IPsec mi?n gi?m m?c đ?nh có th? đư?c s? d?ng đ? b? qua b?o v? IPsec trong m?t s? k?ch b?n

D?ch tiêu đ? D?ch tiêu đ?
ID c?a bài: 811832 - Xem s?n ph?m mà bài này áp d?ng vào.
Bung t?t c? | Thu g?n t?t c?

? Trang này

TÓM T?T

Các tính năng b?o m?t Internet Protocol (IPsec) trong Windows Năm 2000, Windows XP và Windows Server 2003 không đư?c thi?t k? như m?t đ?y đ? tính năng máy ch? lưu tr? d?a trên tư?ng l?a. Nó đư?c thi?t k? đ? cung c?p cơ b?n cho phép và ch?n l?c b?ng cách s? d?ng đ?a ch?, giao th?c và c?ng thông tin trong các gói tin m?ng. IPsec c?ng đư?c thi?t k? như m?t công c? hành chính đ? tăng cư?ng b?o m?t c?a truy?n thông ? m?t cách đó là trong su?t cho các chương tr?nh. Do nó cung c?p giao thông l?c đó là c?n thi?t đ? thương lư?ng an ninh cho IPsec giao thông v?n t?i ch? đ? ho?c ch? đ? đư?ng h?m IPsec, ch? y?u cho các m?ng n?i b? môi trư?ng nơi mà s? tin tư?ng máy đ? có s?n t? các d?ch v? Kerberos ho?c cho đư?ng d?n c? th? trên m?ng Internet trong trư?ng h?p công c?ng chính gi?y ch?ng nh?n k? thu?t s? cơ s? h? t?ng (PKI) có th? đư?c s? d?ng.

Mi?n gi?m m?c đ?nh đ? các b? l?c chính sách IPsec là tài li?u trong Microsoft Windows 2000 và Microsoft Windows XP tr? giúp tr?c tuy?n. Các b? l?c này làm cho nó có th? cho Internet Key Exchange (IKE) và Kerberos đ? ch?c năng. Các b? l?c này c?ng làm cho nó có th? cho m?ng ch?t lư?ng d?ch v? (QoS) đư?c báo hi?u (RSVP) khi lưu lư?ng truy c?p d? li?u đư?c b?o v? b?i IPsec, và cho lưu lư?ng truy c?p IPsec có th? không an toàn như giao thông phát đa hư?ng và phát sóng. Đ? bi?t thêm v? các b? l?c này, nh?p vào s? bài vi?t sau đây đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
253169 Giao thông có th? - và không th?--đư?c b?o v? b?i IPsec

THÔNG TIN THÊM

Như IPsec ngày càng đư?c s? d?ng cho máy ch? lưu tr? cơ b?n, b?c tư?ng l?a các gói d? li?u l?c, đ?c bi?t là trong ti?p xúc v?i Internet k?ch b?n, ?nh hư?ng c?a nh?ng mi?n tr? này m?c đ?nh không đư?c hi?u r? đ?y đ?. Do m?t s? IPsec qu?n tr? viên có th? t?o ra các chính sách IPsec mà h? ngh? là an toàn, nhưng là không th?c s? an toàn trư?c cu?c t?n công trong nư?c s? d?ng m?c đ?nh mi?n gi?m.

Microsoft m?nh m? khuy?n cáo r?ng m?ng lư?i qu?n tr? viên làm theo các bư?c trong bài vi?t này đ? lo?i b? các mi?n gi?m m?c đ?nh đ? IPSec. Đi?u này đ?c bi?t là khuy?n khích n?u IPsec s? d?ng trong các t?nh hu?ng nơi như tư?ng l?a ch?c năng ph?i ngăn ch?n k? t?n công t? đ?t đư?c truy c?p m?ng cho các máy tính. Lo?i b? các mi?n gi?m m?c đ?nh cho Kerberos đ? ngăn ch?n k? t?n công t? đánh b?i b?o v? d? đ?nh đư?c cung c?p b?i IPsec cho m?t s? C?u h?nh chính sách IPsec. Sau khi nh?ng mi?n tr? này đư?c g? b?, hi?n có chính sách b?o m?t có th? ph?i đư?c thay đ?i đ? làm vi?c m?t cách chính xác.

Qu?n tr? viên có th? b?t đ?u lên k? ho?ch cho nh?ng thay đ?i này cho t?t c? hi?n có và m?i tri?n khai IPsec b?ng cách s? d?ng các
NoDefaultExempt = 1
khóa s? đăng k? trên t?t c? d?a trên Windows 2000 và Windows XP-based các máy tính. M?c đích c?a khóa s? đăng k? này đư?c mô t? sau này trong đi?u này bài vi?t.

Đ?nh ngh?a c?a IPsec Default mi?n tr?

B?ng sau đây tóm t?t các b? l?c tương đương là tri?n khai th?c hi?n n?u t?t c? các m?c đ?nh mi?n gi?m IPSec l?c đư?c kích ho?t, như h? đang theo m?c đ?nh, ho?c n?u
NoDefaultExempt
đư?c thi?t l?p đ?0.Các đ?nh ngh?a b? l?c này mô t? các mi?n gi?m m?c đ?nh là áp d?ng trong đi?u khi?n IPsec đ? cho phép giao thông, b?t k? c?a chính sách IPsec các b? l?c. Công c? đư?c thi?t k? đ? hi?n th? thông tin chi ti?t l?c chính sách IPSec th? không hi?n th? nh?ng mi?n tr? này trong k?t qu? c?a h?.

