Výjimky výchozí IPsec lze obejít ochranu IPsec v některé scénáře

Překlady článku Překlady článku
ID článku: 811832 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Funkce zabezpečení IP (IPsec) v systému Windows 2000, Windows XP a Windows Server 2003 není určen jako firewall plnohodnotné založené na hostitele. Byl určen k poskytování základní povolit a blokovat filtrování pomocí adresy protokol a port informace v síťových paketů. IPsec byl navržen ke zvýšení zabezpečení komunikace způsob je transparentní programy, také jako nástroj pro správu. Z tohoto důvodu poskytuje filtrování přenosů, které je nutné vyjednat zabezpečení IPsec přenosu režimu nebo režimu tunelového propojení IPsec, především pro prostředí intranetu důvěryhodnosti počítače, která byla k dispozici při použití služby Kerberos nebo pro určité cesty v síti Internet lze použít digitální certifikáty infrastruktury veřejných klíčů (PKI).

Výjimky výchozí filtry zásady IPsec jsou popsány v nápovědě online systému Windows 2000 a Microsoft Windows XP. Tyto filtry umožňují pro protokolu IKE (Internet Key Exchange) a Kerberos funkce. Filtry také umožňují, pro síť of Service (QoS) být signalizován (RSVP) při přenosu dat zabezpečena protokolem IPsec a pro přenos může daný IPsec není zabezpečit například vícesměrového a všesměrového vysílání. Další informace o tyto filtry klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
253169 Přenos nelze--zabezpečena protokolem IPsec a lze--

Další informace

IPsec stále používá pro základní hostitele firewall filtrování paketů, zejména v Internetu vystavena scénáře ovlivňují tyto výjimky výchozí má není byla plně pochopeny. Z tohoto důvodu někteří správci IPsec může vytvořit zásady IPsec, mohou si myslíte, že jsou zabezpečené, ale nejsou ve skutečnosti zabezpečené před příchozí útoky, které používají výchozí výjimky.

Společnost Microsoft důrazně doporučuje správcům sítě provést kroky v tomto článku odebrat výchozí výjimky protokolu IPSec. Doporučeno je zvláště pokud IPsec se používá ve scénářích, kde musí funkce jako brána firewall zabránit útočníkům znemožníte přístup k síti do počítače. Odebrat výchozí výjimky pro Kerberos útočníkům zabránit v defeating ochrany je určena k být poskytované IPsec pro určité konfigurace zásad IPsec. Po odebrání výjimky existující zásady zabezpečení pravděpodobně změněny pracovat správně.

Správci mohou spustit plánovat tyto změny pro všechny nové a existující nasazení IPsec pomocí
NoDefaultExempt=1
klíč registru ve všech počítačích se systémem Windows 2000 a systémem Windows XP. V tomto článku je popsán účel tohoto klíče registru.

Definice IPsec výchozí výjimky

Následující tabulka shrnuje ekvivalentní filtry, které jsou implementovány, pokud jsou povoleny všechny výchozí výjimky k filtrování IPSec, jako jsou ve výchozím nastavení, nebo pokud je nastavena na 0 .these filtr definice
NoDefaultExempt
popisují výchozí výjimky, které jsou použity ovladače IPsec povolit komunikaci bez ohledu na ostatní filtry zásad IPsec. Nástroje, které jsou navrženy tak, aby zobrazit podrobnosti filtru zásad IPSec nezobrazovat tyto výjimky v jejich výsledky.

