Cách giúp bảo vệ chống lại sự cố bảo mật WINS

GIỚI THIỆU

Chúng tôi đang điều tra các báo cáo về sự cố bảo mật với Microsoft Windows Internet Name Service (WINS). Sự cố bảo mật này ảnh hưởng đến Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server và Microsoft Windows Server 2003. Sự cố bảo mật này không ảnh hưởng đến Microsoft Windows 2000 Professional, Microsoft Windows XP hoặc Microsoft Windows Millennium Edition.

Thông tin Thêm

Theo mặc định, WINS không được cài đặt trên Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server hoặc Windows Server 2003. Theo mặc định, WINS được cài đặt và chạy trên Microsoft Small Business Server 2000 và Microsoft Windows Small Business Server 2003. Theo mặc định, trên tất cả các phiên bản Microsoft Small Business Server, cổng thông tin liên lạc cấu phần WINS bị chặn khỏi Internet và WINS chỉ sẵn dùng trên mạng cục bộ.

Vấn đề bảo mật này có thể làm cho nó có thể cho một kẻ tấn công từ xa thỏa hiệp một máy chủ WINS nếu một trong những điều kiện sau đây là đúng:

• Bạn đã thay đổi cấu hình mặc định để cài đặt vai trò máy chủ WINS trên Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server hoặc Windows Server 2003.

• Bạn đang chạy Microsoft Small Business Server 2000 hoặc Microsoft Windows Small Business Server 2003 và kẻ tấn công có quyền truy nhập vào mạng cục bộ của bạn.

Để giúp bảo vệ máy tính của bạn chống lại lỗ hổng tiềm ẩn này, hãy làm theo các bước sau:

1. Chặn cổng TCP 42 và cổng UDP 42 vào tường lửa.
   
   
   Các cổng này được sử dụng để khởi tạo một kết nối với một máy chủ WINS từ xa. Nếu bạn chặn các cổng vào tường lửa, bạn giúp ngăn chặn các máy tính mà là phía sau mà tường lửa từ cố gắng sử dụng lỗ hổng này. Cổng TCP 42 và cổng UDP 42 là các cổng sao nhân bản WINS mặc định. Chúng tôi khuyên bạn nên chặn tất cả các giao tiếp đến không mong muốn từ Internet.

2. Sử dụng Giao thức Internet security (IPsec) để giúp bảo vệ lưu lượng truy cập giữa các đối tác sao nhân bản máy chủ WINS. Để thực hiện điều này, hãy sử dụng một trong các tùy chọn sau.
   
   Thận trọng Vì mỗi cơ sở hạ tầng WINS là duy nhất, những thay đổi này có thể có tác dụng không mong muốn trên cơ sở hạ tầng của bạn. Chúng tôi đặc biệt khuyên bạn nên thực hiện phân tích rủi ro trước khi chọn thực hiện biện pháp giảm nhẹ này. Chúng tôi cũng khuyên bạn nên thực hiện kiểm tra đầy đủ trước khi đưa biện pháp giảm nhẹ này vào sản xuất.
   

   • Tùy chọn 1: Cấu hình thủ công các bộ lọc IPSec
     Cấu hình thủ công các bộ lọc IPSec, sau đó làm theo các hướng dẫn trong bài viết Sau đây Cơ sở Tri thức Microsoft để thêm một bộ lọc khối chặn tất cả các gói tin từ bất kỳ địa chỉ IP vào địa chỉ IP của hệ thống của bạn:

     813878 Làm thế nào để chặn các giao thức mạng và cổng cụ thể bằng cách sử dụng IPSec
     
     Nếu bạn sử dụng IPSec trong môi trường tên miền Windows 2000 Active Directory của bạn và bạn triển khai chính sách IPSec của bạn bằng cách sử dụng chính sách nhóm, chính sách tên miền ghi đè bất kỳ chính sách cục bộ xác định. Sự kiện này ngăn tùy chọn này chặn các gói tin mà bạn muốn.
     
     Để xác định xem liệu máy chủ của bạn đang nhận được một chính sách IPSec từ một miền Windows 2000 hoặc một phiên bản mới hơn, hãy xem phần "Xác định xem một chính sách IPSec được chỉ định" trong bài viết Cơ sở Kiến thức 813878.
     
     Khi bạn đã xác định rằng bạn có thể tạo một chính sách IPSec cục bộ hiệu quả, hãy tải xuống công cụ IPSeccmd.exe hoặc công IPSecpol.exe cụ.
     
     Các lệnh sau đây chặn quyền truy nhập đến và đi vào cổng TCP 42 và cổng UDP 42.
     
     Lưu ý Trong các lệnh này, %IPSEC_Command% tham chiếu đến Ipsecpol.exe (trên Windows 2000) hoặc Ipseccmd.exe (trên Windows Server 2003).

