше не потрібна програма WINS, виконайте наведені нижче дії, щоб видалити її. Ці кроки стосуються Windows 2000, Windows Server 2003 та пізніших версій цих операційних систем. Для Windows NT Server 4.0 виконайте процедуру, включену в документацію продукту. Увага! Багато організацій вимагають від WINS виконувати функції реєстрації та вирішення однорівневих імен у своїй мережі. Адміністратори не повинні видаляти WINS, якщо виконується одна з наведених нижче умов.

    • Адміністратор повністю розуміє, що видалення WINS матиме в їхній мережі.

    • Адміністратор настроїв службу DNS на надання еквівалентних функцій, використовуючи повне доменне ім'я та суфікси доменів DNS.

    Крім того, якщо адміністратор видаляє функції WINS із сервера, який і надалі надаватиме спільні ресурси в мережі, адміністратор повинен правильно переналаштувати систему, щоб використовувати решту служб роздільної здатності імен, як-от DNS, у локальній мережі. Щоб отримати додаткові відомості про WINS, відвідайте веб-сайт корпорації Майкрософт:

    http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true Щоб отримати додаткові відомості про те, як визначити, чи потрібно NETBIOS або WINS ім'я роздільної здатності та конфігурації DNS, відвідайте такий веб-сайт Корпорації Майкрософт:

    http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxЩоб видалити WINS, виконайте такі дії:

    1. У Панель керування відкрийте розділ Інсталяція та видалення програм.

    2. Натисніть кнопку Додати або видалити компоненти Windows.

    3. На сторінці Майстер компонентів Windows у розділіКомпоненти виберіть пункт Мережеві служби, а потім – Відомості.

    4. Зніміть прапорець Служба іменування Інтернету (WINS), щоб видалити WINS.

    5. Дотримуйтеся вказівок на екрані, щоб завершити роботу майстра компонентів Windows.

Ми працюємо над оновленням для вирішення цієї проблеми безпеки в рамках регулярного процесу оновлення. Коли оновлення досягне відповідного рівня якості, ми надамо оновлення через Windows Update.Якщо ви вважаєте, що це вплинуло на вас, зверніться до служби підтримки продуктів.Міжнародні клієнти повинні звернутися до служби підтримки продуктів за допомогою будь-якого методу, зазначеного на цьому веб-сайті Microsoft:

http://support.microsoft.com

Facebook LinkedIn Електронна пошта
ПІДПИСАТИСЯ НА RSS-КАНАЛИ

Потрібна додаткова довідка?

Потрібні додаткові параметри?

Ознайомтеся з перевагами передплати, перегляньте навчальні курси, дізнайтесь, як захистити свій пристрій тощо.

Переваги передплати на Microsoft 365

Навчальні матеріали з Microsoft 365

Захисний комплекс Microsoft

Центр спеціальних можливостей