Làm thế nào để giúp bảo vệ chống lại một vấn đề bảo mật WINS

GIỚI THIỆU

Chúng tôi đang điều tra báo cáo vấn đề bảo mật với Microsoft Windows tên dịch vụ Internet (WINS). Vấn đề bảo mật này ảnh hưởng đến Microsoft Windows NT Server 4.0, Microsoft Windows NT Server 4.0 Terminal Server Edition, Microsoft Windows 2000 Server và Microsoft Windows Server 2003. Vấn đề bảo mật này không ảnh hưởng đến Microsoft Windows 2000 Professional, Microsoft Windows XP hoặc Microsoft Windows Millennium Edition.

Thông tin

Theo mặc định, WINS không được cài đặt trên Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server, hoặc Windows Server 2003. Theo mặc định, WINS được cài đặt và chạy Microsoft Small Business Server 2000 và Microsoft Windows Small Business Server 2003. Theo mặc định, tất cả các phiên bản của Microsoft Small Business Server, WINS cấu phần kết nối cổng bị chặn từ Internet và WINS là chỉ có sẵn trên mạng cục bộ.

Vấn đề bảo mật này có thể làm cho một kẻ tấn công từ xa ảnh hưởng đến máy chủ WINS nếu một trong các điều kiện sau là đúng:

• Bạn đã thay đổi cấu hình mặc định cài đặt vai trò máy chủ WINS trên Windows NT Server 4.0, Windows NT Server 4.0 Terminal Server Edition, Windows 2000 Server, hoặc Windows Server 2003.

• Bạn đang chạy Microsoft Small Business Server 2000 hoặc Microsoft Windows Small Business Server 2003 và kẻ có quyền truy cập vào mạng cục bộ của bạn.

Để giúp bảo vệ máy tính của bạn khỏi các lỗ hổng bảo mật tiềm năng này, hãy làm theo các bước sau:

1. Khối TCP cổng 42 và UDP port 42 tại tường lửa.
   
   
   Các cổng được sử dụng để bắt đầu kết nối với máy chủ WINS từ xa. Nếu bạn chặn các cổng tường lửa, bạn giúp ngăn chặn máy tính đó Firewall từ cố gắng sử dụng lỗ hổng này. Cổng TCP 42 và cổng UDP 42 là giải nhân cổng mặc định. Chúng tôi khuyên bạn nên chặn tất cả các thông tin không mong muốn đến từ Internet.

2. Sử dụng bảo mật giao thức Internet (IPsec) để giúp bảo vệ lưu lượng truy cập từ WINS chủ nhân đối tác. Để thực hiện việc này, sử dụng một trong các tuỳ chọn sau.
   
   Lưu ý Vì mỗi cơ sở hạ tầng WINS duy nhất, những thay đổi này có tác dụng không mong muốn trên cơ sở hạ tầng. Chúng tôi khuyên bạn thực hiện phân tích nguy cơ trước khi bạn chọn để thực hiện giảm thiểu này. Chúng tôi cũng khuyên bạn thực hiện kiểm tra đầy đủ trước khi bạn đặt này giảm thiểu sản xuất.
   

   • Tuỳ chọn 1: Cấu hình các bộ lọc IPSec
     Cấu hình các bộ lọc IPSec, và sau đó làm theo hướng dẫn trong bài viết sau trong cơ sở kiến thức Microsoft để thêm một bộ lọc chặn đã chặn tất cả gói từ bất kỳ địa chỉ IP địa chỉ IP của hệ thống:

     813878 làm thế nào để ngăn chặn các cổng và giao thức mạng cụ thể bằng cách sử dụng IPSec
     
     Nếu bạn sử dụng IPSec trong môi trường miền Windows 2000 Active Directory và triển khai chính sách IPSec của bạn bằng cách sử dụng chính sách nhóm chính sách miền ghi đè lên bất kỳ chính sách cục bộ được xác định. Sự kiện này ngăn tuỳ chọn này từ chặn các gói mà bạn muốn.
     
     Để xác định xem máy chủ của bạn nhận được một chính sách IPSec từ miền Windows 2000 hoặc phiên bản mới hơn, hãy xem phần "Xác định xem một chính sách IPSec được" trong bài viết cơ sở kiến thức 813878.
     
     Khi bạn đã xác định rằng bạn có thể tạo một chính sách IPSec cục bộ có hiệu quả, tải xuống công cụ IPSeccmd.exe hoặc công cụ IPSecpol.exe.
     
     Các lệnh chặn truy cập đến và đi vào cổng TCP 42 và cổng UDP 42.
     
     Lưu ý Trong các lệnhIPSEC_Command% nói Ipsecpol.exe (trên Windows 2000) hoặc Ipseccmd.exe (trên Windows Server 2003).

