IPSec default exemptions are removed in Windows Server 2003

Traduções deste artigo Traduções deste artigo
ID do artigo: 810207 - Exibir os produtos aos quais esse artigo se aplica.
importante : Este artigo contém informações sobre como modificar o registro. Antes de modificar o registro, certifique-se de backup e certifique-se que você saiba como restaurar o registro se ocorrer um problema. Para obter informações sobre como fazer backup, restaurar e editar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
256986Descrição do registro do Microsoft Windows
Expandir tudo | Recolher tudo

Neste artigo

Sumário

O recurso de Internet Protocol Security (IPsec) no Windows Server 2003 não foi projetado como um firewall baseado em host completo. Ele foi projetado para fornecer permissão básica e bloquear filtragem usando informações de endereço, protocolo e porta em pacotes de rede. IPsec também foi desenvolvido como uma ferramenta administrativa para aumentar a segurança das comunicações de forma que é transparente para os programas. Devido a isso, ele fornece filtragem de tráfego que é necessário para negociar a segurança para modo de transporte IPsec ou IPsec modo de encapsulamento, principalmente para ambientes de intranet onde a confiança da máquina estava disponível do serviço Kerberos ou para caminhos específicos pela Internet onde certificados digitais de infra-estrutura de chave pública (PKI) podem ser usados.

Os isolamentos padrão para filtros de diretiva IPsec estão documentados no Microsoft Windows 2000 e Ajuda do Microsoft Windows XP. Esses filtros possibilitam para IKE (Internet Key Exchange) e o Kerberos a função. Os filtros também possibilitam para rede Service(QoS) de qualidade seja assinalada (RSVP) quando o tráfego de dados é protegido por IPsec e para o tráfego que IPsec não pode proteger, como tráfego de difusão e difusão seletiva.

Para obter informações adicionais sobre esses filtros, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
253169Tráfego que podem--e não é possível--ser protegido por IPSec

Mais Informações

Aviso : se você usar o Editor do Registro incorretamente, poderá causar problemas sérios que talvez exijam a reinstalação do sistema operacional. A Microsoft não garante que você pode resolver problemas resultantes do uso incorreto do Editor do Registro. Use o Editor do registro por sua própria conta e risco. Conforme é IPsec é cada vez mais usado para o host-firewall básico filtragem de pacotes, especialmente em situações expostas a Internet, tem o efeito desses isolamentos padrão não foi compreendido totalmente. Devido a isso, alguns administradores de IPsec podem criar diretivas que eles acreditam para ser seguro, mas que são não proteger contra ataques de entrada que utilizam os isolamentos padrão IPsec.

Por esses motivos, a Microsoft removeu a maioria das isenções padrão no Windows Server 2003. Isso pode exigir alterações de diretiva de IPsec para o Windows Server 2003 para cenários de implantação do IPsec onde usar IKE para negociar a segurança e proteção de IPsec para tráfego de protocolo de camada superior.

Remoção de padrão Windows isenções

Por padrão, o Windows Server 2003, remove todos os isolamentos padrão, exceto para o isolamento IKE. Podem ser necessárias alterações para projetos de diretiva IPsec existentes antes de usar a diretiva no Windows Server 2003.

Os administradores devem começar a planejar essas alterações para todas as implantações do IPsec novas e existentes usando
NoDefaultExempt=1
em seus computadores baseados no Windows 2000 e baseado no Windows XP. O
NoDefaultExempt=1
chave do registro é com suporte no Windows Server 2003 para possibilitar que os administradores de restaurar o comportamento de isenção padrão anterior para compatibilidade com anteriores designs de diretiva de IPsec e compatibilidade de programa. Durante a atualização para Windows Server 2003, o valor de um existente
NoDefaultExempt=1
configuração da chave do registro é preservada.

Para obter informações adicionais sobre isenções padrão para computadores baseados no Windows 2000 e Windows XP, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
811832Isolamentos padrão IPSeg podem ser usados para ignorar a proteção de IPsec em alguns cenários
Observação Consulte este artigo (811832) antes de usar a chave do Registro para reativar os isolamentos padrão.

Também revise a seção "Especificando padrão isenções para IPSec Filtering" no kit de implantação de IPsec do Windows Server 2003 para obter mais informações. Para obter o Windows 2003 Server Deployment Kit, visite o seguinte site:
http://technet2.microsoft.com/WindowsServer/en/library/0bd06cf7-2ed6-46f1-bb55-2bf870273e151033.mspx?mfr=true
Para modificar o padrão filtragem comportamento de IPSec do Windows Server 2003, você pode usar o comando Netsh IPSec ou modificar o registro.

Para modificar o padrão filtragem comportamento usando o comando Netsh IPSec :
  1. Clique em Iniciar e, em seguida, clique em Executar .
  2. Digite cmd e, em seguida, clique em OK .
  3. No prompt de comando, digite netsh ipsec dynamic set config ipsecexempt valor = { 0 | 1 | 2 | 3}, e, em seguida, pressione ENTER.
O uso de { 0 | 1 | 2 | 3} este comando representa todas as opções disponíveis para este comando. Você só pode usar um valor. Dependendo das isenções que você deseja usar, especifique o valor como:
  • Um valor 0 Especifica que multicast, difusão, tráfego RSVP, Kerberos e de ISAKMP são isento da filtragem IPSec. Este é o padrão filtragem comportamento para o Windows 2000 e Windows XP. Use esta configuração somente se for necessário para compatibilidade com uma diretiva IPsec existente ou comportamento de Windows 2000 e Windows XP.
  • Um valor de 1 Especifica que tráfego Kerberos e RSVP não são isento da filtragem IPSec, mas o multicast, difusão e o tráfego ISAKMP são isolados.
  • Um valor de 2 Especifica que tráfego de difusão e difusão seletiva não são isento da filtragem IPSec, mas o tráfego de RSVP, Kerberos e ISAKMP são isolados.
  • Um valor de 3 Especifica que somente o tráfego ISAKMP é isento da filtragem IPSec. Este é o padrão filtragem comportamento para Windows Server 2003.
Se você alterar o valor para essa configuração, reinicie o computador para o novo valor tenham efeito. Para modificar o padrão filtragem comportamento usando o registro:
  1. Clique em Iniciar e, em seguida, clique em Executar .
  2. Digite Regedit e, em seguida, clique em OK .
  3. Clique na seguinte chave do Registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC
    Observação Se você estiver usando o Windows Server 2008, clique na seguinte chave do Registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
  4. Clique com o botão direito do mouse em IPSEC , aponte para novo e, em seguida, clique em Valor DWORD .
  5. Essa nova entrada de nome NoDefaultExempt .
  6. Atribua essa entrada qualquer valor de 0 a 3 .
  7. Reinicie o computador.
Os comportamentos de filtragem para cada valor são equivalentes aos observados para o netsh ipsec dynamic set config ipsecexempt valor = x comando.

Impacto da isenção IKE

O efeito do isolamento IKE é a mesma do Windows 2000 e Windows XP. No entanto, Windows Server 2003 fornece DoS aprimorado prevenção a ataques por saturação.

Para obter informações adicionais sobre isenção IKE para o Windows 2000 e Windows XP, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
811832IPSec Default Exemptions Can Be Used to Bypass IPsec Protection in Some Scenarios

Efeito de isenção de Kerberos

Se
NoDefaultExempt
é definido como 0 ou 2 para restaurar a isenção, o efeito de isenção de Kerberos é a mesma descrita para o Windows 2000 e Windows XP.