Các b? l?c tương đương cho
NoDefaultExempt = 0
:
Thu g?n b?ng nàyBung r?ng b?ng này
Ngu?n đ?a ch?Đi?m đ?n Đ?a ch?Giao thứcNgu?n PortĐi?m đ?n C?ngHành đ?ng l?c
Đ?a ch? IP c?a tôiB?t k? IP Đ?a ch?UDPB?t k?88Gi?y phép
B?t k? đ?a ch? IPIP c?a tôi Đ?a ch?UDP88B?t k? Gi?y phép
B?t k? đ?a ch? IPĐ?a ch? IP c?a tôiUDPB?t k? 88Gi?y phép
Đ?a ch? IP c?a tôiB?t k? IP Đ?a ch?UDP88B?t k? Gi?y phép
Đ?a ch? IP c?a tôiB?t k? đ?a ch? IPTCPB?t k? 88Gi?y phép
B?t k? đ?a ch? IPIP c?a tôi Đ?a ch?TCP88B?t k? Gi?y phép
B?t k? đ?a ch? IPĐ?a ch? IP c?a tôiTCPB?t k? 88Gi?y phép
Đ?a ch? IP c?a tôiB?t k? IP Đ?a ch?TCP88B?t k? Gi?y phép
Đ?a ch? IP c?a tôiB?t k? IP Đ?a ch?UDP500500 (1)Gi?y phép
B?t k? đ?a ch? IPIP c?a tôi Đ?a ch?UDP500500Gi?y phép
Đ?a ch? IP c?a tôiB?t k?46 (RSVP)Gi?y phép
B?t k? đ?a ch? IPĐ?a ch? IP c?a tôi46 (RSVP)Gi?y phép
B?t k? đ?a ch? IP<multicast>(2)</multicast>Gi?y phép
IP c?a tôi Đ?a ch?<multicast></multicast>Gi?y phép
B?t k? đ?a ch? IP<broadcast>(3)<b00></b00></broadcast>Gi?y phép
IP c?a tôi Đ?a ch?<broadcast></broadcast>Gi?y phép
<all ipv6="" protocol="" traffic="">(5)</all><all ipv6="" protocol="" traffic="">(4)</all>Gi?y phép
Khi đư?c ch? đ?nh đ?a ch? IP, m?t n? m?ng con không 255.255.255.255. Khi đ?a ch? IP là b?t k?, m?t n? m?ng con là 0.0.0.0.
  1. Đ? cho IPSec v?n chuy?n ch? đ? đ? đư?c thương lư?ng thông qua m?t ch? đ? đư?ng h?m IPSec SA, ISAKMP lưu lư?ng truy c?p không đư?c mi?n n?u c?n thi?t đ? vư?t qua thông qua IPSec h?m l?n đ?u tiên.
  2. Phát đa hư?ng lưu lư?ng truy c?p đư?c đ?nh ngh?a như là l?p d ph?m vi, v?i m?t đi?m đ?n đ?a ch? lo?t các 224.0.0.0 v?i 240.0.0.0 m?t m?t n? m?ng con. Đi?u này bao g?m các đ?a ch? ph?m vi c?a IP t? 224.0.0.0 đ? 239.255.255.255.
  3. Giao thông phát sóng đư?c đ?nh ngh?a là m?t đi?m đ?n đ?a ch? c?a 255.255.255.255, gi?i h?n phát sóng đ?a ch?, ho?c là có máy ch? lưu tr? ID ph?n c?a đ?a ch? IP thi?t l?p đ? t?t c? các 1s, phát sóng m?ng Đ?a ch?.
  4. IPSec không h? tr? l?c cho IP Phiên b?n 6 (IPv6) các gói d? li?u, tr? khi các gói IPv6 đư?c đóng gói v?i m?t tiêu đ? IPv4 như IP giao th?c 41. Đ? bi?t thêm chi ti?t v? h? tr? IPv6 trong Windows, truy c?p vào các Microsoft Web site sau:
    http://technet.Microsoft.com/en-US/Network/bb530961.aspx

H? đi?u hành h? tr? cho NoDefaultExempt

B?ng sau miêu t? hành vi đư?c mi?n m?c đ?nh trong các b?n phát hành khác nhau Windows 2000 và Windows XP:
Thu g?n b?ng nàyBung r?ng b?ng này
Bán l?, phát hành Phiên bảnSP1SP2SP3SP4
Windows 2000Có mi?n gi?m m?c đ?nh.
NoDefaultExempt
khóa không đư?c h? tr?.
Đ? m?c đ?nh mi?n gi?m,
NoDefaultExempt
Key đư?c h? tr?, các giá tr? 0 ho?c 1.
Có mi?n gi?m m?c đ?nh.
NoDefaultExempt
Key đư?c h? tr?, các giá tr? 0 ho?c 1.
Có mi?n gi?m m?c đ?nh.
NoDefaultExempt
Key đư?c h? tr?, các giá tr? 0 ho?c 1.
Thay đ?i m?c đ?nh,
NoDefaultExempt = 1
mà s? xoá l? và RSVP mi?n gi?m.
Windows XPĐ? m?c đ?nh mi?n gi?m,
NoDefaultExempt
đư?c h? tr?, các giá tr? 0 ho?c 1.
Đ? m?c đ?nh mi?n gi?m,
NoDefaultExempt
đư?c h? tr?, các giá tr? 0 ho?c 1.
Thay đ?i m?c đ?nh,
NoDefaultExempt = 1
, mà lo?i b? Kerb và RSVP mi?n gi?m.


Chú ý IPSec trong Windows 2000 và Windows XP không h? tr? l?c phát sóng ho?c phát đa hư?ng lưu lư?ng truy c?p.

Lo?i b? các mi?n gi?m m?c đ?nh

Khóa registry sau đi?u khi?n lo?i mi?n gi?m m?c đ?nh cho IPsec:
NoDefaultExempt

Ki?u d? li?u: REG_DWORD
T?m bay: thay đ?i:
Windows 2000: 0-1 đư?c h? tr? ch?
Windows XP: 0-1 đư?c h? tr? ch?
Windows Server 2003: 0-3 đư?c h? tr? ch?
Hành vi m?c đ?nh (Windows 2000 và Windows XP): 0
Hành vi m?c đ?nh (Windows Server 2003): 3
Hi?n t?i theo m?c đ?nh: không có
Mô t? có th? giá tr?:
  • M?t giá tr? c?a 0 xác đ?nh r?ng phát đa hư?ng, phát sóng, RSVP, Kerberos và IKE Giao thông (ISAKMP) đư?c mi?n IPSec l?c. Đây là m?c đ?nh l?c hành vi cho Windows 2000 và Windows XP. S? d?ng thi?t đ?t này ch? khi b?n c?n ph?i đ? tương thích v?i m?t chính sách IPsec hi?n có ho?c Windows 2000 và Windows XP hành vi.
  • M?t giá tr? c?a 1 xác đ?nh r?ng Kerberos và RSVP lưu lư?ng truy c?p không ph?i là mi?n IPSec l?c, nhưng phát đa hư?ng, phát sóng, và IKE lưu lư?ng truy c?p đư?c mi?n. Đi?u này là giá tr? đư?c đ? ngh? cho Windows 2000 và Windows XP.
  • M?t giá tr? c?a 2 xác đ?nh r?ng phát đa hư?ng và truy?n h?nh giao thông không ph?i là mi?n t? IPSec l?c, nhưng RSVP, Kerberos và IKE lưu lư?ng truy c?p đư?c mi?n. Được hỗ trợ ch? trong Windows Server 2003.
  • M?t giá tr? c?a 3 ch? đ?nh r?ng ch? có lưu lư?ng truy c?p IKE là mi?n IPSec l?c. H? tr? ch? trong Windows Server 2003. Windows Server 2003 có đi?u này m?c đ?nh hành vi m?c dù khóa s? đăng k? không t?n t?i b?i m?c đ?nh.
Quan tr?ng Ph?n, phương pháp ho?c nhi?m v? này ch?a các bư?c cho b?n bi?t làm th? nào đ? s?a đ?i registry. Tuy nhiên, v?n đ? nghiêm tr?ng có th? x?y ra n?u b?n s?a đ?i registry không chính xác. V? v?y, h?y ch?c ch?n r?ng b?n làm theo các bư?c sau m?t cách c?n th?n. Đ? b?o v? đư?c thêm vào, sao lưu s? đăng k? trư?c khi b?n s?a đ?i nó. Sau đó, b?n có th? khôi ph?c s? đăng k? n?u m?t v?n đ? x?y ra. Đ? bi?t thêm chi ti?t v? làm th? nào đ? sao lưu và khôi ph?c s? đăng k?, h?y nh?p vào s? bài vi?t sau đây đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
322756 Cách sao lưu và lưu tr? s? đăng kư trong Windows


Đ? c?u h?nh này khóa đăng k?:
  1. Nh?p vào B?t đ?u, b?m Ch?y, lo?i regedit, sau đó b?m Ok.
  2. Bấm vào khoá đăng ký sau:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC

    Chú ý Trong Windows Server 2008 và Windows Vista, khóa s? đăng k? là:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
  3. Nh?p chu?t ph?i IPSEC, đi?m đ?nM?i, sau đó b?m Giá trị DWORD.
  4. Tên m?c nh?p m?i nàyNoDefaultExempt.
  5. Thay đ?i giá tr? c?a các
    NoDefaultExempt
    ch?a khóa t? 0 đ? 1. N?u b?n mu?n, b?n có th? s? d?ng m?t giá tr? khác hơn 1 N?u m?t giá tr? là t?t nh?t phù h?p v?i môi trư?ng c?a b?n.
  6. Thoát kh?i Registry Editor.
  7. Trong Windows XP, nh?p vào B?t đ?u, b?mB?ng đi?u khi?n, và sau đó b?m đúp chu?t Quản trị Công cụ. Windows 2000 cú nh?p chu?t B?t đ?u, b?mThiết đặt, b?m B?ng đi?u khi?n, và sau đó b?m đúp Công c? qu?n tr?.
  8. B?m đúp D?ch v?.
  9. D?ng l?i, và sau đó kh?i đ?ng l?i d?ch v? d?ch v? IPSec. Windows XP đ?i h?i b?n kh?i đ?ng l?i máy tính sau khi b?n làm như v?y.

