Αναγν. άρθρου: 813878 - Τελευταία αναθεώρηση: Κυριακή, 11 Σεπτεμβρίου 2011 - Αναθεώρηση: 5.0

Τρόπος αποκλεισμού συγκεκριμένων πρωτοκόλλων και θυρών χρησιμοποιώντας το IPSec

Παράλληλη προβολήΠροβολή του πρωτότυπου αγγλικού άρθρου και της ελληνικής μετάφρασης αντικριστά
Μηχανικά μεταφρασμένοΠΡΟΕΙΔΟΠΟΙΗΣΗ: ΑΥΤΟ ΤΟ ΑΡΘΡΟ ΜΕΤΑΦΡΑΣΤΗΚΕ ΜΕ ΜΗΧΑΝΙΚΗ ΜΕΤΑΦΡΑΣΗ
Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Συμβουλή συστήματοςΑυτό το άρθρο ισχύει για διαφορετικό λειτουργικό σύστημα από αυτό που χρησιμοποιείτε. Το περιεχόμενο του άρθρου που ενδέχεται να μην σας αφορά έχει απενεργοποιηθεί.

Σε αυτήν τη σελίδα

Ανάπτυξη όλων | Σύμπτυξη όλων

Περίληψη

Φίλτρα κανόνες ασφαλείας πρωτοκόλλου Internet (IPSec) μπορεί να είναι χρησιμοποιείται για την προστασία των υπολογιστών με Windows 2000, που βασίζεται στα Windows XP και βασίζεται στον Windows Server 2003 από επιθέσεις δικτύου από απειλές όπως ιούς και ιούς τύπου worm. Αυτό το άρθρο περιγράφει πώς να φιλτράρετε ένα συνδυασμό θύρα εισερχόμενης και εξερχόμενης κυκλοφορίας δικτύου και συγκεκριμένο πρωτόκολλο η κίνηση. Περιλαμβάνει βήματα για το αν θα υπάρχουν τυχόν πολιτικές IPSec που έχουν αντιστοιχιστεί σε έναν υπολογιστή που βασίζεται στα Windows 2000, τα Windows XP ή με Windows Server 2003, τα βήματα για να δημιουργήσετε και να αντιστοιχίσετε μια νέα πολιτική IPSec και τα βήματα για να καταργήσετε την αντιστοίχιση και διαγραφή IPSec πολιτική.
Επιστροφή στην αρχή

Περισσότερες πληροφορίες

Πολιτικές IPSec μπορεί να εφαρμοστεί τοπικά ή να εφαρμοστούν σε ένα μέλος τομέα ως μέρος των πολιτικών ομάδας του τομέα. Τοπικό IPSec πολιτικές μπορεί να στατικό (Συνεχής μετά την επανεκκίνηση του) ή δυναμική (δυναμική). Στατική πολιτικές IPSec έχουν συνταχθεί στην τοπική μητρώο και παραμένουν μετά την επανεκκίνηση του λειτουργικού συστήματος. Δυναμική IPSec πολιτικές δεν εγγράφονται οριστικά στο μητρώο και καταργούνται αν το επανεκκίνηση λειτουργικού συστήματος ή την υπηρεσία παράγοντα πολιτικής IPSec.

