如何帮助防止出现 WINS 安全问题


简介


我们正在研究有关 Microsoft Windows Internet 名称服务 (WINS) 中存在的安全问题的报告。该安全问题影响 Microsoft Windows NT Server 4.0、Microsoft Windows NT Server 4.0 终端服务器版、Microsoft Windows 2000 Server 和 Microsoft Windows Server 2003,而不影响 Microsoft Windows 2000 Professional、Microsoft Windows XP 或 Microsoft Windows Millennium Edition。

更多信息


默认情况下,WINS 未安装在 Windows NT Server 4.0、Windows NT Server 4.0 终端服务器版、Windows 2000 Server 或 Windows Server 2003 上。默认情况下,WINS 安装并运行在 Microsoft Small Business Server 2000 和 Microsoft Windows Small Business Server 2003 上。默认情况下,在 Microsoft Small Business Server 的所有版本上,均禁止 WINS 组件通信端口连接 Internet,并且 WINS 只能在本地网络上使用。

由于该安全问题,攻击者可能会在满足下列条件之一时以远程方式危害 WINS 服务器的安全:
  • 您已将默认配置更改为在 Windows NT Server 4.0、Windows NT Server 4.0 终端服务器版、Windows 2000 Server 或 Windows Server 2003 上安装 WINS 服务器角色。
  • 您运行的是 Microsoft Small Business Server 2000 或 Microsoft Windows Small Business Server 2003,并且攻击者可以访问您的本地网络。
要帮助计算机免遭此潜在漏洞的危害,请按照下列步骤操作:
  1. 在防火墙处禁止 TCP 端口 42 和 UDP 端口 42。


    这两个端口用于与远程 WINS 服务器建立连接。如果在防火墙处禁止这些端口,可以帮助阻止位于该防火墙后面的计算机试图利用此漏洞。TCP 端口 42 和 UDP 端口 42 是默认的 WINS 复制端口。建议您禁止来自 Internet 的所有未经请求的通信。
  2. 使用 Internet 协议安全 (IPsec) 帮助保护 WINS 服务器复制合作伙伴之间的通信。为此,请使用下列选项之一。

    警告:因为每个 WINS 基础结构都是唯一的,所以这些更改可能会对您的基础结构产生意外影响。强烈建议您在选择执行此缓解方法之前执行风险分析。此外,还强烈建议您在将此缓解方法运用于生产之前执行完整的测试。
    • 选项 1:手动配置 IPSec 筛选器
      手动配置 IPSec 筛选器,然后按照以下 Microsoft 知识库文章中的说明添加禁止筛选器,以阻止从任何 IP 地址到您系统 IP 地址的所有数据包:
      813878 如何使用 IPSec 阻止特定网络协议和端口

      如果您在 Windows 2000 Active Directory 域环境中使用 IPSec,并使用组策略部署 IPSec 策略,则域策略将覆盖在本地定义的任何策略。这种情况可防止此选项阻塞您需要的数据包。

      要确定您的服务器是从 Windows 2000 域还是从更高版本的域接收 IPSec 策略,请参见知识库文章 813878 中的“确定是否指定了 IPSec 策略”部分。

      当您已经确定您可以创建有效的本地 IPSec 策略时,可下载 IPSeccmd.exe 工具或 IPSecpol.exe 工具。

      下列命令禁止对 TCP 端口 42 和 UDP 端口 42 进行入站访问和出站访问。

      注意:在这些命令中,%IPSEC_Command% 是指 Ipsecpol.exe(在 Windows 2000 上)或 Ipseccmd.exe(在 Windows Server 2003 上)。
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound TCP Port 42 Rule" -f *=0:42:TCP -n BLOCK 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Inbound UDP Port 42 Rule" -f *=0:42:UDP -n BLOCK
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound TCP Port 42 Rule" -f 0=*:42:TCP -n BLOCK
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Block All Outbound UDP Port 42 Rule" -f 0=*:42:UDP -n BLOCK
      如果没有冲突的策略,下面的命令可使 IPSec 策略立即生效。该命令将开始禁止所有入站/出站 TCP 端口 42 和 UDP 端口 42 数据包。这样可有效地阻止运行这些命令的服务器和任何 WINS 复制合作伙伴之间发生 WINS 复制。
      %IPSEC_Command% -w REG -p "Block WINS Replication" –x 
      如果在启用此 IPSec 策略后遇到网络问题,可以取消指定该策略,然后使用下面的命令删除该策略:
      %IPSEC_Command% -w REG -p "Block WINS Replication" -y 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -o
      要允许在特定 WINS 复制合作伙伴之间进行 WINS 复制,必须使用允许规则覆盖这些禁止规则。允许规则只应指定您信任的 WINS 复制合作伙伴的 IP 地址。


      您可以使用下列命令将“禁止 WINS 复制”IPSec 策略更新为允许特定 IP 地址与使用该“禁止 WINS 复制”策略的服务器进行通信。

      注意:在这些命令中,%IPSEC_Command% 是指 Ipsecpol.exe(在 Windows 2000 上)或 Ipseccmd.exe(在 Windows Server 2003 上),%IP% 是指用于复制的远程 WINS 服务器的 IP 地址。
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound TCP Port 42 from %IP% Rule" -f %IP%=0:42:TCP -n PASS 
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Inbound UDP Port 42 from %IP% Rule" -f %IP%=0:42:UDP -n PASS
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound TCP Port 42 to %IP% Rule" -f 0=%IP%:42:TCP -n PASS
      %IPSEC_Command% -w REG -p "Block WINS Replication" -r "Allow Outbound UDP Port 42 to %IP% Rule" -f 0=%IP%:42:UDP -n PASS
      要立即指定该策略,请使用下面的命令:
      %IPSEC_Command% -w REG -p "Block WINS Replication" -x
    • 选项 2:运行脚本以自动配置 IPSec 筛选器
      下载并运行“WINS 复制禁止程序”脚本,该脚本创建用于禁止端口的 IPSec 策略。为此,请按照下列步骤操作:
      1. 要下载并提取 .exe 文件,请按照下列步骤操作:
        1. 下载“WINS 复制禁止程序”脚本。

