exemptions เริ่มต้นของ ipsec จะถูกเอาออกใน Windows Server 2003

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 810207 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
สิ่งสำคัญ: บทความนี้ประกอบด้วยข้อมูลเกี่ยวกับการปรับเปลี่ยนรีจิสทรี ก่อนที่จะแก้ไขรีจิสตรี คุณต้องสำรองข้อมูลนี้ไว้ และต้องทราบวิธีเรียกข้อมูลรีจิสตรีกลับคืน กรณีที่มีปัญหาเกิดขึ้น สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีสำรอง คืนค่า และแก้ไขรีจิสทรี โปรดคลิกที่หมายเลขบทความต่อไปนี้ เพื่อดูบทความในฐานความรู้ของ Microsoft::
256986คำอธิบายสำหรับ Microsoft Windows Registry
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

คุณลักษณะ Internet Protocol Security (IPsec) ใน Windows Server 2003 ไม่ได้ถูกออกแบบมาเป็นไฟร์ featured เต็มตามโฮสต์วอลล์ ได้ถูกออกแบบมาเพื่อให้การอนุญาตให้พื้นฐาน และบล็อกการกรองข้อมูลโดยใช้ข้อมูลที่อยู่ โพรโทคอล และพอร์ตในแพ็คเก็ตเครือข่าย ออกแบบ ipsec ได้นอกจากนี้มาเป็นเครื่องมือการดูแลระบบเพื่อเพิ่มความปลอดภัยของการสื่อสารในลักษณะที่เป็นแบบโปร่งใสไปยังโปรแกรมที่ เนื่องจากความตัว ซึ่งจะแสดงปริมาณการใช้กรองข้อมูลที่จำเป็นต่อการเจรจาความปลอดภัยสำหรับโหมดการส่งผ่าน IPsec หรือ IPsec โหมดทันเนล หลัก สำหรับการที่เชื่อถือเครื่องไม่พร้อมใช้งานจากบริการ Kerberos สภาพแวดล้อมของอินทราเน็ต หรือเส้นทางที่ระบุบนอินเทอร์เน็ตที่สามารถใช้ใบรับรองดิจิทัลของโครงสร้างคีย์สาธารณะ (PKI)

exemptions เริ่มต้นกับตัวกรองนโยบาย IPsec จะได้รับการบันทึกไว้ใน Microsoft Windows 2000 และ Microsoft Windows XP วิธีใช้ ตัวกรองเหล่านี้ให้เป็นไปได้สำหรับการแลกเปลี่ยนคีย์ทางอินเทอร์เน็ต (IKE) และ Kerberos ทำงาน ตัวกรองยังทำให้มันเป็นไปได้สำหรับเครือข่ายคุณภาพของ Service(QoS) เป็น signaled (RSVP) เมื่อมีการรักษาความปลอดภัยการรับส่งข้อมูลข้อมูล โดย IPsec และสำหรับการรับส่งข้อมูล IPsec ที่ไม่ปลอดภัยเช่นการรับส่งข้อมูลแบบหลายผู้รับ และการเผยแพร่

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับตัวกรองเหล่านี้ ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
253169ปริมาณการใช้งานที่ สามารถ-- และไม่สามารถ--จะรักษาความปลอดภัย โดย IPSec

ข้อมูลเพิ่มเติม

คำเตือน: ถ้าคุณใช้ Registry Editor ไม่ถูกต้อง คุณอาจทำให้เกิดปัญหาร้ายแรงซึ่งอาจทำให้คุณติดตั้งระบบปฏิบัติการของคุณ ไมโครซอฟท์ไม่สามารถรับประกันว่า คุณจะสามารถแก้ปัญหาที่เกิดขึ้นจากการใช้ Registry Editor ไม่ถูกต้อง โปรดใช้ Registry Editor โดยยอมรับความเสี่ยงที่อาจเกิดขึ้นIPsec increasingly ใช้สำหรับการไฟร์วอลล์โฮสต์ที่พื้นฐานแพคเก็ตกรอง โดยเฉพาะในการเปิดเผยอินเทอร์เน็ตสถานการณ์ ลักษณะพิเศษของ exemptions เริ่มต้นเหล่านี้ได้ไม่ถูกเต็มที่เข้าใจ เนื่องจากของตัวนี้ ผู้ดูแลระบบ IPsec บางอย่างอาจสร้างนโยบายที่จะมั่นใจว่ามีความปลอดภัย แต่ไม่ปลอดภัยจากการโจมตีขาเข้าที่ใช้ exemptions เริ่มต้นของ IPsec

ด้วยเหตุนี้ Microsoft ได้เอาออกสูงสุด exemptions เริ่มต้นใน Windows Server 2003 ซึ่งอาจต้องการเปลี่ยนแปลงนโยบาย IPsec สำหรับ Windows Server 2003 สำหรับสถานการณ์การปรับใช้ IPsec ที่คุณใช้ IKE การเจรจาความปลอดภัยและการป้องกันของ IPsec สำหรับปริมาณการใช้งานโพรโทคอลชั้นบน

การเอาออก exemptions เริ่มต้น Windows

โดยค่าเริ่มต้น Windows Server 2003 เอาออกทั้งหมดเป็นค่าเริ่มต้น exemptions ยกเว้นการยกเว้นของ IKE การเปลี่ยนแปลงการออกแบบนโยบาย IPsec ที่มีอยู่อาจจะจำเป็นต้องใช้ก่อนที่คุณสามารถใช้นโยบายใน Windows Server 2003

ผู้ดูแลควรเริ่มการวางแผนสำหรับการเปลี่ยนแปลงเหล่านี้สำหรับทั้งหมดที่มีอยู่ และใหม่ IPsec ใช้ โดยการใช้
NoDefaultExempt =% 1
บนคอมพิวเตอร์ที่ใช้ Windows 2000 และใช้ Windows XP กระบวนการ
NoDefaultExempt =% 1
คีย์รีจิสทรีได้รับการสนับสนุนใน Windows Server 2003 เพื่อทำให้เป็นไปได้สำหรับผู้ดูแลเพื่อเรียกคืนการทำงานยกเว้นดีฟอลต์ก่อนหน้าสำหรับความเข้ากันได้ย้อนหลังกับการออกแบบนโยบาย IPsec ก่อนหน้าและความเข้ากันได้ของโปรแกรม ในระหว่างการปรับรุ่น Windows Server 2003 ค่าของการมีอยู่แล้ว
NoDefaultExempt =% 1
การตั้งค่าคีย์รีจิสทรีถูกรักษาไว้

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ exemptions เริ่มต้นสำหรับคอมพิวเตอร์ที่ใช้ Windows 2000 และใช้ Windows XP คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
811832exemptions เริ่มต้นของ ipsec ที่สามารถใช้เพื่อเลี่ยงผ่าน IPsec การป้องกันในบางสถานการณ์
หมายเหตุ:ตรวจดูบทความนี้ (811832) ก่อนที่จะใช้คีย์รีจิสทรีเพื่อเปิดใช้งาน exemptions เริ่มต้น

นอกจากนี้ ตรวจดูส่วน "ระบุค่าเริ่มต้น Exemptions กับ IPSec กรอง" ในชุดของ Windows Server 2003 ปรับ IPsec ใช้สำหรับข้อมูลเพิ่มเติม การขอรับการปรับใช้ Kit Microsoft การ Server 2003 Windows แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
http://technet2.microsoft.com/WindowsServer/en/library/0bd06cf7-2ed6-46f1-bb55-2bf870273e151033.mspx?mfr=true
To modify the default filtering behavior for Windows Server 2003 IPSec, you can use theNetsh IPSeccommand or modify the registry.

To modify the default filtering behavior by using theNetsh IPSecคำสั่ง:
  1. คลิกเริ่มการทำงานแล้ว คลิกเรียกใช้.
  2. ประเภท:cmdแล้ว คลิกตกลง.
  3. ที่พรอมต์คำสั่ง พิมพ์:netsh ipsec dynamic set config ipsecexempt value={ 0 | 1 | 2 | 3}แล้ว กด ENTER
การใช้{ 0 | 1 | 2 | 3}in this command represents all available options for this command. You can only use one value. Depending on the exemptions you want you to use, specify the value as:
  • A value of 0 specifies that multicast, broadcast, RSVP, Kerberos, and ISAKMP traffic are exempt from IPSec filtering. This is the default filtering behavior for Windows 2000 and Windows XP. Use this setting only if you have to for compatibility with an existing IPsec policy or Windows 2000 and Windows XP behavior.
  • A value of 1 specifies that Kerberos and RSVP traffic are not exempt from IPSec filtering, but multicast, broadcast, and ISAKMP traffic are exempt.
  • A value of 2 specifies that multicast and broadcast traffic are not exempt from IPSec filtering, but RSVP, Kerberos, and ISAKMP traffic are exempt.
  • A value of 3 specifies that only ISAKMP traffic is exempt from IPSec filtering. This is the default filtering behavior for Windows Server 2003.
If you change the value for this setting, you must restart the computer for the new value to take effect. To modify the default filtering behavior by using the registry:
  1. คลิกเริ่มการทำงานแล้ว คลิกเรียกใช้.
  2. ประเภท:regeditแล้ว คลิกตกลง.
  3. คลิกที่รีจิสทรีคีย์ต่อไปนี้:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC
    หมายเหตุ:If you are using Windows Server 2008, click the following registry key:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
  4. คลิกขวาIPSECชี้ไปที่ใหม่แล้ว คลิกค่า DWORD.
  5. Name this new entryNoDefaultExempt.
  6. Assign this entry any value from0through3.
  7. รีสตาร์ทเครื่องคอมพิวเตอร์
The filtering behaviors for each value are equivalent to those that are noted for thenetsh ipsec dynamic set config ipsecexempt value=xคำสั่ง

Impact of IKE exemption

The effect of the IKE exemption is the same as for Windows 2000 and Windows XP. However, Windows Server 2003 provides improved DoS avoidance to flooding attacks.

For additional information about IKE exemption for Windows 2000 and Windows XP, click the following article number to view the article in the Microsoft Knowledge Base:
811832IPSec Default Exemptions Can Be Used to Bypass IPsec Protection in Some Scenarios

Effect of Kerberos exemption

ถ้า
NoDefaultExempt
ตั้งค่าเป็น0หรือ2to restore the exemption, the effect of Kerberos exemption is the same as described for Windows 2000 and Windows XP.

For more information about Kerberos exemption for Windows 2000 and Windows XP, click the following article number to view the article in the Microsoft Knowledge Base:
811832IPSec Default Exemptions Can Be Used to Bypass IPsec Protection in Some Scenarios

Effect of RSVP exemption

ถ้า
NoDefaultExempt
ตั้งค่าเป็น0หรือ2การกู้คืนที่ยกเว้น ความเสี่ยงต่อการยกเว้น RSVP ไม่จำกัดเพียงการ implementations RSVP อื่น ๆ ที่อาจมีการติดตั้ง โดยค่าเริ่มต้น Windows Server 2003 ไม่รวมบริการ RSVP QoS กระบวนการ–rตัวเลือกได้ถูกเอาออกจากโปรแกรมอรรถประโยชน์ Pathping ดังนั้นไม่สนับสนุนโพรโทคอล RSVP