     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK 
     

     Lệnh sau đây làm cho chính sách IPSec có hiệu lực ngay lập tức nếu không có chính sách xung đột. Lệnh này sẽ bắt đầu chặn tất cả các gói TCP cổng đến/đi 42 và cổng UDP 42. Điều này có hiệu quả ngăn chặn sao nhân bản WINS xảy ra giữa các máy chủ mà các lệnh này đã chạy trên và bất kỳ đối tác sao nhân bản WINS.

     %IPSEC_Command% -w REG -p "Block WINS Replication" –x 

     Nếu bạn gặp sự cố trên mạng sau khi bật chính sách IPSec này, bạn có thể hủy gán chính sách, rồi xóa chính sách bằng cách sử dụng các lệnh sau:

     %IPSEC_Command% -w REG -p "Block WINS Replication" -y 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -o 

     Để cho phép sao nhân bản WINS chức năng giữa cụ thể WINS nhân bản đối tác bạn phải ghi đè lên các quy tắc khối với quy tắc cho phép. Các quy tắc cho phép nên chỉ định địa chỉ IP của các đối tác sao nhân bản WINS đáng tin cậy của bạn chỉ.
     
     
     Bạn có thể sử dụng các lệnh sau đây để cập nhật chính sách KHỐI WINS nhân bản IPSec cho phép địa chỉ IP cụ thể để giao tiếp với máy chủ đang sử dụng chính sách Chặn WINS Nhân bản.
     
     Lưu ý Trong các lệnh này, %IPSEC_Command% tham chiếu đến Ipsecpol.exe (trên Windows 2000) hoặc Ipseccmd.exe (trên Windows Server 2003), và %IP% đề cập đến địa chỉ IP của máy chủ WINS từ xa mà bạn muốn sao chép với.

     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS 
     

     Để gán ngay chính sách, hãy sử dụng lệnh sau đây:

     %IPSEC_Command% -w REG -p "Block WINS Replication" -x

   • Tùy chọn 2: Chạy tập lệnh để tự động đặt cấu hình bộ lọc IPSec
     Tải xuống, rồi chạy tập lệnh Bộ chặn Sao nhân bản WINS tạo chính sách IPSec để chặn các cổng. Để thực hiện điều này, hãy làm theo các bước sau:
     

     1. Để tải xuống và trích xuất tệp .exe, hãy làm theo các bước sau:
        

        1. Tải xuống tập lệnh Bộ chặn Sao nhân bản WINS.
           
           Tệp sau đây hiện có sẵn để tải xuống từ Trung tâm Tải xuống của Microsoft:
           
           tải xuống gói tập lệnh Bộ chặn Nhân bản WINS.
           
           Ngày Phát hành: 02/12/2004
           
           Để biết thêm thông tin về cách tải xuống tệp Hỗ trợ của Microsoft, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:

           119591 Cách nhận tệp hỗ trợ của Microsoft từ dịch vụ trực tuyến
           Microsoft quét tệp này để tìm vi rút. Microsoft đã sử dụng phần mềm phát hiện vi-rút mới nhất có sẵn vào ngày tệp được đăng. Tệp được lưu trữ trên các máy chủ nâng cao bảo mật giúp ngăn chặn mọi thay đổi trái phép đối với tệp.
           

           Nếu bạn đang tải tập lệnh Bộ chặn Sao nhân bản WINS vào đĩa mềm, hãy sử dụng đĩa trống được định dạng. Nếu bạn đang tải tập lệnh Bộ chặn Sao nhân bản WINS vào ổ đĩa cứng của bạn, hãy tạo một thư mục mới để tạm thời lưu tệp và trích xuất tệp từ đó.
           
           
           Lưu ý Không tải tệp trực tiếp vào thư mục Windows của bạn. Hành động này có thể ghi đè lên các tệp được yêu cầu để máy tính của bạn hoạt động chính xác.

        2. Định vị tệp trong thư mục mà bạn đã tải tệp xuống, rồi bấm đúp vào tệp .exe tự trích xuất để trích xuất nội dung vào thư mục tạm thời. Ví dụ: trích xuất nội dung vào C:\Temp.

     2. Mở dấu nhắc lệnh, sau đó di chuyển đến thư mục trích xuất tệp.

     3. Cảnh báo

        • Nếu bạn nghi ngờ rằng máy chủ WINS của bạn có thể bị nhiễm, nhưng bạn không chắc chắn những gì máy chủ WINS bị xâm phạm hoặc liệu máy chủ WINS hiện tại của bạn là bị xâm phạm, không nhập bất kỳ địa chỉ IP trong bước 3. Tuy nhiên, kể từ tháng 11 năm 2004, chúng tôi không biết bất kỳ khách hàng nào đã bị ảnh hưởng bởi sự cố này. Do đó, nếu máy chủ của bạn đang hoạt động như mong đợi, hãy tiếp tục như mô tả.

        • Nếu bạn thiết lập không chính xác IPsec, bạn có thể gây ra vấn đề nhân bản WINS nghiêm trọng trên mạng công ty của bạn.

        Chạy tệp Block_Wins_Replication.cmd của bạn. Để tạo quy tắc khối thư đến và đi cổng TCP 42 và cổng UDP, hãy nhập 1,
        rồi nhấn ENTER để chọn tùy chọn 1 khi bạn được nhắc chọn tùy chọn bạn muốn.

        Sau khi bạn chọn tùy chọn 1, tập lệnh nhắc bạn nhập địa chỉ IP của máy chủ sao nhân bản WINS đáng tin cậy.
        
        
        Mỗi địa chỉ IP mà bạn nhập được miễn chặn TCP cổng 42 và UDP cổng 42 chính sách. Bạn được nhắc trong một vòng lặp và bạn có thể nhập số lượng địa chỉ IP khi cần. Nếu bạn không biết tất cả các địa chỉ IP của các đối tác sao nhân bản WINS, bạn có thể chạy lại kịch bản trong tương lai. Để bắt đầu nhập địa chỉ IP của đối tác sao nhân bản WINS đáng tin cậy, nhập 2 rồi nhấn ENTER để chọn tùy chọn 2 khi bạn được nhắc để chọn tùy chọn mà bạn muốn.
        
        
        Sau khi bạn triển khai bản cập nhật bảo mật, bạn có thể loại bỏ chính sách IPSec. Để thực hiện điều này, hãy chạy tập lệnh. Nhập 3, rồi nhấn ENTER để chọn tùy chọn 3 khi bạn được nhắc chọn tùy chọn bạn muốn.
        
        Để biết thêm thông tin về IPsec và về cách áp dụng bộ lọc, bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:
        
        

        313190 Làm thế nào để sử dụng danh sách bộ lọc IP IPsec trong Windows 2000
        
        

3. Loại bỏ thắng nếu bạn không cần nó.
   
   Nếu bạn không còn cần THẮNG, hãy làm theo các bước sau để loại bỏ. Các bước này áp dụng cho Windows 2000, Windows Server 2003 và các phiên bản mới hơn của các hệ điều hành này. Đối với Windows NT Server 4.0, hãy làm theo quy trình được bao gồm trong tài liệu sản phẩm.
   
   Quan trọng Nhiều tổ chức yêu cầu WINS để thực hiện chức năng đăng ký tên phẳng hoặc nhãn đơn trên mạng của họ. Người quản trị không nên loại bỏ WINS trừ khi một trong các điều kiện sau đây là đúng:
   

   • Người quản trị hiểu đầy đủ tác động mà loại bỏ WINS này sẽ có trên mạng của họ.

   • Người quản trị đã cấu hình DNS để cung cấp chức năng tương đương bằng cách sử dụng tên miền đầy đủ tiêu chuẩn và hậu tố miền DNS.

   Ngoài ra, nếu người quản trị loại bỏ chức năng WINS từ một máy chủ sẽ tiếp tục cung cấp tài nguyên được chia sẻ trên mạng, người quản trị phải cấu hình lại chính xác hệ thống để sử dụng các dịch vụ độ phân giải tên còn lại như DNS trên mạng cục bộ.
   
   Để biết thêm thông tin về WINS, hãy truy cập trang web Microsoft sau đây:

   http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=true Để biết thêm thông tin về cách xác định xem liệu bạn có cần độ phân giải tên NETBIOS hay WINS và cấu hình DNS hay không, hãy truy cập trang Web Microsoft sau:

   http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxĐể loại bỏ WINS, hãy làm theo các bước sau:
   

   1. Trong Panel điều khiển, mở Thêm hoặc Loại bỏ Chương trình.

   2. Bấm Thêm/Loại bỏ Cấu phần Windows.
      

   3. Trên trang Trình hướng dẫn Cấu phần Windows, bên dưới
      Cấu phần, bấm vào Dịch vụ Kết nối mạng, rồi bấm vào Chi tiết.

   4. Bấm để bỏ chọn hộp kiểm Windows Internet Naming Service (WINS) để loại bỏ WINS.

   5. Làm theo hướng dẫn trên màn hình để hoàn tất Trình hướng dẫn Cấu phần Windows.

Chúng tôi đang nghiên cứu bản cập nhật để giải quyết sự cố bảo mật này trong quy trình cập nhật thường xuyên của chúng tôi. Khi bản cập nhật đạt đến mức chất lượng thích hợp, chúng tôi sẽ cung cấp bản cập nhật thông qua Windows Update.


Nếu bạn cho rằng mình đã bị ảnh hưởng, hãy liên hệ với Dịch vụ Hỗ trợ Sản phẩm.

Khách hàng quốc tế nên liên hệ với Dịch vụ Hỗ trợ Sản phẩm bằng cách sử dụng bất kỳ phương pháp nào được liệt kê tại Website của Microsoft sau đây:

http://support.microsoft.com