В Windows Server 2003 удаляются исключений IPSec по умолчанию

Переводы статьи Переводы статьи
Код статьи: 810207 - Vizualiza?i produsele pentru care se aplic? acest articol.
ВАЖНЫЕ: Эта статья содержит сведения об изменении реестра. Перед изменением реестра убедитесь, что для резервного копирования и убедитесь, что вы понимаете, как восстановить реестр в случае возникновения проблем. Для получения сведений о том, как резервное копирование, восстановление и внесите изменения в реестр, нажмите одну из следующих номер статьи базы знаний Майкрософт:
256986 Описание реестра Microsoft Windows
Развернуть все | Свернуть все

В этой статье

Аннотация

Безопасность протокола IP (IPsec) функция в Windows Server 2003 не была разработана как полнофункциональный брандмауэров. Он был предоставляют основные разрешить и запретить фильтрацию с помощью адреса, протокол и сведения о порте в сетевых пакетов. IPsec также был разработан как Административное средство для повышения безопасности связи таким образом, что является прозрачной для программ. По этой причине она обеспечивает фильтрацию трафика Это необходимо для согласования безопасности IPsec или режим транспорта IPsec Туннельный режим, в первую очередь для интрасети средах, где был доверия машины Служба Kerberos или для конкретного пути в Интернете где может быть цифровых сертификатов инфраструктуры открытого ключа (PKI) используется.

В описаны исключения по умолчанию для фильтров политики IPsec Microsoft Windows 2000 и Microsoft Windows XP справки. Сделать эти фильтры есть возможность для обмена ключами в Интернете (IKE) и Kerberos функции. Фильтры также позволяют сети качество Service(QoS) Чтобы получить сигнал (RSVP), когда данные защиты трафика по протоколу IPsec, а также трафик, IPsec нельзя защитить, такие как многоадресный и широковещательный трафик.

Для получения дополнительных сведений об этих фильтры, щелкните следующий номер статьи базы знаний Майкрософт:
253169Трафик, который можно и нельзя защищены протоколом IPSec

Дополнительная информация

ПРЕДУПРЕЖДЕНИЕ: Неправильное использование редактора реестра может привести к серьезным проблемам проблемы, которые могут потребовать переустановки операционной системы. Корпорация Майкрософт не гарантирует решения проблем, вызванных реестра Редактор неправильно. С помощью редактора реестра на свой страх и риск. Как все больше использовать IPsec для основной брандмауэр фильтрацию пакетов, особенно в сценариях, доступ в Интернет, эффект Эти стандартные исключения не был понят полностью. По этой причине некоторые IPsec администраторы могут создавать политики IPsec, они полагают, что для обеспечения безопасности, Однако, не защищены от входящих атак, которые используют по умолчанию исключения.

По этим причинам корпорация Майкрософт устранила большую часть исключения по умолчанию в Windows Server 2003. Это может потребовать политики IPsec изменения для Windows Server 2003 для сценариев развертывания IPsec, где используется IKE для согласования безопасности и защиты IPsec для протокола верхнего уровня трафик.

Удаление исключений по умолчанию Windows

По умолчанию Windows Server 2003 удаляет все стандартные исключения за исключением освобождения IKE. Возможно, изменения в существующие разработки политики IPsec необходимые для использования политики в Windows Server 2003 .

Администраторы должны начать планирование эти изменения для всех с помощью существующих и новых реализаций IPsec
NoDefaultExempt = 1
на компьютерах под управлением Windows 2000 и под управлением Windows XP. В
NoDefaultExempt = 1
раздел реестра поддерживается в Windows Server 2003, чтобы сделать его Возможно, администратор может восстановить предыдущее поведение по умолчанию исключения из для обеспечения обратной совместимости с более ранней модели политики IPsec и программы совместимость. При обновлении до Windows Server 2003 значение существующие
NoDefaultExempt = 1
Изменение параметров реестра сохраняются.

Для получения дополнительных сведений о по умолчанию исключения для Windows 2000 и Windows XP компьютеры, щелкните следующий номер статьи базы знаний Майкрософт:
811832Стандартные исключения IPSec позволяют обойти защиту IPsec, в некоторых сценариях
Примечание Просмотрите эту статью (811832) перед тем как использовать раздел реестра для Включите стандартные исключения.

Также просмотрите "Определение Default Исключения для фильтрации IPSec"раздел в IPsec в Windows Server 2003 Пакет развертывания для получения дополнительных сведений. Чтобы получить Microsoft Windows 2003 Пакет развертывания сервера, посетите следующий веб-узел корпорации Майкрософт:
http://technet2.Microsoft.com/WindowsServer/en/Library/0bd06cf7-2ed6-46f1-bb55-2bf870273e151033.mspx?mfr=true
Чтобы изменить поведение фильтра для Windows Server 2003 по умолчанию Протокол IPSec можно использовать Netsh IPSec команда или изменения реестр.

Чтобы изменить значение по умолчанию поведение фильтра с помощью Netsh IPSec команда:
  1. Нажмите кнопку Начало, а затем нажмите кнопкуЗапустить.
  2. Тип cmd, а затем нажмите кнопкуОК.
  3. В командной строке введите: netsh ipsec dynamic Задайте значение параметра конфигурации ipsecexempt ={0 | 1 | 2 | 3}, а затем нажмите клавишу ВВОД.
Использование {0 | 1 | 2 | 3} в этом команда представляет все доступные параметры для этой команды. Можно использовать только один значение. В зависимости от исключения, необходимо использовать укажите значение как:
  • Значение 0 указывает, многоадресного вещания, RSVP, Kerberos, и трафик ISAKMP исключаются из фильтрации IPSec. Это по умолчанию фильтрация поведение для Windows 2000 и Windows XP. Используйте этот параметр только в том случае, если требуется совместимость с существующей политики IPsec или Windows 2000 и поведение Windows XP.
  • Значение 1 указывает, что трафик Kerberos и RSVP не исключены из фильтрации IPSec, но многоадресного вещания и ISAKMP трафика не выполняется.
  • Значение 2 указывает, что многоадресный и широковещательный трафик не исключаются из фильтрации IPSec, но RSVP, Kerberos и ISAKMP трафик не распространяются.
  • Значение 3 указывает, что исключается только трафик ISAKMP из фильтрации IPSec. По умолчанию поведение фильтра для Windows Server 2003.
Если изменить значение для этого параметра необходимо перезагрузить компьютер для нового параметра вступили в силу. Чтобы изменить фильтр по умолчанию поведение с помощью реестра:
  1. Нажмите кнопку Начало, а затем нажмите кнопкуЗапустить.
  2. Тип Regedit, а затем нажмите кнопкуОК.
  3. Выберите следующий раздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC
    Примечание Если вы используете Windows Server 2008, щелкните следующий раздел реестра:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
  4. Щелкните правой кнопкой мыши IPSEC, выберите пунктНовый, а затем нажмите кнопку Значение типа DWORD.
  5. Назовите эту новую записьNoDefaultExempt.
  6. Назначить любое значение из этой записи 0 через 3.
  7. Перезагрузите компьютер.
Поведение фильтрации для каждого значения эквивалентны тем которые указаны для netsh ipsec dynamic set config ipsecexempt значение = x команда.

Влияние исключений IKE

Эффект освобождение от IKE является таким же, как и для Windows 2000 и Windows XP. Тем не менее Windows Server 2003 предоставляет улучшенную во избежание неопределенности DoS для перегрузка атак.

Для дополнительной сведения о освобождение от IKE для Windows 2000 и Windows XP, нажмите кнопку следующий номер статьи базы знаний Майкрософт:
811832Стандартные исключения IPSec позволяют обойти защиту IPsec, в некоторых Сценарии

Эффект освобождение от Kerberos

Если
NoDefaultExempt
имеет значение 0 -или- 2 освобождение, эффект освобождения от Kerberos является таким же, как описано для Windows 2000 и Windows XP.