Ekvivalent filtry pro
NoDefaultExempt=0
:
Zmenšit tuto tabulkuRozšířit tuto tabulku
Zdrojová adresaCílová adresaProtokolZdrojový portCílový portAkce filtru
Adresa IPJakákoli adresa IPUDPLibovolný88Povolit
Jakákoli adresa IPAdresa IPUDP88Libovolný Povolit
Jakákoli adresa IPAdresa IPUDPLibovolný 88Povolit
Adresa IPJakákoli adresa IPUDP88Libovolný Povolit
Adresa IPJakákoli adresa IPTCPLibovolný 88Povolit
Jakákoli adresa IPAdresa IPTCP88Libovolný Povolit
Jakákoli adresa IPAdresa IPTCPLibovolný 88Povolit
Adresa IPJakákoli adresa IPTCP88Libovolný Povolit
Adresa IPJakákoli adresa IPUDP500500 (1)Povolit
Jakákoli adresa IPAdresa IPUDP500500Povolit
Adresa IPLibovolný46 (RSVP)Povolit
Jakákoli adresa IPAdresa IP46 (RSVP)Povolit
Jakákoli adresa IP<multicast>(2)Povolit
Adresa IP<multicast>Povolit
Jakákoli adresa IP<broadcast>(3) Povolit
Adresa IP<broadcast>Povolit
<Všechny protokol IPv6 provoz > (5)<Všechny protokol IPv6 přenosy > (4)Povolit
Zadaná adresa IP je maska podsítě 255.255.255.255. Pokud je jakákoli adresa IP, maska podsítě je 0.0.0.0.
  1. V pořadí pro režimu přenosu IPSec k vyjednáno prostřednictvím režimu tunelového propojení IPSec SA vyňaty není přenos ISAKMP Pokud potřebuje nejprve projít tunelového propojení IPSec.
  2. Vícesměrové vysílání je definována jako třídy D rozsahu s cílový rozsah adres 224.0.0.0 s 240.0.0.0 masku podsítě. To zahrnuje ROZSAH adres od 224.0.0.0 do 239.255.255.255.
  3. Všesměrové vysílání je definována jako cílová adresa 255.255.255.255 omezené adresy všesměrového vysílání nebo jako ID hostitele nutnosti část adresy IP nastavit všechny 1s adresy vysílání podsítě.
  4. IPSec nepodporuje filtrování paketů IP verze 6 (IPv6), s výjimkou při jsou pakety IPv6 zapouzdřen pod hlavičkou IPv4 jako IP protokol 41. Další informace o podpoře IPv6 v systému Windows naleznete na následujícím webu:
    http://technet.microsoft.com/en-us/network/bb530961.aspx

Podpora operačního systému pro NoDefaultExempt

Následující tabulka popisuje výchozí chování výjimek v různých verzích systému Windows 2000 a Windows XP:
Zmenšit tuto tabulkuRozšířit tuto tabulku
Maloobchodní verze vydánoSP1SP2SP3SP4
WINDOWS 2000Má výchozí výjimky.
NoDefaultExempt
klíč není podporován.
Má výchozí výjimky, podporované
NoDefaultExempt
klíč hodnoty 0 nebo 1.
Má výchozí výjimky. Klíč
NoDefaultExempt
je podporována, hodnoty 0 nebo 1.
Má výchozí výjimky. Klíč
NoDefaultExempt
je podporována, hodnoty 0 nebo 1.
Změní výchozí,
NoDefaultExempt=1
, odebere Kerb a RSVP výjimky.
na systém Windows XPMá výchozí výjimky, podporované
NoDefaultExempt
hodnoty 0 nebo 1.
Má výchozí výjimky, podporované
NoDefaultExempt
hodnoty 0 nebo 1.
Změní výchozí,
NoDefaultExempt=1
, odebere, výjimky Kerb a RSVP.


Poznámka: IPSec v systému Windows 2000 a Windows XP nepodporuje filtrování všesměrového nebo vícesměrového vysílání.

