V systému Windows Server 2003 jsou odebrány IPSec výchozí výjimky

Překlady článku Překlady článku
ID článku: 810207 - Produkty, které se vztahují k tomuto článku.
Důležité: Tento článek obsahuje informace o úpravě registru. Před úpravami je nutné registr zazálohovat. Seznamte se také s postupem při obnovení registru v případě, že nastane problém. Informace o zálohování, obnovení a úpravě registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
256986Popis registru systému Microsoft Windows
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Funkce zabezpečení IP (IPsec) v systému Windows Server 2003 není určen jako firewall plnohodnotné založené na hostitele. Byl navržen poskytují základní povolit a blokovat filtrování pomocí adresy protokol a port informace síťových paketů. IPsec byl navržen ke zvýšení zabezpečení komunikace způsob je transparentní programy, také jako nástroj pro správu. Z tohoto důvodu poskytuje filtrování přenosů, které je nutné vyjednat zabezpečení pro režimu přenosu IPsec nebo IPsec režimu tunelového propojení, především pro prostředí intranetu důvěryhodnosti počítače, která byla k dispozici při použití služby Kerberos nebo pro určité cesty v síti Internet lze použít digitální certifikáty infrastruktury veřejných klíčů (PKI).

Výjimky výchozí filtry zásady IPsec jsou popsány v nápovědě Microsoft Windows XP a Microsoft Windows 2000. Tyto filtry umožňují pro protokolu IKE (Internet Key Exchange) a Kerberos funkce. Filtry také umožňují pro sítě Quality of Service(QoS) být signalizován (RSVP) při přenosu dat je zabezpečen podle IPsec a pro přenos, že IPsec nelze zabezpečit například vícesměrového a všesměrového vysílání.

Další informace o tyto filtry klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
253169Přenos nelze--zabezpečena protokolem IPSec a lze--

Další informace

Upozornění: Použijete-li Editor registru nesprávně, můžete způsobit vážné problémy, které mohou vyžadovat přeinstalaci operačního systému. Společnost Microsoft nemůže zaručit, že potíže vzniklé v důsledku nesprávného použití Editoru registru budete moci vyřešit. Editor registru používáte na vlastní nebezpečí. IPsec stále používá pro základní hostitele firewall filtrování paketů, zejména v Internetu vystavena scénáře efekt tyto výjimky výchozí má není byla plně pochopeny. Z tohoto důvodu mohou někteří správci IPsec vytvořit IPsec, zásady, které jejich domníváte být zabezpečená, ale není zabezpečit proti útokům příchozí, použít výchozí výjimky.

Z těchto důvodů Microsoft odstranil většinu výchozí výjimky v systému Windows Server 2003. To může vyžadovat změny zásad IPsec pro systém Windows Server 2003 pro scénáře implementace IPsec kde použít IKE vyjednat zabezpečení a ochrany IPsec pro přenosy protokolu horní vrstvy.

Odebrání výchozích výjimek Windows

Ve výchozím nastavení systému Windows Server 2003 odebere všechny výchozí výjimky pro kromě výjimek IKE. Před použitím zásady v systému Windows Server 2003, může být požadováno změny návrhů existující zásady IPsec.

Správci by spuštění plánování pro tyto změny pro všechny nové a existující nasazení IPsec pomocí
NoDefaultExempt=1
v počítačích se systémem Windows 2000 a systémem Windows XP.
NoDefaultExempt=1
klíč registru je podporována v systému Windows Server 2003 umožňují správcům obnovit dřívější výchozí chování výjimek pro zpětnou kompatibilitu s předchozích návrhů zásady IPsec a kompatibility programu. Během upgradu na systém Windows 2003, hodnota existujícího
NoDefaultExempt=1
zachováno nastavení klíče registru.

Další informace o výchozí výjimky pro počítače se systémem Windows 2000 a systémem Windows XP klepněte na následující číslo článku databáze Microsoft Knowledge Base:
811832Výjimky výchozí IPSec lze obejít ochrany IPsec v některých scénářích
Poznámka: Tento článek (811832) zkontrolovat před výchozí výjimky znovu povolit pomocí klíče registru.

Zkontrolovat také v části "Určení výchozí výjimky k IPSec filtrování" v zavedení systému Windows Server 2003 IPsec kit Další informace. Získat Microsoft Windows 2003 Server Deployment Kit, navštivte následující web:
http://technet2.microsoft.com/WindowsServer/en/library/0bd06cf7-2ed6-46f1-bb55-2bf870273e151033.mspx?mfr=true
Změnit výchozí chování filtrování pro Windows Server 2003 IPSec pomocí příkazu Netsh IPSec nebo upravit registr.

Chcete-li změnit výchozí chování filtrování pomocí příkazu Netsh IPSec:
  1. Klepněte na tlačítko Start a potom klepněte na příkaz Spustit.
  2. Zadejte příkaz cmd a klepněte na tlačítko OK.
  3. Na příkazovém řádku zadejte netsh ipsec dynamic set config ipsecexempt hodnota = { 0 | 1 | 2 | 3}, a stiskněte klávesu ENTER.
Použití { 0 | 1 | 2 | 3} v tomto příkazu představuje všechny dostupné možnosti pro tento příkaz. Lze použít pouze jednu hodnotu. V závislosti na výjimky, které chcete použít určete hodnotu jako:
  • Hodnota 0 určuje, že vícesměrové vysílání, RSVP a Kerberos a ISAKMP přenosy jsou vyjmuty z filtrování IPSec. Toto je výchozí chování pro Windows 2000 a Windows XP filtrování. Toto nastavení použijte, pouze pokud máte k kompatibilitu s existující zásady IPsec nebo chování systému Windows 2000 a Windows XP.
  • Hodnota 1 určuje Kerberos a RSVP přenosy nejsou vyjmuty z filtrování IPSec, ale osvobozeno vícesměrového vysílání a ISAKMP přenosy.
  • Hodnota 2 určuje vícesměrového a všesměrového vysílání nejsou vyjmuty z filtrování IPSec, ale osvobozeno RSVP a Kerberos a ISAKMP přenos.
  • Hodnota 3 určuje pouze přenosy ISAKMP vyjmuty z filtrování IPSec. Toto je výchozí chování filtrování pro Windows Server 2003.
Hodnotu pro toto nastavení změnit, musíte restartovat počítač se projeví nová hodnota. Chcete-li změnit výchozí chování filtrování pomocí registru:
  1. Klepněte na tlačítko Start a potom klepněte na příkaz Spustit.
  2. Zadejte Regedit a klepněte na tlačítko OK.
  3. Klepněte na následující klíč registru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC
    Poznámka:Pokud používáte systém Windows Server 2008, klepněte na následující klíč registru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
  4. Klepněte pravým tlačítkem myši IPSEC, přejděte na příkaz Nový a potom klepněte na příkaz Hodnota DWORD.
  5. Název této nové položky NoDefaultExempt.
  6. Přiřadit libovolnou hodnotu této položky z 03.
  7. Restartujte počítač.
Jsou ekvivalentní ty, které jsou označeny pro filtrování chování pro každou hodnotu netsh ipsec dynamic set config ipsecexempt hodnota = x příkazu.

Dopad IKE výjimek

Efekt výjimek IKE je stejné jako pro systém Windows 2000 a Windows XP. Windows Server 2003 však poskytuje zdokonalené avoidance DoS k zahlcení útoky.

Další informace o IKE výjimek pro Windows 2000 a Windows XP klepněte na následující číslo článku databáze Microsoft Knowledge Base:
811832Výjimky výchozí IPSec může být slouží k vynechání Ochrana IPsec v některé scénáře

Efekt Kerberos výjimek

Pokud
NoDefaultExempt
nastavena na 0 nebo 2 obnovit výjimky, je efekt Kerberos výjimek stejné popsaným pro Windows 2000 a Windows XP.