Σημαντικό Αυτό το άρθρο περιέχει πληροφορίες σχετικά με την επεξεργασία του μητρώου χρήση του Ipsecpol.exe. Πριν από την επεξεργασία του μητρώου, βεβαιωθείτε ότι έχετε κατανοήσει πώς Για να επαναφέρετε εάν το πρόβλημα προκύπτει. Για πληροφορίες σχετικά με τη δημιουργία αντιγράφων ασφαλείας, επαναφορά, και επεξεργασία του μητρώου, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το το άρθρο της Γνωσιακής Βάσης της Microsoft:
256986  (http://support.microsoft.com/kb/256986/ ) Περιγραφή της Microsoft Μητρώο των Windows
Σημείωση Κανόνες φίλτρο IPSec μπορεί να προκαλέσουν τα προγράμματα δικτύου να χάσετε δεδομένα και να σταματήσει να ανταποκρίνεται σε αιτήσεις δικτύου, συμπεριλαμβανομένης της αποτυχίας για έλεγχο ταυτότητας χρηστών. Χρήση κανόνων φίλτρο IPSec ως αμυντική μέτρο ύστατο και μόνο αφού έχουν σαφή κατανόηση των επιπτώσεων που θα έχουν αποκλείει συγκεκριμένες θύρες στο περιβάλλον σας. Εάν μια πολιτική IPSec που δημιουργείτε χρησιμοποιώντας τα βήματα που παρατίθενται σε αυτό το άρθρο έχει ανεπιθύμητα αποτελέσματα για τα προγράμματα δικτύου, ανατρέξτε στην ενότητα στην ενότητα "Κατάργηση αντιστοίχισης και διαγραφή μιας πολιτικής IPSec" παρακάτω σε αυτό το άρθρο για οδηγίες σχετικά με τον τρόπο απενεργοποίησης αμέσως και να διαγράψετε την πολιτική.
Επιστροφή στην αρχή

Προσδιορίστε αν έχει αντιστοιχιστεί μια πολιτική IPSec

Windows Server 2003 με υπολογιστές

Πριν να δημιουργήσετε ή να εκχωρήσετε τυχόν νέες πολιτικές IPSec των Windows Υπολογιστή που βασίζεται σε διακομιστή 2003 καθορίζουν αν γίνεται τις πολιτικές IPSec εφαρμόζεται από το τοπικό μητρώο ή μέσω ενός αντικειμένου πολιτικής ομάδας (GPO). Ακολουθήστε τα εξής βήματα:
  1. Εγκαταστήστε το Netdiag.exe από το CD του Windows Server 2003, εκτελώντας Suptools.msi από το φάκελο Support\Tools.
  2. Ανοίξτε μια γραμμή εντολών και στη συνέχεια να ορίσετε το φάκελο εργασίας C:\Program Files\Support εργαλεία.
  3. Εκτελέστε την ακόλουθη εντολή για να βεβαιωθείτε ότι δεν υπάρχει ένα υπάρχουσα πολιτική IPSec που έχει αντιστοιχιστεί ήδη στον υπολογιστή:
    Netdiag / Test: IPSec
    Εάν δεν υπάρχει πολιτική που έχει αντιστοιχιστεί, λαμβάνετε το ακόλουθο μήνυμα:
    Έλεγχος ασφαλείας IP........ . : Διαβιβάστηκε Υπηρεσία πολιτικής IPSec είναι ενεργοποιημένη, αλλά δεν υπάρχει πολιτική που έχει αντιστοιχιστεί.

Τα Windows XP υπολογιστές

Πριν να δημιουργήσετε ή να εκχωρήσετε τυχόν νέες πολιτικές IPSec των Windows Υπολογιστή XP καθορίζουν αν γίνεται τις πολιτικές IPSec εφαρμόζεται από το τοπικό μητρώο ή μέσω ενός αντικειμένου πολιτικής ΟΜΆΔΑΣ. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
  1. Εγκαταστήστε το Netdiag.exe από το CD των Windows XP εκτελώντας Setup.exe από το φάκελο Support\Tools.
  2. Ανοίξτε μια γραμμή εντολών και στη συνέχεια να ορίσετε το φάκελο εργασίας C:\Program Files\Support εργαλεία.
  3. Εκτελέστε την ακόλουθη εντολή για να βεβαιωθείτε ότι δεν υπάρχει ένα υπάρχουσα πολιτική IPSec που έχει αντιστοιχιστεί ήδη στον υπολογιστή:
    Netdiag / Test: IPSec
    Εάν δεν υπάρχει πολιτική που έχει αντιστοιχιστεί, λαμβάνετε το ακόλουθο μήνυμα:
    Έλεγχος ασφαλείας IP........ . : Διαβιβάστηκε Υπηρεσία πολιτικής IPSec είναι ενεργοποιημένη, αλλά δεν υπάρχει πολιτική που έχει αντιστοιχιστεί.

