Ipsec varsayýlan muafiyetleri, Windows Server 2003'te kaldýrýlýr

Windows Server 2003 ýnternet Protokolü güvenliði (ýpsec) özelliði, tam özellikli ana bilgisayar tabanlý duvarýna tasarlanmamýþtýr. Temel izni saðlamak ve að paketleri adres, iletiþim kuralý ve baðlantý noktasý bilgilerini kullanarak süzme engellemek için tasarlanmýþtýr. Ipsec Ayrýca, programlar için saydam bir þekilde iletiþim güvenliðini artýrmak için bir yönetim aracý tasarlanmýþtýr. Bu nedenle, trafik, ýpsec taþýma modu veya ýpsec güvenlik anlaþmasý için gerekli olan süzme saðladýðý tünel modu öncelikle intranet ortamlarýnda makine güven Kerberos hizmetini kullanýlabilir ya da belirli yollara ýnternet'te ortak anahtar altyapýsý (PKI), dijital sertifikalar kullanýlabilir.

Varsayýlan muafiyetleri için ýpsec ilke filtreleri, Microsoft Windows 2000 ve Microsoft Windows XP Yardým belgelenmiþtir. Bu süzgeçler için ýnternet anahtar deðiþimi (IKE) ve Kerberos iþlevini saðlar. Süzgeçleri de veri trafiðini güvenli, ýpsec tarafýndan (RSVP) að için kalite, Service(QoS) sinyal ve trafik için olduðu gibi çok noktaya yayýn ve yayýn trafiði, ýpsec güvenliðini saðlar.

Bu süzgeçler hakkýnda ek bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn:

UYARý: Kayýt Defteri Düzenleyicisi'ni yanlýþ kullanýrsanýz, iþletim sisteminizi yeniden yüklemenizi gerektirebilecek ciddi sorunlara neden olabilir. Microsoft, Kayýt Defteri Düzenleyicisi yanlýþ kullanýmýndan kaynaklanan sorunlarý çözebileceðinizi garanti edemez. Kayýt Defteri Düzenleyicisi'ni kullanmak kendi sorumluluðunuzdadýr. Gibi ýpsec giderek temel ana bilgisayar güvenlik duvarý paketi, özellikle ýnternet kullandýðý senaryolarda süzmek için kullanýlan bu varsayýlan muafiyetleri etkisini tam olarak anlaþýlan deðil. Bu nedenle, ýpsec ilkeleri, güvenli olduðunu düþünüyor olmalýsýnýz, ancak, varsayýlan muafiyetleri kullanan gelen saldýrýlara karþý güvenli olmayana bazý ýpsec Yöneticiler oluþturabilir.

Bu nedenle, Microsoft, Windows Server 2003'te varsayýlan muafiyetleri çoðunu kaldýrdý. Bu ýpsec ilke deðiþiklikleri Windows Server 2003 için ýpsec daðýtým senaryosu burada IKE güvenlik ve üst katman iletiþim kuralý akýþý için ýpsec korumasý anlaþmak için kullandýðýnýz gerektiriyor olabilir.

Varsayýlan kaldýrýlmasýný muafiyetleri Windows

Varsayýlan olarak, Windows Server 2003 için IKE muafiyet dýþýndaki tüm varsayýlan muafiyetleri kaldýrýr. Ilke, Windows Server 2003'te kullanmadan önce varolan ýpsec ilke tasarým deðiþiklikleri gerekli olabilir.

Yöneticiler kullanarak bu deðiþiklikleri tüm varolan ve yeni ýpsec daðýtýmý için planlama baþlamasý gereken

NoDefaultExempt=1

, Windows 2000 tabanlý ve Windows XP tabanlý bilgisayarlarda.

NoDefaultExempt=1

uyumluluðu programý önceki ýpsec ilke tasarýmý ile geriye dönük uyumluluk için eski varsayýlan dýþarýda býrakma davranýþýný geri yüklemek, yöneticiler için olasý hale getirmek için Windows Server 2003'te kayýt defteri anahtarý tarafýndan desteklenir. Windows Server 2003, varolan deðeri yükseltme sýrasýnda

NoDefaultExempt=1

kayýt defteri anahtarý ayarý korunur.