?nh hư?ng c?a mi?n gi?m m?c đ?nh

Ví d? sau cho th?y m?t Windows 2000 ho?c Windows XP IPSec chính sách đư?c c?u h?nh như m?t b? l?c m?t chi?u kh?i. Nh?ng ?nh hư?ng c?a vi?c áp d?ng m?t kh?i l?c v?i nh?ng quy t?c này là t?t c? lưu lư?ng truy c?p trong nư?c b? ch?n. Đi?u này quy t?c l?c đư?c cung c?p ch? đ? ch?ng minh hi?u qu? c?a mi?n tr? IPSec Đ?i v?i quy t?c này:
Source Address:		Any
Source Mask:		0.0.0.0
Destination Address:	My IP Address (10.10.1.2)
Destination Mask:	(255.255.255.255)
Protocol:		Any
Source Port:		Any
Destination Port:	Any
Mirrored:		No
M?c đích c?a ngư?i qu?n tr? trong ví d? này là đ? ch?n t?t c? trong nư?c lưu thông Unicast s? 10.10.1.2 đ?a ch? IP. Sau đây ph?n mô t? s? ?nh hư?ng c?a mi?n gi?m m?c đ?nh khi h? áp d?ng cho đi?u này b? l?c.

?nh hư?ng c?a IKE mi?n

IKE mi?n là c? th? cho ngu?n và đích c?ng UDP 500. IKE luôn luôn nh?n đư?c lo?i gói d? li?u t? b?t k? ngu?n đ?a ch? v? m?c đ?nh đư?c mi?n IKE. Có th? cho k? t?n công s? d?ng IKE c?ng t?n công IKE chính nó, và có l? gây ra v?n đ?. Tuy nhiên, IKE c?ng không th? dùng đ? t?n công khác m? UDP ho?c TCP c?ng. IKE s? th?c hi?n m?t IPsec tra c?u chính sách đ? xác đ?nh n?u nó s? đáp l?i cho m?t gói d? li?u đ?n. B?i v? IKE đư?c s? d?ng đ? thương lư?ng thi?t đ?t b?o m?t gi?a hai IPSec host, và IPsec các b? l?c đư?c s? d?ng ch? cho phép và ch?n ki?m soát lưu lư?ng truy c?p, IKE s? không: t?m th?y m?t phù h?p v?i chính sách b?o m?t, và s? không tr? l?i cho đ?n yêu c?u.

IKE s? d?ng phương pháp khác nhau c?a t? ch?i d?ch v? (DoS) tránh. Windows 2000 Service Pack 3 và Windows XP cung c?p c?i ti?n DoS tránh đ? IKE l? l?t các cu?c t?n công. IKE không th? b? vô hi?u đ?c l?p t? các IPsec d?ch v? và tr?nh đi?u khi?n IPsec. IKE ch? có th? đư?c vô hi?u hóa b?ng cách ng?ng IPsec d?ch v? c?ng vô hi?u hóa vi?c l?c IPsec.

N?u IKE đang t?n công t? Internet và là không c?n thi?t, nhưng IPsec l?c là c?n thi?t, m?t s? tùy ch?n có s?n:
  • M?t b? l?c ch?n cho UDP 500 giao thông có th? đư?c s? d?ng trên các c?ng n?i m?c đ?nh ho?c tư?ng l?a.
  • C?u h?nh m?t b? l?c thu?c tính TCP/IP nâng cao trên các Internet giao di?n. S? d?ng gi?y phép ch?, và sau đó thêm c?ng UDP b?t bu?c là các chi UDP 500.Đ? bi?t thêm chi ti?t v? cách s? d?ng tùy ch?n này, nh?p vào s? bài vi?t sau đây đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
    309798Làm th? nào đ? c?u h?nh TCP/IP l?c trong Windows 2000
    S? d?ng các netstat –a l?nh đ? xem m? c?ng UDP.
  • Trên Windows XP tư?ng l?a k?t n?i Internet (ICF) có th? Kích ho?t trên giao di?n Internet đ? ch?n t?t c? lưu lư?ng truy c?p đ?n. C? th? l? có th? đư?c c?u h?nh cho UDP ports khác ngoài UDP 500.Đ? bi?t thêm chi ti?t v? ICF, nh?p vào s? bài vi?t sau đây đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
    283673Làm th? nào đ? b?t ho?c t?t tư?ng l?a trong Windows XP

?nh hư?ng c?a Kerberos Default mi?n

V?i các ví d? này ch?n t?t c? lưu lư?ng trong nư?c m?t cách, t?t c? các trong nư?c ho?c nư?c ngoài unicast Kerberos lưu lư?ng truy c?p s? đư?c mi?n phù h?p v?i b? l?c này. Do m?t k? t?n công có th? xây d?ng m?t unicast UDP ho?c TCP gói d? li?u s? d?ng ngu?n c?ng 88 đ? truy c?p vào b?t k? c?ng m? t?i 10.10.1.2. Đi?u này s? cho phép m?t UDP và TCP c?ng quét, ngay c? v?i các b? l?c kh?i. Các ngư?i qu?n tr? ph?i thi?t l?p các
NoDefaultExempt
khóa s? đăng k? đ? ngăn ch?n các cu?c t?n công. N?u m?t b? đ?nh tuy?n l?c ho?c tư?ng l?a đang s? d?ng, nó có th? ho?c có th? không cho phép lưu lư?ng truy c?p như v?y t? m?t k? t?n công, tùy thu?c vào cách nó x? l? lưu lư?ng truy c?p đang dùng c?ng Kerberos.