Υπολογιστές που βασίζονται στα Windows 2000

Πριν να δημιουργήσετε ή να εκχωρήσετε τυχόν νέες πολιτικές IPSec των Windows με 2000 υπολογιστή καθορίζουν αν γίνεται τις πολιτικές IPSec εφαρμόζεται από το τοπικό μητρώο ή μέσω ενός αντικειμένου πολιτικής ΟΜΆΔΑΣ. Ακολουθήστε τα εξής βήματα:
  1. Εγκατάσταση Netdiag.exe από το CD των Windows 2000 με την εκτέλεση Setup.exe από το φάκελο Support\Tools.
  2. Ανοίξτε μια γραμμή εντολών και στη συνέχεια να ορίσετε το φάκελο εργασίας C:\Program Files\Support εργαλεία.
  3. Εκτελέστε την ακόλουθη εντολή για να βεβαιωθείτε ότι δεν υπάρχει ένα υπάρχουσα πολιτική IPSec που έχει αντιστοιχιστεί ήδη στον υπολογιστή:
    Netdiag / Test: IPSec
    Εάν δεν υπάρχει πολιτική που έχει αντιστοιχιστεί, λαμβάνετε το ακόλουθο μήνυμα:
    Έλεγχος ασφαλείας IP........ . : Διαβιβάστηκε Υπηρεσία πολιτικής IPSec είναι ενεργοποιημένη, αλλά δεν υπάρχει πολιτική που έχει αντιστοιχιστεί.
Επιστροφή στην αρχή

Δημιουργήστε μια στατική πολιτική να αποκλείουν την κυκλοφορία

Υπολογιστές που βασίζονται σε Server 2003 και Windows XP σε Windows

Για συστήματα που έχουν καθοριστεί τοπικά πολιτική IPSec ενεργοποιημένη, δημιουργήστε μια νέα τοπική πολιτική στατική να αποκλείουν την κυκλοφορία που είναι κατευθύνεται σε ένα συγκεκριμένο πρωτόκολλο και μια συγκεκριμένη θύρα με Windows Server 2003 και Windows XP που βασίζεται σε υπολογιστές. Ακολουθήστε τα εξής βήματα:
  1. Βεβαιωθείτε ότι είναι ενεργοποιημένη η υπηρεσία παράγοντα πολιτικής IPSec και εκκίνηση του συμπληρωματικού προγράμματος MMC υπηρεσίες.
  2. Εγκαταστήστε το IPSeccmd.exe. IPSeccmd.exe αποτελεί μέρος των εργαλείων υποστήριξης των Windows XP Service Pack 2 (SP2).

    Σημείωση IPSeccmd.exe θα εκτελείται σε λειτουργικά συστήματα Windows Server 2003 και Windows XP, αλλά το εργαλείο είναι διαθέσιμη μόνο από το πακέτο εργαλείων υποστήριξης των Windows XP SP2.

    Για περισσότερες πληροφορίες σχετικά με τη λήψη και εγκατάσταση XP Service Pack 2 εργαλεία υποστήριξης των Windows, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
    838079  (http://support.microsoft.com/kb/838079/ ) Εργαλεία υποστήριξης των Windows XP Service Pack 2
  3. Ανοίξτε μια γραμμή εντολών και στη συνέχεια να ορίσετε το φάκελο εργασίας της ο φάκελος όπου εγκαταστήσατε τα εργαλεία υποστήριξης των Windows XP Service Pack 2.

    Σημείωση Ο προεπιλεγμένος φάκελος για τα εργαλεία υποστήριξης του Windows XP SP2 είναι C:\Program Files\Support εργαλεία.
  4. Για να δημιουργήσετε μια νέα τοπική πολιτική IPSec και φιλτράρισμα κανόνα που ισχύει για την κυκλοφορία δικτύου από οποιαδήποτε διεύθυνση IP διεύθυνση IP του υπολογιστή που βασίζεται σε Windows Server 2003 ή Windows XP που ρυθμίζετε, χρησιμοποιήστε την ακόλουθη εντολή.

