Les exemptions IPSec par défaut sont supprimées dans Windows Server 2003

Traductions disponibles Traductions disponibles
Numéro d'article: 810207 - Voir les produits auxquels s'applique cet article
IMPORTANT : Cet article contient des informations sur la modification du Registre. Avant de modifier le Registre, veillez à sauvegarder et assurez-vous que vous savez comment restaurer le Registre si un problème se produit. Pour savoir comment sauvegarder, restaurer et modifier le Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
256986 Description de du Registre Microsoft Windows
Agrandir tout | Réduire tout

Sommaire

Résumé

La fonctionnalité (IPsec) Internet Protocol Security dans Windows Server 2003 a été conçue pas qu'un pare-feu basé sur l'hôte complet. Il a été conçu pour fournir base Autoriser et bloquer filtrage utilisant les informations adresse, protocole et le port de paquets réseau. IPsec a été également conçu comme un outil d'administration pour améliorer la sécurité des communications d'une façon qui est transparente pour les programmes. De ce fait, il fournit le trafic filtrage est nécessaire pour négocier la sécurité de mode de transport IPsec ou IPsec mode de tunnel, principalement pour les environnements intranet où approbation de l'ordinateur n'était disponible à partir du service Kerberos ou des chemins spécifiques sur Internet où les certificats numériques infrastructure de clé publique (PKI) peuvent être utilisés.

Les exemptions par défaut à des filtres de stratégie IPsec sont documentées dans Microsoft Windows 2000 et l'aide de Microsoft Windows XP. Ces filtres permettent pour IKE (Internet Key Exchange) et Kerberos de la fonction. Les filtres également rendent possible pour le réseau de qualité de Service(QoS) soit signalé (RSVP) lorsque le trafic de données est sécurisé par IPsec, et pour le trafic que IPsec ne peut pas sécurisés tels que le trafic de diffusion et de multidiffusion.

Pour plus d'informations sur ces filtres, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
253169 Le trafic qui peut--et ne peut pas--être sécurisé par IPSec

Plus d'informations

Avertissement : Si vous utilisez l'Éditeur du Registre de façon incorrecte, vous pouvez générer des graves problèmes pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut pas garantit que vous pouvez résoudre les problèmes résultant de l'utilisation incorrecte de l'Éditeur du Registre. Utilisez l'Éditeur du Registre à vos risques et périls. Car IPsec est plus en plus utilisée pour les pare-feu hôtes base filtrage de paquets, en particulier dans les scénarios exposée à Internet, l'effet de ces exemptions par défaut n'a pas été entièrement comprise. De ce fait, certains administrateurs IPsec peuvent créer IPsec stratégies qui ils pensez pour être sécurisé, mais qui sont non sécurisé contre les attaques entrants qui utilisent les exemptions par défaut.

Pour ces raisons, Microsoft a supprimé la plupart des exemptions par défaut dans Windows Server 2003. Cela peut nécessiter les modifications de stratégie IPsec de Windows Server 2003 pour les scénarios de déploiement IPsec où vous utiliser IKE pour négocier la sécurité et protection IPsec du trafic de protocole de couche supérieure.

Suppression de par défaut les exemptions de Windows

Par défaut, Windows Server 2003, supprime tous les exemptions par défaut, excepté pour L'exemption IKE. Modifications apportées aux modèles de stratégie IPsec existantes peuvent être nécessaire que vous puissiez utiliser la stratégie sur Windows Server 2003.

Les administrateurs doivent commencer la planification pour que ces modifications pour tous les déploiements IPsec nouveaux et existants à l'aide
NoDefaultExempt=1
sur leurs ordinateurs Windows 2000 et Windows XP. Le
NoDefaultExempt=1
clé de Registre est prise en charge par Windows Server 2003 pour permettre aux administrateurs de restaurer le comportement d'exemption antérieur par défaut pour assurer la compatibilité avec antérieures modèles de stratégie IPsec et de compatibilité du programme. Pendant la mise à niveau vers Windows Server 2003, la valeur d'une
NoDefaultExempt=1
paramètre de clé de Registre est conservée.