Chú ý Nhi?u c?ng quét công c? không th? phát hi?n hành vi này v? đây công c? cho phép thi?t l?p c?ng ngu?n đ?n 88 khi ki?m tra đ? m? c?ng x?y ra. C?ng lưu ? r?ng nhi?u c?ng công c? quét mong đ?i thông báo ICMP đáp ?ng đ? thăm d? đư?c g?i đ?n m?t c?ng TCP ho?c UDP đó không ph?i là m?. N?u IPsec ch?n ICMP lưu lư?ng truy c?p, các công c? quét có th? sai báo r?ng c?ng là m?. S? d?ng m?t d?u v?t m?ng v?i các công c? giám sát m?ng đ? đ?m b?o r?ng các giao thông đang g?i và nh?n đư?c trên m?ng.

Khi các Kerberos mi?n b? lo?i b?, và n?u IPsec c?ng đư?c s? d?ng đ? b?o đ?m giao thông b?ng cách s? d?ng Kerberos xác th?c trong IKE, thi?t k? sau đây chính sách IPsec cân nh?c ph?i đư?c theo sau:
  • M?t máy tính đang dùng IKE Kerberos xác th?c v?i
    NoDefaultExempt = 1
    không th? giao ti?p v?i máy tính ngang nhau b?ng cách s? d?ng IKE Kerberos xác th?c n?u nó c?ng có giá tr? s? đăng k? chính. S? d?ng ch?ng ch? xác th?c cho IKE thay v? c?a Kerberos nơi đây là yêu c?u.
  • R? ràng mi?n gi?m cho Kerberos và UDP 389 lưu lư?ng truy c?p đ?n và t? t?t c? các liên quan DC IP đ?a ch? ph?i đư?c xác đ?nh trong chính sách IPsec. V? Tháng ba 2003, Microsoft h? tr? IPsec vi?c đ?m b?o lưu lư?ng truy c?p t? m?t thành viên tên mi?n cho b? đi?u khi?n vùng c?a nó, thêm các b? l?c cho các chính sách IPsec đ? m?t cách r? ràng cho phép t?t c? lưu lư?ng đ?n đ?a ch? IP c?a đi?u khi?n tên mi?n. Đi?u này có th? đ?i h?i nhi?u ngư?i cho phép các b? l?c n?u có r?t nhi?u các đ?a ch? IP DCs. DC ph?i v?nh vi?n đư?c gán cho DCs (đ?a ch? IP t?nh). Danh sách b? l?c cho t?t c? DCs trong m?t tên mi?n b?ng tay ph?i đư?c duy tr? b?i ngư?i qu?n tr? đ? có các hi?n t?i danh sách các đ?a ch? IP. Đi?u này có th? đư?c d? dàng C?p Nh?t c?a các qu?n tr? viên n?u b? l?c ch? đ?nh tên DNS mi?n như là ngu?n g?c ho?c đi?m đ?n đ?a ch? trong vi?c t?o ra m?t b? l?c m?i. Đi?u này gi?i quy?t các tên mi?n tên đ?i v?i DNS đ? t?t c? các đ?a ch? IP hi?n nay thu?c v? ph?m vi và t?o các b? l?c cho m?i IP riêng l?. Ki?m tra danh sách đ?a ch? IP trư?c khi b?n s? d?ng các b? l?c danh sách trong s?n xu?t. Thêm m?t DC m?i s? đ?i h?i thêm m?t b? l?c m?i trong danh sách b? l?c này. Microsoft khuy?n cáo s? d?ng m?t b? l?c danh sách cho t?t c? các DCs trong m?t tên mi?n c? th? mà sau đó đư?c chia s? trên quy t?c chính sách IPsec. H?y ch?c ch?n r?ng tên danh sách b? l?c cho th?y l?n c?p nh?t cu?i cùng c?a danh sách đ?a ch? IP cho d? dàng tham kh?o.
Đ? bi?t thêm v? giao ti?p gi?a tên mi?n b? đi?u khi?n, nh?p vào s? bài vi?t sau đây đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
254949IPSec h? tr? khách hàng tên mi?n đi?u khi?n giao thông và lưu lư?ng truy c?p đi?u khi?n b? đi?u khi?n vùng mi?n

?nh hư?ng c?a RSVP mi?n

Đ?i v?i m?t máy tính s? d?ng RSVP, k? t?n công có th? gây ra m?t t? ch?i d?ch v? do l? l?t ho?c g?i spoofed ho?c đ?c h?i các gói RSVP đ? 10.10.1.2. Đây là đ?a ch? IP đư?c s? d?ng trong ví d? trư?c đó, và cu?c t?n công này s? b? qua các b? l?c IPsec one-way g?i đ?n kh?i trong các Ví d?.

Giao th?c RSVP là giao th?c IP 46. Đó là m?t tín hi?u giao th?c đư?c s? d?ng đ? d? tr? băng thông trong b? đ?nh tuy?n cho chương tr?nh giao thông.