    Σημείωση Στην παρακάτω εντολή Πρωτόκολλο και PortNumber Οι μεταβλητές.
    IPSeccmd.exe -w REG -p "Block ΠρωτόκολλοPortNumber Φίλτρο"- r "Αποκλεισμός εισερχομένων ΠρωτόκολλοPortNumber Κανόνα"-f * = 0:PortNumber:Πρωτόκολλο -n ΑΠΟΚΛΕΙΣΜΌΣ –x
    Για παράδειγμα, για να αποκλείσετε την κυκλοφορία δικτύου από οποιοδήποτε IP διεύθυνση και κάθε θύρα προέλευσης στον προορισμό τη θύρα UDP 1434 σε έναν υπολογιστή που βασίζεται σε Windows Server 2003 ή Windows XP, πληκτρολογήστε τα εξής. Αυτή η πολιτική είναι επαρκή για την προστασία Οι υπολογιστές που εκτελούν Microsoft SQL Server 2000 από τον ιό τύπου worm "Slammer".
    IPSeccmd.exe -w REG -p "Block UDP -R 1434 φίλτρου""Αποκλεισμός εισερχόμενης UDP 1434 κανόνα"-f * = 0:1434:UDP - n ΜΠΛΟΚ -x
    Το παρακάτω παράδειγμα μπλοκ εισερχόμενης πρόσβασης στη θύρα TCP θύρα 80 αλλά εξακολουθεί να επιτρέπει εξερχόμενη πρόσβαση TCP 80. Αυτή η πολιτική είναι επαρκή για να προστασία των υπολογιστών που εκτελούν τις υπηρεσίες Microsoft Internet Information Services (IIS) 5.0 από τον ιό τύπου worm "Κόκκινο κώδικα" και τον ιό τύπου worm "nimda".
    IPSeccmd.exe -w REG -p "TCP 80 μπλοκ φίλτρου" - r "Αποκλεισμός εισερχόμενου TCP 80 Κανόνα"-f * = 0:80:TCP - n BLOCK - x
    Σημείωση Το -x ο διακόπτης αντιστοιχίζει την πολιτική αμέσως. Εάν εισαγάγετε αυτήν την εντολή, είναι μη εκχωρημένα πολιτικής "Μπλοκ UDP 1434 φίλτρο" και "Αποκλεισμός TCP 80 φίλτρου" έχει αντιστοιχιστεί. Για να προσθέσετε την πολιτική, αλλά δεν αντιστοιχίσετε την πολιτική, πληκτρολογήστε την εντολή χωρίς το -x Μετάβαση στο τέλος.
  5. Για να προσθέσετε έναν κανόνα πρόσθετες φιλτραρίσματος στο υπάρχον μπλοκ" Φίλτρο UDP 1434"πολιτική η οποία αποκλείει την κυκλοφορία δικτύου που προέρχεται από τον υπολογιστή σας που βασίζεται σε Windows Server 2003 ή Windows XP οποιαδήποτε διεύθυνση IP, χρησιμοποιήστε το η ακόλουθη εντολή.