Odebrání výchozí výjimky

Následující klíč registru řídí typ výjimky výchozí IPsec:
NoDefaultExempt

Typ dat: REG_DWORD
Rozsah: liší:
Windows 2000: 0-1 podporována pouze
Windows XP: 0-1 podporována pouze
Windows Server 2003: 0-3 podporována pouze
Výchozí chování (Windows 2000 a Windows XP): 0
Výchozí chování (Windows Server 2003): 3
Ve výchozím nastavení k dispozici: Ne
Popis možných hodnot:
  • Hodnota 0 Určuje, že vícesměrové vysílání, RSVP, Kerberos a IKE jsou přenosy (ISAKMP) vyjmuty z filtrování IPSec. Toto je výchozí chování pro Windows 2000 a Windows XP filtrování. Toto nastavení použijte, pouze pokud máte k kompatibilitu s existující zásady IPsec nebo chování systému Windows 2000 a Windows XP.
  • Hodnota 1 Určuje Kerberos a RSVP přenosy nejsou vyjmuty z filtrování IPSec, ale osvobozeno vícesměrového vysílání a přenos IKE. Toto je doporučená hodnota pro Windows 2000 a Windows XP.
  • Hodnota 2 Určuje vícesměrového a všesměrového vysílání nejsou vyjmuty z filtrování IPSec, ale osvobozeno RSVP a Kerberos a přenos IKE. Podporováno pouze v systému Windows Server 2003.
  • Hodnota 3 určuje pouze přenosy IKE vyjmuty z filtrování IPSec. Podporováno pouze v systému Windows Server 2003. Windows Server 2003 obsahuje výchozí chování, přestože ve výchozím nastavení neexistuje klíč registru.
Důležité: Tento oddíl, metoda nebo úkol obsahuje kroky, které sdělit, jak upravit registr. Po nesprávné úpravě registru však mohou nastat závažné problémy. Postupujte proto pečlivě podle uvedených kroků. Pro zvýšení bezpečnosti registr zálohujte jestě před jeho úpravami. Potom můžete v případě potíží registr obnovit. Další informace o zálohování a obnovení registru naleznete následujícím článku znalostní v databáze Microsoft Knowledge Base:
322756Zálohování a obnovení registru v systému Windows


Konfigurace tohoto klíče registru:
  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz regedit a klepněte na tlačítko OK.
  2. Klepněte na následující klíč registru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC

    Poznámka: Windows Server 2008 a Windows Vista je klíč registru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
  3. Klepněte pravým tlačítkem myši IPSEC, přejděte na příkaz Nový a potom klepněte na příkaz Hodnota DWORD.
  4. Název této nové položky NoDefaultExempt.
  5. Změňte hodnotu klíče
    NoDefaultExempt
    z 0 na 1. Pokud chcete, můžete použít jinou hodnotu než 1 Pokud je pro vaše prostředí nejvhodnější jinou hodnotu.
  6. Ukončete program Editor registru.
  7. V systému Windows XP klepněte na tlačítko Start, klepněte na položku Ovládací panely a poklepejte na panel Nástroje pro správu. V systému Windows 2000 klepněte na tlačítko Start, klepněte na tlačítko Nastavení, klepněte na položku Ovládací panely a poklepejte na panel Nástroje pro správu.
  8. Poklepejte na položku služby.
  9. Zastavte a restartujte službu IPSec. Systém Windows XP vyžaduje restartování počítače po provedete.

Vliv výchozí výjimky

Následující příklad ukazuje zásad systému Windows 2000 nebo Windows XP IPSec, který je nakonfigurován jako blok jednosměrný filtr. Důsledky použití filtru bloku s Tato pravidla je, že jsou blokovány všechny příchozí přenosy. Toto pravidlo filtru je poskytován pouze pro znázornění efekt výjimek IPSec proti toto pravidlo:
Source Address:		Any
Source Mask:		0.0.0.0
Destination Address:	My IP Address (10.10.1.2)
Destination Mask:	(255.255.255.255)
Protocol:		Any
Source Port:		Any
Destination Port:	Any
Mirrored:		No
záměrem správce uživatele v tomto příkladu je blokovat všechny příchozí jednosměrového vysílání, který bude 10.10.1.2 adresu IP. Následující oddíly popisují vliv výchozí výjimky jako použít tento filtr.

