可以用來略過在某些案例中的 IPsec 保護的 IPsec 預設豁免

文章翻譯 文章翻譯
文章編號: 811832 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

Windows 2000、 Windows XP 和 Windows Server 2003 的 「 網際網路通訊協定安全性 (IPsec) 」 功能不被設計為全功能主機型防火牆。它被為了提供基本允許和封鎖篩選利用網路封包中的地址、 通訊協定和連接埠資訊而設計的。 IPsec 的設計也是做為系統管理工具以增強安全性的通訊,對程式而言是透明的。有鑑於此,它提供流量篩選所需的 IPsec 交涉安全性傳輸或 IPsec 通道模式,主要是針對內部網路的環境中電腦信任已可從 Kerberos 服務或可以使用公開金鑰基礎結構 (PKI) 數位憑證在網際網路上的特定路徑。

預設豁免與 IPsec 原則篩選器會記載在 Microsoft Windows 2000 和 Microsoft Windows XP 的線上說明。 這些篩選器可讓網際網路金鑰交換 (IKE) 及 Kerberos 函式。篩選器也可讓網路服務品質 (QoS) 是收到信號 (RSVP),當資料流量受到 IPsec,且為傳輸該 IPsec 可能不安全如多點傳播和廣播流量。 如更多有關這些篩選器的資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
253169 可以--並無法--受到 IPsec 保護的流量

其他相關資訊

IPsec 越來越使用基本的主機防火牆封包篩選,尤其是在網際網路暴露案例為這些預設豁免影響已經不被完全瞭解。有鑑於此,有些 IPsec 系統管理員可能會建立他們認為是安全的 IPsec 原則,但是並非針對使用預設豁免的輸入攻擊其實安全。

Microsoft 強烈建議的網路系統管理員若要移除預設豁免 IPSec 以本文中採取的步驟。這特別是如果建議 IPsec 用在案例位置類似防火牆的功能必須防止攻擊者取得電腦的網路存取。移除預設豁免的 Kerberos 防止攻擊者擊敗會預定由特定 IPsec 原則設定 IPsec 的保護。會移除豁免後現有的安全性原則可能必須變更為正常運作。

系統管理員可以開始使用規劃,所有現有的和新的 IPsec 部署這些變更
NoDefaultExempt=1
所有的 Windows 2000 和 Windows XP 電腦上的登錄機碼。本文稍後說明這個登錄機碼的目的。

定義的 IPsec 預設豁免

下表摘要說明對等會實作如果您啟用所有的預設豁免 IPSec 篩選,如它們預設情況下,或如果
NoDefaultExempt
設為 0.These 篩選器定義描述 IPsec 驅動程式,以允許資料傳輸不論其他 IPsec 原則篩選器會套用預設豁免的篩選器。設計用來顯示 IPSec 原則篩選器的詳細資料的工具並不會顯示在其結果這些豁免。

對等用法會篩選
NoDefaultExempt=0
摺疊此表格展開此表格
來源位址目的地位址通訊協定來源連接埠目的地連接埠篩選器動作
我的 IP 位址任何 IP 位址UDP任何88允許
任何 IP 位址我的 IP 位址UDP88任何允許
任何 IP 位址我的 IP 位址UDP任何 88允許
我的 IP 位址任何 IP 位址UDP88任何允許
我的 IP 位址任何 IP 位址TCP任何 88允許
任何 IP 位址我的 IP 位址TCP88任何允許
任何 IP 位址我的 IP 位址TCP任何 88允許
我的 IP 位址任何 IP 位址TCP88任何允許
我的 IP 位址任何 IP 位址UDP500500 (1)允許
任何 IP 位址我的 IP 位址UDP500500允許
我的 IP 位址任何46 (RSVP)允許
任何 IP 位址我的 IP 位址46 (RSVP)允許
任何 IP 位址<multicast>(2)允許
我的 IP 位址<multicast>允許
任何 IP 位址<broadcast>(3) 允許
我的 IP 位址<broadcast>允許
<所有 IPv6 通訊協定都流量 > (5)<所有通訊協定的 IPv6 流量 > (4)允許
當指定 IP 位址的子網路遮罩是 255.255.255.255。當 IP 位址可以是任何時,子網路遮罩是 0.0.0.0。
  1. 若要透過 IPSec 通道模式 SA 交涉 IPSec 傳輸模式以便 ISAKMP 流量不被豁免,需要先通過 IPsec 通道。
  2. 多點傳送的流量定義為類別 D 的範圍目的地位址範圍是 224.0.0.0 與一個 240.0.0.0 的子網路遮罩。這包括的 IP 位址範圍從 224.0.0.0 到 239.255.255.255。
  3. 廣播的流量定義為 255.255.255.255 有限的廣播位址的目的地位址或不用的主機識別碼設定為 [所有 1s 的 IP 位址部分的子網路廣播位址。
  4. IPSec 不支援篩選的 IP 第 6 版 (IPv6) 封包,除了搭配 IP 為 IPv4 標題進行壓縮 IPv6 封包是當通訊協定 41。如需有關在 Windows 中的 IPv6 支援的詳細資訊,請造訪下列 Microsoft 網站]:
    http://technet.microsoft.com/en-us/network/bb530961.aspx

NoDefaultExempt 的作業系統支援

下表說明在各種版本的 Windows 2000 和 Windows XP 中的預設豁免行為:
摺疊此表格展開此表格
發行版本的零售sp1sp2SP3sp4
Windows 2000具有預設豁免。不支援
NoDefaultExempt
金鑰。
有預設豁免,支援
NoDefaultExempt
機碼值 01
具有預設豁免。
NoDefaultExempt
索引鍵支援、 01 的值。
具有預設豁免。
NoDefaultExempt
索引鍵支援、 01 的值。
變更預設值,
NoDefaultExempt=1
,會移除 Kerb 及 RSVP 豁免。
Windows XP有預設豁免,支援
NoDefaultExempt
01
有預設豁免,支援
NoDefaultExempt
01
變更預設值,
NoDefaultExempt=1
,會移除 Kerb 及 RSVP 豁免。


附註在 Windows 2000 和 Windows XP 中的 IPSec 不支援廣播或多點傳送的流量的篩選。

移除的預設豁免

下列的登錄機碼控制 IPsec 的預設豁免的類型:
NoDefaultExempt

資料型別: REG_DWORD
範圍: 而有所不同:
Windows 2000: 0-1 只支援
Windows XP: 0-1 只支援
Windows Server 2003: 0-3 只支援
預設的行為 (Windows 2000 和 Windows XP): 0
預設的行為 (Windows Server 2003): 3
預設為存在: 否
可能值的描述:
  • 0 值指定的多點傳播、 廣播、 RSVP、 Kerberos 及 IKE (ISAKMP) 流量不受限於 IPSec 篩選功能。這是預設值篩選 Windows 2000 和 Windows XP 的行為。如果您必須與現有的 IPsec 原則或 Windows 2000 和 Windows XP 的行為的相容性,請使用此設定。
  • 1 的值指定 Kerberos 及 RSVP 流量並不受 IPSec 篩選,但多點傳播、 廣播和 IKE 資料傳輸都是豁免。這是 Windows 2000 和 Windows XP 的建議的值。
  • 值為 2 指定多點傳播和廣播流量並不受 IPSec 篩選,但 RSVP、 Kerberos 及 IKE 資料傳輸是豁免。只在 Windows Server 2003 中支援。
  • 3 的值會指定只 IKE 資料傳輸是免除 IPSec 篩選功能。 只在 Windows Server 2003 中支援。雖然登錄機碼不存在預設,Windows Server 2003 會包含這個預設行為。
重要這個區段、 方法或任務包含告訴您如何修改登錄的步驟。然而,如果您不當修改登錄,可能會發生嚴重的問題。因此,執行這些步驟時請務必小心。為加強保護,修改登錄之前,請務必將它備份起來。以後您就可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
322756如何備份和還原在 Windows 登錄


若要設定這個登錄機碼:
  1. 按一下 [開始]、 按一下 [執行]、 輸入 regedit,然後按一下 [確定]]。
  2. 按一下下列登錄機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC

    附註在 Windows Server 2008 中,及在 Windows Vista 中,登錄機碼 」 是:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
  3. IPSEC] 上按一下滑鼠右鍵,指向 [新增],然後再按一下 [DWORD 值
  4. 命名這個新的項目 NoDefaultExempt
  5. 變更從 0
    NoDefaultExempt
    機碼的值為 1。如果您要您可以使用 1 之外的值,如果另一個值是最適合您的環境。
  6. 結束 「 登錄編輯程式 」。
  7. 在 Windows XP 中按一下 [開始]、 按一下 [控制台],然後再按兩下 [系統管理工具]。在 Windows 2000 中請按一下 [開始],按一下 [設定]、 按一下 [控制台],然後再連按兩下 [系統管理工具]。
  8. 連按兩下 [服務]。
  9. 停止,然後重新啟動 IPSec 服務。Windows XP 要求您執行這項操作之後,重新啟動電腦。

會影響的預設豁免

下列範例會顯示一個 Windows 2000 或 Windows XP IPSec 原則,已被設定為單向封鎖篩選器。套用封鎖篩選器與這些規則的效果是已封鎖所有輸入的流量。此篩選規則只可示範 IPSec 豁免,對抗這項規則的效果:
Source Address:		Any
Source Mask:		0.0.0.0
Destination Address:	My IP Address (10.10.1.2)
Destination Mask:	(255.255.255.255)
Protocol:		Any
Source Port:		Any
Destination Port:	Any
Mirrored:		No
在這個範例中的系統管理員 ’s 用意是要封鎖所有即將要在 10.10.1.2 IP 位址的輸入單點傳送傳輸。下列章節說明預設豁免影響它們套用至這個篩選器。

會影響的 IKE 豁免

IKE 豁免是專用於來源和目的地連接埠 UDP 500。IKE 永遠會接收來自任何來源位址這種類型的封包因為的預設 IKE 豁免。可能讓攻擊者使用 [IKE 可以攻擊本身,IKE,也許會造成問題的連接埠。不過,IKE 連接埠不能用來攻擊其他開啟的 UDP 或 TCP 連接埠。IKE 會執行的 IPsec 原則來決定是否就應該回覆給連入封包的查閱。由於用於 IKE 交涉的安全性設定兩個的 IPSec 主機之間 IPsec 篩選器只用於允許,IKE 的流量的區塊控制項來尋找對應的安全性原則會失敗並不會回覆給連入要求。

IKE 使用拒絕服務 (DoS) 避免的各種方法。Windows 2000 Service Pack 3] 和 [Windows XP 提供改進的 DoS 避免 IKE 氾濫攻擊。IKE 無法停用獨立於 IPsec 服務和 IPsec 驅動程式。IKE 只可由停止 [IPsec 停用服務也會停用 IPsec 篩選。

如果 IKE 正在從網際網路受到攻擊,並不需要,但需要 IPsec 篩選,許多選項是可用:
  • 封鎖 UDP 500 流量的篩選可以用於預設閘道或防火牆。
  • 在 Internet 介面上設定 TCP/IP 進階內容篩選器。只允許],使用,然後再新增 [UDP 連接埠所需 UDP 500 以外。 如需有關如何使用這個選項的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
    309798如何設定 TCP/IP 篩選功能在 Windows 2000 中
    使用 netstat –a 命令來查看開啟 UDP 連接埠。
  • 在 Windows XP 上網際網路連線防火牆 (ICF) 可啟用網際網路介面上封鎖所有連入流量。特定的漏洞可以為以外的 UDP 500 的 UDP 連接埠設定。如需有關 ICF,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
    283673如何開啟或關閉在 Windows XP 防火牆

會影響的 Kerberos 預設豁免

封鎖所有的單向輸入的流量這個範例使用單點所有輸入或輸出傳送 Kerberos 流量會豁免從符合此篩選器。有鑑於此,攻擊者可以建構一個單點傳送 UDP 或 TCP 的封包使用來源連接埠 88 來存取 10.10.1.2 在任何開啟的連接埠。這會讓 UDP 及 TCP 連接埠掃描,即使有封鎖篩選器。系統管理員必須設定
NoDefaultExempt
登錄機碼,以防止攻擊。如果篩選路由器或防火牆正在使用中,可能或可能不允許從取決於如何處理使用 Kerberos 連接埠的流量的攻擊者的這類流量。

附註因為這些工具並不允許將來源連接埠設定為 88,檢查有開啟的連接埠發生時,許多的連接埠掃描工具不會偵測這種行為。同時也請注意有許多的連接埠掃描工具以回應傳送到 TCP 或 UDP 連接埠尚未開啟的探查預期 ICMP 訊息。如果 IPsec 封鎖 ICMP 流量,掃描工具可能會錯誤地回報該連接埠已開啟。使用以網路監視器 」 工具的網路追蹤,確定正在流量傳送和接收網路上。

當 [Kerberos 豁免就會移除,並如果 IPsec 也用來保護流量,藉由使用 Kerberos 驗證在 IKE,必須遵守下列的 IPsec 原則設計考量:
  • 使用與 IKE Kerberos 驗證的電腦
    NoDefaultExempt=1
    無法與通訊對等電腦使用 IKE Kerberos 驗證時,如果它也沒有相同的登錄機碼值。 使用憑證驗證的 IKE 而非 Kerberos 這所需的位置。
  • 必須在 IPsec 原則中指定 Kerberos 和 UDP 389 流量與所有相關的 DC 的 IP 位址的明確豁免。 因為為 2003 年三月的 Microsoft 並不支援 IPsec 保護流量從網域成員,至其網域控制站,加入 IPsec 原則,以明確允許所有網域控制站 IP 位址的流量的篩選器。您可能需要許多允許篩選器,如果有許多的 DC DC IP 位址必須永久指派給網域控制站 (靜態 IP 位址)。在網域中的所有 DC 將篩選器清單必須以手動方式維護由系統管理員有目前清單的 IP 位址。這可以更容易更新的系統管理員如果篩選器為來源或目的地位址指定網域的 DNS 名稱,新的篩選器建立期間。這會對 DNS 網域名稱解析為網域中的所有目前 IP 位址,並為每個個別的 IP 建立篩選器。請確認 IP 位址清單之前您在生產環境中使用篩選器清單。加入新的 DC 將需要在此篩選器清單中加入新的篩選器。Microsoft 建議使用一個篩選器清單為然後橫跨 IPsec 原則規則的特定網域中的所有 DC。請確定篩選器清單名稱指出最後更新的時間 IP 位址清單,便於參考。
如網域控制站之間通訊的更多有關,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
254949用戶端網域控制站流量和網域控制站到網域控制站流量的 IPSec 支援

會影響的 RSVP 豁免

使用 RSVP 電腦的攻擊者可能可以可藉由氾濫,或將詐騙或惡意的 RSVP 封包傳送到 10.10.1.2 造成拒絕服務。這是先前範例中所使用的 IP 位址,這種攻擊會略過單向輸入的區塊 IPsec 篩選器在範例中。

RSVP 通訊協定是 IP 通訊協定 46。它是用來保留頻寬以程式流量的路由器的信號通訊協定。

在 Windows 2000 RSVP

Windows 2000 使用 RSVP 通訊協定在下列情況:
  • 安裝 QoS 許可控制服務。這是選擇性的網路元件,在 Windows 2000 Server 電腦中。如果這安裝它接收,並會傳送 RSVP 流量。
  • 服務品質 (QoS) RSVP 服務正在執行。預設情況下,這項服務是安裝並設定為自動啟動服務。服務啟動它時載入 Rsvp.exe 程式,使用 [RSVP 通訊協定,然後再卸載它如果需要沒有流量 RSVP 信號方式。它會載入 Rsvp.exe 程式以動態方式需要 QoS 服務時。
  • 程式會開啟通訊端 GQoS 通訊端選項。Rsvp.exe 程式會不間斷地執行管理的通訊端流量信號方式。
  • pathping – 命令以判斷路由器是否已啟用的 RSVP 使用 RSVP 通訊協定。
如需有關如何停用信號的 RSVP 通訊協定的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
247103如何停用 RSVP 信號
使用,QoS RSVP 服務不會傳送 RSVP 信號方式指定的介面上。

在 Windows XP RSVP

RSVP 通訊協定已在 Windows XP 中已被取代。雖然預設安裝服務品質 (QoS) RSVP 服務,它被設定為手動啟動。服務不會傳送或處理接收到的 RSVP 通訊協定訊息。仍然會登錄在 RSVP 通訊協定讓 TCPIP 堆疊接收 IP 通訊協定 46 型別封包。但這些輸入封包會再被捨棄。如果不啟動 QoS RSVP] 服務時 TCP/IP 通訊協定堆疊將卸除傳入 RSVP 封包,並再在回應中傳送 ICMP 「 無法與目的地取得連線 」 封包。

Windows XP 時 pathping – 命令使用 RSVP 通訊協定來判斷路由器是否已啟用的 RSVP 只使用 RSVP 通訊協定。

保護對抗 RSVP 攻擊

系統管理員必須能夠使用 RSVP 通訊協定來保護對潛在攻擊的 IPsec 設定
NoDefaultExempt=1
停用 RSVP 豁免中 IPsec 的登錄機碼。而是,您可以停用 [QoS RSVP] 服務,或停用 RSVP 做為通訊協定。如需有關如何執行這項操作的詳細資訊,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
247103如何停用 RSVP 信號
如果 RSVP 通訊協定操作是必要的可以在 IPsec 原則以允許 IP 通訊協定,以適當的來源和目的位址 46 中定義明確允許篩選器。因為 RSVP 為了與路由器通訊,Microsoft 建議您不要使用 IPsec 來交涉安全性的 RSVP。請注意 RSVP 也可能會使用無法由 IPSec 篩選的多點傳送的位址。

廣播及多點傳播的豁免的影響

因為輸入的篩選器具有特定的單點傳送 IP 位址 (10.10.1.2) 的目的地位址,具有多點傳播和廣播目的地位址的封包不會符合範例輸入篩選器。Windows 2000 和 Windows XP IPsec 篩選不會讓它可能可以篩選多點傳播或廣播流量。

如果攻擊者會建構多點傳播或廣播封包,而且網路允許由電腦接收這些封包,攻擊者可以略過 IPsec 篩選 (在先前範例中所使用的。通常攻擊者必須位在本機的子網路上使用此流量,因為預設閘道路由器設定不會轉送來路不明的對內多點傳播或廣播流量來進行攻擊。在使用 「 允許無安全性通訊與無 IPsec 感知的電腦 」 篩選器選項某些 IPsec 原則設計,攻擊可能是能夠使用多點傳播或廣播的流量輸入造成傳送單點傳送回應的目的地電腦。這再會觸發 IKE 交涉輸出,會建立軟 SA 封包並開啟攻擊者?連接的路徑。攻擊者可能藉由使用多點傳播或廣播的目的位址來嘗試略過 IPsec 篩選器建構不正確的 TCP 封包。如果程式或通訊協定正在執行的要求來接收多點傳播或廣播封包攻擊者可能能夠與該程式通訊,如果攻擊者和程式都使用只廣播和多點傳送流量。

Microsoft 建議 IPsec 系統管理員討論網路管理員,以進一步調查以目前 IPsec 為基礎,這類攻擊的可行性路由器和防火牆設定原則。

以 TCP 為基礎的通訊需要三向信號交換使用了單點傳播 IP 資料傳輸,並因此無法使用多點傳播或廣播流量類型。在 Windows 2000 和 Windows XP,程式和服務的預設使用 UDP 及原始通訊端收到廣播的流量如果傳送給程式開啟的連接埠。預設情況下,必須不被導向的廣播資料傳輸的 RFC 2644 狀態轉送由路由器。有兩種類型的可能會從本機連結使用的廣播流量:
  • 有限廣播位址 – 這是如果目的地 IP 位址是 255.255.255.255。
  • 網路首碼導向廣播-這是目的地 IP 位址是否 x.y.255.255 或 x.y.z.255 與適當的子網路遮罩。
程式通常使用這個流量] 定義自己的通訊模型。一般多點傳播和廣播流量,用來一開始宣佈和探索服務。然後來源和目的電腦會使用它們的 IP 位址,才能繼續通訊之間的單點傳播 IP 資料傳輸。

若要讓 UDP 程式依預設,所收到廣播的流量使用 netstat 命令:
  • Windows 2000: netstat-a-p UDP 沒有顯示開啟這些連接埠的程式沒有任何方法。
  • Windows XP: netstat –ao –p UDP-ao 切換顯示處理程序識別碼,以協助識別使用開啟的連接埠的程式。

什麼程式可以接收多點傳送的流量嗎?


程式必須明確地註冊 TCPIP 堆疊,以接收傳入多點傳送的流量。如果程式尚未註冊以接收這種類型的流量,傳入多點傳送封包都會被卸除。不過,多點傳送封包可以卸除在網路介面卡 (最常見) 在迷你連接埠]、 [IP] 圖層] 或 [UDP 圖層。系統管理員應該檢查以判斷哪些多點傳送的流量型別可以透過網路,以進一步評估如果多點傳送的流量可以用來攻擊的電腦可路由傳送。要判斷哪一個多點傳送群組已經被加入由程式:
  • Windows 2000: 沒有方法可以使用
  • Windows XP:
    1. 按一下 [開始],再按一下 [執行]、 輸入 cmd,] 然後再按一下 [確定]
    2. 鍵入 netsh 介面的 IP 顯示聯結,並按下 ENTER。

使用 IPsec 與網際網路連線防火牆

Windows XP 的網際網路連線防火牆 (ICF) 可能會更符合篩選流量安全性的需求。ICF 不會篩選,而且可以封鎖在 Windows XP SP1 中的輸入多點傳播和廣播流量。不過,ICF 並不知道的流量受到 IPsec AH 或 ESP 傳輸或通道模式。IPsec 是在網路層級低於 ICF。IKE 分層 ICF 的上方。 有鑑於此,ICF 應該以靜態方式允許 IKE (UDP 連接埠 500) 輸入,且將不會看到 IPsec AH 或 ESP 通訊協定,但 TCP 或 UDP 傳輸 IPsec 擁有 decapsulated 後它接收處理中。如果 IPsec 封鎖流量,卸除的 ICF 封包記錄檔不會包含 IPsec 捨棄的封包。

IPsec 功能可以結合一起 ICF 進階的篩選行為的篩選。比方說 ICF 可以只設定為從任何的 IP 位址開啟 TCP 連接埠 445,IPsec 篩選器可能會用來進一步限制這只包含作為來源地址的內部子網路的封包。另一個例子可能是 IPsec 設定為信號交換的所有流量的安全性,但 ICF 設定會限制允許哪些輸入的連線被接受允許只輸入的 IKE (UDP 連接埠 500) 和 SMB 檔案共用 (TCP 連接埠 445)。

?考

如需關於 TCP/IP 實作的詳細資訊,檢視 Windows 2000 TCP/IP 詳細實作本白皮書。如果要執行這項操作,請造訪下列 Microsoft 網站]:
http://technet.microsoft.com/en-us/library/bb726981.aspx
如需有關 IP 安全性的資訊,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中 「 文件:
253169可以--並無法--受到 IPSec 保護的流量
254728IPSec 不保護網域控制站之間的 Kerberos 流量
308127如何以手動方式在 Windows XP 中的網際網路連線防火牆中開啟連接埠
810207在 [Windows Server 2003] 中移除 IPSec 預設豁免

屬性

文章編號: 811832 - 上次校閱: 2008年2月8日 - 版次: 7.2
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows XP Professional
關鍵字:?
kbmt kbfirewall kbprb kbinfo KB811832 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:811832
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com