     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK 
     

     Lệnh thực hiện các chính sách IPSec có hiệu quả ngay lập tức nếu không có chính sách xung đột. Lệnh này sẽ bắt đầu chặn tất cả các cổng TCP đến/đi 42 và cổng 42 gói UDP. Điều này có hiệu quả ngăn WINS nhân xảy ra giữa các lệnh được chạy trên máy chủ và các đối tác nhân WINS.

     %IPSEC_Command% -w REG -p "Block WINS Replication" –x 

     Nếu bạn gặp sự cố trên mạng sau khi bạn bật chính sách IPSec này, bạn có thể unassign chính sách và sau đó xoá các chính sách bằng cách sử dụng các lệnh sau:

     %IPSEC_Command% -w REG -p "Block WINS Replication" -y 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -o 

     Để giải nhân hoạt động giữa giải cụ thể đối tác nhân bạn phải thay thế các quy tắc chặn với cho phép quy tắc. Quy tắc cho phép nên chỉ định địa chỉ IP của máy tin cậy WINS nhân chỉ.
     
     
     Bạn có thể sử dụng các lệnh sau để cập nhật chính sách IPSec nhân khối WINS để địa chỉ IP cụ thể liên lạc với máy chủ đang sử dụng chính sách khối WINS nhân bản.
     
     Lưu ý Các lệnhIPSEC_Command% dùng Ipsecpol.exe (trên Windows 2000) hoặc Ipseccmd.exe (trên Windows Server 2003) vàIP% là địa chỉ IP của máy chủ WINS từ xa mà bạn muốn sao chép với.

     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS 
     %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS 
     

     Để gán chính sách ngay lập tức, sử dụng các lệnh sau:

     %IPSEC_Command% -w REG -p "Block WINS Replication" -x

   • Tuỳ chọn 2: Chạy tập lệnh tự động cấu hình các bộ lọc IPSec
     Tải xuống và sau đó chạy tập lệnh WINS nhân chặn tạo một chính sách IPSec chặn các cổng. Để thực hiện việc này, hãy làm theo các bước sau:
     

     1. Tải về và giải nén tệp .exe, hãy làm theo các bước sau:
        

        1. Tải xuống script WINS nhân chặn.
           
           Tệp sau đây có sẵn để tải xuống từ Trung tâm Tải xuống Microsoft:
           
           Tải WINS nhân chặn kịch bản bây giờ.
           
           Ngày phát hành: 2 tháng 12 năm 2004
           
           Để biết thêm thông tin về cách tải xuống tệp Hỗ trợ Microsoft, hãy bấm vào số bài viết sau để xem bài viết trong Cơ sở Kiến thức Microsoft:

           119591 cách tải xuống các tệp hỗ trợ Microsoft từ dịch vụ trực tuyến
           Microsoft đã quét vi-rút tệp này. Microsoft đã sử dụng phần mềm phát hiện vi-rút mới nhất đã có vào ngày tệp được đăng. Tệp được lưu trữ trên máy chủ được tăng cường bảo mật giúp ngăn chặn mọi thay đổi trái phép đối với tệp.
           

           Nếu bạn tải xuống các kịch bản WINS nhân chặn vào đĩa, sử dụng định dạng đĩa trống. Nếu bạn tải xuống các kịch bản WINS nhân chặn vào đĩa cứng, tạo một cặp mới tạm thời lưu tệp và giải nén tệp.
           
           
           Lưu ý Tải xuống tệp trực tiếp vào thư mục Windows. Thao tác này có thể ghi đè tệp được yêu cầu cho máy tính của bạn hoạt động đúng cách.

        2. Định vị tệp trong thư mục mà bạn đã tải xuống để rồi sau đó bấm đúp vào tệp .exe tự giải nén để trích xuất nội dung vào một thư mục tạm thời. Ví dụ: trích xuất nội dung để C:\Temp.

     2. Mở dấu nhắc lệnh và sau đó di chuyển vào thư mục nơi tệp được giải nén.

     3. Cảnh báo

        • Nếu bạn nghi ngờ rằng máy chủ WINS có thể bị nhiễm, nhưng bạn không chắc chắn về máy chủ WINS bị xâm phạm hoặc xem máy chủ WINS hiện tại của bạn bị xâm phạm, không nhập bất kỳ địa chỉ IP ở bước 3. Tuy nhiên, kể từ tháng 11 năm 2004, chúng tôi không biết bất kỳ khách hàng đã bị ảnh hưởng bởi sự cố này. Do đó, nếu máy chủ của bạn hoạt động như mong đợi, tiếp tục như được mô tả.

        • Nếu bạn không đúng thiết lập IPsec, bạn có thể gây ra vấn đề nhân bản WINS nghiêm trọng trên mạng doanh nghiệp của bạn.