    Σημείωση Σε αυτήν την εντολή, Πρωτόκολλο καιPortNumber Οι μεταβλητές:
    IPSeccmd.exe -w REG -p "Block ΠρωτόκολλοPortNumberΦίλτρο"- r"Block εξερχόμενων ΠρωτόκολλοPortNumber Κανόνας"-f * 0 =:PortNumber:Πρωτόκολλο -n ΜΠΛΟΚ
    Για παράδειγμα, για να αποκλείσετε οποιαδήποτε κίνηση του δικτύου που προέρχεται από τον υπολογιστή σας που βασίζεται σε Windows Server 2003 ή Windows XP που κατευθύνεται σε θύρα UDP 1434 οποιαδήποτε άλλα κεντρικού υπολογιστή, πληκτρολογήστε τα εξής. Αυτή η πολιτική είναι επαρκή για την αποτροπή Οι υπολογιστές που εκτελούν SQL Server 2000 από την εξάπλωση του ιού τύπου worm "Slammer".
    IPSeccmd.exe -w REG -p "Block UDP Φιλτράρισμα 1434"- r"Block εξερχόμενων UDP 1434 κανόνα"-f 0 = *:1434:UDP - n ΜΠΛΟΚ
    Σημείωση Μπορείτε να προσθέσετε όσες κανόνες φιλτραρίσματος σε μια πολιτική επιθυμείτε χρήση αυτής της εντολής. Για παράδειγμα, μπορείτε να χρησιμοποιήσετε την εντολή αυτή για να αποκλείσετε πολλαπλών θυρών χρησιμοποιώντας το ίδιο πολιτική.
  6. Η πολιτική στο βήμα 5 τώρα θα ισχύουν και επιμονή κάθε φορά που γίνεται επανεκκίνηση του υπολογιστή. Ωστόσο, αν μια πολιτική IPSec που βασίζεται σε τομέα αντιστοιχιστεί στον υπολογιστή αργότερα, η τοπική πολιτική θα αντικατασταθούν και θα δεν ισχύει πλέον.

    Για να επιβεβαιώσετε την επιτυχή ανάθεση φιλτραρίσματος κανόνα σας, ορίστε το φάκελο εργασίας C:\Program Files\Support εργαλεία στο μια γραμμή εντολών και, στη συνέχεια, πληκτρολογήστε την ακόλουθη εντολή:
    / Debug Netdiag/Test: IPSec
    Εάν εισερχόμενων πολιτικές για τα δύο και εξερχόμενη κυκλοφορία αντιστοιχίζονται σε αυτά τα παραδείγματα, θα λάβετε το ακόλουθο μήνυμα:
    Έλεγχος ασφαλείας IP........ . :
    Διαβιβάστηκε τοπικό Η ενεργή πολιτική IPSec: Διαδρομή πολιτικής ασφαλείας IP 'Μπλοκ UDP 1434 φίλτρου': SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy {D239C599-F945-47A3-A4E3-B37BC12826B9}

    Υπάρχουν φίλτρα 2
    Χωρίς όνομα
    Αναγνωριστικό φίλτρου: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
    Αναγνωριστικό πολιτικής: {509492EA-1214-4F50-BF43-9CAC2B538518}
    Src Addr: 0.0.0.0 Src μάσκας: 0.0.0.0
    DEST Addr: 192.168.1.1 ΠΡΟΟΡΙΣΜΟΣ ΜΑΣΚΑ: 255.255.255.255
    Διοχέτευσης Διεύθυνση: 0.0.0.0 Src θύρας: 0 θύρα προορισμού: 1434
    Πρωτόκολλο: 17 TunnelFilter: Όχι
    Σημαίες: Αποκλεισμός εισερχόμενης
    Χωρίς όνομα
    Αναγνωριστικό φίλτρου: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
    Αναγνωριστικό πολιτικής: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
    Src Addr: 192.168.1.1 Src μάσκας: 255.255.255.255
    DEST Addr: 0.0.0.0 ΠΡΟΟΡΙΣΜΟΣ ΜΑΣΚΑ: 0.0.0.0
    Addr διοχέτευσης : Θύρα 0.0.0.0 Src: 0 θύρα προορισμού: 1434
    Πρωτόκολλο: 17 TunnelFilter: όχι
    Σημαίες: Αποκλεισμός εξερχόμενων
    Σημείωση Θα διευθύνσεις IP και τους αριθμούς του χρήστη με γραφικά διασύνδεσης (GUID) είναι διαφορετική ανάλογα με τον υπολογιστή σας που βασίζεται σε Windows Server 2003 ή Windows XP.

