在 Windows Server 2003 中删除 IPSec 默认免除项

文章翻译 文章翻译
文章编号: 810207 - 查看本文应用于的产品
重要提示: 本文包含有关修改注册表的信息。 在修改注册表之前,请务必对其进行备份,并确保您了解如何还原注册表发生问题。有关如何备份、 还原,和编辑注册表单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
256986在 Microsoft Windows 注册表的说明
展开全部 | 关闭全部

本文内容

概要

Windows Server 2003 中的网际协议安全 (IPsec) 功能不是作为完整的基于主机的防火墙设计的。它旨在提供基本的允许和阻止网络数据包中使用地址、 协议和端口信息进行筛选。IPsec 还旨在作为一种管理工具来增强的一种对程序是透明的方式的通信安全。因此,它提供了通信筛选所需协商 IPsec 传输模式或 IPsec 的安全性,主要为计算机信任从 Kerberos 服务所在的 intranet 环境或特定的路径,可以使用公钥基础结构 (PKI) 数字证书在 internet 隧道模式。

默认免除,IPsec 策略筛选器来记录在 Microsoft Windows 2000 和 Microsoft Windows XP 帮助中。这些筛选器使 Internet 密钥交换 (IKE) 和 Kerberos 函数。筛选器还使当网络是质量的 Service(QoS) (RSVP) 时终止数据通信受到 ipsec,并为通信 IPsec 无法保护如多播和广播通信。

有关这些筛选器的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
253169可以--和不能--由 IPSec 保护的通讯

更多信息

警告: 如果注册表编辑器使用不当可能会导致严重的问题,可能会要求您重新安装操作系统。Microsoft 不能保证可以解决问题所产生的错误地使用注册表编辑器。使用注册表编辑器需要您自担风险。 随着 IPsec 越来越多地用于基本的主机防火墙数据包筛选,特别是在 Internet 公开的方案已不被完全理解这些默认免除项的效果。因此,一些 IPsec 管理员可能会创建的 IPsec 策略,他们认为是安全的但不能保护针对使用默认免除项的入站攻击。

由于这些原因 Microsoft 已删除 Windows Server 2003 中的大部分默认免除项。这可能需要 Windows Server 2003 的 IPsec 策略更改为在您使用 IKE 协商安全和 $ IPsec 保护的上层协议通信的 IPsec 部署方案。

删除默认免除项 Windows

默认 Windows Server 2003,删除所有默认免除项的 IKE 免除除外。您可以在 Windows Server 2003 中使用该策略之前,可能需要对现有的 IPsec 策略设计的更改。

管理员应开始的所有现有的和新的 IPsec 部署的这些更改通过使用进行规划
NoDefaultExempt=1
在基于 Windows 2000 的和基于 Windows XP 的计算机上。在
NoDefaultExempt=1
以使管理员能够还原早期版本的默认免除行为与较早的 IPsec 策略设计向后兼容性和程序兼容性的 Windows Server 2003 中支持的注册表项。在升级到 Windows Server 2003 的现有值的过程中
NoDefaultExempt=1
注册表项设置将被保留。

有关基于 Windows 2000 的和基于 Windows XP 的计算机的默认免除项的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
811832IPSec 默认免除项可用于绕过 IPsec 保护在某些情况下
注意若要重新启用默认免除项使用的注册表项之前,请查看这篇文章 (811832)。

此外,还查看"指定默认免除对 IPSec 筛选"部分中的详细信息,Windows Server 2003 IPsec 部署工具包中。要获得 Microsoft Windows 2003 Server 部署工具包,请访问下面的 Microsoft 网站:
http://technet2.microsoft.com/WindowsServer/en/library/0bd06cf7-2ed6-46f1-bb55-2bf870273e151033.mspx?mfr=true
若要修改默认的 Windows Server 2003 ipsec 筛选行为,您可以使用 Netsh IPSec 命令,或修改注册表。

若要修改默认的筛选使用 Netsh IPSec 命令的行为,请执行下列操作:
  1. 单击 开始,然后单击 运行
  2. 键入 cmd,然后单击 确定
  3. 命令提示符键入 netsh ipsec 动态设置配置 ipsecexempt 值 = { 0 | 1 | 2 | 3},然后按 ENTER 键。
使用 { 0 | 1 | 2 | 3} 此命令中表示为此命令的所有可用选项。您只能使用一个值。根据该免除您希望您使用,指定为值:
  • 值为 0 指定该多址广播广播,RSVP、 Kerberos 和 ISAKMP 通讯不受 IPSec 筛选。这是默认的筛选的 Windows 2000 和 Windows XP 行为。仅当您需要与一个现有的 IPsec 策略或 Windows 2000 和 Windows XP 行为的兼容性,请使用此设置。
  • 值 1 指定 Kerberos 和 RSVP 通信不受 IPSec 筛选,但多播和广播,ISAKMP 通信被免除。
  • 值为 2 指定的多播和广播通信不受 IPSec 筛选,但 RSVP、 Kerberos 和 ISAKMP 通信免除。
  • 值为 3 指定只有 ISAKMP 通信受 IPSec 筛选。这是默认设置对 Windows Server 2003 的筛选行为。
如果更改了此设置的值必须重新启动计算机以便使用新的值才能生效。若要修改默认的筛选行为通过使用注册表,请执行下列操作:
  1. 单击 开始,然后单击 运行
  2. 键入 注册表编辑器,然后单击 确定
  3. 单击下面的注册表项:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC
    注意如果使用的 Windows Server 2008 单击下面的注册表项:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
  4. 用鼠标右键单击 IPSEC,指向 新建,然后再单击 DWORD 值
  5. 命名该新条目 NoDefaultExempt
  6. 指定此项的任何值从 03
  7. 重新启动计算机。
为每个值过滤行为有相当于那些将记下的在 netsh ipsec 动态设置配置 ipsecexempt 值 = x 命令。