RSVP trong Windows 2000

Windows 2000 s? d?ng giao th?c RSVP dư?i đây trư?ng h?p:
  • D?ch v? ki?m soát nh?p h?c QoS đư?c cài đ?t. Đây là m?t tùy ch?n thành ph?n m?ng trong Windows 2000 Server máy tính. N?u đi?u này là cài đ?t, nó nh?n đư?c và g?i lưu lư?ng truy c?p RSVP.
  • Các d?ch v? ch?t lư?ng d?ch v? (QoS) RSVP ch?y. B?i m?c đ?nh, d?ch v? này đư?c cài đ?t và c?u h?nh như m?t d?ch v? t? kh?i đ?ng. Khi nó đư?c b?t đ?u, các d?ch v? t?i chương tr?nh Rsvp.exe có s? d?ng RSVP giao th?c, và sau đó unloads nó n?u có không có lưu lư?ng truy c?p mà đ?i h?i RSVP tín hi?u. Nó t?i chương tr?nh Rsvp.exe t? đ?ng khi QoS d?ch v? c?n thi?t.
  • M?t chương tr?nh m? m?t ? c?m v?i m?t l?a ch?n ? c?m GQoS. Các Chương tr?nh RSVP.exe ch?y liên t?c đ? qu?n l? báo hi?u cho các ? c?m lưu lư?ng truy c?p.
  • Các pathping –r ch? huy s? d?ng các RSVP giao th?c đ? xác đ?nh xem router RSVP đư?c kích ho?t.
Cho bi?t thêm thông tin v? làm th? nào đ? vô hi?u hóa giao th?c RSVP tín hi?u, nh?p vào s? bài vi?t sau đây đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
247103Làm th? nào đ? vô hi?u hoá RSVP báo hi?u
Khi s? d?ng, d?ch v? QoS RSVP không g?i RSVP tín hi?u trên giao di?n đư?c ch? đ?nh.

RSVP trong Windows XP

Giao th?c RSVP đ? b? ph?n đ?i trong Windows XP. M?c dù các Ch?t lư?ng d?ch v? (QoS) RSVP d?ch v? đư?c cài đ?t theo m?c đ?nh, nó đư?c c?u h?nh đ? b?t đ?u m?t hư?ng d?n s? d?ng. D?ch v? không g?i ho?c x? l? nh?n RSVP giao th?c tin nh?n. Nó v?n c?n đăng k? giao th?c RSVP đ? ngăn x?p TCPIP nh?n đư?c IP giao th?c 46 lo?i các gói. Nhưng các gói tin g?i đ?n sau đó b? lo?i b?. Nếu QoS RSVP d?ch v? chưa ch?y, x?p ch?ng giao th?c TCP/IP s? th? các đ?n RSVP gói, và sau đó g?i m?t gói d? li?u "đích không t?i đư?c" ICMP ph?n ?ng.

Windows XP ch? s? d?ng giao th?c RSVP khi các pathping –r ch? huy s? d?ng giao th?c RSVP đ? xác đ?nh N?u router RSVP đư?c kích ho?t.

B?o v? ch?ng l?i RSVP t?n công

Đ? cho phép IPsec đ? b?o v? ch?ng l?i các cu?c t?n công ti?m năng b?ng cách s? d?ng các RSVP giao th?c, các qu?n tr? viên ph?i thi?t l?p các
NoDefaultExempt = 1
khóa s? đăng k? đ? vô hi?u hóa mi?n RSVP IPsec. Thay vào đó, b?n có th? vô hi?u hoá QoS RSVP d?ch v?, ho?c vô hi?u hóa RSVP như m?t giao th?c.Đ? bi?t thêm v? cách làm vi?c V? v?y, nh?p vào s? bài vi?t sau đây đ? xem bài vi?t trong cơ s? ki?n th?c Microsoft:
247103Làm th? nào đ? vô hi?u hoá RSVP báo hi?u
N?u RSVP giao th?c ho?t đ?ng là c?n thi?t, r? ràng cho phép các b? l?c có th? đư?c đ?nh ngh?a trong chính sách IPsec cho phép giao th?c IP 46 đ? các phù h?p ngu?n và đi?m đ?n đ?a ch?. B?i v? RSVP là nh?m liên l?c v?i b? đ?nh tuy?n, Microsoft không khuyên b?n s? d?ng IPsec thương lư?ng an ninh cho RSVP. Lưu ? r?ng RSVP c?ng có th? s? d?ng m?t đ?a ch? phát đa hư?ng không th? đư?c l?c b?i IPSec.

?nh hư?ng c?a phát sóng và phát đa hư?ng mi?n

Các gói d? li?u v?i các đi?m đ?n phát đa hư?ng và phát sóng đ?a ch? s? không phù h?p v?i ví d? trong nư?c l?c b?i v? các b? l?c trong nư?c có m?t đi?m đ?n đ?a ch? c?a m?t đ?a ch? IP c? th? unicast (10.10.1.2). Windows 2000 và Windows XP IPsec l?c không làm cho nó có th? đ? l?c phát đa hư?ng ho?c phát sóng lưu lư?ng truy c?p.