Для получения дополнительных сведений о освобождение от Kerberos для Windows 2000 и Windows XP, обратитесь к следующей статье базы знаний Майкрософт:
811832Стандартные исключения IPSec может быть Используется для защиты IPsec обход в некоторых сценариях

Эффект RSVP исключений

Если
NoDefaultExempt
имеет значение 0 -или- 2 Восстановление исключения, исключение риска RSVP ограничена реализации сторонних RSVP, которые могут быть установлены. По умолчанию Windows Server 2003 не включает службу QoS RSVP. В –R параметр был удален из служебной программы Pathping так, чтобы он не поддерживает поддерживают протокол RSVP.

Эффект широковещательный и многоадресный исключения

Если
NoDefaultExempt
имеет значение 0 -или- 1 Чтобы восстановить исключений, эффект широковещательной и многоадресной рассылки исключения является таким же, как описано для Windows 2000 и Windows XP. Тем не менее, IPsec в Windows Server 2003 поддерживает фильтрацию широковещательной и многоадресной рассылки трафик. Создание политики IPsec, возможно, фильтры, которые могли бы сопоставляться с Исходящие широковещательной или многоадресной рассылке, такие как фильтр с адресом источника Мой IP" Адрес"и адрес назначения «Любой IP-адрес». Политики IPsec следует тестирование в лабораторных и операцию, чтобы подтвердить действие существующего Создание политики на этот трафик. Широковещательный и многоадресный трафик может блокироваться. способом с помощью фильтра IPsec с адресом источника и назначения из «Любой IP-адрес». Microsoft Windows Server 2003 Resource Kit содержит Дополнительные сведения.

Для дополнительной сведения о широковещательной и многоадресной рассылки исключения для Windows 2000 и Windows XP, щелкните следующий номер статьи в База знаний корпорации Майкрософт:
811832Стандартные исключения IPSec позволяют обойти защиту IPsec, в некоторых Сценарии

Программы, которые могут получать широковещательные пакеты?

Windows Server 2003 поддерживает параметр сокета для программ явно отключить уведомление широковещательного трафика, но не существует никаких изменений поведение по умолчанию, Получение программ, которые прослушивают порты UDP широковещательный трафик.

Программы, которые могут получать многоадресный трафик?

В Windows Server 2003 программы по-прежнему необходимо явно зарегистрировать со стека TCPIP принимать типы входящий многоадресный трафик и трафик Если незарегистрированные группы многоадресной рассылки может быть прекращена.

С помощью IPsec с помощью брандмауэра подключения к Интернету

Как и в Windows XP брандмауэр подключения к Интернету и возможности фильтрации IPsec может быть вместе для создания дополнительных вариантов поведения фильтрации. Это особенно полезно где IPsec статически необходимо разрешить определенные исходящего трафика в Интернет Например, для HTTP или DNS- или SMTP. Это делает возможным для брандмауэра подключения к Интернету для обеспечения фильтрация исходящего трафика с сохранением состояния, IPsec разрешает.

Ссылки

Для получения дополнительных сведений о влиянии исключений IP-безопасности по умолчанию щелкните следующий номер статьи базы знаний Майкрософт:
811832Стандартные исключения IPsec позволяют обойти защиту IPsec, в некоторых случаях для Windows 2000 и Windows XP
Для получения дополнительных сведений о фильтрации и развертывания Руководство для IPsec в Windows Server 2003 содержатся в главе развертывания IPsec в Microsoft Windows 2003 Server Deployment Kit. Для этого посетите веб-узел Веб-узел Майкрософт:
http://technet2.Microsoft.com/WindowsServer/en/Library/0bd06cf7-2ed6-46f1-bb55-2bf870273e151033.mspx?mfr=true

Свойства

Код статьи: 810207 - Последний отзыв: 14 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Ключевые слова: 
kbinfo kbmt KB810207 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:810207

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com