Захист від WINS проблему з безпекою

ВСТУП

Також під звіти про проблему з безпекою з Microsoft Windows Internet Name Service (WINS). Цю проблему з безпекою, впливає на Microsoft-Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server і Microsoft Windows Server 2003. Цю проблему з безпекою не впливає на Microsoft Windows 2000 Professional, Microsoft Windows XP або Microsoft Windows Millennium Edition.

Додаткові відомості

За промовчанням WINS не інстальовано Windows NT Server 4.0, Windows NT Server 4.0-Terminal Server Edition, Windows 2000 Server або Windows Server 2003. За промовчанням WINS, чи інстальовано й запущено Microsoft Small Business Server 2000 та Microsoft Windows Small Business Server 2003. За промовчанням у всіх версіях Microsoft Small Business Server WINS компонент порти зв'язку заблоковано через Інтернет і WINS, доступний тільки у локальній мережі.

Цю проблему з безпекою може надати зловмисник віддалено вплинути сервер WINS, коли виконується одна з таких умов:

• Ви змінили конфігурацію за промовчанням для установки ролі сервера WINS Windows NT Server 4.0, Windows NT Server 4.0-Terminal Server Edition, Windows 2000 Server або Windows Server 2003.

• Комп'ютер під керуванням Microsoft Small Business Server 2000 або Microsoft Windows Small Business Server 2003, і зловмисник, має доступ до локальної мережі.

Щоб захистити свій комп'ютер від цю потенційну вразливість, виконайте такі дії:

1. Блок-TCP-порт-42 і UDP-порт 42, у брандмауері.
   
   
   Порти, які використовуються ініціювати з'єднання з віддаленим сервером WINS. Блокування портів у брандмауері, допомагають уникнути комп'ютери перебувають під захистом брандмауера намагаються використовувати цю вразливість. TCP-порт 42 та порт UDP, 42, які порти реплікації WINS за промовчанням. Корпорація Майкрософт рекомендує, що блокує вхідні всі несанкціоновані дані з Інтернету.

2. Використовувати Internet Protocol security (IPsec), щоб захистити трафік між реплікації партнери WINS-сервер. Для цього скористайтеся одним із наведених нижче варіантів.
   
   Увага! Тому, що кожен інфраструктури, WINS унікальний, ці зміни може мати неочікувані наслідки його впливу на інфраструктуру. Наполегливо рекомендуємо виконання аналізу-ризику, перш ніж вибрати для виконання цього потоків. Також рекомендуємо виконання повну перевірку, перед продовженням роботи цього потоків виробництва.
   

   • Параметр 1: Настроїти вручну IPSec фільтрів
     Настройки IPSec фільтри та виконайте вказівки в такій статті бази знань Майкрософт, щоб додати блокування фільтр яка блокує пакети з будь-які IP-адреси для вашої системи IP-адресу:

     Як 813878 блокувати певні мережні протоколи та порти, з використанням IPSec
     
     Якщо використовується протокол IPSec у Windows 2000 Active Directory середовищі домену і розгортання вашого IPSec політики за допомогою групової політики, політика домену має перевагу над будь-яких локально, визначені політики. Цю копію запобігає, цей параметр блокування пакети, які потрібно.
     
     Щоб визначити, чи сервери отримують політику IPSec з домену Windows 2000 або пізнішої версії, див. у статті бази знань, 813878 в розділі "Визначити, чи призначено політику IPSec".
     
     Коли ви визначите, можна створити ефективний локальної політики IPSec, завантаження, IPSeccmd.exe. exe або IPSecpol.exe. exe.
     
     Наведені нижче команди, блокувати вхідної та вихідної пошти доступ до TCP-порт 42 і UDP-порт 42.
     
     Примітка. У цих командах %IPSEC_Command% відповідає Ipsecpol.exe (у Windows 2000) або Ipseccmd.exe (на Windows Server 2003).

     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK 
     

     Команду робить політики IPSec безпосередньо до того, коли існує, не конфлікт політики. Ця команда розпочне блокує всі вхідні/вихідні TCP-порт 42 і пакети UDP-порт 42. Це фактично не дозволяє WINS реплікації відбувається між цих команд, що виконано на сервері та будь-які WINS реплікації партнери Майкрософт.

     %IPSEC_Command% -w REG -p "Block WINS Replication" –x 

     Якщо після ввімкнення цієї політики, IPSec, виникають проблеми, що в мережі, скасування призначення, політики та видаліть політики за допомогою наступних команд:

     %IPSEC_Command% -w REG -p "Block WINS Replication" -y 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -o 

     Дозволити WINS реплікації функції між певних WINS партнерів реплікації, вам потрібно змінити ці правила блокування, дозволяють правила. Дозволити правила, потрібно вказати IP-адреси, надійних партнерами реплікації WINS лише.
     
     
     Для оновлення блокування, WINS IPSec для реплікації політику, щоб зв'язатися із сервером, який використовує політика реплікації на блокування, WINS певних IP-адреси, можна використовувати наведені нижче команди.
     
     Примітка. У цих командах %IPSEC_Command%, що стосується Ipsecpol.exe (у Windows 2000) або Ipseccmd.exe (на Windows Server 2003), і %IP%, що стосується віддалений сервер WINS, яку потрібно виконати реплікацію за допомогою IP-адресу.

     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS 
     

     Щоб призначити політику відразу, скористайтеся такою командою:

     %IPSEC_Command% -w REG -p "Block WINS Replication" -x

   • Параметр 2: Сценарій автоматичного настроювання, IPSec фільтрів
     Завантажте та запустіть WINS реплікації блокування сценаріїв, створює політику IPSec блокування портів. Щоб це зробити, виконайте такі дії:
     

     1. Щоб завантажити та витягування файлів .exe, виконайте такі дії:
        

        1. Завантажити WINS реплікації блокування сценаріїв.
           
           Файл можна завантажити з центру завантажень Microsoft:
           
           Завантажити пакет WINS реплікації блокування сценаріїв.
           
           Дата випуску: 2 грудня 2004 р.
           
           Щоб отримати додаткові відомості про те, як завантажити файли технічної підтримки Майкрософт клацніть номер статті в базі знань Microsoft Knowledge Base:

           119591 , як отримати файли технічної підтримки Майкрософт від інтерактивних служб
           Microsoft перевірив цей файл на наявність вірусів. Корпорація Майкрософт використала останню версію програмного забезпечення для виявлення вірусів, що доступне на час публікації файлу. Файл, зберігається на добре захищених серверах, які запобігають внесенню будь-яких несанкціонованих змін до файлу.
           

           Якщо ви завантажуєте WINS реплікації блокування сценаріїв на дискету, за допомогою дискети відформатований пустий. Якщо ви завантажуєте WINS реплікації блокування сценаріїв на жорсткому диску, створіть нову папку, тимчасово, збережіть файл і витягти файл з.
           
           
           Увага! Не завантажувати файли безпосередньо до папки Windows. Ця дія може перезаписати, файлів, необхідних для вашого комп'ютера, щоб працювати належним чином.

        2. Знайдіть файл у папку, яку ви завантажили і двічі клацніть файл саморозгортання .exe для витягування вмісту до тимчасової папки. Наприклад, витягнути вміст до C:\Temp.

     2. Відкрийте командний рядок а потім перемістіть до каталогу, де відбувається витягнення файлів.

     3. Попередження

        • Якщо ви підозрюєте, що, WINS-сервери, можливо, інфікована, але ви не впевнені, що WINS-сервери загрозу або поточний сервер WINS порушується, не потрібно вводити будь-які IP-адрес у кроці 3. Проте на листопад 2004, ми, не відомо про будь-які користувачі мають спостерігати цю проблему. Таким чином, якщо у вашому сервери працюють належним чином, продовжити, як описано.

        • Неправильно налаштовано IPsec, може призвести до серйозних проблем для реплікації WINS корпоративної мережі.