Vliv IKE výjimky

Výjimka IKE je specifický pro zdrojový a cílový port UDP 500. IKE vždy obdrží tento typ paketu z jakékoli zdrojové adresy z důvodu výchozí výjimka IKE. Může být útočník by mohl použít IKE porty útoku IKE samotný a případně způsobit problémy. K útoku na jiné otevřené porty UDP nebo TCP nelze však použít porty IKE. IKE bude provádět IPsec vyhledávání zásad určit, pokud by měly odpovědět na příchozí paket. Protože IKE používá k vyjednání nastavení zabezpečení mezi dvěma hostiteli IPSec a IPsec jsou filtry použity pouze pro povolení a blok řízení provozu IKE nezdaří vyhledat odpovídající zásady zabezpečení a bude neodpoví příchozí požadavky.

IKE použít různé metody odmítnutí služby (DoS) avoidance. Windows 2000 Service Pack 3 a Windows XP poskytují lepší DoS avoidance IKE zahlcení útoky. IKE nemůže být zakázán nezávisle služba IPsec a ovladače IPsec. IKE může být zakázáno pouze podle IPsec zastavení služby také zakáže filtrování IPsec.

Pokud IKE způsobujícími z Internetu a není nutný, ale filtrování IPsec je potřeba, číslo možnosti jsou k dispozici:
  • Lze na výchozí brány nebo brány firewall blokující filtru pro přenosy UDP 500.
  • Konfiguraci filtru TCP/IP pokročilým rozhraní. Povolit jen použít a pak přidejte požadované porty UDP jiné než UDP 500. Další informace o použití této možnosti klepněte na následující číslo článku databáze Microsoft Knowledge Base:
    309798Jak v systému Windows 2000 nakonfigurovat filtrování protokolu TCP/IP
    Pomocí příkazu netstat –a viz otevřete porty UDP.
  • Windows XP může být rozhraní blokovat všechny příchozí přenosy povolena Internetu branou FIREWALL). Porty UDP než UDP 500, může být nakonfigurována konkrétní otvory.Další informace o ICF klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
    283673Jak zapnout nebo vypnout bránu firewall v systému Windows XP

Vliv Kerberos výchozí výjimky

Tento příklad, která blokuje jednosměrné příchozí přenosy s by být všechny jednosměrového příchozí nebo odchozí přenosy Kerberos vyjmuty z odpovídající tento filtr. Z tohoto důvodu může útočník sestavit jednosměrového vysílání UDP nebo TCP paket, který používá zdrojový port 88 přístupu k libovolné otevření portu v 10.10.1.2. Skenování portu UDP a TCP, to by povolit i s blok filtru. Správce musí nastavit klíč registru
NoDefaultExempt
zabránit útokům. Pokud filtrování směrovače nebo brány firewall je používán, může nebo nemusí umožnit takové přenosy z útočník v závislosti na způsobu, jakým zpracovává přenosu pomocí portů Kerberos.

Poznámka: Mnoho nástrojů skenování portu nezjistí toto chování, protože tyto nástroje neumožňují nastavení zdrojový port 88, dojde Kontrola otevřených portů. Všimněte si také mnoho nástrojů skenování portu očekávat zprávy ICMP v odpovědi sonda odeslaných na port TCP nebo UDP, který není otevřený. Pokud IPsec blokování přenosů protokolu ICMP, může skenovací nástroj Web hlásit port je otevřen. Pomocí trasování v síti pomocí nástroje Sledování sítě se ujistěte, že probíhá přenos odeslaných a přijatých v síti.

Když Kerberos odebrán výjimek a pokud IPsec také používá k zabezpečení přenosů pomocí ověřování Kerberos v IKE, musí být za následující aspekty návrhů zásady IPsec:
  • Počítač pomocí ověřování IKE Kerberos s
    NoDefaultExempt=1
    nemůže komunikovat s počítači druhé strany, který používá ověřování IKE Kerberos Pokud také nemá stejnou hodnotu klíče registru. Použít ověřování certifikátů pro IKE namísto Kerberos, kde je povinné.
  • Explicitní výjimky pro přenos Kerberos a UDP 389 a ze všech příslušných adres DC IP musí být zadán v zásady IPsec. Protože společnost Microsoft nepodporuje Březen 2003 IPsec zabezpečení přenosů z členů domény jeho řadiče domény, přidat filtry zásady IPsec výslovně povolíte všech přenosů na adresy IP řadičů domény. Může vyžadovat mnoho Povolit filtry, pokud existuje mnoho adres IP řadičů domény. DC musí být trvale přiřazeni do řadiče domény (statické adresy IP). Seznam filtrů pro všechny řadiče domén v doméně musí ručně udržovány správce mít aktuální seznam adres IP. To lze snadněji aktualizovat správcem Pokud filtr Určuje název DNS domény jako zdroj nebo cíl adresu během vytváření nového filtru. Tím odstraňuje název domény DNS proti všechny aktuální adresy IP v doméně a vytvořit u každé jednotlivé filtry. Zkontrolujte seznam adres IP před pomocí seznamu filtrů ve výrobě. Přidání nové domény bude vyžadovat přidání nového filtru v tomto seznamu filtrů. Společnost Microsoft doporučuje používat jeden seznam filtrů pro všechny řadiče domén v určité doméně je pak sdíleny pravidla zásad IPsec. Zkontrolujte, zda název seznamu filtrů označuje poslední čas aktualizace referenční z seznam adres IP.
Další informace o komunikaci mezi řadiči domény klepněte na následující číslo článku databáze Microsoft Knowledge Base:
254949Podpora protokolu IPSec pro řadič domény klienta přenosy a přenos řadič domény řadiče domény

Vliv RSVP výjimky

Počítači, který používá RSVP může být útočník schopen zahlcení nebo odesílání paketů RSVP falešnou nebo škodlivý 10.10.1.2 způsobit odmítnutí služby. Toto je adresa IP se používá v předchozím příkladu a tento útok by obejít filtr IPsec jednosměrné příchozí blokování v příkladu.

Protokol RSVP je protokol IP 46. Je signalizační protokol, který slouží k rezervovat šířku pásma směrovače pro provoz programu.

RSVP v systému Windows 2000

Windows 2000 používá protokol RSVP za následujících okolností:
  • Je nainstalována služba QoS Admission Control. Toto je volitelnou síťovou součást v počítačích Windows 2000 Server. Pokud to nainstalován přijímá a odesílá přenosy RSVP.
  • Je spuštěna služba RSVP of Service (QoS). Tato služba je ve výchozím nastavení nainstalována a nakonfigurovány jako automatické spuštění služby. Je spuštěna, služba načte rsvp.exe program, který používá RSVP protokol a uvolněním jej Pokud žádné přenosy vyžaduje RSVP signalizace. Načte program rsvp.exe dynamicky při potřebné služby QoS.
  • Program otevře se možnost soketu GQoS soket. Program rsvp.exe spuštěn nepřetržitě spravovat signalizace přenosu soketu.
  • Příkaz pathping –r používá protokol RSVP určit, pokud jsou směrovače RSVP povolena.
Další informace o tom, jak zakázat protokol RSVP signalizace klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
247103Jak zakázat signálů RSVP
Při použití neodesílá služba QoS RSVP RSVP signalizace na určeném rozhraní.

RSVP v systému Windows XP

Protokol RSVP byl se nepoužívá v systému Windows XP. Přestože je ve výchozím nastavení nainstalována služba RSVP of Service (QoS), je nakonfigurována pro ruční spuštění. Služba není odeslat nebo zpracování přijatých zpráv protokolu RSVP. Stále registruje RSVP protokol tak zásobník TCP/IP obdrží IP 46 pakety typu protokolu. Ale tyto příchozí pakety jsou pak zahozeny. Pokud není spuštěna služba QoS RSVP, budou zásobník protokolu TCP/IP přetažení příchozí paket RSVP a odeslání paketu ICMP "Cíl nedostupný" v odpovědi.

BEZE pouze používá při příkazu pathping –r používá protokol RSVP určit, pokud jsou směrovače RSVP povolen protokol RSVP.

Ochrana proti RSVP útoky

Chcete-li povolit IPsec chránit proti možným útokům pomocí protokolu RSVP, musí správce nastavit
NoDefaultExempt=1
klíč registru zakázat výjimek RSVP v IPsec. Místo toho můžete zakázat služba QoS RSVP nebo zakázat jako protokol RSVP.Další informace o tom, jak to provést klepnutím na následující číslo článku databáze Microsoft Knowledge Base:
247103Jak zakázat signálů RSVP
Pokud operace protokol RSVP je požadována, filtry povolení explicitní lze definovat v zásady IPsec povolit protokol IP 46 k příslušné zdrojové a cílové adresy. Protože RSVP je určena ke komunikaci se směrovači, společnost Microsoft nedoporučuje vyjednání zabezpečení RSVP pomocí IPsec. Poznámka: RSVP může také použít adresu vícesměrového vysílání nelze filtrovat IPSec.

Vliv vysílání a Multicast výjimky

Pakety s vícesměrového a všesměrového vysílání cílové adresy by neodpovídají filtr příchozí příklad, protože filtr příchozí obsahuje cílovou adresu jednosměrového vysílání konkrétní adresu IP (10.10.1.2). Windows 2000 a Windows XP IPsec filtrování nevytváří jej možné filtrovat přenos vícesměrového nebo všesměrového vysílání.

Pokud útočník konstrukce pakety vícesměrového nebo všesměrového vysílání a povoluje tyto pakety přijaté počítačem v síti, může útočník obejít filtru IPsec použité v předchozím příkladu. Obvykle by útočník musel být místní podsítě provést útok pomocí tohoto přenosu, protože konfigurace výchozí brány směrovače by dál není nevyžádaná příchozí data vícesměrového nebo všesměrového vysílání. V některé návrhy zásady IPsec, použít možnost filtrování text povolit nezabezpečenou komunikaci s počítači IPsec ” může být útočník moci používat vícesměrové nebo všesměrové vysílání příchozí způsobit cílového počítače odeslat odpověď jednosměrového vysílání. Potom by aktivační událost vyjednávání protokolu IKE odchozí, bude paket soft SA vytvořit a otevřít cestu útočník připojit. Útočník může vytvořit neplatný paket TCP pokusit obejít filtry IPsec pomocí vícesměrového nebo všesměrového vysílání cílovou adresu. Pokud program nebo protokol je spuštění, které požadavky přijímat pakety vícesměrového nebo všesměrového vysílání může být útočník schopen komunikovat s programem, pokud útočník a program používat pouze přenosy všesměrového a vícesměrového vysílání.

Společnost Microsoft doporučuje správce IPsec diskutovat o konfiguraci směrovače a brány firewall se správce sítě dále prozkoumat proveditelnosti takový útok, který je založen na aktuální IPsec zásady.

Komunikace protokolu TCP vyžaduje tři způsobem handshake, které používá přenos IP jednosměrového vysílání a proto nelze použít typy přenosů vícesměrového nebo všesměrového vysílání. V systému Windows 2000 a Windows XP programy a služby ve výchozím nastavení používat UDP a nezpracovaných soketů přijímat všesměrové vysílání Pokud je odesláno programů otevřete porty. Ve výchozím musí stavy RFC 2644 řízené všesměrové vysílání není předán směrovači. Existují dva typy přenosů všesměrového vysílání použité z místní propojení:
  • Adresa vysílání omezené – Toto je Pokud cílová adresa IP adresa je 255.255.255.255.
  • Vysílání řízené předpona sítě - je, pokud je cílová adresa IP x.y.255.255 nebo x.y.z.255 s příslušné podsítě masky.
Programy obvykle definovat své vlastní model komunikace pomocí tohoto přenosu. Vícesměrového a všesměrového vysílání se obvykle používá zpočátku Oznámit a zjistit službu. Zdrojové a cílové počítače budou používat přenos IP jednosměrového vysílání mezi jejich adresy IP komunikace pokračovat.

Programy UDP, který bude přijímat všesměrové vysílání ve výchozím nastavení zobrazíte pomocí příkazu netstat:
  • Windows 2000: netstat - a -p UDP nenachází žádná metoda pro zobrazení programů, které tyto porty otevřít.
  • Windows XP: netstat –ao –p UDP-ao přepínač zobrazuje ID procesu pomoci identifikovat programy, které jsou pomocí otevřených portů.

Jaké programy mohou přijímat Multicast přenos?


Programy musí explicitně registrovat s zásobníku TCPIP přijímat příchozí data vícesměrového vysílání. Pokud program není registrován přijímat tento typ přenosu, jsou vynechána příchozí pakety vícesměrového vysílání. Pakety vícesměrového vysílání může být však vynechána na síťový adaptér (nejvíce společný) úrovni miniport, vrstvy IP nebo vrstvy UDP. Správci by měla zkontrolovat, určit, jaké typy vícesměrového vysílání jsou směrovatelný prostřednictvím sítě lépe zhodnotit Pokud vícesměrového vysílání lze použít k napadení počítače. Určit, které vícesměrového vysílání mít byl připojen skupin pomocí programu:
  • Windows 2000: žádná metoda k dispozici
  • na systém Windows XP:
    1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz cmd a klepněte na tlačítko OK.
    2. Zadejte příkaz netsh interface ip show joins a stiskněte klávesu ENTER.

Pomocí IPsec bránu

Pro systém Windows XP Internetu branou FIREWALL) mohou lépe požadavkům zabezpečení pro filtrování přenosů. ICF filtrovat a může blokovat příchozí přenosy všesměrového a vícesměrového vysílání v systému Windows XP SP1. ICF však není vědoma přenos, který je chráněn IPsec AH nebo ESP v režimu přenosu nebo tunelového propojení. IPsec, je v síťové vrstvy pod ICF. IKE vrstev nad ICF. Z tohoto důvodu byste ICF staticky povolit IKE příchozí (UDP port 500) a nezobrazí protokoly IPsec AH nebo ESP, ale přenosy TCP nebo UDP po IPsec má decapsulated jej ve zpracování příjmu. Pokud IPsec blokuje přenos, nebude obsahovat paket protokolu ICF vyřazené pakety zahozeny IPsec.

Funkce IPsec mohou být kombinovány společně s ICF filtrování rozšířené filtrování chování. ICF lze konfigurovat pouze otevřít TCP port 445 z jakékoli adresy IP a filtru IPsec může být použit to dále omezit pouze pakety obsahující vnitřní podsíti jako zdrojová adresa. Jiný příklad pravděpodobně IPsec nakonfigurován k vyjednání zabezpečení pro všechny přenosy, ale konfigurace ICF omezuje jaké příchozí připojení jsou oprávněni přijato, povolení pouze příchozí IKE (UDP port 500) a (TCP port 445) sdílení souborů SMB.

Odkazy

Další informace o implementaci TCP/IP zobrazit dokument white paper Windows 2000 TCP/IP podrobnosti implementace. Informace o provedení tohoto kroku naleznete na následujícím webu společnosti Microsoft:
http://technet.microsoft.com/en-us/library/bb726981.aspx
Další informace o zabezpečení IP klepněte na následující čísla následujících článcích databáze Microsoft Knowledge Base:
253169Přenos nelze--zabezpečena protokolem IPSec a lze--
254728IPSec zabezpečený přenos Kerberos mezi řadiči domény
308127Postup při ručním otevření portů Brány firewall pro připojení k Internetu v systému Windows XP
810207V systému Windows Server 2003 jsou odebrány IPSec výchozí výjimky

Vlastnosti

ID článku: 811832 - Poslední aktualizace: 8. února 2008 - Revize: 7.2
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows XP Professional
Klíčová slova: 
kbmt kbfirewall kbprb kbinfo KB811832 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:811832

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com