        Chạy tập tin Block_Wins_Replication.cmd. Tạo cổng TCP 42 và cổng UDP 42 các quy tắc trong và bên ngoài khối, gõ
        1 và sau đó nhấn ENTER để chọn tùy chọn 1 khi bạn được nhắc chọn tuỳ chọn mà bạn muốn.

        Sau khi bạn chọn 1, đoạn nhắc bạn nhập địa chỉ IP của máy chủ nhân bản WINS đáng tin cậy.
        
        
        Từng địa chỉ IP mà bạn nhập loại bỏ chặn cổng TCP 42 và chính sách 42 cổng UDP. Bạn được nhắc trong một vòng lặp, và bạn có thể nhập nhiều địa chỉ IP theo yêu cầu. Nếu bạn không biết tất cả các địa chỉ IP của đối tác nhân WINS, bạn có thể chạy tập lệnh lại trong tương lai. Để bắt đầu nhập địa chỉ IP của đối tác nhân WINS tin cậy, loại 2 và sau đó nhấn ENTER để chọn tùy chọn 2 khi bạn được nhắc chọn các tùy chọn bạn muốn.
        
        
        Sau khi bạn triển khai bản Cập Nhật bảo mật, bạn có thể xoá chính sách IPSec. Để thực hiện việc này, hãy chạy tập lệnh. Loại 3 và sau đó nhấn ENTER để chọn tùy chọn 3 khi bạn được nhắc chọn tuỳ chọn mà bạn muốn.
        
        Để biết thêm thông tin về IPsec và làm thế nào để áp dụng bộ lọc, bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
        
        

        313190 làm thế nào để sử dụng bộ lọc IPsec IP liệt kê trong Windows 2000
        
        

3. Loại bỏ giải nếu bạn không cần.
   
   Nếu bạn không cần WINS, hãy làm theo các bước sau để xoá. Các bước này áp dụng cho Windows 2000, Windows Server 2003 và các phiên bản hệ điều hành. Dành cho Windows NT Server 4.0, hãy làm theo quy trình được bao gồm trong các tài liệu sản phẩm.
   
   Quan trọng Tổ chức nhiều yêu cầu WINS để thực hiện một nhãn hoặc chức năng đăng ký và giải pháp tên phẳng trên mạng của họ. Quản trị viên không phải loại bỏ giải trừ khi một trong các điều kiện sau là đúng:
   

   • Quản trị viên hoàn toàn hiểu ảnh rằng loại bỏ WINS này sẽ có trên mạng của họ.

   • Quản trị viên đã cấu hình DNS để cung cấp chức năng tương đương bằng cách sử dụng tên miền đủ điều kiện và hậu tố DNS tên miền.

   Ngoài ra, nếu quản trị viên loại bỏ chức năng WINS từ máy chủ sẽ tiếp tục cung cấp các tài nguyên được chia sẻ trên mạng, quản trị viên phải đúng cấu hình lại hệ thống để sử dụng dịch vụ phân giải tên còn lại như DNS địa phương mạng.
   
   Để biết thêm thông tin về WINS, ghé thăm Web site sau của Microsoft:

   http://technet2.microsoft.com/WindowsServer/en/library/2e0186ba-1a09-42b5-81c8-3ecca4ddde5e1033.mspx?mfr=trueĐể biết thêm thông tin về cách xác định xem bạn cần giải pháp tên NETBIOS hoặc WINS và cấu hình DNS, ghé thăm Web site sau của Microsoft:

   http://technet2.microsoft.com/windowsserver/en/library/55F0DFC8-AFC9-4096-82F4-B8345EAA1DBD1033.mspxBỏ WINS, hãy làm theo các bước sau:
   

   1. Trong Pa-nen điều khiển, mở Thêm hoặc loại bỏ chương trình.

   2. Bấm vào Thêm/Loại bỏ Thành phần Windows.
      

   3. Trang thuật sĩ cấu phần Windows trong
      Cấu phần, bấm Dịch vụ mạngvà sau đó bấm chi tiết.

   4. Bấm để bỏ chọn hộp kiểm Dịch vụ tên Internet Windows (WINS) bỏ WINS.

   5. Làm theo các hướng dẫn trên màn hình để hoàn thành thuật sĩ cấu phần Windows.

Chúng tôi đang tìm bản Cập Nhật để giải quyết vấn đề bảo mật này là một phần của quy trình Cập Nhật thường xuyên. Khi bản Cập Nhật đã đạt tới một mức độ phù hợp về chất lượng, chúng tôi sẽ cung cấp bản cập nhật thông qua Windows Update.


Nếu bạn tin rằng bạn đã bị ảnh hưởng, hãy liên hệ với dịch vụ hỗ trợ sản phẩm.

Khách hàng quốc tế nên liên hệ với dịch vụ hỗ trợ sản phẩm bằng cách sử dụng bất kỳ phương pháp được liệt kê tại Web site sau Microsoft:

http://support.microsoft.com