Windows 2000 tabanlý ve Windows XP tabanlý bilgisayarlar için varsayýlan muafiyetleri hakkýnda ek bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn: Not Bu makalede (811832), varsayýlan muafiyetleri yeniden etkinleþtirmek için kayýt defteri anahtarý'ný kullanmadan önce gözden geçirin.

Ayrýca "Belirtme varsayýlan muafiyetleri için ýpsec filtresi" daha fazla bilgi için Windows Server 2003 ýpsec Deployment kit bölümünde gözden geçirin. Microsoft Windows 2003 Server Deployment Kit'ný edinmek için aþaðýdaki Microsoft Web sitesini ziyaret edin:Varsayýlan davranýþ, Windows Server 2003 ýpsec için süzme iþlemini deðiþtirmek için Netsh ýpsec komut'ný kullanabilir veya kayýt defterini deðiþtirin.

Varsayýlan davranýþ, Netsh ýpsec komut kullanarak süzme deðiþtirmek için <a0></a0>:

1. Baþlat ' ý týklatýn ve sonra da <a2>Çalýþtýr</a2>'ý týklatýn.
2. Cmd yazýn ve Tamam ' ý týklatýn.
3. Komut isteminde netsh ipsec dinamik yapýlandýrma ipsecexempt deðeri ayarlamak = { 0 | 1 | 2 | 3}, ve sonra ENTER tuþuna basýn.

Kullanýmýný { 0 | 1 | 2 | 3} Bu komutta, bu komutun tüm kullanýlabilir seçenekler temsil eder. Yalnýzca bir deðer kullanabilirsiniz. Kullanmak istediðiniz muafiyetleri baðlý olarak, deðer olarak belirtin:

• 0 Deðeri, çok noktaya yayýnýn, belirtir yayýn, RSVP, Kerberos ve ISAKMP trafiði ýpsec filtresinin dýþýnda. Bu davranýþ, Windows 2000 ve Windows XP için süzme varsayýlandýr. Yalnýzca, varolan bir ýpsec ilkesi ya da Windows 2000 ve Windows XP davranýþý ile uyumluluk için gerekirse, bu ayarý kullanýn.
• 1 Deðeri, Kerberos ve RSVP trafiðini ýpsec filtresinin dýþýnda deðildir, ancak çok noktaya yayýn ve yayýn ISAKMP trafiði dýþýndadýr belirtir.
• 2 Deðeri, çok noktaya yayýn ve yayýn trafiði ýpsec filtresinin dýþýnda deðildir, ancak muafiyet RSVP, Kerberos ve ISAKMP trafiði belirtir.
• Yalnýzca, ISAKMP trafiði ýpsec filtresinin dýþýnda býrakýlýr 3 deðerini belirtir. Bu davranýþ, Windows Server 2003 için süzme varsayýlandýr.

Bu ayarýn deðerini deðiþtirirseniz, yeni deðerin etkinleþmesi bilgisayarý yeniden baþlatmanýz gerekir. Varsayýlan davranýþý, kayýt defterini kullanarak süzme deðiþtirmek için <a0></a0>:

1. Baþlat ' ý týklatýn ve sonra da <a2>Çalýþtýr</a2>'ý týklatýn.
2. Regedit yazýn ve Tamam ' ý týklatýn.
3. Aþaðýdaki kayýt defteri anahtarýný týklatýn:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC
   NotWindows Server 2008 kullanýyorsanýz, aþaðýdaki kayýt defteri anahtarýný týklatýn:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
4. IPSEC ' ý sað týklatýn, Yeni ' nin üzerine gelin ve sonra DWORD deðeri ' ni týklatýn.
5. Bu yeni girdiyi adlandýrmak NoDefaultExempt.
6. Bu girdi, 0 ile 3 arasýnda bir deðer atayýn.
7. Bilgisayarýnýzý yeniden baþlatýn.

Her deðer için bir filtre uygulama davranýþlarý için belirtildiði için eþdeðerdir netsh ipsec dinamik yapýlandýrma ipsecexempt deðeri ayarlamak = x komutu.

IKE muafiyet etkisi

IKE muafiyet etkisini Windows 2000 ve Windows XP için aynýdýr. Ancak, Windows Server 2003 için saldýrýlar taþmasýný geliþtirilmiþ DoS kaçýnma saðlar.