ลักษณะพิเศษของการออกอากาศและ exemptions แบบหลายผู้รับ

ถ้า
NoDefaultExempt
ตั้งค่าเป็น0หรือ1การกู้คืนที่ยกเว้น ผลของการออกอากาศและ exemptions แบบหลายผู้รับไม่เหมือนกันตามที่อธิบายไว้สำหรับ Windows 2000 และ Windows XP อย่างไรก็ตาม Windows Server 2003 IPsec ไม่ได้สนับสนุนการกรองการรับส่งข้อมูลที่เผยแพร่ และแบบหลายผู้รับ มีการออกแบบนโยบาย IPsec อาจมีตัวกรองที่จะถูกจับคู่ โดยขาออกออกอากาศ หรือแบบหลายผู้รับเช่นตัวกรองมีที่อยู่ของแหล่งที่มาของ “ที่อยู่ IP ของฉัน ” และอยู่ปลายทางของ “ที่อยู่ IP ใด ๆ ” ควรจะทดสอบนโยบาย ipsec ในอาชีพ และ ในการดำเนินการการยืนยันการลักษณะพิเศษของการออกแบบที่มีอยู่ของนโยบายในการรับส่งข้อมูลนี้ รับส่งข้อมูลที่เผยแพร่ และแบบหลายผู้รับสามารถจะถูกบล็อกในทางที่จำกัดไว้ โดยใช้ตัวกรอง IPsec กับแหล่งที่มาและปลายทางที่อยู่ของ “ที่อยู่ IP ใด ๆ ” ใน Microsoft Windows Server 2003 ทรัพยากร Kit ประกอบด้วยข้อมูลเพิ่มเติม

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการเผยแพร่และ exemptions แบบหลายผู้รับสำหรับ Windows 2000 และ Windows XP คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
811832สามารถสามารถใช้เป็นค่าเริ่มต้นของ ipsec Exemptions ได้เพื่อเลี่ยงผ่าน IPsec การป้องกันในบางสถานการณ์

โปรแกรมที่สามารถได้รับการออกอากาศปริมาณการใช้งานได้อย่างไร

windows Server 2003 สนับสนุนตัวเลือกการซ็อกเก็ตสำหรับโปรแกรมที่ได้ปิดใช้งานการรับของปริมาณการใช้ที่เผยแพร่ แต่ไม่มีการเปลี่ยนแปลงการทำงานดีฟอลต์ที่ว่า โปรแกรมที่กำลังฟังพอร์ต UDP ได้รับการออกอากาศปริมาณการใช้งาน

โปรแกรมที่สามารถได้รับการรับส่งข้อมูลแบบหลายผู้รับหรือไม่

ลงใน Windows Server 2003 โปรแกรมยังคงต้องต่างหากทะเบียนสแตก TCPIP รับชนิดของการรับส่งข้อมูลแบบหลายผู้รับที่ขาเข้า และปริมาณการใช้งานอาจถูกส่งน้อยลงถ้ากลุ่มแบบหลายผู้รับไม่ลงทะเบียน

การใช้ IPsec มีไฟร์วอลล์การเชื่อมต่ออินเทอร์เน็ต

ใน Windows XP, ICF และความสามารถในการกรองข้อมูลของ IPsec สามารถรวมเพื่อสร้างการกรองลักษณะการทำงานในขั้นสูง นี่เป็นประโยชน์โดยเฉพาะซึ่ง IPsec ต้อง statically อนุญาตเฉพาะการรับส่งข้อมูลขาออกไปยังอินเทอร์เน็ตเช่นสำหรับ HTTP หรือ DNS หรือ SMTP ซึ่งทำให้มันเป็นไปได้สำหรับ ICF ให้ stateful การกรองการรับส่งข้อมูลขาออกที่อนุญาตให้ IPsec

ข้อมูลอ้างอิง

สำหรับข้อมูลเพิ่มเติมเกี่ยวกับผล exemptions เริ่มต้นการรักษาความปลอดภัยของ IP คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
811832exemptions เริ่มต้นของ ipsec ที่สามารถใช้เพื่อเลี่ยงผ่าน IPsec การป้องกันในบางสถานการณ์สำหรับ Windows 2000 และ Windows XP
สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการกรองข้อมูลและการปรับใช้แนวทางสำหรับ IPsec ใน Windows Server 2003 ให้ดูที่บทปรับใช้ IPsec ในการ Microsoft Windows 2003 Server จัดวาง Kit โดยแวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft::
http://technet2.microsoft.com/WindowsServer/en/library/0bd06cf7-2ed6-46f1-bb55-2bf870273e151033.mspx?mfr=true

คุณสมบัติ

หมายเลขบทความ (Article ID): 810207 - รีวิวครั้งสุดท้าย: 14 มกราคม 2554 - Revision: 2.0
ใช้กับ
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Keywords: 
kbinfo kbmt KB810207 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:810207

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com