        Запустити файл Block_Wins_Replication.cmd. Щоб створити TCP-порт 42 та порт UDP 42 правил вхідної та вихідної пошти блокування, введіть
        1 а потім натисніть клавішу ENTER, щоб вибрати варіант 1, коли буде запропоновано, виберіть потрібний параметр.

        Вибравши варіант 1 сценарію пропонується ввести IP-адреси, надійні сервери WINS реплікації.
        
        
        Кожного IP-адресу, яку ви ввели звільняється з блокування 42 порт TCP та UDP-порт 42 політики. З'явиться у циклі, і багато IP-адреси, за потреби можна ввести. Якщо ви не знаєте, всіх IP-адрес партнерів реплікації WINS, ви можете запустити сценарій в майбутньому. Для запуску, ввівши IP-адрес надійних партнерів для реплікації WINS, тип 2 і натисніть клавішу ENTER, щоб вибрати варіант 2, коли буде запропоновано вибрати, варіант, що ви хочете.
        
        
        Після інсталяції поновлення безпеки, можна видалити політики IPSec. Для цього, запустити сценарій. Тип 3 і натисніть клавішу ENTER, щоб вибрати варіант 3, коли буде запропоновано, виберіть потрібний параметр.
        
        Щоб отримати додаткові відомості про протокол IPsec та застосовувати фільтри клацніть номер статті в базі знань Microsoft Knowledge Base:
        
        

        313190 способи використання списків фільтрів в IP-протокол IPsec у Windows 2000
        
        

3. Видаліть WINS, якщо вам не потрібно.
   
   Якщо більше не потрібно, щоб WINS, виконайте такі дії, щоб видалити його. Ці дії, застосовуються для Windows 2000, Windows Server 2003 та пізніших версіях цих операційних систем. Для Windows NT Server 4.0 виконайте процедуру, що міститься в документації.
   
   Увага! Багато компаній, потребують WINS виконання однієї Мітки або плоска ім'я реєстрації та роздільної здатності функцій мережі. Адміністратори не потрібно видалити WINS, якщо одна з таких умов:
   

   • Адміністратор повністю розуміє, що на їх мережі мають сили, що видалення WINS цього.

   • Адміністратором конфігурації DNS, щоб забезпечити на функціональність за допомогою повні доменні імена та домену DNS-суфікс.

   Також, якщо адміністратор видаляє WINS функціональність із сервера, який продовжуватиме надавати спільних ресурсів у мережі, адміністратор має належним чином змінити конфігурацію системи, використовувати решту роздільної здатності служби імені, наприклад, DNS на місцевий мережі.
   
   Щоб отримати додаткові відомості про WINS відвідайте веб-сайт корпорації Майкрософт:

   http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=trueЩоб отримати додаткові відомості про те, як визначити, чи потрібно імен NETBIOS або WINS та конфігурація DNS відвідайте веб-сайт корпорації Майкрософт:

   http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxЩоб видалити WINS, виконайте такі дії:
   

   1. На панелі керування відкрийте " Установка й видалення програм".

   2. Клацніть Установка й видалення компонентів Windows.
      

   3. На сторінці майстра компонентів Windows у розділі
      Компоненти, виберіть Мережні службита натисніть кнопку подробиці.

   4. Зніміть прапорець Windows Internet іменування Service (WINS) , видалення WINS.

   5. Виконайте вказівки на екрані, щоб завершити у майстрі компонентів Windows.

Ми працюємо над оновлення для того, щоб вирішити цю проблему з безпекою, входить до процесу регулярне оновлення. Коли оновлення належного рівня якості, ми надамо оновлення через службу Windows Update.


Якщо ви вважаєте, що ви були порушені, зверніться до служби технічної підтримки.

Міжнародних користувачам слід звернутися до служби технічної підтримки за допомогою методу, який зазначено у списку, на такий веб-сайт корпорації Майкрософт:

http://support.microsoft.com