          可以从 Microsoft 下载中心下载以下文件:

          下载 立即下载“WINS 复制禁止程序”脚本程序包。

          发布日期:2004 年 12 月 2 日

          有关如何下载 Microsoft 支持文件的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
          119591 如何从联机服务获取 Microsoft 支持文件
          Microsoft 已对此文件进行了病毒扫描。Microsoft 使用的是该文件发布时可以获得的最新病毒检测软件。该文件存储在安全性得到增强的服务器上,以防止在未经授权的情况下对其进行更改。
          如果要将“WINS 复制禁止程序”脚本下载到软盘,可使用已经格式化的空白磁盘。如果要将“WINS 复制禁止程序”脚本下载到硬盘,可新建一个文件夹以便临时保存并提取文件。


          警告:不要将文件直接下载到 Windows 文件夹中。此操作可能会覆盖计算机正常运行所需的文件。
        2. 在该文件下载到的文件夹中找到该文件,然后双击自解压 .exe 文件,将内容提取到一个临时文件夹中。例如,将内容提取到 C:\Temp 中。
      2. 打开命令提示符,然后转至将文件提取到的目录。
      3. 警告
        • 如果您怀疑 WINS 服务器可能受到病毒感染,但是不确定哪些 WINS 服务器受到危害或者不确定您当前的 WINS 服务器是否受到危害,请不要在第 3 步中输入任何 IP 地址。不过,截至到 2004 年 11 月,我们尚未听说有任何客户受到此问题的影响。因此,如果您的服务器运行正常,请继续按照说明操作。
        • 如果您设置的 IPsec 不正确,可能会导致在企业网络上发生严重的 WINS 复制问题。有关 IPsec 安全注意事项的其他信息,请访问下面的 Microsoft 网站:
        运行 Block_Wins_Replication.cmd 文件。要创建 TCP 端口 42 和 UDP 端口 42 入站和出站禁止规则,请在系统提示您选择所需选项时键入 1,然后按 Enter 以选择选项 1。
        选择选项 1 后,脚本会提示您输入可信 WINS 复制服务器的 IP 地址。


        您输入的每个 IP 地址均不受禁止 TCP 端口 42 和 UDP 端口 42 策略的约束。您会不断收到提示,而且可以根据需要输入许多 IP 地址。如果不知道 WINS 复制合作伙伴的所有 IP 地址,可以在以后再次运行该脚本。要开始输入可信 WINS 复制合作伙伴的 IP 地址,请在系统提示您选择所需选项时键入“2”,然后按 Enter 以选择选项 2。


        部署安全更新以后,可以删除 IPSec 策略。为此,请运行该脚本。在系统提示您选择所需选项时键入 3,然后按 Enter 以选择选项 3。

        有关 IPsec 以及如何应用筛选器的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

        313190 如何使用 Windows 2000 中的 IPsec IP 筛选器列表

  3. 如果不需要 WINS,则将其删除。

    如果不再需要 WINS,请按照下列步骤操作将它删除。这些步骤适用于 Windows 2000、Windows Server 2003 以及这些操作系统的更高版本。对于 Windows NT Server 4.0,请按照产品文档中介绍的步骤操作。

    重要说明:许多组织要求 WINS 在其网络上执行单个标签或简单名称注册和解析功能。除非满足下列条件之一,否则管理员不应删除 WINS:
    • 管理员完全了解删除 WINS 这一操作对其网络的影响。
    • 管理员已经通过使用完全限定的域名和 DNS 域后缀将 DNS 配置为提供等同的功能。
    此外,如果管理员要从服务器中删除 WINS 功能,而该服务器将继续在网络中提供共享资源,则管理员必须重新正确配置系统,使之使用本地网络中其余的名称解析服务(如 DNS)。

    有关 WINS 的更多信息,请访问下面的 Microsoft 网站: 有关如何确定是需要 NETBIOS 还是需要 WINS 名称解析和 DNS 配置的更多信息,请访问下面的 Microsoft 网站:要删除 WINS,请按照下列步骤操作:
    1. 在“控制面板”中,打开“添加或删除程序”。
    2. 单击“添加/删除 Windows 组件”。
    3. 在“Windows 组件向导”页中的“组件”下,单击“网络服务”,然后单击“详细信息”。
    4. 单击以清除“Windows Internet 名称服务(WINS)”复选框以删除 WINS。
    5. 根据屏幕上的说明操作,完成 Windows 组件向导。
我们正在创建更新,以通过定期的更新过程解决此安全问题。当该更新达到适当的质量级别时,我们将通过 Windows Update 提供该更新。


如果您认为您已经受到影响,请与产品支持服务部门联系。在北美洲,可使用下面的 PC 安全电话号码与产品支持服务部门联系,以获取与安全更新问题或病毒相关的帮助:
1-866-PCSAFETY
注意:拨打此电话是免费的。

国际客户应该使用以下 Microsoft 网站中列出的任意方法与产品支持服务部门联系: