كيفية حظر بروتوكولات شبكة معينة ومنافذ باستخدام IPSec

ترجمات الموضوعات ترجمات الموضوعات
معرف المقالة: 813878 - عرض المنتجات التي تنطبق عليها هذه المقالة.
توسيع الكل | طي الكل

في هذه الصفحة

الموجز

يمكن استخدام أمان "بروتوكول إنترنت" (IPSec) لقواعد تصفية للمساعدة في حماية أجهزة الكمبيوتر المستندة إلى نظام التشغيل Windows 2000 و يستند إلى نظام التشغيل Windows XP المستندة إلى Windows Server 2003 من الهجمات المستندة إلى شبكة الاتصال من التهديدات مثل الفيروسات والفيروسات المتنقلة. توضح هذه المقالة كيفية تصفية البروتوكول معينة و تركيبة المنفذ لحركة مرور الشبكة الواردة والصادرة. تتضمن الخطوات إلى ما إذا كان هناك أي نُهج IPSec المعيّن حالياً إلى جهاز كمبيوتر يستند إلى نظام التشغيل Windows 2000 أو بنظام التشغيل Windows XP أو المستندة إلى Windows Server 2003, الخطوات لإنشاء وتعيين نهج IPSec جديد و الخطوات إلغاء تعيين IPSec وحذف النهج.

معلومات أخرى

تطبيق إلى عضو في مجال كجزء من نهج مجموعة ذلك المجال نُهج IPSec أو يمكن تطبيق محلياً. IPSec المحلي يمكن أن تكون نُهج ثابتة (المستمرة بعد إعادة تشغيل) أو حيوية (متغير). نُهج IPSec ثابتة كتابة إلى التسجيل المحلي وتستمر بعد إعادة تشغيل نظام التشغيل. IPSec حيوية نُهج لم تتم كتابتها بشكل دائم إلى التسجيل و تتم إزالة إذا تم إعادة تشغيل نظام التشغيل أو خدمة عامل نهج IPSEC.

هام تحتوي هذه المقالة على معلومات حول كيفية تحرير التسجيل باستخدام Ipsecpol.exe. قبل تحرير التسجيل قم تأكد من فهم كيفية استعادته في حالة حدوث مشكلة. للحصول على معلومات حول كيفية عمل نسخة احتياطية من السجل واستعادته وتحريره انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft:
256986وصف تسجيل Microsoft Windows
ملاحظة يمكن أن يؤدي قواعد عامل تصفية IPSec برامج الشبكة إلى فقدان البيانات "و" عن الاستجابة إلى طلبات شبكة الاتصال بما في ذلك فشل لمصادقة المستخدمين. استخدام القواعد عامل تصفية IPSec كإجراء دفاعية أخير و فقط بعد لديهم فهم مسح تأثير سيكون حظر منافذ محددة في البيئة الخاصة بك. إذا كان نهج IPSec التي تقوم بإنشائها باستخدام الخطوات المسردة في هذه المقالة تأثيرات غير المرغوب فيها على برامج الشبكة ، راجع قسم "إلغاء تعيين ثم حذف نهج IPSec" لاحقًا في هذه المقالة للحصول على إرشادات حول كيفية تعطيل النهج وحذفها مباشرة.

تحديد ما إذا كان قد تم تعيين نهج IPSec

Windows أجهزة الكمبيوتر التي تعمل بنظام التشغيل Server 2003

قبل إنشاء أو تعيين أي نُهج IPSec جديدة إلى جهاز كمبيوتر يعمل بنظام التشغيل Windows Server 2003 تحديد ما إذا كان أي نُهج IPSec التي يتم تطبيقها من التسجيل المحلي أو من خلال كائن "نهج المجموعة" (GPO). للقيام بذلك، اتبع الخطوات التالية:
  1. تثبيت Netdiag.exe من "القرص المضغوط" لـ Windows Server 2003 عن طريق تشغيل Suptools.msi من المجلد Support\Tools الموجود.
  2. افتح موجه الأوامر ثم قم بتعيين مجلد العمل إلى أدوات Files\Support C:\Program.
  3. قم بتشغيل الأمر التالي للتحقق من عدم وجود نهج IPSec موجود تعيينه بالفعل إلى الكمبيوتر:
    netdiag /test:ipsec
    إذا تم تعيين أي نهج تظهر الرسالة التالية:
    اختبار أمان IP........ . : تمريره الخدمة نهج IPSec النشط ولكن يتم تعيين أي نهج.

Windows أجهزة الكمبيوتر التي تعمل بنظام التشغيل XP

قبل إنشاء أو تعيين أي نُهج IPSec جديدة إلى جهاز كمبيوتر يستند إلى نظام التشغيل Windows XP تحديد ما إذا كان أي نُهج IPSec التي يتم تطبيقها من التسجيل المحلي أو من خلال GPO. للقيام بذلك، اتبع الخطوات التالية:
  1. تثبيت Netdiag.exe من القرص المضغوط Windows XP عن طريق تشغيل Setup.exe من المجلد Support\Tools الموجود.
  2. افتح موجه الأوامر ثم قم بتعيين مجلد العمل إلى أدوات Files\Support C:\Program.
  3. قم بتشغيل الأمر التالي للتحقق من عدم وجود نهج IPSec موجود تعيينه بالفعل إلى الكمبيوتر:
    netdiag /test:ipsec
    إذا تم تعيين أي نهج تظهر الرسالة التالية:
    اختبار أمان IP........ . : تمريره الخدمة نهج IPSec النشط ولكن يتم تعيين أي نهج.

أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows 2000

قبل إنشاء أو تعيين أي نُهج IPSec جديدة إلى جهاز كمبيوتر يعمل بنظام التشغيل Windows 2000 تحديد ما إذا كان أي نُهج IPSec التي يتم تطبيقها من التسجيل المحلي أو من خلال GPO. للقيام بذلك، اتبع الخطوات التالية:
  1. تثبيت Netdiag.exe من القرص المضغوط لـ Windows 2000 عن طريق تشغيل Setup.exe من المجلد Support\Tools الموجود.
  2. افتح موجه الأوامر ثم قم بتعيين مجلد العمل إلى أدوات Files\Support C:\Program.
  3. قم بتشغيل الأمر التالي للتحقق من عدم وجود نهج IPSec موجود تعيينه بالفعل إلى الكمبيوتر:
    netdiag /test:ipsec
    إذا تم تعيين أي نهج تظهر الرسالة التالية:
    اختبار أمان IP........ . : تمريره الخدمة نهج IPSec النشط ولكن يتم تعيين أي نهج.

إنشاء نهج ثابتة حركة المرور كتلة

Windows Server 2003 يستند إلى نظام التشغيل Windows XP وأجهزة الكمبيوتر

للأنظمة التي لا تتضمن نهج IPSec محلياً معرفة تمكين إنشاء نهج ثابت محلي جديد حركة المرور كتلة يتم توجيه بروتوكول معين أو منفذ خاص على المستندة إلى Windows Server 2003 أو أجهزة الكمبيوتر المستندة إلى Windows XP. للقيام بذلك، اتبع الخطوات التالية:
  1. تحقق من تمكين خدمة عامل نهج IPSEC ثم بدء تشغيل في الأداة الإضافية لخدمات MMC.
  2. تثبيت IPSeccmd.exe. IPSeccmd.exe جزءاً من أدوات دعم Windows XP Service Pack 2 (SP2).

    ملاحظة سيتم تشغيل IPSeccmd.exe على Windows XP وأنظمة التشغيل Windows Server 2003 ولكن الأداة يتوفر فقط من حزمة أدوات دعم Windows XP SP2.

    لمزيد من المعلومات حول تحميل وتثبيت Windows XP Service Pack 2 دعم أدوات انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft:
    838079أدوات دعم Windows XP Service Pack 2
  3. افتح موجه الأوامر ثم قم بتعيين مجلد العمل إلى المجلد حيث تم تثبيت أدوات دعم Windows XP Service Pack 2.

    ملاحظة هو المجلد الافتراضي أدوات دعم Windows XP SP2 أدوات Files\Support C:\Program.
  4. لإنشاء نهج IPSec محلي جديد و التصفية القاعدة التي تنطبق على حركة مرور شبكة الاتصال من أي عنوان IP إلى عنوان IP الكمبيوتر يعمل بنظام التشغيل Windows Server 2003 أو يستند إلى نظام التشغيل Windows XP الذي تقوم بتكوين استخدم الأمر التالي.

    ملاحظة في الأمر التالي Protocol "و" PortNumber متغيرات.
    IPSeccmd.exe -w REG -p "تجميد تصفية PortNumberProtocol"-r"كتلة قاعدة PortNumberProtocol الوارد" -f * = 0: PortNumber: Protocol n حظر x–
    على سبيل المثال، حظر حركة مرور شبكة الاتصال من أي IP عنوان أي منفذ للمصدر إلى الوجهة ومنفذ UDP 1434 على جهاز كمبيوتر يعمل بنظام التشغيل Windows Server 2003 أو يستند إلى نظام التشغيل Windows XP اكتب ما يلي. يكون هذا النهج كافية للمساعدة في حماية أجهزة الكمبيوتر التي تقوم بتشغيل Microsoft SQL Server 2000 من الفيروس المتنقل "Slammer".
    IPSeccmd.exe -w REG -p "منع UDP 1434 تصفية"-r"منع UDP الواردة 1434 القاعدة" -f * = 0:1434:UDP - n كتلة- x
    التالية المثال كتل الواردة الوصول إلى TCP منفذ 80 ولكن يسمح الوصول TCP 80 الصادرة. يكون هذا النهج كافية للمساعدة في حماية أجهزة الكمبيوتر التي تقوم بتشغيل Microsoft خدمات معلومات إنترنت (IIS) 5.0 من الفيروس المتنقل "رمز أحمر" و "Nimda" الفيروس المتنقل.
    IPSeccmd.exe -w REG -p "حظر TCP 80 تصفية"-r"حظر TCP الواردة قاعدة 80" -f * = 0:80:TCP - n كتلة- x
    ملاحظة يقوم رمز التبديل - x بتعيين النهج فوراً. إذا قمت بإدخال هذا الأمر النهج "منع UDP 1434 تصفية" غير المعينة وتعيين "حظر TCP 80 تصفية". لإضافة النهج مع عدم تعيين النهج, اكتب الأمر بدون التبديل - x في النهاية.
  5. لإضافة إضافية تصفية قاعدة إلى نهج "تصفية 1434 UDP كتلة" الموجود حركة مرور تنشأ من جهاز كمبيوتر يعمل بنظام التشغيل Windows Server 2003 أو يستند إلى نظام التشغيل Windows XP إلى أي عنوان IP الشبكة كتل استخدم الأمر التالي.

    ملاحظة في هذا الأمر تكون Protocol "و" PortNumber المتغيرات:
    IPSeccmd.exe -w REG -p "Protocol" الحظر "PortNumber تصفية"-r"كتلة قاعدة PortNumberProtocol الصادرة" -f * 0 =: PortNumber: Protocol - n كتلة
    حظر أي حركة مرور شبكة الاتصال التي تنشأ من جهاز كمبيوتر يعمل بنظام التشغيل Windows Server 2003 أو يستند إلى نظام التشغيل Windows XP توجيه إلى UDP 1434 على أي مضيف, اكتب ما يلي. يكون هذا النهج كافية للمساعدة على منع أجهزة الكمبيوتر التي تستخدم SQL Server 2000 من الانتشار عبر الفيروس المتنقل "Slammer".
    IPSeccmd.exe -w REG -p "منع UDP 1434 تصفية"-r"كتلة قاعدة 1434 UDP الصادرة" -f 0 = * كتلة & - n:1434:UDP
    ملاحظة يمكنك إضافة العديد من التصفية قواعد إلى نهج كما تريد باستخدام هذا الأمر. على سبيل المثال، يمكنك استخدام هذا الأمر إلى المنافذ متعددة باستخدام نفس نهج.
  6. النهج الموجود في الخطوة 5 الآن سوف تكون سارية المفعول وتستمر سوف كل مرة يتم فيها إعادة تشغيل الكمبيوتر. على الرغم من ذلك، إذا تم تعيين نهج IPSec يستند إلى المجال إلى الكمبيوتر لاحقاً, هذا النهج المحلي سوف يتم تجاوز كما سيتم تطبيق لم تعد.

    للتحقق من تعيين قاعدة التصفية الناجحة تعيين مجلد العمل إلى أدوات Files\Support C:\Program في موجه الأوامر ثم اكتب الأمر التالي:
    / debug /test:ipsec netdiag
    إذا كان يتم تعيين نُهج من أجل حركة المرور الواردة والصادرة كما في هذه الأمثلة سوف تتلقى الرسالة التالية:
    اختبار أمان IP........ . :
    مسار نهج أمان IP 'تصفية 1434 UDP كتلة' النشطة نهج IPSec المحلي الذي تم تمريره:: SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy {D239C599-F945-47A3-A4E3-B37BC12826B9}

    هناك عوامل تصفية 2
    لا يوجد اسم
    معرف عامل التصفية: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
    معرّف النهج: {509492EA-1214-4F50-BF43-9CAC2B538518}
    عنوان Src: 0.0.0.0 قناع Src: 0.0.0.0
    عنوان الوجهة: 192.168.1.1 قناع الوجهة: 255.255.255.255
    عنوان النفق: 0.0.0.0 منفذ Src: 0 منفذ الوجهة: 1434
    TunnelFilter بروتوكول: 17: لا
    علامات: كتلة الواردة
    لا يوجد اسم
    معرف عامل التصفية: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
    معرّف النهج: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
    عنوان Src: 192.168.1.1 قناع Src: 255.255.255.255
    عنوان الوجهة: 0.0.0.0 قناع الوجهة: 0.0.0.0
    عنوان النفق: 0.0.0.0 منفذ Src: 0 منفذ الوجهة: 1434
    TunnelFilter بروتوكول: 17: لا
    علامات: كتلة الصادرة
    ملاحظة عناوين IP وأرقام (GUID) واجهة المستخدم الرسومية ستكون مختلفة استناداً إلى جهاز كمبيوتر يعمل بنظام التشغيل Windows Server 2003 أو يستند إلى نظام التشغيل Windows XP.

أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows 2000

للحصول على أنظمة بدون نهج IPSec محلياً معرفة تمكين اتبع الخطوات التالية لإنشاء نهج ثابت محلي جديد حركة المرور كتلة توجيه إلى بروتوكول معين والمنفذ على تعيين جهاز كمبيوتر يستند إلى نظام التشغيل Windows 2000 نهج IPSec الموجودة:
  1. تحقق من تمكين خدمة عامل نهج IPSEC ثم بدء تشغيل في الأداة الإضافية لخدمات MMC.
  2. قم بزيارة موقع Microsoft التالي على الويب لتنزيل Ipsecpol.exe وتثبيته:
    http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361
  3. افتح موجه الأوامر ثم قم بتعيين مجلد العمل إلى المجلد حيث قمت بتثبيت Ipsecpol.exe.

    ملاحظة هو المجلد الافتراضي Ipsecpol.exe Files\Resource C:\Program مجموعة.
  4. لإنشاء نهج IPSec محلي جديد و التصفية القاعدة التي تنطبق على حركة مرور شبكة الاتصال من أي عنوان IP إلى عنوان IP للكمبيوتر يستند إلى نظام التشغيل Windows 2000 التي تقوم بتكوين استخدم الأمر التالي حيث ProtocolPortNumber ويتم المتغيرات:
    ipsecpol -w REG -p "حظر ProtocolPortNumber تصفية"-r"كتلة قاعدة PortNumberProtocol الوارد" -f * = 0: PortNumber: Protocol x– كتلة & - n
    على سبيل المثال، حظر حركة مرور شبكة الاتصال من أي IP عنوان أي منفذ للمصدر إلى الوجهة ومنفذ UDP 1434 على كمبيوتر يستند إلى نظام التشغيل Windows 2000, اكتب ما يلي. يكون هذا النهج كافية للمساعدة في حماية أجهزة الكمبيوتر التي تقوم بتشغيل Microsoft SQL Server 2000 من الفيروس المتنقل "Slammer".
    ipsecpol -w REG -p & "تصفية 1434 UDP كتلة" - r &"كتلة الواردة UDP 1434 القاعدة" -f * = 0:1434:UDP - n كتلة- x
    التالية المثال كتل الواردة الوصول إلى TCP منفذ 80 ولكن يسمح الوصول TCP 80 الصادرة. يكون هذا النهج كافية للمساعدة في حماية أجهزة الكمبيوتر التي تقوم بتشغيل Microsoft خدمات معلومات إنترنت (IIS) 5.0 من "رمز أحمر" والفيروسات المتنقلة "Nimda".
    ipsecpol -w REG -p & "حظر TCP 80 تصفية" - r &"كتلة الواردة TCP 80 القاعدة" -f * = 0:80:TCP - n كتلة- x
    ملاحظة يقوم رمز التبديل - x بتعيين النهج فوراً. إذا قمت بإدخال هذا الأمر النهج "منع UDP 1434 تصفية" غير المعينة- ويتم تعيين "حظر TCP 80 تصفية". لإضافة مع عدم تعيين النهج اكتب الأمر بدون التبديل - x في النهاية.
  5. لإضافة قاعدة تصفية إضافية إلى نهج "تصفية 1434 UDP كتلة" الموجود كتل في شبكة الاتصال حركة المرور التي تنشأ من جهاز كمبيوتر يعمل بنظام التشغيل Windows 2000 إلى أي عنوان IP استخدم الأمر التالي حيث Protocol "و" PortNumber متغيرات:
    ipsecpol -w REG -p "Protocol" الحظر "PortNumber تصفية"-r"كتلة الصادرة ProtocolPortNumber القاعدة" -f * 0 =: PortNumber: Protocol - n كتلة
    حظر أي حركة مرور شبكة الاتصال التي تنشأ من جهاز كمبيوتر يعمل بنظام التشغيل Windows 2000 توجيه إلى UDP 1434 على أي مضيف, اكتب ما يلي. يكفي هذا النهج منع أجهزة الكمبيوتر التي تستخدم SQL Server 2000 من الانتشار عبر الفيروس المتنقل "Slammer".
    ipsecpol -w REG -p "تصفية 1434 UDP كتلة" - r"كتلة الصادرة UDP 1434 القاعدة" -f 0 = *:1434:UDP n حظر
    ملاحظة يمكنك إضافة العديد من التصفية قواعد إلى نهج كما تريد باستخدام هذا الأمر (على سبيل المثال، المنافذ متعددة باستخدام نفس نهج).
  6. النهج الموجود في الخطوة 5 الآن سوف تكون سارية المفعول وتستمر سوف كل مرة يتم فيها إعادة تشغيل الكمبيوتر. على الرغم من ذلك، إذا تم تعيين نهج IPSec يستند إلى المجال إلى الكمبيوتر لاحقاً, هذا النهج المحلي سوف يتم تجاوز كما سيتم تطبيق لم تعد. للتحقق من تعيين الناجحة قاعدة التصفية, من موجه الأوامر تعيين مجلد العمل إلى أدوات Files\Support C:\Program ثم اكتب الأمر التالي:
    / debug /test:ipsec netdiag
    إذا تم تعيين نُهج لحركة المرور الواردة والصادرة كما في هذه الأمثلة ، ستظهر الرسالة التالية:
    اختبار أمان IP........ . :
    مسار نهج أمان IP 'تصفية 1434 UDP كتلة' النشطة نهج IPSec المحلي الذي تم تمريره:: SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy {D239C599-F945-47A3-A4E3-B37BC12826B9}

    هناك عوامل تصفية 2
    لا يوجد اسم
    معرف عامل التصفية: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
    معرّف النهج: {509492EA-1214-4F50-BF43-9CAC2B538518}
    عنوان Src: 0.0.0.0 قناع Src: 0.0.0.0
    عنوان الوجهة: 192.168.1.1 قناع الوجهة: 255.255.255.255
    عنوان النفق: 0.0.0.0 منفذ Src: 0 منفذ الوجهة: 1434
    TunnelFilter بروتوكول: 17: لا
    علامات: كتلة الواردة
    لا يوجد اسم
    معرف عامل التصفية: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
    معرّف النهج: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
    عنوان Src: 192.168.1.1 قناع Src: 255.255.255.255
    عنوان الوجهة: 0.0.0.0 قناع الوجهة: 0.0.0.0
    عنوان النفق: 0.0.0.0 منفذ Src: 0 منفذ الوجهة: 1434
    TunnelFilter بروتوكول: 17: لا
    علامات: كتلة الصادرة
    ملاحظة ستكون مختلفة أرقام (GUID) واجهة المستخدم الرسومية وعناوين IP. سيعكس وهي تلك جهاز كمبيوتر يعمل بنظام التشغيل Windows 2000.

إضافة قاعدة كتلة بروتوكول معين أو المنفذ

Windows Server 2003 يستند إلى نظام التشغيل Windows XP وأجهزة الكمبيوتر

لإضافة قاعدة كتلة بروتوكول معين والمنفذ على جهاز كمبيوتر يعمل بنظام التشغيل Windows Server 2003 أو يستند إلى نظام التشغيل Windows XP عليه موجودة تعيين محلياً ثابتة نهج IPSec اتبع الخطوات التالية:
  1. تثبيت IPSeccmd.exe. IPSeccmd.exe جزءاً من أدوات دعم Windows XP SP2.

    لمزيد من المعلومات حول تحميل وتثبيت Windows XP Service Pack 2 دعم أدوات انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft:
    838079أدوات دعم Windows XP Service Pack 2
  2. تحديد اسم نهج IPSec المعين حاليًا. للقيام بذلك، اكتب ما يلي في موجه الأوامر:
    netdiag /test:ipsec
    إذا تم تعيين نهج سوف تتلقى رسالة مشابهة لما يلي:
    اختبار أمان IP........ . : تمرير
    نشط نهج IPSec المحلي: 'منع UDP 1434 تصفية'
  3. إذا كان هناك نهج IPSec معيّن مسبقاً الاستخدام (المحلي أو المجال) للكمبيوتر الأمر التالي لإضافة "قاعدة تصفية حظر" إضافية إلى نهج IPSec الموجودة.

    ملاحظة في هذا الأمر Existing_IPSec_Policy_Name ، Protocol و PortNumber متغيرات.
    IPSeccmd.exe -p "الحظر"-w REG - r"Existing_IPSec_Policy_Name قاعدة PortNumberProtocol" -f * = 0: PortNumber: كتلة & - n Protocol
    على سبيل المثال، لإضافة "قاعدة تصفية" لحظر وصول الوارد إلى TCP منفذ 80 إلى تصفية 1434 UDP كتلة موجودة اكتب الأمر التالي:
    IPSeccmd.exe -p "تصفية 1434 UDP كتلة" -w REG - r "حظر TCP الواردة 80 القاعدة" -f * = كتلة & - n 0:80:TCP

أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows 2000

لإضافة قاعدة كتلة بروتوكول معين أو المنفذ على جهاز كمبيوتر يستند إلى نظام التشغيل Windows 2000 مع موجودة تعيين محلياً ثابتة نهج IPSec اتبع الخطوات التالية:
  1. قم بزيارة موقع Microsoft التالي على الويب لتنزيل Ipsecpol.exe وتثبيته:
    http://support.microsoft.com/kb/927229
  2. تحديد اسم نهج IPSec المعين حاليًا. للقيام بذلك، اكتب ما يلي في موجه الأوامر:
    netdiag /test:ipsec
    إذا تم تعيين نهج سوف تتلقى رسالة مشابهة لما يلي:
    اختبار أمان IP........ . : تمرير
    نشط نهج IPSec المحلي: 'منع UDP 1434 تصفية'
  3. إذا كان هناك نهج IPSec معيّن مسبقاً الاستخدام (المحلي أو المجال) للكمبيوتر الأمر التالي لإضافة كتلة إضافية تصفية قاعدة إلى نهج IPSec الموجودة حيث Existing_IPSec_Policy_Name و ProtocolPortNumber متغيرات:
    ipsecpol -p "Existing_IPSec_Policy_Name" -w REG - r "حظر ProtocolPortNumber القاعدة" -f * = 0: PortNumber: Protocol n حظر
    على سبيل المثال، لإضافة "قاعدة تصفية" لحظر وصول الوارد إلى TCP منفذ 80 إلى تصفية 1434 UDP كتلة موجودة اكتب الأمر التالي:
    ipsecpol -p "تصفية 1434 UDP كتلة" -w REG & - r & "منع الواردة TCP 80 القاعدة" -f * = n 0:80:TCP حظر

إضافة نهج كتلة حيوية بروتوكول معين أو المنفذ

Windows Server 2003 وأجهزة الكمبيوتر المستندة إلى نظام التشغيل Windows XP

قد تحتاج إلى مؤقتاً لمنع الوصول إلى منفذ محدد. على سبيل المثال، قد ترغب في حظر منفذ محدد حتى يمكنك تثبيت إصلاح عاجل أو إذا تم بالفعل تعيين نهج IPSec يستند إلى المجال إلى الكمبيوتر. لمنع الوصول إلى منفذ على جهاز كمبيوتر يعمل بنظام التشغيل Windows Server 2003 أو يستند إلى نظام التشغيل Windows XP بشكل مؤقت عن طريق استخدام نهج IPSec اتبع الخطوات التالية:
  1. تثبيت IPSeccmd.exe. IPSeccmd.exe جزءاً من أدوات الدعم 2 حزمة خدمة في Windows XP.

    ملاحظة سيتم تشغيل IPSeccmd.exe على Windows XP وأنظمة التشغيل Windows Server 2003 ولكن الأداة يتوفر فقط من حزمة أدوات دعم Windows XP SP2.

    لمزيد من المعلومات حول كيفية تنزيل أدوات دعم 2 حزمة خدمة في Windows XP انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft:
    838079أدوات دعم Windows XP Service Pack 2
  2. إضافة عامل تصفية كتلة حيوية يمنع كافة الحزم من أي عنوان IP إلى النظام الخاص بك عنوان IP والمنفذ المستهدفة اكتب ما يلي في موجه الأوامر.

    ملاحظة في الأمر التالي Protocol "و" PortNumber متغيرات.
    IPSeccmd.exe -f [* = 0: PortNumber: Protocol]
    ملاحظة ينشئ هذا الأمر كتلة عامل التصفية بشكل حيوي. يبقى النهج المعين طالما أن يتم تشغيل خدمة عامل نهج IPSec. في حالة إعادة تشغيل خدمة عامل نهج IPSec أو إعادة تشغيل الكمبيوتر يتم فقدان هذا النهج. إذا كنت تريد لإعادة قاعدة تصفية IPSec بشكل حيوي في كل مرة يتم فيها إعادة تشغيل النظام إنشاء برنامج نصي لبدء تشغيل "لإعادة تطبيق" قاعدة تصفية ". إذا كنت تريد بشكل دائم تطبيق عامل التصفية هذا تكوين عامل التصفية نهج IPSec ثابتة. توفر الأداة الإضافية MMC إدارة نهج IPSec واجهة مستخدم رسومية لإدارة تكوين نهج IPSec. إذا تم تطبيق نهج IPSec يستند إلى مجال بالفعل الأمر/debug /test:ipsec netdiag قد فقط إظهار تفاصيل حول عامل تصفية إذا تم تنفيذ الأمر بواسطة مستخدم لديه بيانات اعتماد مسؤول المجال.

أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows 2000

قد ترغب في حظر منفذ محدد بشكل مؤقت (على سبيل المثال، حتى يمكن تثبيت إصلاح عاجل أو إذا تم بالفعل تعيين نهج IPSec يستند إلى مجال الكمبيوتر). لمنع الوصول إلى منفذ على جهاز كمبيوتر يستند إلى نظام التشغيل Windows 2000 بشكل مؤقت عن طريق استخدام نهج IPSec اتبع الخطوات التالية:
  1. قم بزيارة موقع Microsoft التالي على الويب لتنزيل Ipsecpol.exe وتثبيته:
    http://support.microsoft.com/kb/927229
  2. لإضافة عامل تصفية كتلة حيوية يمنع كافة الحزم من أي عنوان IP إلى النظام الخاص بك عنوان IP والمنفذ المستهدف, اكتب ما يلي في موجه الأوامر، حيث ProtocolPortNumber ويتم المتغيرات:
    ipsecpol -f [* = 0: PortNumber: Protocol]
    ملاحظة هذا الأمر بإنشاء عامل التصفية كتلة بشكل حيوي ثم سيبقى المعينة النهج طالما أن يتم تشغيل خدمة عامل نهج IPSec. في حالة إعادة تشغيل الكمبيوتر أو إعادة تشغيل خدمة IPSec ستفقد هذا الإعداد. إذا كنت ترغب في إعادة تعيين قاعدة تصفية IPSec بشكل حيوي كل مرة يتم فيها إعادة تشغيل النظام إنشاء برنامج نصي لبدء تشغيل "لإعادة تطبيق" قاعدة تصفية ". إذا كنت تريد بشكل دائم تطبيق عامل التصفية هذا تكوين عامل التصفية نهج IPSec ثابتة. توفر الأداة الإضافية MMC إدارة نهج IPSec واجهة مستخدم رسومية لإدارة تكوين نهج IPSec. إذا تم تطبيق نهج IPSec يستند إلى مجال بالفعل الأمر/debug /test:ipsec netdiag قد فقط إظهار تفاصيل حول عامل تصفية إذا تم تنفيذ الأمر بواسطة مستخدم بأوراق اعتماد مسؤول المجال. سيتوفر إصدار محدث من Netdiag.exe في Windows 2000 Service Pack 4 تسمح للمسؤولين المحليين لعرض نهج IPSec يستند إلى مجال.

قواعد IPSec التصفية ونهج المجموعة

للبيئات حيث تعيين نُهج IPSec بواسطة إعداد "نهج المجموعة" لديك تحديث نهج المجال بأكمله لحظر معينة البروتوكول والمنفذ. بعد تكوين "نهج المجموعة" بنجاح إعدادات IPSec يجب فرض تحديث إعدادات "نهج المجموعة" على كافة أجهزة المستندة إلى Windows Server 2003 و يستند إلى نظام التشغيل Windows XP يستند إلى نظام التشغيل Windows 2000 الكمبيوتر في المجال. للقيام بذلك، استخدم الأمر التالي:
secedit /refreshpolicy machine_policy
سيتم الكشف عن تغيير النهج IPSec داخل أحد جهازي الفواصل الزمنية للاستقصاء مختلفة. بالنسبة لنهج IPSec معين حديثاً يتم تطبيق GPO ، سيتم تطبيق نهج IPSec إلى العملاء ضمن الوقت تعيين الفاصل الزمني للاستقصاء "نهج المجموعة" أو عند تشغيل الأمر secedit /refreshpolicy machine_policy على أجهزة الكمبيوتر العميلة. إذا تم بالفعل تعيين نهج IPSec إلى كائن نهج مجموعة عوامل تصفية IPSec جديدة أو إضافة قواعد إلى نهج موجود ، لن يجعل الأمر secedit IPSec تتعرف على تغييرات. في هذا السيناريو، لاستقصاء التعديلات على موجودة تستند إلى GPO IPSec سيتم الكشف عن نهج داخل ذلك نهج IPSec الخاص الخاصة الفاصل الزمني. يتم تحديد هذا الفاصل الزمني من علامة التبويب "عام" لذلك النهج IPSec. يمكنك أيضاً فرض تحديث إعدادات نهج IPSec قبل إعادة تشغيل خدمة عامل نهج IPSEC. إذا تم إيقاف الخدمة IPSec أو إعادة تشغيل "، سوف تتم مقاطعة الاتصالات المؤمنة بواسطة IPSec ثم سوف تستغرق عدة ثوانٍ لاستئناف. قد يتسبب هذا في اتصالات برنامج قطع الاتصال خاصة الاتصالات التي يتم نقل وحدات تخزين كبيرة من البيانات بشكل نشط. في الحالات حيث يتم تطبيق نهج IPSec على الكمبيوتر المحلي فقط ليس لديك إلى إعادة تشغيل الخدمة.

إلغاء تعيين نهج IPSec وحذفها

Windows Server 2003 يستند إلى نظام التشغيل Windows XP وأجهزة الكمبيوتر

  • أجهزة الكمبيوتر التي تتضمن نهج ثابتة تعريف محلياً
    1. افتح موجه الأوامر ثم قم بتعيين مجلد العمل إلى المجلد حيث قمت بتثبيت Ipsecpol.exe.
    2. لإلغاء عامل التصفية الذي تم إنشاؤه سابقاً, استخدم الأمر التالي:
      –y "تصفية حظر ProtocolPortNumber -p REG IPSeccmd.exe -w
      على سبيل المثال، لإلغاء تصفية 1434 UDP كتلة التي قمت بإنشائها سابقاً, استخدم الأمر التالي:
      IPSeccmd.exe -w REG -p "تصفية 1434 UDP كتلة" -y
    3. لحذف عامل تصفية قمت بإنشائه استخدم الأمر التالي:
      IPSeccmd.exe -w REG -p "Protocol" الحظر "PortNumber تصفية"-r"حظر ProtocolPortNumber قاعدة" –o
      على سبيل المثال، لحذف "منع UDP 1434 تصفية" عامل التصفية ثم كل من القواعد التي قمت بإنشائها استخدم الأمر التالي:
      IPSeccmd.exe -w REG -p "تصفية 1434 UDP كتلة" - r "منع UDP الواردة 1434 القاعدة"-r"كتلة قاعدة 1434 UDP الصادرة" -o
  • أجهزة الكمبيوتر التي تتضمن نهج حيوية تعريف محلياً
    نهج IPSec حيوية unapplied إذا تم إيقاف تشغيل خدمة عامل نهج IPSec باستخدام الأمر net stop policyagent. لحذف أوامر معينة التي تم استخدامها دون إيقاف خدمة عامل نهج IPSec اتبع الخطوات التالية:
    1. افتح موجه الأوامر ثم قم بتعيين مجلد العمل إلى المجلد حيث تم تثبيت أدوات دعم 2 حزمة خدمة في Windows XP.
    2. اكتب الأمر التالي:
      IPSeccmd.exe –u
      ملاحظة يمكنك أيضاً إعادة تشغيل خدمة عامل نهج IPSec إلى مسح كافة نُهج تعيين حيوي.

أجهزة الكمبيوتر التي تعمل بنظام التشغيل Windows 2000

  • أجهزة الكمبيوتر مع نهج ثابتة تعريف محلياً
    1. افتح موجه الأوامر ثم قم بتعيين مجلد العمل إلى المجلد حيث قمت بتثبيت Ipsecpol.exe.
    2. لإلغاء عامل التصفية الذي تم إنشاؤه سابقاً, استخدم الأمر التالي:
      –y "تصفية PortNumber حظر Protocol -p REG ipsecpol -w
      على سبيل المثال، لإلغاء تصفية 1434 UDP كتلة التي قمت بإنشائها سابقاً, استخدم الأمر التالي:
      ipsecpol -w REG -p "تصفية 1434 UDP كتلة" -y
    3. لحذف عامل تصفية قمت بإنشائه استخدم الأمر التالي:
      ipsecpol -w REG -p "Protocol" الحظر "PortNumber تصفية"-r"حظر ProtocolPortNumber قاعدة" –o
      على سبيل المثال، لحذف "منع UDP 1434 تصفية" عامل التصفية ثم القاعدتين تم إنشاؤه سابقاً استخدم الأمر التالي:
      ipsecpol -w REG -p "تصفية 1434 UDP كتلة" - r "كتلة الواردة UDP 1434 القاعدة" - r "كتلة الصادرة UDP 1434 القاعدة" -o
  • أجهزة الكمبيوتر مع نهج حيوية تعريف محلياً

    سيتم unapplied نهج IPSec حيوية إذا تم إيقاف تشغيل خدمة عامل نهج IPSec (باستخدام الأمر net stop policyagent). ومع ذلك، لحذف أوامر معينة التي تم استخدامها مسبقًا بدون إيقاف تشغيل عامل نهج IPSec خدمة ، باتباع الخطوات التالية:
    1. افتح موجه الأوامر ثم قم بتعيين مجلد العمل إلى المجلد حيث قمت بتثبيت Ipsecpol.exe.
    2. اكتب الأمر التالي:
      Ipsecpol –u
      ملاحظة قد أيضاً إعادة تشغيل خدمة عامل نهج IPSec إلى مسح كافة نُهج تعيين حيوي.

تطبيق القاعدة الجديدة عامل التصفية على كافة البروتوكولات والمنافذ

بشكل افتراضي في Microsoft Windows 2000 و Windows XP exempts IPSec حركة مرور البث و المتعدد RSVP IKE و Kerberos من كافة قيود تصفية "و" المصادقة. للحصول على معلومات إضافية حول هذه استثناءات انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft:
253169يتم تأمين حركة المرور التي يمكن--لا يمكن--بواسطة IPSec
حيث يتم استخدام IPSec السماح و حظر حركة مرور إزالة استثناءات Kerberos لبروتوكولات RSVP عن طريق تغيير قيمة تسجيل. للحصول على إرشادات كاملة حول كيفية القيام بذلك، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft:
254728لا يؤمن IPSec Kerberos حركة المرور بين "وحدات تحكم المجال"
باتباع هذه الإرشادات يمكنك المساعدة على حماية 1434 UDP حتى في الحالات حيث قد المهاجمين تعيين المنفذ المصدر الخاصة بها إلى Kerberos منافذ TCP/UDP 88. عن طريق إزالة استثناءات Kerberos ، سيتم الآن أن تتطابق الحزم Kerberos مع كافة عوامل التصفية في نهج IPSec. لذلك، Kerberos يمكن تأمين داخل IPSec, حظر أو المسموح بها. لذلك، في حالة تطابق عوامل تصفية IPSec حركة مرور Kerberos الانتقال إلى عناوين IP وحدة تحكم المجال قد تحتاج إلى تغيير تصميم نهج IPSec لإضافة عوامل تصفية جديدة للسماح بحركة مرور Kerberos إلى كل عنوان IP وحدة تحكم المجال (في حالة عدم استخدام IPSec للمساعدة في تأمين كافة حركة المرور بين وحدات التحكم بالمجال كـ معارف توضح المقالة 254728).

إعادة تشغيل التطبيق قواعد عامل تصفية IPSec على الكمبيوتر

كافة نُهج IPSec تعتمد على خدمة عامل نهج IPSec تعيين. عند جهاز كمبيوتر يعمل بنظام التشغيل Windows 2000 من عملية بدء تشغيل خدمة عامل نهج IPSEC ليس بالضرورة أن يكون الخدمة الأولى لبدء. لذلك، قد يكون هناك لحظة مختصراً عندما يكون اتصال الشبكة الموجود على الكمبيوتر عرضة لهجمات بفيروس أو فيروس متنقل. يتم تطبيق هذا الموقف فقط في الحالة حيث تم بنجاح بدء تشغيل خدمة محتمل ثم قبول الاتصال قبل بشكل كامل تم بدء تشغيل خدمة عامل نهج IPSEC ويتم تعيين كافة النُهج.

الخصائص

معرف المقالة: 813878 - تاريخ آخر مراجعة: 10/صفر/1428 - مراجعة: 6.2
تنطبق على
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
كلمات أساسية: 
kbmt kbhowto KB813878 KbMtar
ترجمة آلية
هام: تمت ترجمة هذا المقال باستخدام برنامج ترجمة آلية لشركة مايكروسوفت بدلاً من الاستعانة بمترجم بشري. تقدم شركة مايكروسوفت كلاً من المقالات المترجمة بواسطة المترجمين البشر والمقالات المترجمة آليًا وبالتالي ستتمكن من الوصول إلى كل المقالات الموجودة في قاعدة المعرفة الخاصة بنا وباللغة الخاصة بك. بالرغم من ذلك، فإن المقالة المترجمة آليًا لا تكون دقيقة دائمًا وقد تحتوي على أخطاء إملائية أو لغوية أو نحوية، مثل تلك الأخطاء الصادرة عن متحدث أجنبي عندما يتحدث بلغتك. لا تتحمل شركة مايكروسوفت مسئولية عدم الدقة أو الأخطاء أو الضرر الناتج عن أية أخطاء في ترجمة المحتوى أو استخدامه من قبل عملائنا. تعمل شركة مايكروسوفت باستمرار على ترقية برنامج الترجمة الآلية
اضغط هنا لرابط المقالة باللغة الانجليزية813878

إرسال ملاحظات

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com