Pour plus d'informations sur les exemptions par défaut pour les ordinateurs Windows 2000 et Windows XP, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
811832 Les exemptions par défaut IPSec peuvent servir à contourner la protection IPsec dans certaines situations
note Consultez cet article (811832) avant d'utiliser la clé de Registre pour réactiver les exemptions par défaut.

Consultez également la section « Spécification par défaut exonérations à IPSec filtrage » dans le kit de déploiement de Windows Server 2003 IPsec pour plus d'informations. Pour obtenir le Kit de déploiement Microsoft Windows 2003 Server, reportez-vous au site de Web Microsoft suivant :
http://technet2.microsoft.com/WindowsServer/en/library/0bd06cf7-2ed6-46f1-bb55-2bf870273e151033.mspx?mfr=true
Pour modifier le filtrage comportement pour Windows Server 2003 IPSec par défaut, vous pouvez utiliser la commande netsh IPSec ou modifier le Registre.

Pour modifier la valeur par défaut filtrage comportement en utilisant la commande netsh IPSec :
  1. Cliquez sur Démarrer , puis cliquez sur Exécuter .
  2. Tapez cmd , puis cliquez sur OK .
  3. À l'invite de commandes, tapez netsh ipsec dynamique définir configuration ipsecexempt valeur = { 0 | 1 | 2 | 3}, puis appuyez sur ENTRÉE.
L'utilisation de { 0 | 1 | 2 | 3} dans cette commande représente toutes les options disponibles pour cette commande. Vous pouvez uniquement utiliser une valeur. En fonction du exemptions vous que vous utilisez, spécifiez la valeur comme :
  • La valeur 0 indique que la multidiffusion, de diffusion, le trafic RSVP, Kerberos et ISAKMP sont exonérées de filtrage IPSec. Ceci est la valeur par défaut filtrage comportement pour Windows 2000 et Windows XP. Utilisez ce paramètre uniquement si vous devez pour assurer la compatibilité avec une stratégie IPsec existante ou les comportements de Windows 2000 et Windows XP.
  • Une valeur de 1 spécifie que le trafic Kerberos et RSVP ne sont pas exempt de filtrage IPSec, mais la multidiffusion, diffusion et le trafic ISAKMP sont identifiant.
  • Une valeur de 2 spécifie que le trafic de diffusion et de multidiffusion ne sont pas exempt de filtrage IPSec, mais le trafic RSVP, Kerberos et ISAKMP sont exonérées.
  • Une valeur de 3 indique que le trafic ISAKMP uniquement est exempt de filtrage IPSec. Ceci est la valeur par défaut filtrage comportement pour Windows Server 2003.
Si vous modifiez la valeur de ce paramètre, vous devez redémarrer l'ordinateur pour la nouvelle valeur prennent effet. Pour modifier le filtrage comportement à l'aide du Registre par défaut :
  1. Cliquez sur Démarrer , puis cliquez sur Exécuter .
  2. Tapez regedit , puis cliquez sur OK .
  3. Cliquez sur la clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC
    note Si vous utilisez Windows Server 2008, cliquez sur la clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
  4. Cliquez avec le bouton droit sur IPSEC , pointez sur Nouveau et puis cliquez sur valeur DWORD .
  5. Nom de cette nouvelle entrée NoDefaultExempt .
  6. Affecter cette entrée n'importe quelle valeur à partir de 0 à 3 .
  7. Redémarrez votre ordinateur.
Les comportements de filtrage pour chaque valeur sont équivalentes à celles qui sont mentionnées précédemment le netsh ipsec dynamique définir configuration ipsecexempt valeur = x commande.

Impact d'exemption IKE

L'effet de L'exemption IKE est la même que pour Windows 2000 et Windows XP. Cependant, Windows Server 2003 offre améliorée prévention DoS pour inonder d'attaques.

Pour plus d'informations exemption IKE pour Windows 2000 et Windows XP, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
811832 Exonérations IPSec par défaut peuvent être utilisées pour contourner la protection IPsec dans certains scénarios

Effet d'exemption de Kerberos

Si
NoDefaultExempt
est définie sur 0 ou 2 pour restaurer L'exemption, l'effet d'exemption de Kerberos est le même que celle décrite pour Windows 2000 et Windows XP.

