IPSec predefinida excepções são removidas no Windows Server 2003

A funcionalidade de segurança do protocolo Internet (IPsec) no Windows Server 2003 não foi concebida como um firewall integral baseada no anfitrião. Foi concebido para fornecer básico permitir e bloquear filtragem utilizando informações de endereço, protocolo e a porta em pacotes de rede. IPsec também foi concebido como uma ferramenta administrativa para melhorar a segurança das comunicações de forma transparente para os programas. Deste modo, fornece filtragem tráfego que é necessário para negociar a segurança para o modo de transporte IPsec ou IPsec modo de túnel, principalmente para ambientes de intranet onde estava disponível a partir do serviço Kerberos fidedigna do computador ou para caminhos específicos através da Internet onde os certificados digitais de infra-estrutura de chaves públicas (PKI) podem ser utilizados.

As excepções predefinido para filtros de política de IPsec estão documentadas no Microsoft Windows 2000 e ajuda do Microsoft Windows XP. Estes filtros possibilitam para troca de chaves da Internet (IKE, Internet Key Exchange) e Kerberos para funcionar. Os filtros também possibilitam para a rede qualidade de Service(QoS) seja assinalado (RSVP) quando o tráfego de dados está protegido pelo IPsec e para o tráfego que IPsec não consegue proteger tal como o tráfego de difusão e multicast.

Para obter informações adicionais sobre estes filtros, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:

aviso : a utilização incorrecta do Editor de registo poderá provocar problemas graves que poderão forçar a reinstalação do sistema operativo. Microsoft não garante que os problemas resultantes da utilização incorrecta do Editor de registo possam ser resolvidos. As suas próprias risco da utilização do Editor de registo. Conforme IPsec crescente é utilizado para o firewall básico do anfitrião de filtragem de pacotes, especialmente em cenários exposta de Internet, o efeito destas excepções predefinido tem não foi totalmente compreendido. Deste modo, alguns administradores de IPsec podem criar políticas considerar que é seguro, mas que não protege contra ataques de entrada que utilizam as excepções de predefinição de IPsec.

Por estes motivos, o Microsoft removeu a maioria das excepções predefinidas no Windows Server 2003. Isto poderá requerer alterações à política de IPsec para o Windows Server 2003 para cenários de implementação IPsec onde utilizar IKE para negociar a segurança e protecção IPsec para tráfego do protocolo de camada superior.

Remoção de predefinição Windows excepções

Por predefinição, o Windows Server 2003, remove todas as excepções predefinida, excepto para a excepção de IKE. As alterações às estruturas de política IPsec existentes poderão ser necessárias antes de poder utilizar a política no Windows Server 2003.

Os administradores devem começar a planear estas alterações para todas as implementações do IPsec novas e existentes utilizando

NoDefaultExempt=1

nos respectivos computadores baseados no Windows 2000 e baseados no Windows XP. O

NoDefaultExempt=1

chave de registo é suportado no Windows Server 2003 para facilitar os administradores podem restaurar o comportamento de excepção predefinido anterior para compatibilidade com estruturas de política de IPsec anteriores e compatibilidade do programa. Durante a actualização para o Windows Server 2003, o valor de um existente

NoDefaultExempt=1

definição da chave de registo é mantida.

Para obter informações adicionais sobre excepções predefinidas para computadores baseados no Windows 2000 e baseado no Windows XP, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: Nota Consulte este artigo (811832) antes de utilizar a chave de registo para reactivar as excepções predefinido.

Também consulte a secção 'Especificar predefinido excepções para IPSec Filtering' kit de implementação de IPsec do Windows Server 2003 para obter mais informações. Para obter o Microsoft Windows 2003 Server Deployment Kit, visite o seguinte Web site da Microsoft:Para modificar a predefinição filtragem comportamento de IPSec do Windows Server 2003, pode utilizar o comando Netsh IPSec ou modificar o registo.

Para modificar a predefinição filtragem comportamento utilizando o comando Netsh IPSec :

1. Clique em Iniciar e, em seguida, clique em Executar .
2. Escreva cmd e, em seguida, clique em OK .
3. Na linha de comandos, escreva netsh ipsec dynamic set config ipsecexempt valor = { 0 | 1 | 2 | 3}, e, em seguida, prima ENTER.

A utilização de { 0 | 1 | 2 | 3} neste comando representa todas as opções disponíveis para este comando. Só pode utilizar um valor. Consoante as excepções que pretende utilizar, especifique o valor como:

• Um valor de 0 Especifica se o multicast, difusão, tráfego RSVP, Kerberos e ao ISAKMP está excluído da filtragem IPSec. Esta é a predefinição filtragem comportamento para o Windows 2000 e Windows XP. Utilize esta definição apenas se tiver para compatibilidade com uma política IPsec existente ou o comportamento do Windows 2000 e Windows XP.
• Um valor de 1 Especifica que o tráfego Kerberos e RSVP não são excluído da filtragem IPSec, mas multicast, difusão e tráfego ISAKMP são excluídos.
• Um valor de 2 Especifica que o tráfego de difusão e multicast não são excluído da filtragem IPSec, mas estão isentos tráfego RSVP, Kerberos e ao ISAKMP.
• O valor 3 Especifica que apenas o tráfego de ISAKMP é excluído da filtragem IPSec. Esta é a predefinição filtragem comportamento para Windows Server 2003.