Windows 2000 ve Windows XP için IKE muafiyet hakkýnda ek bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn:

Kerberos muafiyet etkisi

NoDefaultExempt

muafiyet geri yüklemek için 0 veya 2 ' ye ayarlanýrsa Kerberos muafiyet etkisini Windows 2000 ve Windows XP için açýklanan aynýdýr.

Windows 2000 ve Windows için Kerberos dýþarýda býrakma hakkýnda daha fazla bilgi için XP Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn:

RSVP muafiyet etkisi

RSVP dýþarýda býrakma tehlikesini

NoDefaultExempt

muafiyet geri yüklemek için 0 veya 2 ' ye ayarlanmýþsa, yüklü üçüncü taraf RSVP uygulamalarý için sýnýrlýdýr. QoS RSVP hizmeti varsayýlan olarak, Windows Server 2003 içermez. RSVP iletiþim kuralýný destekleyecek þekilde –R seçeneði Pathping yardýmcý programý ' kaldýrýlmýþtýr.

Güvenlik açýðýnýn etkisini yayýn ve çok noktaya yayýn muafiyetleri

NoDefaultExempt

muafiyet geri yüklemek için 0 veya 1 olarak ayarlanýrsa yayýn ve çok noktaya yayýn muafiyetleri etkisini Windows 2000 ve Windows XP için açýklanan aynýdýr. Ancak, Windows Server 2003 ýpsec, yayýn ve çok noktaya yayýn trafiði için süzme iþlemini desteklemiyor. Bir ýpsec ilkesi tasarýmý tarafýndan giden yayýn veya çok noktaya yayýn “ IP Adresim ” ve hedef adresi “ herhangi bir IP adresi ” kaynak adresi olan bir süzgeç gibi eþlenmesi süzgeçleri olabilir. Ipsec ilkeleri, laboratuar ve iþlemi, varolan bir ilkeyi tasarýmý bu trafiði üzerinde etkisi onaylamak için test edilecek. Yayýn ve çok noktaya yayýn trafiðini, kaynak ve hedef adresi “ herhangi bir IP adresi ” ile bir ýpsec filtresi kullanarak, sýnýrlý bir þekilde önlenebilir. Microsoft Windows Server 2003 Kaynak Seti'ni daha fazla bilgi içermektedir.

Yayýn ve çok noktaya yayýn muafiyetleri Windows 2000 ve Windows XP hakkýnda ek bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn:

Hangi programlarýn yayýn trafiðini alabiliyor musunuz?

Windows Server 2003 programlarý açýkça yayým trafiðinin alýnmasýný devre dýþý býrakmak için bir yuva seçeneði destekleyen, ancak varsay?lan davran??? UDP baðlantý noktalarýný dinleyen bir program'ýn yayýn trafiði almak için herhangi bir deðiþiklik yok.

Hangi programlar, çok noktaya yayýn trafiðini alabiliyor musunuz?

Windows Server 2003 programlarý hala açýk gelen çok noktaya yayýn trafiði türlerini almaya TCPIP yýðýn ile kaydettirmeniz gerekir ve çok noktaya yayýn grup kaydý ise trafiði kesilmesine.

Ipsec ile ýnternet Baðlantýsý Güvenlik duvarýný kullanma

Windows XP'de olarak, Geliþmiþ süzgeç davranýþlar oluþturmak için ICF ve ýpsec süzme yetenekleri birleþtirilebilir. Burada ýpsec statik olarak belirli bir giden trafik için ýnternet gibi HTTP DNS veya SMTP izin gerekir özellikle yararlýdýr. Bu ýpsec izin veren giden trafiðe durum bilgisi içeren filtreleme saðlamak ICF için olanak saðlar.

IP güvenliði varsayýlan muafiyetleri etkisi hakkýnda ek bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn: Süzme ve daðýtým kýlavuzu için Windows Server 2003'te ýpsec hakkýnda daha fazla bilgi için bkz: ýpsec daðýtýmý bölümde Microsoft Windows 2003 Server Deployment Kit. Bunu yapmak için aþaðýdaki Microsoft Web sitesini ziyaret edin: