Pengecualian default IPSec dihapus pada Windows Server 2003

Terjemahan Artikel Terjemahan Artikel
ID Artikel: 810207 - Melihat produk di mana artikel ini berlaku.
PENTING: Artikel ini berisi informasi tentang pengubahan registri. Sebelum Anda memodifikasi registri, pastikan membuat cadangan dan pastikan bahwa Anda paham bagaimana memulihkan registri apabila ada masalah. Untuk informasi tentang cara membuat cadangan, memulihkan, dan mengedit registri, klik berikut nomor artikel untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
256986 Deskripsi Registri Microsoft Windows
Perbesar semua | Perkecil semua

Pada Halaman ini

RINGKASAN

Fitur keamanan protokol Internet (IPsec) di Windows Server 2003 tidak dirancang sebagai fitur lengkap berbasis host firewall. Itu dirancang untuk memberikan izin dasar dan memblokir penyaringan menggunakan alamat, protokol dan port informasi dalam paket jaringan. IPsec juga dirancang sebagai alat administratif untuk meningkatkan keamanan komunikasi dalam cara yang transparan untuk program. Karena ini, itu memberikan lalu lintas penyaringan Itulah yang diperlukan untuk bernegosiasi keamanan untuk mode transportasi IPsec atau IPsec terowongan mode, terutama untuk intranet lingkungan di mana mesin kepercayaan yang tersedia dari layanan Kerberos atau untuk jalan tertentu di Internet di mana sertifikat digital infrastruktur tombol umum (PKI) dapat digunakan.

Pengecualian default IPsec kebijakan filter didokumentasikan dalam Microsoft Windows 2000 dan Microsoft Windows XP membantu. Filter ini membuatnya mungkin untuk Internet Key Exchange (IKE) dan Kerberos untuk fungsi. Filter juga memungkinkan untuk jaringan kualitas dari Service(QoS) untuk akan memberi isyarat (RSVP) ketika lalu lintas data dijamin oleh IPsec, dan untuk lalu lintas yang IPsec tidak aman seperti multicast dan siaran lalu lintas.

Untuk informasi tambahan tentang ini filter, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
253169Lalu lintas yang dapat - dan tidak - dijamin dengan IPSec

INFORMASI LEBIH LANJUT

PERINGATAN: Jika Anda menggunakan Peninjau Suntingan Registri secara tidak benar, Anda dapat menyebabkan serius masalah yang mengharuskan Anda untuk menginstal ulang sistem operasi. Microsoft tidak dapat menjamin bahwa Anda dapat menyelesaikan masalah yang bermula dari menggunakan Registry Editor salah. Anda menanggung sendiri risiko penggunaan Penyunting Registri. Sebagai IPsec semakin digunakan untuk dasar host-firewall paket penyaringan, terutama di Internet yang terkena skenario, efek pengecualian default ini tidak telah sepenuhnya dipahami. Karena dari ini, beberapa IPsec administrator dapat membuat IPsec kebijakan yang mereka percaya untuk menjadi aman, tetapi yang tidak aman terhadap serangan inbound yang menggunakan default pengecualian.

Untuk alasan ini, Microsoft telah menghilangkan sebagian besar standar pengecualian pada Windows Server 2003. Ini mungkin memerlukan kebijakan IPsec perubahan untuk Windows Server 2003 untuk IPsec penyebaran skenario di mana Anda menggunakan IKE untuk menegosiasikan keamanan dan perlindungan lapisan atas protokol IPsec lalu lintas.

Penghapusan pengecualian default Windows

Secara default, Windows Server 2003, menghapus semua standar pengecualian kecuali untuk pembebasan IKE. Perubahan desain kebijakan IPsec ada mungkin diperlukan sebelum Anda dapat menggunakan kebijakan pada Windows Server 2003 .

Administrator harus mulai merencanakan untuk perubahan ini untuk semua penyebaran IPsec sudah ada dan yang baru dengan menggunakan
NoDefaultExempt = 1
pada komputer berbasis Windows 2000 dan Windows XP berbasis. The
NoDefaultExempt = 1
kunci registri didukung di Windows Server 2003 agar mungkin bagi administrator untuk memulihkan pembebasan perilaku default sebelumnya untuk kompatibilitas dengan sebelumnya desain kebijakan IPsec dan program kompatibilitas. Selama proses upgrade untuk Windows Server 2003, nilai ada
NoDefaultExempt = 1
pengaturan kunci registri yang diawetkan.

Untuk informasi tambahan tentang standar pengecualian untuk berbasis Windows 2000 dan Windows XP berbasis komputer, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
811832IPSec standar pengecualian dapat digunakan untuk memotong IPsec perlindungan dalam beberapa skenario
Catatan Review artikel ini (811832) sebelum Anda menggunakan kunci registri untuk mengaktifkan kembali pengecualian default.

Juga memeriksa "menentukan Default Pengecualian untuk IPSec penyaringan"bagian dalam Windows Server 2003 IPsec Penyebaran kit untuk informasi lebih lanjut. Untuk memperoleh Microsoft Windows 2003 Kit penyebaran server, kunjungi Web site Microsoft berikut:
http://technet2.Microsoft.com/WindowsServer/en/Library/0bd06cf7-2ed6-46f1-bb55-2bf870273e151033.mspx?mfr=True
Untuk memodifikasi penyaringan perilaku untuk Windows Server 2003 IPSec, Anda dapat menggunakan Netsh IPSec perintah atau memodifikasi registri.

Untuk memodifikasi penyaringan perilaku dengan menggunakan Netsh IPSec perintah:
  1. Klik Mulai, lalu klikMenjalankan.
  2. Jenis cmd, lalu klikOke.
  3. Pada prompt perintah, ketik netsh ipsec dinamis mengatur konfigurasi ipsecexempt nilai ={0 | 1 | 2 | 3}, kemudian tekan ENTER.
Penggunaan {0 | 1 | 2 | 3} dalam hal ini perintah mewakili semua pilihan yang tersedia untuk perintah ini. Anda hanya dapat menggunakan salah satu nilai. Tergantung pada pengecualian yang ingin Anda gunakan, menetapkan nilai sebagai:
  • Nilai 0 menentukan bahwa multicast, disiarkan, RSVP, Kerberos, dan lalu lintas ISAKMP diperkecualikan dari IPSec penyaringan. Ini adalah default penyaringan perilaku untuk Windows 2000 dan Windows XP. Gunakan pengaturan ini hanya jika Anda perlu untuk kompatibilitas dengan kebijakan IPsec ada atau Windows 2000 dan perilaku Windows XP.
  • Nilai 1 menentukan bahwa lalu lintas Kerberos dan RSVP adalah tidak dibebaskan dari IPSec penyaringan, tapi multicast, siaran, dan lalu lintas ISAKMP dibebaskan.
  • Nilai 2 menunjukkan bahwa multicast dan siaran lalu lintas tidak dibebaskan dari IPSec penyaringan, tapi RSVP, Kerberos dan ISAKMP lalu lintas dibebaskan.
  • Nilai 3 menunjukkan bahwa hanya ISAKMP lalu lintas dibebaskan dari IPSec penyaringan. Ini adalah default penyaringan perilaku untuk Windows Server 2003.
Jika Anda mengubah nilai untuk pengaturan ini, Anda harus me-restart komputer untuk nilai baru untuk mengambil efek. Untuk mengubah default penyaringan perilaku dengan menggunakan registri:
  1. Klik Mulai, lalu klikMenjalankan.
  2. Jenis Regedit, lalu klikOke.
  3. Klik kunci registri berikut:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC
    Catatan Jika Anda menggunakan Windows Server 2008, klik kunci registri berikut:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
  4. Klik kanan IPSEC, arahkan keBaru, lalu klik Nilai DWORD.
  5. Nama ini entri baruNoDefaultExempt.
  6. Menetapkan Catatan ini nilai apapun dari 0 melalui 3.
  7. Restart komputer Anda.
Perilaku penyaringan untuk setiap nilai setara dengan yang yang terkenal netsh ipsec dinamis mengatur konfigurasi ipsecexempt nilai = x perintah.

Dampak dari IKE pembebasan

Efek pembebasan IKE adalah sama untuk Windows 2000 dan Windows XP. Namun, Windows Server 2003 memberikan peningkatan DoS penghindaran untuk serangan banjir.

Untuk tambahan informasi tentang IKE pembebasan untuk Windows 2000 dan Windows XP, klik sejumlah artikel berikut untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
811832Pengecualian IPSec Default dapat digunakan untuk memotong IPsec perlindungan dalam beberapa Skenario

Efek Kerberos pembebasan

Jika
NoDefaultExempt
diatur ke 0 atau 2 untuk memulihkan pembebasan, efek Kerberos pembebasan adalah sama seperti yang dijelaskan untuk Windows 2000 dan Windows XP.

Untuk informasi lebih lanjut tentang Kerberos pembebasan untuk Windows 2000 dan Windows XP, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
811832Pengecualian IPSec Default dapat Digunakan untuk perlindungan Bypass IPsec di beberapa skenario

Efek RSVP pembebasan

Jika
NoDefaultExempt
diatur ke 0 atau 2 untuk memulihkan pembebasan, RSVP pembebasan risiko terbatas pihak ketiga RSVP implementasi yang dapat diinstal. Secara default, Windows Server 2003 tidak termasuk layanan QoS RSVP. The R pilihan telah dihapus dari utilitas Pathping sehingga tidak mendukung protokol RSVP.

Efek siaran dan pengecualian multicast

Jika
NoDefaultExempt
diatur ke 0 atau 1 untuk memulihkan pembebasan, efek siaran dan multicast pengecualian adalah sama seperti yang dijelaskan untuk Windows 2000 dan Windows XP. Namun, Windows Server 2003 IPsec mendukung penyaringan penyiaran dan multicast lalu lintas. Desain kebijakan IPsec mungkin memiliki penyaring yang akan cocok dengan siaran keluar atau multicast seperti filter dengan alamat sumber "My IP Alamat"dan alamat tujuan"Alamat IP setiap". IPsec kebijakan harus diuji di laboratorium dan dalam operasi untuk mengkonfirmasi efek yang ada kebijakan desain pada lalu lintas ini. Penyiaran dan multicast lalu lintas dapat diblokir dalam cara yang terbatas dengan menggunakan penyaring IPsec dengan alamat sumber dan tujuan dari "Alamat IP". Microsoft Windows Server 2003 Resource Kit berisi informasi lebih lanjut.

Untuk tambahan informasi tentang broadcast dan multicast pengecualian untuk Windows 2000 dan Windows XP, klik nomor artikel di bawah ini untuk melihat artikel di Basis Pengetahuan Microsoft:
811832Pengecualian IPSec Default dapat digunakan untuk memotong IPsec perlindungan dalam beberapa Skenario

Program yang dapat menerima siaran lalu lintas?

Windows Server 2003 mendukung pilihan soket untuk program untuk secara eksplisit menonaktifkan penerimaan siaran lalu lintas, tapi tidak ada perubahan untuk perilaku default yang menerima program yang mendengarkan pada port UDP siaran lalu lintas.

Program yang dapat menerima multicast lalu lintas?

Pada Windows Server 2003, program masih harus secara eksplisit mendaftar dengan tumpukan TCPIP untuk menerima jenis inbound multicast lalu lintas, dan lalu lintas dapat dijatuhkan jika grup multicast tersebut tidak terdaftar.

Menggunakan IPsec dengan Firewall Sambungan Internet

Seperti dalam Windows XP, ICF dan IPsec kemampuan penyaringan dapat dikombinasikan untuk menciptakan perilaku penyaringan lanjutan. Hal ini terutama bermanfaat dimana IPsec statis harus mengizinkan lalu lintas tertentu keluar ke Internet seperti HTTP atau DNS atau SMTP. Hal ini memungkinkan untuk ICF untuk memberikan Stateful penyaringan lalu lintas keluar IPsec yang memungkinkan.

REFERENSI

Untuk informasi tambahan tentang efek keamanan IP default pengecualian, klik nomor artikel di bawah ini untuk melihat artikel di dalam Basis Pengetahuan Microsoft:
811832IPsec standar pengecualian dapat digunakan untuk memotong IPsec perlindungan dalam beberapa skenario untuk Windows 2000 dan Windows XP
Untuk informasi lebih lanjut tentang penyaringan dan penyebaran bimbingan untuk IPsec pada Windows Server 2003, baca bab penyebaran IPsec di Microsoft Windows 2003 Server penyebaran Kit. Untuk melakukannya, kunjungi berikut Microsoft Web site:
http://technet2.Microsoft.com/WindowsServer/en/Library/0bd06cf7-2ed6-46f1-bb55-2bf870273e151033.mspx?mfr=True

Properti

ID Artikel: 810207 - Kajian Terakhir: 03 Oktober 2011 - Revisi: 3.0
Berlaku bagi:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Kata kunci: 
kbinfo kbmt KB810207 KbMtid
Penerjemahan Mesin
PENTING: Artikel ini diterjemahkan menggunakan perangkat lunak mesin penerjemah Microsoft dan bukan oleh seorang penerjemah. Microsoft menawarkan artikel yang diterjemahkan oleh seorang penerjemah maupun artikel yang diterjemahkan menggunakan mesin sehingga Anda akan memiliki akses ke seluruh artikel baru yang diterbitkan di Pangkalan Pengetahuan (Knowledge Base) dalam bahasa yang Anda gunakan. Namun, artikel yang diterjemahkan menggunakan mesin tidak selalu sempurna. Artikel tersebut mungkin memiliki kesalahan kosa kata, sintaksis, atau tata bahasa, hampir sama seperti orang asing yang berbicara dalam bahasa Anda. Microsoft tidak bertanggung jawab terhadap akurasi, kesalahan atau kerusakan yang disebabkan karena kesalahan penerjemahan konten atau penggunaannya oleh para pelanggan. Microsoft juga sering memperbarui perangkat lunak mesin penerjemah.
Klik disini untuk melihat versi Inggris dari artikel ini:810207

Berikan Masukan

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com