Pour plus d'informations sur exemption Kerberos pour Windows 2000 et Windows XP, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
811832 Exonérations IPSec par défaut peuvent être utilisées pour contourner la protection IPsec dans certains scénarios

Effet d'exemption RSVP

Si
NoDefaultExempt
est définie sur 0 ou 2 pour restaurer L'exemption, le risque d'exemption de RSVP est limité aux implémentations de RSVP tiers qui peuvent être installées. Par défaut, Windows Server 2003 n'inclut pas le service RSVP QoS. L'option ?R a été supprimée à partir de l'utilitaire PathPing afin qu'il ne prend pas en charge le protocole RSVP.

Effet de diffusion et les exemptions de multidiffusion

Si
NoDefaultExempt
est définie sur 0 ou 1 pour restaurer L'exemption, l'effet de diffusion et de multidiffusion exemptions est identique à celle décrite pour Windows 2000 et Windows XP. Cependant, Windows Server 2003 IPsec prend en charge filtrage du trafic de diffusion et de multidiffusion. Un modèle de stratégie IPsec peut-être filtres qui serait correspondre en sortant diffusion ou multidiffusion par exemple, un filtre avec adresse source ? mon adresse de IP ? et une adresse de destination de ? adresse IP quelconque ?. Stratégies de sécurité doivent être testés dans le laboratoire et dans l'opération pour confirmer l'effet d'un modèle de stratégie existant sur ce trafic. Le trafic de diffusion et de multidiffusion peut être bloqué en utilisant un filtre IPsec avec adresse source et destination ? adresse IP quelconque ? de façon limitée. Le kit de ressources Microsoft Windows Server 2003 contient plus d'informations.

Pour plus d'informations sur la diffusion et les exemptions de multidiffusion pour Windows 2000 et Windows XP, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
811832 Exonérations IPSec par défaut peuvent être utilisées pour contourner la protection IPsec dans certains scénarios

Quels programmes peuvent recevoir le trafic de diffusion ?

Windows Server 2003 prend en charge une option de socket pour les programmes désactiver explicitement la réception de trafic de diffusion, mais il n'existe aucune modification du comportement par défaut que les programmes qui écoutent sur les ports UDP reçoivent le trafic de diffusion.

Quels programmes peuvent recevoir le trafic de multidiffusion ?

Dans Windows Server 2003, programmes toujours doivent explicitement enregistrez avec la pile TCP/IP pour recevoir des types de trafic multidiffusion entrant et le trafic peut être supprimé si le groupe de multidiffusion est annulé.

L'utilisation d'IPSec avec le pare-feu de connexion Internet

Comme dans Windows XP, le pare-feu de connexion Internet et IPsec fonctionnalités de filtrage peuvent être combinés pour créer des comportements de filtrage avancées. Ceci est particulièrement utile dans lequel IPsec doit statiquement Autoriser certain le trafic sortant à Internet comme pour HTTP DNS ou SMTP. Il est possible de PARE-feu fournir le filtrage avec état de trafic sortant qui permet à IPsec.

Références

Pour plus d'informations sur l'effet de sécurité IP les exemptions par défaut, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
811832 Les exemptions par défaut IPsec peuvent servir à contourner la protection IPsec dans certains scénarios pour Windows 2000 et Windows XP
Pour plus d'informations sur les instructions de déploiement pour IPsec dans Windows Server 2003 et le filtrage, consultez le chapitre de déploiement IPsec dans le Kit de déploiement Microsoft Windows 2003 Server. Pour cela, reportez-vous au adresse site Web de Microsoft à l'adresse suivante :
http://technet2.microsoft.com/WindowsServer/en/library/0bd06cf7-2ed6-46f1-bb55-2bf870273e151033.mspx?mfr=true

Propriétés

Numéro d'article: 810207 - Dernière mise à jour: lundi 18 février 2008 - Version: 9.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Mots-clés : 
kbmt kbinfo KB810207 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 810207
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com