IKE 免除的影响

IKE 免除的效果是相同的 Windows 2000 和 Windows XP 的。但是,Windows Server 2003 提供了改进的 DoS 避免以泛滥攻击。

有关 Windows 2000 和 Windows XP 的 IKE 免除的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
811832若要绕过 IPsec 保护一些方案中的可以使用 IPSec 默认免除项

Kerberos 免除的效果

如果要还原该免除
NoDefaultExempt
设置为 02,Kerberos 免除的效果是相同的 Windows 2000 和 Windows XP 所述的。

有关 Windows 2000 和 Windows 的 Kerberos 免除的详细信息 XP,单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
811832若要绕过 IPsec 保护一些方案中的可以使用 IPSec 默认免除项

RSVP 免除的效果

如果要还原该免除
NoDefaultExempt
设置为 02,RSVP 免除风险限于可能安装的第三方 RSVP 实现。默认状态下,Windows Server 2003 不包括 QoS RSVP 服务。已从 Pathping 实用程序删除 –R 选项,以便它不支持 RSVP 协议。

广播和多播免除项的效果

如果还原了免除
NoDefaultExempt
设置为 01,广播和多播免除项的效果是相同的 Windows 2000 和 Windows XP 所述的。但是,Windows Server 2003 IPsec 支持筛选广播和多播通信。一个 IPsec 策略设计可能会被匹配出站广播或多播如源地址的我的 IP 地址和任何 IP 地址的目标地址的筛选器的筛选器。在实验室中,并在操作中,确认在此通信流上的现有策略设计效果,应测试 IPsec 策略。广播和多播通信可以阻止以有限方式中,通过使用 IPsec 筛选器,源和目标地址为任何 IP 地址中。Microsoft Windows Server 2003 资源工具包中包含的详细信息。

有关广播和多播免除项的 Windows 2000 和 Windows XP 的其他信息请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
811832若要绕过 IPsec 保护一些方案中的可以使用 IPSec 默认免除项

哪个程序可以接收的广播的通信?

Windows Server 2003 支持程序可以显式禁用收到的广播的通信的套接字选项,但没有任何更改到正在侦听 UDP 端口的程序收到的广播的通信的默认行为。

哪个程序可以接收多播的通信?

在 Windows Server 2003,程序仍必须进行显式注册 TCPIP 堆栈接收多址广播的入站的通信类型,可能会丢弃通信量,如果多址广播的组是未注册。

使用 IPsec 与 Internet 连接防火墙

作为 Windows XP 中可以将 ICF 和筛选功能的 IPsec 组合创建高级筛选的行为。这是非常有用,其中 IPsec 必须静态允许某些出站通信流如 Internet 的 HTTP 或 DNS 或 SMTP。这使 ICF 提供的 IPsec 允许出站通信的状态筛选。

参考

IP 安全默认免除项的效果的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
811832IPsec 默认免除项可用于绕过 IPsec 保护在某些情况下,Windows 2000 和 Windows XP
有关在 Windows Server 2003 中的 IPsec 筛选和部署指南的详细信息,请参阅 IPsec 部署章节,在 Microsoft Windows 2003 Server 部署工具包中。这样做,请访问下面的 Microsoft 网站:
http://technet2.microsoft.com/WindowsServer/en/library/0bd06cf7-2ed6-46f1-bb55-2bf870273e151033.mspx?mfr=true

属性

文章编号: 810207 - 最后修改: 2008年2月18日 - 修订: 9.0
这篇文章中的信息适用于:
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
关键字:?
kbmt kbinfo KB810207 KbMtzh
机器翻译
注意:这篇文章是由无人工介入的微软自动的机器翻译软件翻译完成。微软很高兴能同时提供给您由人工翻译的和由机器翻译的文章, 以使您能使用您的语言访问所有的知识库文章。然而由机器翻译的文章并不总是完美的。它可能存在词汇,语法或文法的问题,就像是一个外国人在说中文时总是可能犯这样的错误。虽然我们经常升级机器翻译软件以提高翻译质量,但是我们不保证机器翻译的正确度,也不对由于内容的误译或者客户对它的错误使用所引起的任何直接的, 或间接的可能的问题负责。
点击这里察看该文章的英文版: 810207
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。

提供反馈

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com