IPSec-Standardausnahmen werden in Windows Server 2003 entfernt.

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 810207 - Produkte anzeigen, auf die sich dieser Artikel bezieht
wichtig : Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Bevor Sie die Registrierung bearbeiten, vergewissern Sie sich bitte, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen einer Sicherungskopie, zum Wiederherstellen und Bearbeiten der Registrierung finden Sie in folgendem Artikel der Microsoft Knowledge Base:
256986Beschreibung der Microsoft Windows-Registrierung
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Das Internetprotokollsicherheit (IPsec)-Feature in Windows Server 2003 wurde nicht als voll funktionsfähige Host-basierte Firewall konzipiert. Es wurde entwickelt, bieten grundlegende zulassen und blockieren Filtern mithilfe von Adresse, Protokoll und Portinformationen in Netzwerkpaketen. IPsec wurde auch als administratives Tool entwickelt, um die Sicherheit der Kommunikation in einer Weise zu erhöhen, die für die Programme transparent ist. Aus diesem Grund bietet Datenverkehr zu filtern, die zum Aushandeln der Sicherheit für IPSec-Transportmodus oder IPsec erforderlich ist im Tunnelmodus, insbesondere für Intranetumgebungen, in denen Computer Vertrauensstellung über den Kerberos-Dienst verfügbar war, oder für bestimmte Pfade über das Internet, Infrastruktur öffentlicher Schlüssel (PKI) digitale Zertifikate verwendet werden können.

Standardausnahmen zu IPSec-Richtlinienfilter sind in der Microsoft Windows 2000 und Windows XP Hilfe dokumentiert. Diese Filter ermöglichen es für Internetschlüsselaustausch (IKE) und Kerberos Funktion. Die Filter können Sie auch mögliche für das Netzwerk Quality Service(QoS) werden (RSVP), signalisiert Wenn Daten Datenverkehr gesichert wird durch IPsec und für Datenverkehr, IPsec nicht wie z. B. multicast und broadcast-Datenverkehr sichern kann.

Weitere Informationen über diese Filter finden Sie die folgende KB-Artikelnummer:
253169Datenverkehr, der nicht möglich--durch IPSec geschützt werden und kann--

Weitere Informationen

Warnung : unkorrekte Verwendung des Registrierungseditors kann schwerwiegende Probleme, die eine Neuinstallation Ihres Betriebssystems erforderlich machen verursachen. Microsoft kann nicht garantieren, dass Probleme, die Verwendung des Registrierungseditors entstehen, behoben werden können. Benutzen Sie den Registrierungseditor auf eigene Verantwortung. IPsec zunehmend verwendet wird, für die Host Basisfirewall Paketfilterung, insbesondere in Szenarien Internet verfügbar gemacht hat die Auswirkungen dieser Standardausnahmen vollständig nicht verstanden. Aus diesem Grund können einige Administratoren IPsec IPsec erstellen, Richtlinien, die Sie der Meinung sind, um sicher zu sein, die jedoch nicht eingehenden Angriffen geschützt, die die Standardausnahmen verwenden.

Aus diesen Gründen hat Microsoft die meisten der Standardausnahmen in Windows Server 2003 entfernt. IPSec-Richtlinienänderungen ggf. für Windows Server 2003 für IPSec-Bereitstellung Szenarios muss, wo Sie IKE, verwenden um Sicherheit und IPSec-Schutz für Protokoll der oberen Schicht Datenverkehr aushandeln.

Entfernen der standardmäßigen Windows Ausnahmen

Standardmäßig ist Windows Server 2003 entfernt alle Standardausnahmen, außer für die IKE-Ausnahme. Änderungen an vorhandenen IPsec-Richtlinienentwürfen möglicherweise erforderlich, bevor Sie die Richtlinie auf Windows Server 2003 verwenden können.

Administratoren sollten zunächst Planung für diese Änderungen für alle vorhandenen und neuen IPsec-Bereitstellungen mithilfe von
NoDefaultExempt=1
auf Ihren Windows 2000-basierten und Windows XP-basierten Computern. Die
NoDefaultExempt=1
Registrierungsschlüssel wird in Windows Server 2003 Möglichkeit für Administratoren das frühere Ausnahme-Standardverhalten für Abwärtskompatibilität mit früheren IPsec-Richtlinienentwürfen wiederherzustellen und Kompatibilität Programm unterstützt. Während der Aktualisierung auf Windows Server 2003 der Wert einer vorhandenen
NoDefaultExempt=1
Registrierungsschlüssel beibehalten.