Další informace o Kerberos výjimek pro Windows 2000 a Windows XP, klepněte na následující číslo článku databáze Microsoft Knowledge Base:
811832Výjimky výchozí IPSec může být slouží k vynechání Ochrana IPsec v některé scénáře

Efekt RSVP výjimek

Pokud
NoDefaultExempt
nastavena na 0 nebo 2 obnovit výjimky, riziko výjimek RSVP omezena implementacích RSVP výrobců, které mohou být nainstalovány. Windows Server 2003 nezahrnuje ve výchozím nastavení služba QoS RSVP. Možnost –R byla odebrána z příkazu Pathping nástroj, takže nepodporuje protokol RSVP.

Efekt všesměrového a vícesměrového vysílání výjimky

Pokud
NoDefaultExempt
nastavena na 0 nebo 1 obnovit výjimky, je efekt všesměrového a vícesměrového vysílání výjimky stejné popsaným pro Windows 2000 a Windows XP. Windows Server 2003 IPsec však podporuje filtrování přenosů všesměrového a vícesměrového vysílání. Návrh zásady IPsec pravděpodobně filtry, které by být porovnány podle odchozí všesměrového nebo vícesměrového vysílání jako filtr s zdrojová adresa text adresa IP tohoto ” a cílovou adresu text Jakákoli adresa IP ”. Zásady IPsec byste testován laboratoře a operace potvrzení vliv existující návrh zásad na tento přenos. Přenosy všesměrového a vícesměrového vysílání blokována omezené způsobem pomocí filtru IPsec s zdrojovou a cílovou adresou text Jakákoli adresa IP ”. Microsoft Windows Server 2003 Resource Kit obsahuje další informace.

Další informace o vysílání a vícesměrového vysílání výjimky pro Windows 2000 a Windows XP klepněte na následující číslo článku databáze Microsoft Knowledge Base:
811832Výjimky výchozí IPSec může být slouží k vynechání Ochrana IPsec v některé scénáře

Které programy může přijímat všesměrové vysílání?

Windows Server 2003 podporuje možnost soketu pro programy explicitně zakázat příjem všesměrové vysílání, ale neexistuje žádná změna výchozí chování programy, které naslouchají na portech UDP přijímat všesměrové vysílání.

Které programy může přijímat vícesměrové vysílání?

V systému Windows Server 2003 programy stále musí explicitně registrovat s zásobníku TCPIP přijímat typy příchozích přenosů vícesměrového vysílání a přenos může být zrušen, pokud skupiny vícesměrového vysílání neregistrovaných.

Pomocí IPsec bránu

Jako v systému Windows XP lze vytvořit rozšířené filtrování chování kombinovat funkce filtrování IPsec a ICF. To je zvláště užitečné, kde IPsec musí staticky povolení určitých odchozí přenosy k Internetu, například pro HTTP nebo DNS nebo SMTP. Umožňuje ICF poskytují stavové filtrování odchozí přenosy IPsec povoluje.

Odkazy

Další informace o efekt výchozí výjimky zabezpečení IP klepněte na následující číslo článku databáze Microsoft Knowledge Base:
811832Výjimky výchozí IPsec lze obejít ochrany IPsec v některých scénářích pro Windows 2000 a Windows XP
Další informace o filtrování a nasazení návod IPsec v systému Windows Server 2003 naleznete v kapitole IPsec nasazení v Microsoft Windows 2003 Server Deployment Kit. Informace o provedení tohoto kroku naleznete na následujícím webu společnosti Microsoft:
http://technet2.microsoft.com/WindowsServer/en/library/0bd06cf7-2ed6-46f1-bb55-2bf870273e151033.mspx?mfr=true

Vlastnosti

ID článku: 810207 - Poslední aktualizace: 18. února 2008 - Revize: 9.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Klíčová slova: 
kbmt kbinfo KB810207 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:810207

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com