Se alterar o valor para esta definição, terá de reiniciar o computador para o novo valor entrem em vigor. Para modificar a predefinição filtragem comportamento através da utilização do registo:

1. Clique em Iniciar e, em seguida, clique em Executar .
2. Escreva Regedit e, em seguida, clique em OK .
3. Clique na seguinte chave de registo:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC
   Nota Se estiver a utilizar o Windows Server 2008, clique na seguinte chave de registo:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
4. Clique com o botão direito do rato em IPSEC , aponte para Novo e, em seguida, clique em Valor DWORD (DWORD Value) .
5. Nome nesta nova entrada NoDefaultExempt .
6. Atribua esta entrada qualquer valor entre 0 e 3 .
7. Reinicie o computador.

Os comportamentos para cada valor de filtragem são equivalentes aos que são mencionados para a netsh ipsec dynamic set config ipsecexempt valor = x comandos.

Impacto da excepção IKE

O efeito de excepção IKE é a mesma que para o Windows 2000 e Windows XP. No entanto, Windows Server 2003 fornece melhorada de evitar a ataques de congestionamento.

Para obter informações adicionais sobre a excepção IKE para o Windows 2000 e Windows XP, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:

Efeito de excepção de Kerberos

Se

NoDefaultExempt

estiver definido como 0 ou 2 para restaurar a excepção, o efeito de excepção de Kerberos é o mesmo conforme descrito para o Windows 2000 e Windows XP.

Para obter mais informações sobre Kerberos excepção para o Windows 2000 e Windows XP, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:

Efeito de excepção de RSVP

Se

NoDefaultExempt

estiver definido como 0 ou 2 para restaurar a excepção, o risco de excepção de RSVP está limitado a implementações de RSVP de outros fabricantes que podem ser instaladas. Por predefinição, o Windows Server 2003 não inclui o serviço QoS RSVP. A opção ? r foi removida o utilitário Pathping para não suporta o protocolo RSVP.

Efeito de difusão e multicast excepções

Se

NoDefaultExempt

estiver definido como 0 ou 1 para restaurar a excepção, o efeito de difusão e multicast excepções é igual ao descrito para o Windows 2000 e Windows XP. Contudo, o IPsec do Windows Server 2003 suporta a filtragem de tráfego de difusão e multicast. Uma estrutura de política IPsec pode ter filtros que deverá ser correspondidos pela saída difusão ou multicast, tais como um filtro com um endereço de origem ? meu endereço de IP ? e um endereço de destino de ? qualquer endereço IP ?. Políticas IPsec devem ser testadas em laboratório e operação para confirmar o efeito de uma estrutura de política existentes neste tráfego. Tráfego de difusão e multicast pode ser bloqueado de uma forma limitada utilizando um filtro de IPsec com o endereço de origem e destino de ? qualquer endereço IP ?. O Microsoft Windows Server 2003 Resource Kit contém mais informações.

Para obter informações adicionais sobre a difusão e multicast excepções para o Windows 2000 e Windows XP, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:

Os programas que podem receber tráfego de difusão?

Windows Server 2003 suporta uma opção de socket para programas explicitamente desactivar a recepção de tráfego de difusão, mas não existe nenhuma alteração ao comportamento predefinido que programas que estão a escutar as portas UDP recebem tráfego de difusão.

Os programas podem receber tráfego multicast?

No Windows Server 2003, programas ainda tem explicitamente registar com a pilha de TCP/IP para receber tráfego multicast tipos e tráfego poderão ser ignorado se o grupo de multicast não está registado.

Utilizar o IPsec com o Firewall de ligação À Internet

Como no Windows XP, o ICF e capacidades de filtragem IPsec podem ser combinados para criar comportamentos de filtragem avançados. Isto é particularmente útil onde IPsec tem estaticamente permitir determinado tráfego de saída para a Internet como, por exemplo, para DNS ou de HTTP ou SMTP. Isto torna possível para o ICF fornecer a filtragem com estado do tráfego de saída IPsec permite.

Para obter informações adicionais sobre o efeito de excepções de predefinição de segurança IP, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base: Para obter mais informações sobre orientações de filtragem e implementação para o IPsec no Windows Server 2003, consulte o capítulo de implementação do IPsec no Microsoft Windows 2003 Server Deployment Kit. Para o fazer, visite o seguinte Web site da Microsoft: