Jak blokovat konkrétní síťové protokoly a porty pomocí protokolu IPSec

Překlady článku Překlady článku
ID článku: 813878 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Může být protokol IPSec (IPSec) pravidla filtrování slouží k ochraně počítače systému Windows 2000, Windows XP a Windows Server 2003 před útoky ze sítě před zdroji ohrožení jako viry a červy. Tento článek popisuje, jak filtrovat kombinace port pro příchozí i odchozí síťový a konkrétní protokol provoz. Obsahuje kroky, zda jsou všechny zásady protokolu IPSec aktuálně přiřazené do počítače systém Windows 2000, Windows XP nebo Windows Server 2003 pro vytvoření a přiřazení nové zásady IPSec a postup zrušení přiřazení a odstranění protokolu IPSec zásady.

Další informace

Zásady protokolu IPSec lze použít místně nebo u člen domény jako součást zásady skupiny příslušné domény. Místní, protokol IPSec zásady mohou být statické (trvale po restartování) nebo dynamické (volatile). Statické zásady protokolu IPSec jsou zapsány do místní registru a přetrvávají po restartování operačního systému. Dynamic IPSec zásady nejsou trvale zapsána do registru a jsou odstraněny, pokud Po restartování operačního systému nebo službu Agent zásad IPSec.

Důležité Tento článek obsahuje informace o úpravě registru pomocí nástroje Ipsecpol.exe. Před úpravou registru, přesvědčte se, zda víte, jak obnovit v případě, že k potížím dochází. Informace o zálohování, obnovit a úpravách registru získáte zobrazení článek znalostní báze Microsoft Knowledge Base:
256986 Popis Microsoft Registr systému Windows
Poznámka: Pravidla filtru protokolu IPSec může způsobit ztrátu dat, síťové programy a reagovat na požadavky sítě, včetně selhání ověření uživatelé. Použít pravidla filtru protokolu IPSec jako poslední možnost a pouze po obranný opatření Vymazat porozumět vlivu, který blokování určitých portů bude mít ve vašem prostředí. Pokud zásady protokolu IPSec, které vytvoříte pomocí kroků, jsou uvedeny v tomto článku má nežádoucí účinky na síťové programy naleznete v tématu v části "Zrušit přiřazení a odstranit IPSec Policy" dále v tomto článku Pokyny k okamžitě zakázat a odstranit.

Určení, zda je přiřazena zásada protokolu IPSec

Windows Server 2003 počítačů

Před vytvořením nebo Windows přiřadit libovolné nové zásady protokolu IPSec Počítače serveru 2003, určete, zda jsou všechny zásady IPSec, přičemž použito v místním registru nebo prostřednictvím Zásady skupiny objekt GPO. Postupujte takto:
  1. Nainstalujte nástroj Netdiag.exe spuštěním z disku CD-ROM systému Windows Server 2003 Suptools.msi ze složky Support\Tools.
  2. Otevřete okno příkazového řádku a nastavte pracovní složky C:\Program Files\Support Tools.
  3. Spuštěním následujícího příkazu ověřte, že není existující zásady protokolu IPSec již přiřazena k počítači:
    Netdiag / test: IPSec
    Pokud není přiřazena žádná zásada, obdržíte následující zpráva:
    Zabezpečení protokolu IP test........ . : Předán Služba zásady protokolu IPSec je aktivní, ale není přiřazena žádná zásada.

Windows XP počítačů

Před vytvořením nebo Windows přiřadit libovolné nové zásady protokolu IPSec V počítači se systémem XP zjistěte, zda jsou všechny zásady IPSec, přičemž použito v místním registru nebo pomocí objektu zásad skupiny. Chcete-li postupujte takto:
  1. Nainstalujte nástroj Netdiag.exe spuštěním z disku CD-ROM systému Windows XP Soubor Setup.exe ze složky Support\Tools.
  2. Otevřete okno příkazového řádku a nastavte pracovní složky C:\Program Files\Support Tools.
  3. Spuštěním následujícího příkazu ověřte, že není existující zásady protokolu IPSec již přiřazena k počítači:
    Netdiag / test: IPSec
    Pokud není přiřazena žádná zásada, obdržíte následující zpráva:
    Zabezpečení protokolu IP test........ . : Předán Služba zásady protokolu IPSec je aktivní, ale není přiřazena žádná zásada.

Počítače se systémem Windows 2000

Před vytvořením nebo Windows přiřadit libovolné nové zásady protokolu IPSec v počítači se systémem 2000 zjistěte, zda jsou všechny zásady IPSec, přičemž použito v místním registru nebo pomocí objektu zásad skupiny. Postupujte takto:
  1. Nainstalujte nástroj Netdiag.exe spuštěním z disku CD-ROM systému Windows 2000 Soubor Setup.exe ze složky Support\Tools.
  2. Otevřete okno příkazového řádku a nastavte pracovní složky C:\Program Files\Support Tools.
  3. Spuštěním následujícího příkazu ověřte, že není existující zásady protokolu IPSec již přiřazena k počítači:
    Netdiag / test: IPSec
    Pokud není přiřazena žádná zásada, obdržíte následující zpráva:
    Zabezpečení protokolu IP test........ . : Předán Služba zásady protokolu IPSec je aktivní, ale není přiřazena žádná zásada.

Vytvoření statické zásady pro blokování přenosu

Windows Server 2003 a Windows XP

Nové místní statické zásady blokování přenosu, který je vytvořte systémy, které nemají místně definované zásady protokolu IPSec povolena, směrované do určitého protokolu a konkrétní port na serveru se systémem Windows Server 2003 a Windows XP podle počítače. Postupujte takto:
  1. Ověřte, zda je povolena služba Agent zásad protokolu IPSec a spuštění modulu snap-in služby konzoly MMC.
  2. Nástroj IPSeccmd.exe nainstalujte. Nástroj IPSeccmd.exe je součástí nástrojů podpory systému Windows XP Service Pack 2 (SP2).

    Poznámka: Bude spuštěn nástroj IPSeccmd.exe na operačním systému Windows Server 2003 a Windows XP, ale tento nástroj je k dispozici balíček nástrojů podpory systému Windows XP SP2.

    Další informace o stažení a instalaci nástroje podpory systému Windows XP Service Pack 2 získáte v článku znalostní báze Microsoft Knowledge Base:
    838079Nástroje podpory systému Windows XP Service Pack 2
  3. Otevřete okno příkazového řádku a nastavte pracovní složku složky, kam jste nainstalovali nástroje odborné pomoci pro aktualizaci Windows XP Service Pack 2.

    Poznámka: Výchozí složka pro nástroje podpory systému Windows XP SP2 je C:\Program Files\Support Tools.
  4. Chcete-li vytvořit novou místní zásady protokolu IPSec a filtrování pravidlo platí pro síťové přenosy z jakékoli adresy IP na adresu IP počítače systémem Windows Server 2003 nebo Windows XP, který konfigurujete, použijte následující příkaz.

    Poznámka: V následujícím příkazu Protokol a Číslo_portu jsou proměnné.
    IPSeccmd.exe -w REG -p "Block ProtokolČíslo_portu Filtr"- r "Blokovat příchozí ProtokolČíslo_portu Pravidlo"-f * = 0:Číslo_portu:Protokol -n BLOKOVAT –x
    Například chcete zablokovat síťovou komunikaci z jakékoli adresy IP Adresa a žádné zdrojový port Cílový port UDP 1434 v počítači se systémem Windows Server 2003 nebo Windows XP, zadejte následující příkaz. Tato zásada je dostatečná k ochraně počítače se systémem Microsoft SQL Server 2000 z "Slammer" červ.
    IPSeccmd.exe -w REG -p "Block UDP "Blokovat příchozí UDP 1434 Rule" - r 1434 filtr"-f * = 0:1434:UDP - n BLOCK -x
    Následující příklad blokuje příchozí přístup TCP port 80 ale stále umožňuje přístup pro odchozí připojení TCP 80. Tato zásada je dostačující ochraně počítačů se systémem Internetová informační služba (IIS) 5.0 červ "Code Red" a "Nimda" červ.
    IPSeccmd.exe -w REG -p "Block TCP 80 filtr" - r "Block Inbound TCP Pravidlo 80"-f * = 0:80:TCP - n BLOCK - x
    Poznámka: Na -x přepínač okamžitě přiřadí zásady. Pokud zadáte tento příkaz zásada "Blok UDP 1434 filtr" je zrušeno a "Blok TCP 80 filtr" je přiřazena. Přidání zásady, ale nikoli přiřaďte zásadu, zadejte příkaz bez -x Přepnout na konci.
  5. Přidat další filtrování pravidlo do stávajícího bloku" UDP 1434 filtr"zásadu, která blokuje síťovou komunikaci pocházející z počítače se systémem Windows Server 2003 nebo Windows XP libovolnou adresu IP použít následující příkaz.

    Poznámka: V tomto příkazu Protokol aČíslo_portu proměnné jsou:
    IPSeccmd.exe -w REG -p "Block ProtokolČíslo_portuFiltr"- r"Block, odchozí ProtokolČíslo_portu Rule"-f * 0 =:Číslo_portu:Protokol -n BLOCK
    Například blokovat provoz sítě, který pochází z počítače systémem Windows Server 2003 nebo Windows XP, který je přesměrován do UDP 1434 ostatní hostitele zadejte následující: Tato zásada je zabránit dostatečné počítače se systémem SQL Server 2000 šíření červa "Slammer".
    IPSeccmd.exe -w REG -p "Block UDP 1434 Filtr"- r"Block Outbound UDP 1434 pravidlo"-f 0 = *:1434:UDP - n BLOK
    Poznámka: Můžete přidat tolik filtrování pravidla zásady libovolný Pomocí tohoto příkazu. Můžete například použít tento příkaz blokovat více portů pomocí stejné zásady.
  6. Nyní bude platná zásada v kroku 5 a bude trvat Při každém restartování počítače. Avšak pokud je zásada protokolu IPSec založené na doméně později přiřazenými danému počítači, tento místní zásady bude přepsán a bude nadále nepoužije.

    Ověření úspěšné přiřazení pravidla filtrování, nastavte pracovní složku C:\Program Files\Support Tools na do příkazového řádku a potom zadejte následující příkaz:
    netdiag/test: IPSec/Debug
    Pokud zásady pro oba příchozí a odchozí přenosy jsou přiřazeny jako příklady, zobrazí se následující zpráva:
    Zabezpečení protokolu IP test........ . :
    Předaná místní Aktivní zásady protokolu IPSec: Cesta zásad zabezpečení protokolu IP "Filtr blokování UDP 1434": SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy {D239C599-F945-47A3-A4E3-B37BC12826B9}

    2 Filtry
    Žádný název
    Id filtru: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
    Id zásady: {509492EA-1214-4F50-BF43-9CAC2B538518}
    ADR: 0.0.0.0 maska Src: 0.0.0.0
    DEST Addr: 192.168.1.1 Dest Mask: 255.255.255.255.
    Tunelové propojení Adresa: 0.0.0.0 zdrojový Port: 0 cílový Port: 1434
    Protokol: 17 TunnelFilter: Ne
    Příznaky: Blokovat příchozí
    Žádný název
    Id filtru: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
    Id zásady: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
    ADR: 192.168.1.1 maska Src: 255.255.255.255.
    DEST Addr: 0.0.0.0 Dest Mask: 0.0.0.0
    Addr tunelového propojení : 0.0.0.0 Zdrojový Port: 0 cílový Port: 1434
    Protokol: 17 TunnelFilter: Ne
    Příznaky: Blokovat odchozí
    Poznámka: Adresy IP a čísla grafické uživatelské rozhraní (GUID) být různé v závislosti na počítače se systémem Windows Server 2003 nebo Windows XP.

Počítače se systémem Windows 2000

Systémy bez místně definované zásady protokolu IPSec povolena postupujte Tyto kroky pro vytvoření nové místní statické zásady pro blokování přenosu, který je směrované do určitého protokolu a portu v počítači se systémem Windows 2000 bez zásad protokolu IPSec přiřazená
  1. Ověřte, zda je povolena služba Agent zásad protokolu IPSec a spuštění modulu snap-in služby konzoly MMC.
  2. Navštivte následující Web společnosti Microsoft stáhněte a Nainstalujte nástroj Ipsecpol.exe:
    http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361
  3. Otevřete okno příkazového řádku a nastavte pracovní složku složky, kam jste nainstalovali nástroj Ipsecpol.exe.

    Poznámka: Výchozí složka pro nástroj Ipsecpol.exe je C:\Program Files\Resource Kit.
  4. Chcete-li vytvořit novou místní zásady protokolu IPSec a filtrování pravidlo platí pro síťové přenosy z jakékoli adresy IP na adresu IP systému Windows počítač se systémem 2000, který konfigurujete, použijte následující příkaz, kdeProtokol a Číslo_portu jsou proměnné:
    ipsecpol -w REG -p "Block ProtokolČíslo_portu Filtr"- r "Blokovat příchozí ProtokolČíslo_portu Pravidlo"-f * = 0:Číslo_portu:Protokol -n BLOKOVAT –x
    Například chcete zablokovat síťovou komunikaci z jakékoli adresy IP Adresa a žádné zdrojový port Cílový port UDP 1434 na Windows v počítači se systémem 2000 zadejte následující: Tato zásada je dostatečná k ochraně počítače se systémem Microsoft SQL Server 2000 z "Slammer" červ.
    ipsecpol -w REG -p "Block UDP "Blokovat příchozí UDP 1434 Rule" - r 1434 filtr"-f * = 0:1434:UDP - n BLOCK -x
    Následující příklad blokuje příchozí přístup TCP port 80 ale stále umožňuje přístup pro odchozí připojení TCP 80. Tato zásada je dostačující ochraně počítačů se systémem Internetová informační služba (IIS) 5.0 z "Code Red" a "Nimda" červy.
    ipsecpol -w REG -p "Block TCP 80 filtr" - r "blokovat příchozí TCP Pravidlo 80"-f * = 0:80:TCP - n BLOCK - x
    Poznámka: Přepínače - x přiřadí zásady okamžitě. Pokud zadáte tento příkaz zásada "Blok UDP 1434 filtr" je zrušeno a "Blok TCP 80 filtr" je přiřazena. Pokud chcete přidat, ale není přiřaďte zásadu, zadejte příkaz bez přepínače - x na konci.
  5. Přidat další filtrování pravidlo do stávajícího bloku" Použít filtr UDP 1434"zásadu, která blokuje síťové přenosy z počítače se systémem Windows 2000 na libovolnou adresu IP následující příkaz, kde Protokol aČíslo_portu proměnné jsou:
    ipsecpol -w REG -p "Block ProtokolČíslo_portuFiltr"- r"Block, odchozí ProtokolČíslo_portu Rule"-f * 0 =:Číslo_portu:Protokol -n BLOCK
    Například blokovat provoz sítě, který pochází z počítače se systémem Windows 2000, který je přesměrován do UDP 1434 ostatní hostitele zadejte následující: Tato zásada je dostatečná k zabránění počítače se systémem SQL Server 2000 šíření červa "Slammer".
    ipsecpol -w REG -p "Block UDP 1434 Filtr"- r"Block Outbound UDP 1434 pravidlo"-f 0 = *:1434:UDP - n BLOK
    Poznámka: Můžete přidat tolik filtrování pravidla zásady libovolný Pomocí tohoto příkazu (například blokovat více portů pomocí stejné zásady).
  6. Nyní bude platná zásada v kroku 5 a bude trvat Při každém restartování počítače. Avšak pokud je zásada protokolu IPSec založené na doméně později přiřazenými danému počítači, tento místní zásady bude přepsán a bude nadále nepoužije. Ověření úspěšné přiřazení pravidla filtrování na příkazový řádek nastavte pracovní složku C:\Program Files\Support Tools a potom zadejte následující příkaz:
    netdiag/test: IPSec/Debug
    Pokud v těchto příkladech zásady pro oba příchozí a odchozí přenosy jsou přiřazeny, zobrazí se následující zpráva:
    Zabezpečení protokolu IP test........ . :
    Předaná místní Aktivní zásady protokolu IPSec: Cesta zásad zabezpečení protokolu IP "Filtr blokování UDP 1434": SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy {D239C599-F945-47A3-A4E3-B37BC12826B9}

    2 Filtry
    Žádný název
    Id filtru: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
    Id zásady: {509492EA-1214-4F50-BF43-9CAC2B538518}
    ADR: 0.0.0.0 maska Src: 0.0.0.0
    DEST Addr: 192.168.1.1 Dest Mask: 255.255.255.255.
    Tunelové propojení Adresa: 0.0.0.0 zdrojový Port: 0 cílový Port: 1434
    Protokol: 17 TunnelFilter: Ne
    Příznaky: Blokovat příchozí
    Žádný název
    Id filtru: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
    Id zásady: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
    ADR: 192.168.1.1 maska Src: 255.255.255.255.
    DEST Addr: 0.0.0.0 Dest Mask: 0.0.0.0
    Addr tunelového propojení : 0.0.0.0 Zdrojový Port: 0 cílový Port: 1434
    Protokol: 17 TunnelFilter: Ne
    Příznaky: Blokovat odchozí
    Poznámka: Adresy IP a čísla grafické uživatelské rozhraní (GUID) lišit. Bude odrážejí ty počítače se systémem Windows 2000.

Přidat pravidlo blokování pro určitý protokol a port

Windows Server 2003 a Windows XP

Přidat pravidlo blokování pro určitý protokol a port v systému Windows Server 2003 nebo systémem Windows XP počítač s existující místně přiřazena statická zásady protokolu IPSec, postupujte takto:
  1. Nástroj IPSeccmd.exe nainstalujte. Nástroj IPSeccmd.exe je součástí nástrojů podpory systému Windows XP SP2.

    Další informace o stažení a instalaci nástroje podpory systému Windows XP Service Pack 2 získáte v článku znalostní báze Microsoft Knowledge Base:
    838079Nástroje podpory systému Windows XP Service Pack 2
  2. Určete název aktuálně přiřazené zásady protokolu IPSec. Provedete, zadejte na příkazovém řádku následující příkaz:
    netdiag/test: IPSec
    Pokud je zásada přiřazena, zobrazí se zpráva která je podobná následující:
    Zabezpečení protokolu IP test....... . . : Předán
    Místní aktivní zásady protokolu IPSec: "blok UDP 1434 Filtr "
  3. Pokud již obsahuje zásady protokolu IPSec přiřazené počítače (místní nebo domény), použijte následující příkaz přidat další pravidlo filtru blokování existující zásady protokolu IPSec.

    Poznámka: V tomto příkazu Existing_IPSec_Policy_Name,Protokol, a Číslo_portu jsou proměnné.
    IPSeccmd.exe -p "Existing_IPSec_Policy_Name"-w REG - r"BlockProtokolČíslo_portu Pravidlo"-f * = 0:Číslo_portu:Protokol -n BLOK
    Například přidat příchozí pravidlo filtru blokování přístup k portu TCP 80 do existujícího filtru blokování UDP 1434, zadejte následující příkaz příkaz:
    IPSeccmd.exe -p "Block UDP 1434 filtr" -w REG - r "blokovat příchozí TCP 80 pravidlo" -f * = 0:80:TCP - n BLOK

Systém Windows počítače 2000

Přidat pravidlo blokování pro určitý protokol a port v systému Windows počítač se systémem 2000 s existující místně přiřazena statická zásady protokolu IPSec, postupujte takto:
  1. Navštivte následující Web společnosti Microsoft stáhněte a Nainstalujte nástroj Ipsecpol.exe:
    http://support.microsoft.com/kb/927229
  2. Určete název aktuálně přiřazené zásady protokolu IPSec. Provedete, zadejte na příkazovém řádku následující příkaz:
    netdiag/test: IPSec
    Pokud je zásada přiřazena, zobrazí se zpráva která je podobná následující:
    Zabezpečení protokolu IP test....... . . : Předán
    Místní aktivní zásady protokolu IPSec: "blok UDP 1434 Filtr "
  3. Pokud již obsahuje zásady protokolu IPSec přiřazené počítače (místní nebo domény), použijte následující příkaz přidat další blok filtrování pravidlo stávající zásady protokolu IPSec, kdeExisting_IPSec_Policy_Name,Protokol, a Číslo_portu jsou proměnné:
    ipsecpol -p "Existing_IPSec_Policy_Name"-w REG - r"BlockProtokolČíslo_portu Pravidlo"-f * = 0:Číslo_portu:Protokol -n BLOK
    Například přidat příchozí pravidlo filtru blokování přístup k portu TCP 80 do existujícího filtru blokování UDP 1434, zadejte následující příkaz příkaz:
    ipsecpol -p "Block UDP 1434 filtr" -w REG - r "blokovat příchozí TCP 80 pravidlo" -f * = 0:80:TCP - n BLOK

Přidání zásady dynamického bloku pro určitý protokol a port

Windows Server 2003 a v počítačích se systémem Windows XP

Chcete dočasně zablokovat přístup k určitému portu. Například můžete chtít blokovat konkrétní port, dokud nenainstalujete opravu hotfix nebo doménového Zásady protokolu IPSec je již přiřazena k počítači. Dočasně zablokovat přístup k portu v počítači pomocí zásady protokolu IPSec založené na systému Windows Server 2003 nebo Windows XP postupujte kroky:
  1. Nástroj IPSeccmd.exe nainstalujte. Nástroj IPSeccmd.exe je součástí nástroje podpory systému Windows XP Service Pack 2.

    Poznámka: Bude spuštěn nástroj IPSeccmd.exe na operačním systému Windows Server 2003 a Windows XP, ale tento nástroj je k dispozici balíček nástrojů podpory systému Windows XP SP2.

    Další informace o stažení a instalaci nástroje podpory systému Windows XP Service Pack 2 získáte v článku znalostní báze Microsoft Knowledge Base:
    838079Nástroje podpory systému Windows XP Service Pack 2
  2. Přidat dynamický filtr blokování, který zablokuje všechny pakety z Jakákoli adresa IP adresu IP vašeho systému a cílový port typu následující na příkazovém řádku.

    Poznámka: V následujícím příkazu Protokol aČíslo_portu jsou proměnné.
    IPSeccmd.exe -f [*=0:Číslo_portu:Protokol]
    Poznámka: Tento příkaz vytvoří dynamicky blok filtru. Co se službou Agent zásad protokolu IPSec zůstane přiřazena zásada. Pokud restartování služby Agent zásad protokolu IPSec nebo restartování počítače, tato zásada je ztracena. Pokud chcete dynamicky přiřadit pravidla filtrování IPSec každých čas restartování systému, vytvořit spouštěcí skript znovu použít filtr Pravidlo. Pokud chcete trvale aplikovat filtr, nakonfigurovat filtr jako statické zásady protokolu IPSec. Modul snap-in konzoly MMC Správa zásad protokolu IPSec poskytuje grafické uživatelské rozhraní pro správu konfigurace zásad protokolu IPSec. Pokud zásady protokolu IPSec založené na doméně je již použita, netdiag/test: IPSec/Debug příkaz může zobrazit pouze podrobnosti filtru je příkaz provést uživatel, který má pověření správce domény.

Počítače se systémem Windows 2000

Chcete blokovat konkrétní port dočasně (například dokud opravu hotfix lze nainstalovat, nebo pokud doménového Zásady protokolu IPSec je již přiřazena k počítači). Dočasně zablokovat přístup portu v počítači se systémem Windows 2000 pomocí zásad protokolu IPSec postupujte kroky:
  1. Navštivte následující Web společnosti Microsoft stáhněte a Nainstalujte nástroj Ipsecpol.exe:
    http://support.microsoft.com/kb/927229
  2. Přidat dynamický filtr blokování, který zablokuje všechny pakety z Jakákoli adresa IP adresu IP vašeho systému a cílový port typu následujícího příkazového řádku, kde Protokol aČíslo_portu proměnné jsou:
    ipsecpol -f [*=0:Číslo_portu:Protokol]
    Poznámka: Tento příkaz vytvoří dynamicky, blok filtru a zásady zůstanou přiřazené jako se službou Agent zásad IPSec. Pokud restartování služby IPSec nebo po restartování počítače, bude toto nastavení ke ztrátě. Pokud chcete dynamicky přiřadit pravidla filtrování IPSec každých čas restartování systému vytvořit spouštěcí skript znovu použít filtr Pravidlo. Pokud chcete trvale aplikovat filtr, nakonfigurovat filtr jako statické zásady protokolu IPSec. Modul snap-in konzoly MMC Správa zásad protokolu IPSec poskytuje grafické uživatelské rozhraní pro správu konfigurace zásad protokolu IPSec. Pokud zásady protokolu IPSec založené na doméně je již použita, netdiag/test: IPSec/Debug příkaz může zobrazit pouze podrobnosti filtru je příkaz provést uživatel s pověřeními správce domény. Aktualizovanou verzi Nástroj Netdiag.exe k dispozici v systému Windows 2000 Service Pack 4, která umožní místní správci zobrazení zásady protokolu IPSec založené na doméně.

Pravidla filtrování protokolu IPSec a Zásady skupiny

Prostředí, kde jsou zásady protokolu IPSec přiřazena skupina Zásady nastavení, musíte aktualizovat na celé domény zásady blokování konkrétní protokol a port. Po konfiguraci úspěšně Zásady skupiny Nastavení protokolu IPSec musí vynutit obnovení nastavení Zásady skupiny všechny počítače systému Windows Server 2003, Windows XP a Windows 2000 v doméně. To provedete pomocí následující příkaz:
secedit/refreshpolicy machine_policy
Změna zásad protokolu IPSec budou zjištěny v rámci jedné dva různé intervaly dotazování. Nově přiřazené, zásady protokolu IPSec použit objekt zásad skupiny, zásady protokolu IPSec se použijí pro klienty v rámci nastavit čas pro interval dotazování Zásady skupiny nebo kdy secedit/refreshpolicy machine_policy příkaz je spuštěn v klientských počítačích. Pokud je zásada protokolu IPSec již přiřazen k objektu zásad skupiny a nové filtry protokolu IPSec nebo při přidávání pravidla stávající zásady secedit příkaz nepoužijí rozpoznat změny protokolu IPSec. V tomto scénáři Úpravy existující zásady protokolu IPSec založené na objekt zásad skupiny bude detekována uvnitř že zásada protokolu IPSec na vlastní interval dotazování. Tento interval je zadán na Obecné Karta pro tuto zásadu protokolu IPSec. Můžete vynutit obnovení Nastavení zásad protokolu IPSec restartováním služby Agent zásad IPSec. Pokud Zastavení nebo restartování služby IPSec, bude komunikace zabezpečená pomocí protokolu IPSec přerušena a bude trvat několik sekund pokračovat. To může způsobit program připojení, které chcete odpojit, a to zejména pro připojení, které převádíte aktivně velké objemy dat V situacích, kdy zásada IPSec používá pouze v místní počítač není nutné restartovat službu.

Zrušit přiřazení a odstranění zásady protokolu IPSec

Windows Server 2003 a Windows XP

  • Počítačů statické zásadami definovanými místně
    1. Otevřete příkazový řádek a poté nastavte pracovní složky do složky, kam jste nainstalovali nástroj Ipsecpol.exe.
    2. Zrušit přiřazení filtr, který jste vytvořili dříve, použijte následující příkaz:
      IPSeccmd.exe -w REG -p "Block ProtokolČíslo_portu –Y filtr"
      Například zrušit přiřazení UDP 1434 blok filtru který jste vytvořili dříve, použijte následující příkaz:
      IPSeccmd.exe -w REG -p "Block UDP 1434 Filtr"-y
    3. Odstranit filtr, který jste vytvořili, použít následující příkaz:
      IPSeccmd.exe -w REG -p "Block ProtokolČíslo_portuFiltr"- r"Block ProtokolČíslo_portu –O pravidlo"
      Například odstranit "Blok UDP 1434 filtr" Filtr a obě pravidla, které jste vytvořili, použijte následující příkaz:
      IPSeccmd.exe -w REG -p "Block UDP 1434 filtr" - r "Block Příchozí pravidlo UDP 1434"- r"Block Outbound UDP 1434 pravidlo"-o
  • Počítače, které mají místně definované zásady dynamického
    Dynamické zásady protokolu IPSec je zrušeno, pokud IPSec Zastavení služby Agent zásad pomocí net stop policyagent příkaz. Chcete-li odstranit určité příkazy, které byly použity bez zastavení služby Agent zásad IPSec, následujícím způsobem:
    1. Otevřete příkazový řádek a poté nastavte pracovní složky do složky, kam jste nainstalovali nástroje podpory systému Windows XP Service Pack 2.
    2. Zadejte následující příkaz:
      Nástroj IPSeccmd.exe –u
      Poznámka: Můžete také restartovat službu Agent zásad IPSec zrušte všechny dynamicky přiřazené zásady.

Počítače se systémem Windows 2000

  • Počítače s místně definované zásady statické
    1. Otevřete příkazový řádek a poté nastavte pracovní složky do složky, kam jste nainstalovali nástroj Ipsecpol.exe.
    2. Zrušit přiřazení filtr, který jste vytvořili dříve, použijte následující příkaz:
      ipsecpol -w REG -p "Block ProtokolČíslo_portu –Y filtr"
      Například zrušit přiřazení UDP 1434 blok filtru který jste vytvořili dříve, použijte následující příkaz:
      ipsecpol -w REG -p "Block UDP 1434 Filtr"-y
    3. Odstranit filtr, který jste vytvořili, použít následující příkaz:
      ipsecpol -w REG -p "Block ProtokolČíslo_portuFiltr"- r"Block ProtokolČíslo_portu –O pravidlo"
      Například odstranit "Blok UDP 1434 filtr" Filtr a obě pravidla, které jste vytvořili dříve, použijte následující příkaz:
      ipsecpol -w REG -p "Block UDP 1434 filtr" - r "Block Příchozí pravidlo UDP 1434"- r"Block Outbound UDP 1434 pravidlo"-o
  • Počítače s místně definované zásady dynamického

    Dynamické zásady protokolu IPSec bude zrušeno, pokud IPSec Zastavení služby Agent zásad (pomocí net stop policyagent příkaz). Však odstranit určité příkazy, které byly použity dříve bez zastavení služby Agent zásad IPSec, následujícím způsobem:
    1. Otevřete příkazový řádek a poté nastavte pracovní složky do složky, kam jste nainstalovali nástroj Ipsecpol.exe.
    2. Zadejte následující příkaz:
      Ipsecpol –u
      Poznámka: Může také restartovat službu Agent zásad IPSec zrušte všechny dynamicky přiřazené zásady.

Použít pravidlo filtru všechny protokoly a porty

Ve výchozím nastavení v systému Microsoft Windows 2000 a Microsoft Windows XP IPSec stanoví výjimku, vysílání Multicast, RSVP, IKE a Kerberos přenosy ze všech Omezení filtru a ověřování. Další informace o těchto výjimky, získáte v následujícím článku Znalostní báze Microsoft Knowledge Base:
253169 Přenos můžete--a nemůže--zabezpečený protokolem IPSec
Pokud protokol IPSec používá pouze k povolit a blokovat provoz, odebrat výjimky protokolů Kerberos a RSVP změnou Hodnota registru. Úplné pokyny klepnutím článku znalostní báze Microsoft Knowledge. Base:
254728 IPSec zabezpečení Kerberos mezi řadiči domény
Podle těchto pokynů můžete chránit UDP i v případech, kde útočníci mohou nastavit jejich zdrojový port Kerberos 1434 porty TCP/UDP 88. Odebráním Kerberos výjimky budou pakety Kerberos nyní být porovnávány všechny filtry v zásadách protokolu IPSec. Proto lze pomocí protokolu Kerberos zabezpečit uvnitř IPSec blokován nebo povolen. Proto pokud IPSec, filtry odpovídají přenosů protokolu Kerberos, který chcete adresy IP řadičů domény můžete změnit návrh zásad protokolu IPSec přidat nové filtry Data protokolu Kerberos pro každou adresu IP řadiče domény (Pokud nejste pomocí protokolu IPSec k zabezpečení veškerý přenos dat mezi řadiči domény jako Knowledge Popisuje základní článek 254728).

Restartujte aplikaci pravidla filtru protokolu IPSec na počítači

Všechny zásady IPSec spoléhat na službu Agent zásad IPSec se přiřazeno. Pokud je počítač se systémem Windows 2000 při spuštění Služba Agent zásad protokolu IPSec není nutně první spuštění služby. Proto může být ke krátké chvíli při připojení počítače k síti je ohrožen útoky virů a červů. Tato situace se týká pouze v případě kde potenciálně ohrožené služby byl úspěšně spuštěn a je přijímat připojení před zcela má služba Agent zásad IPSec spuštěn a všechny přiřazené zásady.

Vlastnosti

ID článku: 813878 - Poslední aktualizace: 18. srpna 2012 - Revize: 10.0
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
Klíčová slova: 
kbhowto kbmt KB813878 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku: 813878

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com