Υπολογιστές που βασίζονται στα Windows 2000

Για συστήματα χωρίς ενεργοποιημένη μια τοπικά ορισμένη πολιτική IPSec, ακολουθήστε αυτά τα βήματα για να δημιουργήσετε μια νέα τοπική πολιτική στατική να αποκλείουν την κυκλοφορία που είναι σε ένα συγκεκριμένο πρωτόκολλο και τη θύρα σε έναν υπολογιστή που βασίζεται στα Windows 2000 χωρίς μια υπάρχουσα πολιτική IPSec που έχει αντιστοιχιστεί:
  1. Βεβαιωθείτε ότι είναι ενεργοποιημένη η υπηρεσία παράγοντα πολιτικής IPSec και εκκίνηση του συμπληρωματικού προγράμματος MMC υπηρεσίες.
  2. Επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web για να κάνετε λήψη και εγκατάσταση Ipsecpol.exe:
    http://www.Microsoft.com/downloads/details.aspx?displaylang=en & FamilyID = 7D40460C-A069-412E-A015-A2AB904B7361 (http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361)
  3. Ανοίξτε μια γραμμή εντολών και ορίστε φάκελο εργασίας της ο φάκελος όπου εγκαταστήσατε Ipsecpol.exe.

    Σημείωση Ο προεπιλεγμένος φάκελος για Ipsecpol.exe είναι C:\Program Files\Resource Κιτ.
  4. Για να δημιουργήσετε μια νέα τοπική πολιτική IPSec και φιλτράρισμα κανόνα που εφαρμόζεται στην κυκλοφορία δικτύου από οποιαδήποτε διεύθυνση IP διεύθυνση IP του Windows υπολογιστή που βασίζεται σε 2000 που ρυθμίζετε, χρησιμοποιήστε την ακόλουθη εντολή, όπουΠρωτόκολλο και PortNumber Οι μεταβλητές:
    Ipsecpol -w REG -p "Block ΠρωτόκολλοPortNumber Φίλτρο"- r "Αποκλεισμός εισερχομένων ΠρωτόκολλοPortNumber Κανόνα"-f * = 0:PortNumber:Πρωτόκολλο -n ΑΠΟΚΛΕΙΣΜΌΣ –x
    Για παράδειγμα, για να αποκλείσετε την κυκλοφορία δικτύου από οποιοδήποτε IP διεύθυνση και κάθε θύρα προέλευσης με προορισμό τη θύρα UDP 1434 σε Windows υπολογιστή που βασίζεται σε 2000, πληκτρολογήστε τα εξής. Αυτή η πολιτική είναι επαρκή για την προστασία Οι υπολογιστές που εκτελούν Microsoft SQL Server 2000 από τον ιό τύπου worm "Slammer".
    Ipsecpol -w REG -p "Block UDP -R 1434 φίλτρου""Αποκλεισμός εισερχόμενης UDP 1434 κανόνα"-f * = 0:1434:UDP - n ΜΠΛΟΚ -x
    Το παρακάτω παράδειγμα μπλοκ εισερχόμενης πρόσβασης στη θύρα TCP θύρα 80 αλλά εξακολουθεί να επιτρέπει εξερχόμενη πρόσβαση TCP 80. Αυτή η πολιτική είναι επαρκή για να προστασία των υπολογιστών που εκτελούν τις υπηρεσίες Microsoft Internet Information Services (IIS) 5.0 από ιούς τύπου worm "Κόκκινο κώδικα" και "nimda".
    Ipsecpol -w REG -p "Block TCP 80 φίλτρο" - r "Block εισερχόμενου TCP 80 Κανόνα"-f * = 0:80:TCP - n BLOCK - x
