在 [Windows Server 2003] 中移除 IPSec 預設豁免

文章翻譯 文章翻譯
文章編號: 810207 - 檢視此文章適用的產品。
重要: 本文包含修改登錄的相關資訊。 修改登錄之前請確定它備份起來,並請確定您瞭解如何在發生問題時還原登錄。如如何備份、 還原,以及編輯登錄有關,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
256986Microsoft Windows 登錄的描述
全部展開 | 全部摺疊

在此頁中

結論

Windows Server 2003 的 「 網際網路通訊協定安全性 (IPsec) 」 功能不被設計為全功能主機型防火牆。它是設計用來提供基本的允許及封鎖篩選使用中網路封包的位址、 通訊協定和連接埠資訊。IPsec 的設計也是做為系統管理工具以增強安全性的通訊,對程式而言是透明的。有鑑於此,它提供流量篩選所需交涉安全性的 IPsec 傳輸模式或 IPsec 通道模式主要是針對內部網路的環境中電腦信任已可從 Kerberos 服務或可以使用公開金鑰基礎結構 (PKI) 數位憑證在網際網路上的特定路徑。

預設豁免,IPsec 原則篩選器來記錄在 Microsoft Windows 2000 和 Microsoft Windows XP 說明中。這些篩選器可讓網際網路金鑰交換 (IKE) 及 Kerberos 函式。篩選器也可讓網路品質的 Service(QoS) 是 (RSVP) 時保護資料流量來簽署 IPsec,接著如多點傳播和廣播流量該 IPsec 無法保護的流量。

取得更多資訊有關這些篩選器按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
253169可以--並無法--受到 IPSec 保護的流量

其他相關資訊

警告: 如果您未正確使用登錄編輯程式可能會導致嚴重的問題,甚至必須重新安裝作業系統。Microsoft 不保證您可以解決因不當使用 「 登錄編輯器 」 的問題。使用 「 登錄編輯程式 」,請自行負擔相關的風險。 IPsec 越來越使用基本的主機防火牆封包篩選,尤其是在網際網路暴露案例為這些預設豁免的效果已經不被完全瞭解。有鑑於此,有些 IPsec 系統管理員可能會建立的 IPsec 原則,他們認為是安全,但,是不安全對抗使用預設豁免的輸入攻擊。

基於這些原因 Microsoft 已移除 Windows Server 2003 中的大部分的預設豁免。您可能需要 IPsec 原則變更為 Windows Server 2003 針對您使用 IKE 來交涉安全性與上層階層通訊協定流量的 IPsec 保護的 IPsec 部署案例。

移除預設豁免 Windows

預設 Windows Server 2003 中移除 IKE 豁免除外的所有預設的豁免。在 Windows Server 2003 上使用原則之前,可能需要變更現有的 IPsec 原則設計。

系統管理員應該開始使用規劃,所有現有的和新的 IPsec 部署這些變更
NoDefaultExempt=1
其 Windows 2000 和 Windows XP 的電腦上。
NoDefaultExempt=1
,讓系統管理員還原較早的預設豁免行為,為符合回溯相容性與較早的 IPsec 原則設計和程式相容性的 Windows Server 2003 中支援的登錄機碼。在升級到 Windows Server 2003 的現有值的過程中
NoDefaultExempt=1
登錄機碼設定會保留。

取得更多資訊有關 Windows 2000 和 Windows XP 電腦的預設豁免按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
811832可以用來略過 IPsec 保護,在某些案例中的 IPSec 預設豁免
附註若要重新啟用預設豁免使用登錄機碼之前,請檢閱本文 (811832)。

也檢閱"指定預設豁免到 IPSec 篩選 > 一節中 Windows Server 2003 IPsec 部署套件,如需詳細資訊。若要取得 Microsoft Windows 2003 伺服器部署套件,請造訪下列 Microsoft 網站]:
http://technet2.microsoft.com/WindowsServer/en/library/0bd06cf7-2ed6-46f1-bb55-2bf870273e151033.mspx?mfr=true
若要修改預設的 Windows Server 2003 IPSec 篩選行為,您可以使用 Netsh IPSec 命令,或修改登錄。

若要修改預設的篩選行為使用 Netsh IPSec 命令:
  1. 按一下 [開始],然後按一下 [執行]。
  2. 輸入 cmd,然後按一下 [確定]
  3. 在命令提示字元下鍵入 netsh IPsec 動態設定組態 ipsecexempt 值 = { 0 | 1 | 2 | 3},然後按 ENTER 鍵。
使用 { 0 | 1 | 2 | 3} 這個命令中代表此指令的所有可用選項。您只能使用一個值。根據豁免您想讓您可以使用,請指定作為值:
  • 0 值會指定該多點傳送廣播,RSVP、 Kerberos 及 ISAKMP 流量不受限於 IPSec 篩選功能。這是預設值篩選 Windows 2000 和 Windows XP 的行為。如果您必須與現有的 IPsec 原則或 Windows 2000 和 Windows XP 的行為的相容性,請使用此設定。
  • 1 的值指定 Kerberos 及 RSVP 流量並不受 IPSec 篩選,但多點傳播、 廣播和 ISAKMP 流量都是豁免。
  • 值為 2 指定多點傳播和廣播流量並不受 IPSec 篩選,但 RSVP、 Kerberos 及 ISAKMP 流量被豁免。
  • 3 的值會指定只有 ISAKMP 流量是免除 IPSec 篩選功能。這是 Windows Server 2003 的篩選行為預設值。
如果變更此設定值,您必須重新啟動電腦,新的值才會生效。若要修改預設值使用登錄來篩選行為:
  1. 按一下 [開始],然後按一下 [執行]。
  2. 輸入 Regedit,然後按一下 [確定]
  3. 按一下下列登錄機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC
    附註如果您使用的 Windows Server 2008,按一下下列的登錄機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
  4. IPSEC] 上按一下滑鼠右鍵,指向 [新增],然後再按一下 [DWORD 值
  5. 命名這個新的項目 NoDefaultExempt
  6. 指派任何值這個項目,從 03
  7. 重新啟動電腦。
篩選的行為,為每個值相當於那些記下的 netsh IPsec 動態設定組態 ipsecexempt 值 = x 命令。

IKE 豁免的影響

IKE 豁免的效果是相同的 Windows 2000 和 Windows XP 作為。不過,Windows Server 2003 提供改進的 DoS 避免氾濫攻擊。

取得更多資訊有關的 Windows 2000 和 Windows XP 的 IKE 豁免按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
811832可以用來略過 IPsec 保護,在某些案例中的 IPSec 預設豁免

Kerberos 豁免的效果

如果要還原豁免
NoDefaultExempt
設定為 [0] 或 [2,Kerberos 豁免的效果是相同的 Windows 2000 和 Windows XP 所述的。

如需有關 Kerberos 豁免,Windows 2000 和 Windows XP,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
811832可以用來略過 IPsec 保護,在某些案例中的 IPSec 預設豁免

RSVP 豁免的效果

如果要還原豁免
NoDefaultExempt
設定為 [0] 或 [2,RSVP 豁免風險是限制為可安裝的協力廠商 RSVP 實作。預設情況下,Windows Server 2003 不會包括 QoS RSVP 服務。已從 Pathping 公用程式移除 –R 選項,因此它並不支援 RSVP 通訊協定。

廣播及多點傳播的豁免的效果

如果
NoDefaultExempt
設為 01,若要還原豁免,廣播及多點傳播的豁免的效果是相同的 Windows 2000 和 Windows XP 所述的。不過,Windows Server 2003 IPsec 並支援篩選廣播和多點傳送流量。IPsec 原則設計可能是廣播或多點傳送,例如使用 「 我的 IP 位址 」 和 「 任何 IP 位址 」 的目的位址的來源位址的篩選器會符合所輸出的篩選。在實驗室和作業,以確認此流量對現有的原則設計的效果,應該經過測試的 IPsec 原則。廣播及多點傳播流量可以封鎖以有限的方式,來源和目的位址為 「 任意 IP 位址 」 使用的 IPsec 篩選器。「 Microsoft Windows Server 2003 資源工具箱 」 包含更多的資訊。

如其他有關廣播及多點傳播的豁免,Windows 2000 和 Windows XP,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
811832可以用來略過 IPsec 保護,在某些案例中的 IPSec 預設豁免

哪些程式可以接收廣播的流量?

Windows Server 2003 支援程式明確停用的廣播資料傳輸接收的通訊端選項,但並未變更預設的行為在 UDP 連接埠接聽的程式收到的廣播資料傳輸。

哪一個程式可以接收多點傳送的流量?

在 Windows Server 2003 程式仍然必須明確地以註冊 TCPIP 堆疊,以接收傳入多點傳送的流量類型,然後如果多點傳送的群組是未登錄的流量可能會被卸除。

使用 IPsec 與網際網路連線防火牆

為 Windows XP ICF 與 IPsec 篩選功能可以組合來建立進階篩選的行為。這會特別有用位置 IPsec 必須以靜態方式允許特定的輸出流量到如網際網路的 HTTP 或 DNS 或 SMTP。這可讓 ICF 提供狀態篩選 IPsec 允許的輸出流量。

?考

如其他有關效果的 IP 安全性預設豁免,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
811832可以用來略過在某些案例中為 Windows 2000 和 Windows XP 的 IPsec 保護的 IPsec 預設豁免
有關更多的 Windows Server 2003 中的 IPsec 篩選與部署指導,請參閱 IPsec 部署章節,在 Microsoft Windows 2003 伺服器部署套件中。如果要執行這項操作,請造訪下列 Microsoft 網站]:
http://technet2.microsoft.com/WindowsServer/en/library/0bd06cf7-2ed6-46f1-bb55-2bf870273e151033.mspx?mfr=true

屬性

文章編號: 810207 - 上次校閱: 2008年2月18日 - 版次: 9.0
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
關鍵字:?
kbmt kbinfo KB810207 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:810207
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com