Weitere Informationen zu Standardausnahmen für Windows 2000-basierten und Windows XP-basierten Computer finden Sie die folgende KB-Artikelnummer:
811832IPSec Default Ausnahmen können umgehen von IPSec-Schutz in einigen Szenarios verwandt werden
Hinweis: Lesen Sie in diesem Artikel (811832), bevor Sie den Registrierungsschlüssel, verwenden um die Standardausnahmen wieder zu aktivieren.

Außerdem überprüfen Sie festlegen Standard Ausnahmen zu IPSec-Abschnitt "Filter" in der Windows Server 2003-IPsec-Bereitstellung-Kit für Weitere Informationen. Um Microsoft Windows 2003 Server Deployment Kit zu erhalten, die folgende Microsoft-Website:
http://technet2.microsoft.com/WindowsServer/en/library/0bd06cf7-2ed6-46f1-bb55-2bf870273e151033.mspx?mfr=true
Um die Standardeinstellung Verhalten für Windows Server 2003-IPSec-Filterung zu ändern, können Sie mithilfe des Befehls Netsh IPSec oder die Registrierung ändern.

So ändern Sie die Standardeinstellung Verhalten mithilfe des Befehls Netsh-IPSec- Filtern
  1. Klicken Sie auf Start , und klicken Sie dann auf Ausführen .
  2. Geben Sie cmd ein , und klicken Sie dann auf OK .
  3. Geben Sie an der Eingabeaufforderung Netsh Ipsec Dynamic set Config Ipsecexempt Wert = { 0 | 1 | 2 | 3}, und drücken Sie anschließend die [EINGABETASTE].
Die Verwendung von { 0 | 1 | 2 | 3} stellt Sie alle verfügbaren Optionen für diesen Befehl in diesem Befehl dar. Sie können nur einen Wert verwenden. Abhängig von der Ausnahmen möchten Sie Sie verwenden, geben Sie den Wert als:
  • Der Wert 0 gibt an, Multicast-, Broadcast-, RSVP-, Kerberos- und ISAKMP Datenverkehr sind von der IPSec-Filterung ausgenommen. Dies ist die Standardeinstellung Filtern Verhalten für Windows 2000 und Windows XP. Verwenden Sie diese Einstellung nur, wenn Sie auf die Kompatibilität mit einer bestehenden IPSec-Richtlinie oder Windows 2000 und Windows XP das Verhalten haben.
  • Wert 1 gibt an, dass Kerberos und RSVP-Datenverkehr nicht von IPSec-Filterung ausgenommen, aber Multicast-, Broadcast- und ISAKMP-Datenverkehr ausgenommen sind.
  • Wert von 2 Gibt an, dass Multicast-und Broadcastverkehr sind nicht von IPSec-Filterung ausgenommen, aber RSVP-, Kerberos- und ISAKMP Datenverkehr ausgenommen.
  • Der Wert 3 gibt an, dass nur die ISAKMP-Verkehr von IPSec-Filterung ausgenommen ist. Dies ist die Standardeinstellung Filtern Verhalten für Windows Server 2003.
Wenn Sie den Wert für diese Einstellung ändern, müssen Sie den Computer für den neuen Wert wirksam neu starten. So ändern Sie die Standardeinstellung Filtern Verhalten mithilfe der Registrierung:
  1. Klicken Sie auf Start , und klicken Sie dann auf Ausführen .
  2. Geben Sie Regedit ein, und klicken Sie dann auf OK .
  3. Klicken Sie auf folgenden Registrierungsschlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC
    Hinweis: Wenn Sie Windows Server 2008 verwenden, klicken Sie auf den folgenden Registrierungsschlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
  4. Klicken Sie mit der rechten Maustaste auf IPSEC , zeigen Sie auf neu und klicken Sie dann auf DWORD-Wert .
  5. Benennen Sie diesen neuen Eintrag NoDefaultExempt .
  6. Weisen Sie diesen Eintrag alle Wert von 0 bis 3 .
  7. Starten Sie den Computer neu.
Die Filterung Verhaltensweisen für jeden Wert entsprechen, die für erwähnt die Netsh Ipsec Dynamic set Config Ipsecexempt Wert = X Befehl.

Auswirkungen der IKE-Ausnahme

Die Auswirkungen der IKE-Ausnahme ist als für Windows 2000 und Windows XP identisch. Allerdings bietet Windows Server 2003 verbesserte DoS Avoidance, Überflutungsangriffe.

Weitere Informationen zu IKE-Ausnahme für Windows 2000 und Windows XP finden Sie die folgende KB-Artikelnummer:
811832IPSec Default Ausnahmen können umgehen von IPSec-Schutz in einigen Szenarios verwendet werden

Auswirkungen der Kerberos-Ausnahme

Wenn
NoDefaultExempt
auf 0 oder 2 festgelegt ist, um die Ausnahme wiederherzustellen, entspricht die Auswirkungen der Kerberos-Ausnahme dem für Windows 2000 und Windows XP beschrieben.

Weitere Informationen zur Kerberos-Ausnahme für Windows 2000 und Windows XP finden Sie im folgenden Artikel der Microsoft Knowledge Base:
811832IPSec Default Ausnahmen können umgehen von IPSec-Schutz in einigen Szenarios verwendet werden

Auswirkungen der RSVP-Ausnahme

Wenn
NoDefaultExempt
auf 0 oder 2 festgelegt ist, um die Ausnahme wiederherzustellen, ist das RSVP-Ausnahme Risiko beschränkt RSVP-Implementierungen von Drittanbietern, die möglicherweise installiert. Standardmäßig ist Windows Server 2003 den QoS-RSVP-Dienst nicht enthalten. Die Option ? r wurde aus Pathping-Dienstprogramm entfernt, damit das RSVP-Protokoll nicht unterstützt wird.

Auswirkungen von Broadcast- und multicast Ausnahmen

Wenn
NoDefaultExempt
auf 0 oder 1 festgelegt ist, um die Ausnahme wiederherzustellen, entspricht die Auswirkungen von Broadcast- und multicast Ausnahmen wie für Windows 2000 und Windows XP beschrieben. Allerdings unterstützt Windows Server 2003-IPSec-Filtern von Broadcast- und multicast-Datenverkehr. Eine IPSec-Richtlinienerstellung möglicherweise filtern, die mit ausgehenden Broadcast- oder multicast z. B. einen Filter mit Quelladresse ? eigene IP-Adresse eingeben und eine Zieladresse ? beliebige IP-Adresse eingeben übereinstimmen würde. IPSec-Richtlinien sollte in der Übungseinheit und Vorgang, um die Auswirkungen von einer vorhandenen Richtlinienentwurf auf diesen Datenverkehr bestätigen getestet werden. Broadcast- und multicast-Datenverkehr kann in einer eingeschränkten Weise gesperrt werden, mithilfe eines IPSec-Filters mit Quell- und Ziel Adresse ? beliebige IP-Adresse eingeben. Das Microsoft Windows Server 2003 Resource Kit enthält weitere Informationen.

Weitere Informationen über Broadcast und multicast Ausnahmen für Windows 2000 und Windows XP finden Sie die folgende KB-Artikelnummer:
811832IPSec Default Ausnahmen können umgehen von IPSec-Schutz in einigen Szenarios verwendet werden

Welche Programme broadcast-Verkehr empfangen können?

Windows Server 2003 unterstützt eine Socketoption für Programme, um den Empfang von Broadcastverkehr explizit deaktiviert, aber es ist keine Änderung des Standardverhaltens, Programme, die UDP-Ports abgehört werden broadcast-Verkehr empfangen.

Welche Programme können Multicastverkehr empfangen?

In Windows Server 2003-Programme müssen noch explizit mit dem TCP/IP-Stack eingehende Multicastverkehr Typen erhalten registrieren und Datenverkehr kann gelöscht werden, wenn die multicast-Gruppe nicht registriert ist.

Verwenden IPsec mit den Internetverbindungsfirewall

Wie in Windows XP können ICF und IPSec-Filterung Funktionen kombiniert werden, um erweiterte Filtern Verhaltensweisen zu erstellen. Dies ist besonders nützlich, in denen IPsec statisch bestimmte ausgehenden Datenverkehr mit dem Internet wie z. B. für HTTP, DNS oder SMTP zuzulassen muss. Dies ermöglicht es ICF bieten statusbehaftete Filterung von ausgehenden Datenverkehr, den IPSec-zulässt.

Informationsquellen

Weitere Informationen über die Auswirkungen von IPSec-Standardausnahmen finden Sie die folgende KB-Artikelnummer:
811832IPsec Default Ausnahmen können umgehen von IPSec-Schutz in einigen Szenarios für Windows 2000 und Windows XP verwandt werden
Weitere Informationen zu filtern und Bereitstellung Anleitungen für IPsec in Windows Server 2003 finden Sie im IPsec-Bereitstellung-Kapitel im Windows 2003 Server Deployment Kit. Sie finden das "Games Networking Support Center" auf folgender Website von Microsoft:
http://technet2.microsoft.com/WindowsServer/en/library/0bd06cf7-2ed6-46f1-bb55-2bf870273e151033.mspx?mfr=true

Eigenschaften

Artikel-ID: 810207 - Geändert am: Montag, 18. Februar 2008 - Version: 9.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Keywords: 
kbmt kbinfo KB810207 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 810207
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com