N?u m?t k? t?n công xây d?ng phát đa hư?ng ho?c phát sóng các gói và n?u m?ng cho phép các gói tin đ? đư?c nh?n b?i các máy tính, nh?ng k? t?n công có th? b? qua các b? l?c IPsec đư?c s? d?ng trong các trang trư?c Ví d?. Thông thư?ng nh?ng k? t?n công s? ph?i trên m?ng con đ?a phương ti?n hành m?t cu?c t?n công b?ng cách s? d?ng giao thông này b?i v? các router gateway m?c đ?nh c?u h?nh s? không chuy?n ti?p không đư?c yêu c?u trong nư?c phát đa hư?ng ho?c phát sóng lưu lư?ng truy c?p. Trong m?t s? thi?t k? chính sách IPsec s? d?ng tùy ch?n l?c đ? "cho phép giao ti?p không có b?o đ?m b?ng IPsec không nh?n th?c đư?c tính", m?t k? t?n công có th? s? d?ng giao thông phát đa hư?ng ho?c phát sóng trong nư?c đ? làm cho m?t máy tính đích đ? g?i m?t h?i đáp unicast. Đi?u này sau đó s? kích ho?t m?t đàm phán IKE ra bên ngoài đó s? t?o ra m?t gói d? li?u m?m SA và m? ra con đư?ng cho k? t?n công đ? k?t n?i. K? t?n công có th? xây d?ng m?t gói d? li?u không h?p l? giao th?c TCP b?ng cách s? d?ng m?t phát đa hư?ng ho?c phát sóng đ?a ch? đích đ? c? g?ng b? qua các b? l?c IPsec. N?u m?t chương tr?nh ho?c giao th?c đang ch?y mà yêu c?u đ? nh?n đư?c các gói d? li?u phát đa hư?ng ho?c phát sóng, nh?ng k? t?n công có th? giao ti?p v?i chương tr?nh đó n?u k? t?n công và chương tr?nh c? hai s? d?ng ch? phát sóng và phát đa hư?ng lưu lư?ng truy c?p.

Microsoft khuy?n cáo r?ng các qu?n tr? viên IPsec th?o lu?n v? các router và tư?ng l?a c?u h?nh v?i ngư?i qu?n tr? m?ng đ? ti?p t?c đi?u tra các tính kh? thi c?a cu?c t?n công như v?y mà d?a trên hi?n t?i IPsec các chính sách.

TCP d?a trên thông tin liên l?c đ?i h?i m?t b?t tay ba chi?u đó s? d?ng unicast IP giao thông, và do đó không th? s? d?ng phát đa hư?ng ho?c phát sóng các lo?i lưu lư?ng truy c?p. Trong Windows 2000 và Windows XP, các chương tr?nh và d?ch v? s? d?ng UDP và ? c?m nguyên theo m?c đ?nh nh?n đư?c lưu lư?ng truy c?p phát sóng n?u nó đư?c g?i cho tôi r?ng các chương tr?nh m?. Theo m?c đ?nh, RFC 2644 ti?u bang đó phát sóng ch? d?n lưu lư?ng truy c?p không ph?i đư?c chuy?n ti?p b?i b? đ?nh tuy?n. Có hai lo?i khác c?a phát sóng giao thông có th? đư?c s? d?ng t? liên k?t đ?a phương:
  • H?n ch? phát sóng đ?a ch?-đây là n?u IP đi?m đ?n Đ?a ch? là 255.255.255.255.
  • M?ng ti?n t? đ?o Broadcast - đây là n?u các đi?m đ?n đ?a ch? IP là x.y.255.255 ho?c x.y.z.255 v?i m?ng con thích h?p m?t n?.
Các chương tr?nh thư?ng xác đ?nh mô h?nh thông tin liên l?c riêng c?a h? b?ng cách s? d?ng giao thông này. Thông thư?ng phát đa hư?ng và truy?n h?nh giao thông đư?c s? d?ng đ? ban đ?u thông báo và phát hi?n ra m?t d?ch v?. Sau đó các máy tính ngu?n và đích s? s? d?ng unicast IP giao thông gi?a các đ?a ch? IP c?a h? đ? ti?p t?c các thông tin liên l?c.

Đ? xem các chương tr?nh UDP s? nh?n đư?c lưu lư?ng truy c?p phát sóng Theo m?c đ?nh, s? d?ng các netstat l?nh:
  • Windows 2000: netstat - m?t -p UDPĐó là không có phương pháp đ? hi?n th? các chương tr?nh đ? m? nh?ng c?ng.
  • Windows XP: netstat –ao –p UDP Các -ao chuy?n đ?i cho th?y quá tr?nh ID đ? giúp xác đ?nh các chương tr?nh mà đang s? d?ng c?ng m?.

Nh?ng g? các chương tr?nh có th? nh?n đư?c phát đa hư?ng Lưu lư?ng truy c?p?


Các chương tr?nh ph?i đăng k? m?t cách r? ràng v?i ch?ng TCPIP đ? nh?n đư?c lưu lư?ng truy c?p phát đa hư?ng trong nư?c. N?u chương tr?nh đ? không đăng k? đ? nh?n đư?c lo?i lưu lư?ng truy c?p, các gói d? li?u phát đa hư?ng trong nư?c b? rơi. Tuy nhiên, phát đa hư?ng các gói d? li?u có th? b? r?t t?i b? đi?u h?p m?ng (nh?t ph? bi?n), và các miniport, IP l?p ho?c UDP l?p. Qu?n tr? viên c?n ki?m tra xác đ?nh nh?ng lo?i phát đa hư?ng lưu lư?ng truy c?p đư?c routable thông qua m?ng đ? t?t hơn đánh giá, n?u giao thông phát đa hư?ng có th? đư?c s? d?ng đ? t?n công m?t máy tính. Đ? xác đ?nh các nhóm phát đa hư?ng đ? đư?c tham gia b?i m?t chương tr?nh:
  • Không Windows 2000: có phương pháp có s?n
  • Windows XP:
    1. Nh?p vào B?t đ?u, b?m Ch?y, lo?i CMD, sau đó b?m Ok.
    2. Lo?i hi?n th? ip Netsh giao di?n tham gia, sau đó nh?n ENTER.

B?ng cách s? d?ng IPsec v?i b?c tư?ng l?a k?t n?i Internet

Đ?i v?i Windows XP, tư?ng l?a k?t n?i Internet (ICF) có th? t?t hơn đáp ?ng các yêu c?u b?o m?t đ? l?c lưu lư?ng truy c?p. ICF l?c và có th? ch?n các lưu lư?ng truy c?p phát đa hư?ng và phát sóng trong Windows XP SP1. Tuy nhiên, ICF không ph?i là nh?n th?c c?a lưu lư?ng truy c?p đư?c b?o v? b?i IPsec AH ho?c ESP trong v?n t?i ho?c ch? đ? đư?ng h?m. IPsec là ? t?ng m?ng dư?i ICF. IKE l?p ? trên ICF. Do ICF t?nh nên cho phép IKE (c?ng UDP 500) trong nư?c, và s? không nh?n th?y các giao th?c IPsec AH ho?c ESP, nhưng giao thông TCP ho?c UDP sau IPsec có decapsulated nó trong vi?c x? l? nh?n. N?u IPsec ch?n giao thông, ICF đăng nh?p b? b? gói s? ch?a các gói đó IPsec b? lo?i b?.

Ch?c năng IPsec có th? đư?c k?t h?p cùng v?i ICF l?c cho ti?n l?c hành vi. Ví d?, ICF ch? có th? c?u h?nh đ? m? c?ng TCP 445 t? b?t k? đ?a ch? IP, và m?t b? l?c IPsec có th? đư?c s? d?ng đ? gi?i h?n thêm này đ? ch? các gói d? li?u có ch?a m?t m?ng con n?i b? làm đ?a ch? ngu?n. M?t ví d? có th? là IPsec đư?c c?u h?nh đ? thương lư?ng an ninh cho t?t c? các lưu lư?ng truy c?p, nhưng c?u h?nh ICF h?n ch? nh?ng g? các k?t n?i đư?c phép đư?c ch?p nh?n, cho phép ch? trong nư?c IKE (C?ng UDP 500) và SMB t?p tin chia s? (c?ng TCP 445).

THAM KH?O

Đ? bi?t thêm chi ti?t v? vi?c th?c hi?n TCP/IP, xem các Windows 2000 TCP/IP th?c hi?n chi ti?t gi?y tr?ng. Đ? làm đi?u này, h?y truy c?p các Microsoft Web site sau:
http://technet.Microsoft.com/en-US/Library/bb726981.aspx
Đ? bi?t thêm chi ti?t v? b?o m?t IP, nh?p vào s? bài vi?t sau đ? xem các bài vi?t trong cơ s? ki?n th?c Microsoft:
253169Giao thông có th? - và không th?--đư?c b?o v? b?i IPSec
254728 IPSec không an toàn giao thông Kerberos gi?a b? ki?m soát mi?n
308127 Làm th? nào đ? t? m? c?ng tư?ng l?a k?t n?i Internet trong Windows XP
810207 IPSec m?c đ?nh mi?n s? b? xoá trong Windows Server 2003

Thu?c tính

ID c?a bài: 811832 - L?n xem xét sau cùng: 28 Tháng Tám 2011 - Xem xét l?i: 2.0
Áp d?ng
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows XP Professional
T? khóa: 
kbfirewall kbprb kbinfo kbmt KB811832 KbMtvi
Máy d?ch
QUAN TRỌNG: Bài vi?t này đư?c d?ch b?ng ph?n m?m d?ch máy c?a Microsoft ch? không ph?i do con ngư?i d?ch. Microsoft cung c?p các bài vi?t do con ngư?i d?ch và c? các bài vi?t do máy d?ch đ? b?n có th? truy c?p vào t?t c? các bài vi?t trong Cơ s? Ki?n th?c c?a chúng tôi b?ng ngôn ng? c?a b?n. Tuy nhiên, bài vi?t do máy d?ch không ph?i lúc nào c?ng hoàn h?o. Lo?i bài vi?t này có th? ch?a các sai sót v? t? v?ng, cú pháp ho?c ng? pháp, gi?ng như m?t ngư?i nư?c ngoài có th? m?c sai sót khi nói ngôn ng? c?a b?n. Microsoft không ch?u trách nhi?m v? b?t k? s? thi?u chính xác, sai sót ho?c thi?t h?i nào do vi?c d?ch sai n?i dung ho?c do ho?t đ?ng s? d?ng c?a khách hàng gây ra. Microsoft c?ng thư?ng xuyên c?p nh?t ph?n m?m d?ch máy này.
Nh?p chu?t vào đây đ? xem b?n ti?ng Anh c?a bài vi?t này:811832

Cung cấp Phản hồi

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com