Para obter mais informações sobre Kerberos isenção para Windows 2000 e Windows XP, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
811832IPSec Default Exemptions Can Be Used to Bypass IPsec Protection in Some Scenarios

Efeito do isolamento RSVP

Se
NoDefaultExempt
é definido como 0 ou 2 para restaurar a isenção, o risco de isolamento RSVP está limitado a implementações de RSVP de terceiros que podem ser instaladas. Por padrão, o Windows Server 2003 não inclui o serviço RSVP QoS. A opção -r foi removida do utilitário Pathping então não oferece suporte o protocolo RSVP.

Efeito de difusão e difusão seletiva isenções

Se
NoDefaultExempt
é definido como 0 ou 1 para restaurar a isenção, o efeito de difusão e difusão seletiva isenções é a mesma descrita para o Windows 2000 e Windows XP. No entanto, IPsec do Windows Server 2003 oferecem suporte a filtragem de tráfego de difusão e difusão seletiva. Um projeto da diretiva IPsec pode ter filtros que devem ser correspondidos pela saída difusão ou difusão seletiva, como um filtro com endereço de origem da ? meu endereço IP ? e um endereço de destino de ? qualquer endereço IP ?. As diretivas IPsec devem ser testadas no laboratório e em operação para confirmar o efeito de um design de diretiva existente nesse tráfego. Tráfego de difusão e difusão seletiva pode ser bloqueado de uma forma limitada usando um filtro IPsec com endereço de origem e destino de ? qualquer endereço IP ?. O Windows Server 2003 Resource Kit contém mais informações.

Para obter informações adicionais sobre difusão e multicast isenções para o Windows 2000 e Windows XP, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
811832IPSec Default Exemptions Can Be Used to Bypass IPsec Protection in Some Scenarios

Os programas que podem receber tráfego de difusão?

Windows Server 2003 oferece suporte a uma opção de soquete para programas explicitamente desativar o recebimento de tráfego de difusão, mas não há nenhuma alteração no comportamento padrão que programas que estão escutando nas portas UDP receber tráfego de difusão.

Quais programas podem receber tráfego de difusão seletiva?

No Windows Server 2003, programas ainda devem registrar explicitamente com a pilha TCPIP para receber os tipos de tráfego de difusão seletiva de entrada e tráfego pode ser cancelado se o grupo multicast for removido do Registro.

Usando o IPsec com o ICF

Como no Windows XP, o ICF e recursos de filtragem de IPsec podem ser combinados para criar comportamentos de filtragem avançados. Isso é particularmente útil onde IPsec deve estaticamente permitir determinado tráfego de saída com a Internet, como para HTTP ou DNS ou SMTP. Isso torna possível para o ICF fornecer a filtragem monitorada do tráfego de saída que permite a IPsec.

Referências

Para obter informações adicionais sobre o efeito de isenções de padrão de segurança IP, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
811832IPsec default exemptions podem ser usados para ignorar a proteção de IPsec em alguns cenários para o Windows 2000 e Windows XP
Para obter mais informações sobre diretrizes de filtragem e implantação para o IPsec no Windows Server 2003, consulte o capítulo implantação IPsec do Windows 2003 Server Deployment Kit. Para fazer isso, visite o seguinte site:
http://technet2.microsoft.com/WindowsServer/en/library/0bd06cf7-2ed6-46f1-bb55-2bf870273e151033.mspx?mfr=true

Propriedades

ID do artigo: 810207 - Última revisão: segunda-feira, 18 de fevereiro de 2008 - Revisão: 9.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Palavras-chave: 
kbmt kbinfo KB810207 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine Translation ou MT), não tendo sido portanto traduzido ou revisto por pessoas. A Microsoft possui artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais, com o objetivo de oferecer em português a totalidade dos artigos existentes na base de dados de suporte. No entanto, a tradução automática não é sempre perfeita, podendo conter erros de vocabulário, sintaxe ou gramática. A Microsoft não é responsável por incoerências, erros ou prejuízos ocorridos em decorrência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza atualizações freqüentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 810207

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com