Windows Server 2003에서 IPSec 기본 면제는 제거됩니다.

기술 자료 번역 기술 자료 번역
기술 자료: 810207 - 이 문서가 적용되는 제품 보기.
중요: 이 문서에는 레지스트리 수정에 대한 정보를 포함합니다. 레지스트리를 수정하기 전에 이를 백업하고 문제가 발생하는 경우 레지스트리를 복원하는 방법을 알고 있어야 합니다 확인하십시오. 백업, 복원 및 레지스트리 편집 방법에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
256986Microsoft Windows 레지스트리에 대한 설명
모두 확대 | 모두 축소

이 페이지에서

요약

Windows Server 2003에서 인터넷 프로토콜 보안 (IPsec) 기능은 완전한 기능의 호스트 기반 방화벽으로 디자인되지 않았습니다. 기본 허용 제공하고 네트워크 패킷의 주소, 프로토콜 및 포트 정보를 사용하여 필터링을 차단할 수 있도록 디자인되었습니다. 또한 IPsec 프로그램이 투명한 방식으로 통신의 보안을 향상시키는 관리 도구로 설계되었습니다. 이 때문에 IPsec 전송 모드 또는 IPsec 보안을 협상하는 데 필요한 트래픽 필터링을 제공하는 인트라넷 환경에서는 주로 컴퓨터 신뢰 Kerberos 서비스에서 사용할 수 있었던 위치를 또는 공개 키 인프라 (PKI) 디지털 인증서를 사용할 수 있는 인터넷의 특정 경로에 대해 터널 모드.

IPsec 정책 필터를 위해 기본 면제는 Microsoft Windows 2000 및 Microsoft Windows XP 도움말 항목에 나와 있습니다. 이러한 필터는 인터넷 키 교환 (IKE) 및 Kerberos 기능에 있습니다. 필터는 또한 데이터 트래픽은 보안되지 때 네트워크 품질 중 수 있도록 Service(QoS) (RSVP) IPsec에 의해 신호 및 트래픽에 대해 해당 IPsec 같은 멀티캐스트 및 브로드캐스트 트래픽을 보안할 수 없습니다 있습니다.

이 필터에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
253169--및 IPSec에서 보안할 수 없습니다--트래픽

추가 정보

경고: 레지스트리 편집기를 잘못 사용하면 운영 체제를 다시 설치해야 하는 심각한 문제가 발생할 수 있습니다. Microsoft는 레지스트리 편집기를 잘못 사용하여 발생하는 문제에 대해 해결을 보증하지 않습니다. 레지스트리 편집기를 따른 위험 부담은 사용자의 책임입니다. IPsec 기본 호스트 방화벽 패킷, 특히 인터넷에 노출된 시나리오에서 필터링에 점점 더 많이 사용되는 것과 이러한 기본 면제의 효과는 완전히 이해할 수 있는 없습니다. 이 때문에 일부 IPsec 관리자는 IPsec 안전한 것으로 생각되는 않았지만 정책을 기본 면제를 사용하는 인바운드 공격에 대해 보안을 만들 수 있습니다.

이러한 이유로 Microsoft Windows Server 2003 기본 면제 대부분의 제거되었습니다. IPsec 정책 변경을 Windows Server 2003이 위치를 사용하여 IKE 보안 및 IPsec 보호 상위 계층 프로토콜 트래픽에 대해 협상할 수 IPsec 배포 시나리오에 대해 할 수 있습니다.

제거를 기본 면제 Windows

기본적으로 Windows Server 2003 IKE 예외 제외한 모든 기본 면제를 제거합니다. Windows Server 2003 정책을 사용하기 전에 기존 IPsec 정책 설계 변경 내용을 필요할 수 있습니다.

관리자는 사용하여 이러한 변경 내용을 모든 기존 및 새 IPsec 배포에 대한 계획 시작됩니다
NoDefaultExempt=1
자신의 Windows 2000 기반 및 Windows XP 기반 컴퓨터에서. 해당
NoDefaultExempt=1
레지스트리 키를 관리자는 IPsec 정책 설계 이전 버전과의 호환성을 위해 이전 기본 예외 동작을 복원하고 호환성 프로그래밍할 수 있게 하는 Windows Server 2003에서 지원되지 않습니다. Windows Server 2003, 기존 값은 업그레이드 동안
NoDefaultExempt=1
레지스트리 키 설정이 보존됩니다.

Windows 2000 기반 및 Windows XP 기반 컴퓨터에 대한 기본 면제에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
811832IPSec 기본 면제는 사용하여 일부 시나리오에서 IPsec 보호를 무시할 수 있습니다.
참고 이 문서에서는 (811832) 기본 면제를 다시 활성화하려면 레지스트리 키를 사용하려면 먼저 검토하십시오.

