Ipsec varsayılan muafiyetleri, Windows Server 2003'te kaldırılır

Makale çevirileri Makale çevirileri
Makale numarası: 810207 - Bu makalenin geçerli olduğu ürünleri görün.
ÖNEMLI: Bu makale kayıt defterini değiştirmeyle ilgili bilgiler içermektedir. Kayıt defterini değiştirmeden önce yedeklediğinizden ve bir sorun çıkması durumunda kayıt defterini geri nasıl yükleyeceğinizi anladığınızdan emin olun. Kayıt defterini yedekleme, geri yükleme ve düzenleme ile ilgili bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
256986Microsoft Windows Kayıt Defteri'nin Açıklaması
Hepsini aç | Hepsini kapa

Bu Sayfada

Özet

Windows Server 2003 ınternet Protokolü güvenliği (ıpsec) özelliği, tam özellikli ana bilgisayar tabanlı duvarına tasarlanmamıştır. Temel izni sağlamak ve ağ paketleri adres, iletişim kuralı ve bağlantı noktası bilgilerini kullanarak süzme engellemek için tasarlanmıştır. Ipsec Ayrıca, programlar için saydam bir şekilde iletişim güvenliğini artırmak için bir yönetim aracı tasarlanmıştır. Bu nedenle, trafik, ıpsec taşıma modu veya ıpsec güvenlik anlaşması için gerekli olan süzme sağladığı tünel modu öncelikle intranet ortamlarında makine güven Kerberos hizmetini kullanılabilir ya da belirli yollara ınternet'te ortak anahtar altyapısı (PKI), dijital sertifikalar kullanılabilir.

Varsayılan muafiyetleri için ıpsec ilke filtreleri, Microsoft Windows 2000 ve Microsoft Windows XP Yardım belgelenmiştir. Bu süzgeçler için ınternet anahtar değişimi (IKE) ve Kerberos işlevini sağlar. Süzgeçleri de veri trafiğini güvenli, ıpsec tarafından (RSVP) ağ için kalite, Service(QoS) sinyal ve trafik için olduğu gibi çok noktaya yayın ve yayın trafiği, ıpsec güvenliğini sağlar.

Bu süzgeçler hakkında ek bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
253169--Ve edemiyor--trafik ıpsec tarafından güvenlik altına alınması

Daha fazla bilgi

UYARı: Kayıt Defteri Düzenleyicisi'ni yanlış kullanırsanız, işletim sisteminizi yeniden yüklemenizi gerektirebilecek ciddi sorunlara neden olabilir. Microsoft, Kayıt Defteri Düzenleyicisi yanlış kullanımından kaynaklanan sorunları çözebileceğinizi garanti edemez. Kayıt Defteri Düzenleyicisi'ni kullanmak kendi sorumluluğunuzdadır. Gibi ıpsec giderek temel ana bilgisayar güvenlik duvarı paketi, özellikle ınternet kullandığı senaryolarda süzmek için kullanılan bu varsayılan muafiyetleri etkisini tam olarak anlaşılan değil. Bu nedenle, ıpsec ilkeleri, güvenli olduğunu düşünüyor olmalısınız, ancak, varsayılan muafiyetleri kullanan gelen saldırılara karşı güvenli olmayana bazı ıpsec Yöneticiler oluşturabilir.

Bu nedenle, Microsoft, Windows Server 2003'te varsayılan muafiyetleri çoğunu kaldırdı. Bu ıpsec ilke değişiklikleri Windows Server 2003 için ıpsec dağıtım senaryosu burada IKE güvenlik ve üst katman iletişim kuralı akışı için ıpsec koruması anlaşmak için kullandığınız gerektiriyor olabilir.

Varsayılan kaldırılmasını muafiyetleri Windows

Varsayılan olarak, Windows Server 2003 için IKE muafiyet dışındaki tüm varsayılan muafiyetleri kaldırır. Ilke, Windows Server 2003'te kullanmadan önce varolan ıpsec ilke tasarım değişiklikleri gerekli olabilir.

Yöneticiler kullanarak bu değişiklikleri tüm varolan ve yeni ıpsec dağıtımı için planlama başlaması gereken
NoDefaultExempt=1
, Windows 2000 tabanlı ve Windows XP tabanlı bilgisayarlarda.
NoDefaultExempt=1
uyumluluğu programı önceki ıpsec ilke tasarımı ile geriye dönük uyumluluk için eski varsayılan dışarıda bırakma davranışını geri yüklemek, yöneticiler için olası hale getirmek için Windows Server 2003'te kayıt defteri anahtarı tarafından desteklenir. Windows Server 2003, varolan değeri yükseltme sırasında
NoDefaultExempt=1
kayıt defteri anahtarı ayarı korunur.

Windows 2000 tabanlı ve Windows XP tabanlı bilgisayarlar için varsayılan muafiyetleri hakkında ek bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
811832Bazı senaryolarda, ıpsec koruması atlamak için ıpsec varsayılan muafiyetleri kullanılabilir.
Not Bu makalede (811832), varsayılan muafiyetleri yeniden etkinleştirmek için kayıt defteri anahtarı'nı kullanmadan önce gözden geçirin.

Ayrıca "Belirtme varsayılan muafiyetleri için ıpsec filtresi" daha fazla bilgi için Windows Server 2003 ıpsec Deployment kit bölümünde gözden geçirin. Microsoft Windows 2003 Server Deployment Kit'nı edinmek için aşağıdaki Microsoft Web sitesini ziyaret edin:
http://technet2.microsoft.com/WindowsServer/en/library/0bd06cf7-2ed6-46f1-bb55-2bf870273e151033.mspx?mfr=true
Varsayılan davranış, Windows Server 2003 ıpsec için süzme işlemini değiştirmek için Netsh ıpsec komut'nı kullanabilir veya kayıt defterini değiştirin.

Varsayılan davranış, Netsh ıpsec komut kullanarak süzme değiştirmek için <a0></a0>:
  1. Başlat ' ı tıklatın ve sonra da <a2>Çalıştır</a2>'ı tıklatın.
  2. Cmd yazın ve Tamam ' ı tıklatın.
  3. Komut isteminde netsh ipsec dinamik yapılandırma ipsecexempt değeri ayarlamak = { 0 | 1 | 2 | 3}, ve sonra ENTER tuşuna basın.
Kullanımını { 0 | 1 | 2 | 3} Bu komutta, bu komutun tüm kullanılabilir seçenekler temsil eder. Yalnızca bir değer kullanabilirsiniz. Kullanmak istediğiniz muafiyetleri bağlı olarak, değer olarak belirtin:
  • 0 Değeri, çok noktaya yayının, belirtir yayın, RSVP, Kerberos ve ISAKMP trafiği ıpsec filtresinin dışında. Bu davranış, Windows 2000 ve Windows XP için süzme varsayılandır. Yalnızca, varolan bir ıpsec ilkesi ya da Windows 2000 ve Windows XP davranışı ile uyumluluk için gerekirse, bu ayarı kullanın.
  • 1 Değeri, Kerberos ve RSVP trafiğini ıpsec filtresinin dışında değildir, ancak çok noktaya yayın ve yayın ISAKMP trafiği dışındadır belirtir.
  • 2 Değeri, çok noktaya yayın ve yayın trafiği ıpsec filtresinin dışında değildir, ancak muafiyet RSVP, Kerberos ve ISAKMP trafiği belirtir.
  • Yalnızca, ISAKMP trafiği ıpsec filtresinin dışında bırakılır 3 değerini belirtir. Bu davranış, Windows Server 2003 için süzme varsayılandır.
Bu ayarın değerini değiştirirseniz, yeni değerin etkinleşmesi bilgisayarı yeniden başlatmanız gerekir. Varsayılan davranışı, kayıt defterini kullanarak süzme değiştirmek için <a0></a0>:
  1. Başlat ' ı tıklatın ve sonra da <a2>Çalıştır</a2>'ı tıklatın.
  2. Regedit yazın ve Tamam ' ı tıklatın.
  3. Aşağıdaki kayıt defteri anahtarını tıklatın:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC
    NotWindows Server 2008 kullanıyorsanız, aşağıdaki kayıt defteri anahtarını tıklatın:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
  4. IPSEC ' ı sağ tıklatın, Yeni ' nin üzerine gelin ve sonra DWORD değeri ' ni tıklatın.
  5. Bu yeni girdiyi adlandırmak NoDefaultExempt.
  6. Bu girdi, 0 ile 3 arasında bir değer atayın.
  7. Bilgisayarınızı yeniden başlatın.
Her değer için bir filtre uygulama davranışları için belirtildiği için eşdeğerdir netsh ipsec dinamik yapılandırma ipsecexempt değeri ayarlamak = x komutu.

IKE muafiyet etkisi

IKE muafiyet etkisini Windows 2000 ve Windows XP için aynıdır. Ancak, Windows Server 2003 için saldırılar taşmasını geliştirilmiş DoS kaçınma sağlar.

Windows 2000 ve Windows XP için IKE muafiyet hakkında ek bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
811832Ipsec varsayılan muafiyetleri bazı senaryolar, ıpsec koruması atlama için kullanılan

Kerberos muafiyet etkisi

NoDefaultExempt
muafiyet geri yüklemek için 0 veya 2 ' ye ayarlanırsa Kerberos muafiyet etkisini Windows 2000 ve Windows XP için açıklanan aynıdır.

Windows 2000 ve Windows için Kerberos dışarıda bırakma hakkında daha fazla bilgi için XP Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
811832Ipsec varsayılan muafiyetleri bazı senaryolar, ıpsec koruması atlama için kullanılan

RSVP muafiyet etkisi

RSVP dışarıda bırakma tehlikesini
NoDefaultExempt
muafiyet geri yüklemek için 0 veya 2 ' ye ayarlanmışsa, yüklü üçüncü taraf RSVP uygulamaları için sınırlıdır. QoS RSVP hizmeti varsayılan olarak, Windows Server 2003 içermez. RSVP iletişim kuralını destekleyecek şekilde –R seçeneği Pathping yardımcı programı ' kaldırılmıştır.

Güvenlik açığının etkisini yayın ve çok noktaya yayın muafiyetleri

NoDefaultExempt
muafiyet geri yüklemek için 0 veya 1 olarak ayarlanırsa yayın ve çok noktaya yayın muafiyetleri etkisini Windows 2000 ve Windows XP için açıklanan aynıdır. Ancak, Windows Server 2003 ıpsec, yayın ve çok noktaya yayın trafiği için süzme işlemini desteklemiyor. Bir ıpsec ilkesi tasarımı tarafından giden yayın veya çok noktaya yayın “ IP Adresim ” ve hedef adresi “ herhangi bir IP adresi ” kaynak adresi olan bir süzgeç gibi eşlenmesi süzgeçleri olabilir. Ipsec ilkeleri, laboratuar ve işlemi, varolan bir ilkeyi tasarımı bu trafiği üzerinde etkisi onaylamak için test edilecek. Yayın ve çok noktaya yayın trafiğini, kaynak ve hedef adresi “ herhangi bir IP adresi ” ile bir ıpsec filtresi kullanarak, sınırlı bir şekilde önlenebilir. Microsoft Windows Server 2003 Kaynak Seti'ni daha fazla bilgi içermektedir.

Yayın ve çok noktaya yayın muafiyetleri Windows 2000 ve Windows XP hakkında ek bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
811832Ipsec varsayılan muafiyetleri bazı senaryolar, ıpsec koruması atlama için kullanılan

Hangi programların yayın trafiğini alabiliyor musunuz?

Windows Server 2003 programları açıkça yayım trafiğinin alınmasını devre dışı bırakmak için bir yuva seçeneği destekleyen, ancak varsay?lan davran??? UDP bağlantı noktalarını dinleyen bir program'ın yayın trafiği almak için herhangi bir değişiklik yok.

Hangi programlar, çok noktaya yayın trafiğini alabiliyor musunuz?

Windows Server 2003 programları hala açık gelen çok noktaya yayın trafiği türlerini almaya TCPIP yığın ile kaydettirmeniz gerekir ve çok noktaya yayın grup kaydı ise trafiği kesilmesine.

Ipsec ile ınternet Bağlantısı Güvenlik duvarını kullanma

Windows XP'de olarak, Gelişmiş süzgeç davranışlar oluşturmak için ICF ve ıpsec süzme yetenekleri birleştirilebilir. Burada ıpsec statik olarak belirli bir giden trafik için ınternet gibi HTTP DNS veya SMTP izin gerekir özellikle yararlıdır. Bu ıpsec izin veren giden trafiğe durum bilgisi içeren filtreleme sağlamak ICF için olanak sağlar.

Referanslar

IP güvenliği varsayılan muafiyetleri etkisi hakkında ek bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
811832Bazı senaryolarda, Windows 2000 ve Windows XP için ıpsec koruması atlamak için ıpsec varsayılan muafiyetleri kullanılabilir.
Süzme ve dağıtım kılavuzu için Windows Server 2003'te ıpsec hakkında daha fazla bilgi için bkz: ıpsec dağıtımı bölümde Microsoft Windows 2003 Server Deployment Kit. Bunu yapmak için aşağıdaki Microsoft Web sitesini ziyaret edin:
http://technet2.microsoft.com/WindowsServer/en/library/0bd06cf7-2ed6-46f1-bb55-2bf870273e151033.mspx?mfr=true

Özellikler

Makale numarası: 810207 - Last Review: 18 Şubat 2008 Pazartesi - Gözden geçirme: 9.0
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Anahtar Kelimeler: 
kbmt kbinfo KB810207 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir:810207

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com