또한 자세한 내용은 Windows Server 2003 IPsec 배포 키트 지정 기본 예외 위해 IPSec 필터링을 "절에서 검토하십시오. Microsoft Windows 2003 Server 배포 키트 구하려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://technet2.microsoft.com/WindowsServer/en/library/0bd06cf7-2ed6-46f1-bb55-2bf870273e151033.mspx?mfr=true
기본 동작은 Windows Server 2003 IPSec 필터링을 수정하려면 Netsh IPSec 명령을 사용하거나 레지스트리를 수정할 수 있습니다.

기본 동작은 Netsh IPSec 명령을 사용하여 필터링을 수정하려면 다음과 같이 하십시오.
  1. 시작 을 누른 다음 실행 을 클릭하십시오.
  2. cmd 를 입력한 다음 확인 을 누릅니다.
  3. 명령 프롬프트에서 netsh ipsec 동적 구성 ipsecexempt 값을 설정할 = { 0 | 1 | 2 | 3}, 다음 Enter 키를 누릅니다.
사용을 { 0 | 1 | 2 | 3} 이 명령은 이 명령에 대한 모든 사용 가능한 옵션을 나타냅니다. 한 값이 때만 사용할 수 있습니다. 원하는 사용할 수 있는 예외에 따라 값으로 지정하십시오.
  • 값이 0이면 해당 멀티캐스트 지정합니다 브로드캐스트, RSVP, Kerberos, 및 ISAKMP 트래픽을 IPSec 필터링은 제외됩니다. 이 문제는 Windows 2000 및 Windows XP 필터링 기본값입니다. 필요한 경우에만 기존 IPsec 정책 또는 Windows 2000 및 Windows XP 동작의 호환성을 경우 이 설정을 사용하십시오.
  • 값 1 Kerberos 및 RSVP 트래픽을 IPSec 필터링은 에서 제외할 수 없지만 멀티캐스트, 브로드캐스트 및 ISAKMP 트래픽이 제외된 지정합니다.
  • 값 2는 멀티캐스트 및 브로드캐스트 트래픽을 IPSec 필터링은 에서 제외할 수 없지만 RSVP, Kerberos, 및 ISAKMP 트래픽이 제외된 지정합니다.
  • 값 3 ISAKMP 트래픽만 IPSec 필터링에서 제외할 지정합니다. 이 문제는 Windows Server 2003 필터링 기본값입니다.
이 설정의 값을 변경할 경우 새로운 값 적용하려면 컴퓨터를 다시 시작해야 합니다. 레지스트리를 사용하여 동작을 필터링 기본 수정하려면 다음과 같이 하십시오.
  1. 시작 을 누른 다음 실행 을 클릭하십시오.
  2. Regedit 를 입력한 다음 확인 을 누릅니다.
  3. 다음 레지스트리 키를 누릅니다.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC
    참고Windows Server 2008을 사용하는 경우 다음 레지스트리 키를 누릅니다.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
  4. IPSEC 마우스 오른쪽 단추로 클릭하고 새로 만들기를 가리킨 다음 DWORD 값 을 클릭하십시오.
  5. 이 새 항목의 이름을 NoDefaultExempt.
  6. 이 항목은 (0 ~ 3 모든 값을 할당하십시오.
  7. 컴퓨터를 다시 시작하십시오.
각 값에 대해 필터링 동작에 대해 설명한 것과 동일합니다 있는 netsh ipsec 동적 구성 ipsecexempt 값을 설정할 = x 명령.

IKE 예외 영향

IKE 예외 효과를 Windows 2000 및 Windows XP 경우와 동일합니다. 그러나 Windows Server 2003 향상된 DoS 공격을 초과 방지를 제공합니다.

Windows 2000 및 Windows XP IKE 예외에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
811832IPSec 기본 예외 사용되는 일부 시나리오에서 IPsec 보호 무시할 수 수 있습니다.

Kerberos 예외 효과

NoDefaultExempt
있는 예외 복원 0 또는 2 로 설정한 경우 Kerberos 예외 효과를 Windows 2000 및 Windows XP 설명된 것과 같습니다.

자세한 내용은 Kerberos 예외 Windows 2000 및 Windows XP, Microsoft 기술 자료의 다음 문서를 참조하십시오:
811832IPSec 기본 예외 사용되는 일부 시나리오에서 IPsec 보호 무시할 수 수 있습니다.

RSVP 예외 효과

RSVP 예외 위험
NoDefaultExempt
있는 예외 복원 0 또는 2 로 설정한 경우 설치할 수 있는 타사 RSVP 구현에 제한됩니다. 기본적으로 Windows Server 2003 QoS RSVP 서비스가 포함되지 않습니다. RSVP 프로토콜을 지원하지 않으므로 Pathping 유틸리티에서 ?R 옵션이 제거되었습니다.

브로드캐스트 및 멀티캐스트 면제를 효과

NoDefaultExempt
있는 예외 복원 0 또는 1로 설정할 경우, 브로드캐스트 및 멀티캐스트 면제를 미치는 Windows 2000 및 Windows XP 설명한 것과 같습니다. 그러나 Windows Server 2003 IPsec 브로드캐스트 및 멀티캐스트 트래픽 필터링을 지원하지 않습니다. IPsec 정책 설계는 아웃바운드 의해 브로드캐스트 또는 멀티캐스트 “ 내 IP 주소 ” 및 “ 모든 IP 주소 ” 대상 주소가 원본 주소 가진 필터와 같은 일치할 것입니다 필터가 있을 수 있습니다. IPsec 정책은 랩 및 이 트래픽 기존 정책 디자인 미치는 확인하는 작업을 테스트해야 합니다. 원본 및 대상 주소가 “ 모든 IP 주소 ” IPSec 필터를 사용하여 제한된 방식으로 브로드캐스트 및 멀티캐스트 트래픽을 차단할 수 있습니다. 자세한 내용은 Microsoft Windows Server 2003 리소스 키트에 포함되어 있습니다.

브로드캐스트 및 Windows 2000 및 Windows XP 멀티캐스트 예외에 대한 자세한 내용은 Microsoft 기술 자료의 다음 문서를 참조하십시오.
811832IPSec 기본 예외 사용되는 일부 시나리오에서 IPsec 보호 무시할 수 수 있습니다.

어떤 프로그램이 브로드캐스트 트래픽을 받을 수 있습니까?

Windows Server 2003 소켓 옵션을 명시적으로 브로드캐스트 트래픽이 수신 사용하지 않도록 프로그램을 지원하지만 UDP 포트에서 수신 대기 중인 프로그램이 브로드캐스트 트래픽을 받지 기본 동작은 변경되지 않습니다.

어떤 프로그램 멀티캐스트 트래픽을 받을 수 있습니까?

Windows Server 2003에서 프로그램을 계속 명시적으로 인바운드 멀티캐스트 트래픽 형식의 받을 TCPIP 스택이 등록해야 합니다 및 멀티캐스트 그룹 등록되지 않은 경우 트래픽이 삭제될 수 있습니다.

인터넷 연결 방화벽으로 IPsec을 사용하여

Windows XP ICF 및 필터링 기능을 IPsec 고급 필터링 동작을 만들려면 결합할 수 있습니다. 이 위치에 IPsec 정적으로 특정 아웃바운드 트래픽 (예: 인터넷 HTTP 또는 DNS 또는 SMTP 허용해야 합니다 특히 유용합니다. 이렇게 하면 ICF IPsec 허용하는 아웃바운드 트래픽의 상태 저장 필터링을 제공할 수 있습니다.

참조

자세한 내용은 IP 보안 기본 면제 중 효과, Microsoft 기술 자료의 다음 문서를 참조하십시오.
811832IPsec 기본 면제는 Windows 2000 및 Windows XP 일부 시나리오에서 IPsec 보호를 무시할 수 있습니다.
Windows Server 2003에서 IPsec 필터링 및 배포 가이드에 대한 자세한 내용은 IPsec 배포를 Microsoft Windows 2003 Server 배포 키트를 참조하십시오. 이렇게 하려면 다음 Microsoft 웹 사이트를 방문하십시오.
http://technet2.microsoft.com/WindowsServer/en/library/0bd06cf7-2ed6-46f1-bb55-2bf870273e151033.mspx?mfr=true

속성

기술 자료: 810207 - 마지막 검토: 2008년 2월 18일 월요일 - 수정: 9.0
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
키워드:?
kbmt kbinfo KB810207 KbMtko
기계 번역된 문서
중요: 본 문서는 전문 번역가가 번역한 것이 아니라 Microsoft 기계 번역 소프트웨어로 번역한 것입니다. Microsoft는 번역가가 번역한 문서 및 기계 번역된 문서를 모두 제공하므로 Microsoft 기술 자료에 있는 모든 문서를 한글로 접할 수 있습니다. 그러나 기계 번역 문서가 항상 완벽한 것은 아닙니다. 따라서 기계 번역 문서에는 마치 외국인이 한국어로 말할 때 실수를 하는 것처럼 어휘, 구문 또는 문법에 오류가 있을 수 있습니다. Microsoft는 내용상의 오역 또는 Microsoft 고객이 이러한 오역을 사용함으로써 발생하는 부 정확성, 오류 또는 손해에 대해 책임을 지지 않습니다. Microsoft는 이러한 문제를 해결하기 위해 기계 번역 소프트웨어를 자주 업데이트하고 있습니다.

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com