    Σημείωση Το -x ο διακόπτης αντιστοιχίζει την πολιτική αμέσως. Εάν εισαγάγετε αυτήν την εντολή, η πολιτική "Μπλοκ UDP 1434 φίλτρο" είναι μη εκχωρημένα, και το "μπλοκ TCP 80 φίλτρο" έχει αντιστοιχιστεί. Για να προσθέσετε αλλά δεν αντιστοιχίσετε την πολιτική, πληκτρολογήστε την εντολή χωρίς το -x Μετάβαση στο τέλος.
  5. Για να προσθέσετε έναν κανόνα πρόσθετες φιλτραρίσματος στο υπάρχον μπλοκ" Φίλτρο UDP 1434"πολιτική η οποία αποκλείει την κυκλοφορία δικτύου που προέρχεται από Χρησιμοποιήστε τον υπολογιστή σας που βασίζεται στα Windows 2000 για κάθε διεύθυνση IP, το μετά την εντολή, όπου Πρωτόκολλο καιPortNumber Οι μεταβλητές:
    Ipsecpol -w REG -p "Block ΠρωτόκολλοPortNumberΦίλτρο"- r"Block εξερχόμενων ΠρωτόκολλοPortNumber Κανόνας"-f * 0 =:PortNumber:Πρωτόκολλο -n ΜΠΛΟΚ
    Για παράδειγμα, για να αποκλείσετε οποιαδήποτε κίνηση του δικτύου που προέρχεται από τον υπολογιστή με Windows 2000 που κατευθύνεται σε θύρα UDP 1434 οποιαδήποτε άλλα κεντρικού υπολογιστή, πληκτρολογήστε τα εξής. Αυτή η πολιτική είναι επαρκή για την πρόληψη Οι υπολογιστές που εκτελούν SQL Server 2000 από την εξάπλωση του ιού τύπου worm "Slammer".
    Ipsecpol -w REG -p "Block UDP Φιλτράρισμα 1434"- r"Block εξερχόμενων UDP 1434 κανόνα"-f 0 = *:1434:UDP - n ΜΠΛΟΚ
    Σημείωση Μπορείτε να προσθέσετε όσες κανόνες φιλτραρίσματος σε μια πολιτική επιθυμείτε χρήση αυτής της εντολής (για παράδειγμα, για να αποκλείσετε πολλαπλών θυρών χρησιμοποιώντας το ίδιο πολιτική).
  6. Η πολιτική στο βήμα 5 τώρα θα ισχύουν και επιμονή κάθε φορά που γίνεται επανεκκίνηση του υπολογιστή. Ωστόσο, αν μια πολιτική IPSec που βασίζεται σε τομέα αντιστοιχιστεί στον υπολογιστή αργότερα, η τοπική πολιτική θα αντικατασταθούν και θα δεν ισχύει πλέον. Για να επιβεβαιώσετε την επιτυχή ανάθεση φιλτραρίσματος κανόνα σας στο εντολών, ορίστε το φάκελο εργασίας C:\Program Files\Support εργαλεία, και, στη συνέχεια, πληκτρολογήστε την ακόλουθη εντολή:
    / Debug Netdiag/Test: IPSec
    Εάν, σε αυτά τα παραδείγματα εισερχόμενων πολιτικές για τα δύο και αντιστοιχίζονται εξερχόμενη κυκλοφορία, θα λάβετε το ακόλουθο μήνυμα:
    Έλεγχος ασφαλείας IP........ . :
    Διαβιβάστηκε τοπικό Η ενεργή πολιτική IPSec: Διαδρομή πολιτικής ασφαλείας IP 'Μπλοκ UDP 1434 φίλτρου': SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy {D239C599-F945-47A3-A4E3-B37BC12826B9}

    Υπάρχουν φίλτρα 2
    Χωρίς όνομα
    Αναγνωριστικό φίλτρου: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
    Αναγνωριστικό πολιτικής: {509492EA-1214-4F50-BF43-9CAC2B538518}
    Src Addr: 0.0.0.0 Src μάσκας: 0.0.0.0
    DEST Addr: 192.168.1.1 ΠΡΟΟΡΙΣΜΟΣ ΜΑΣΚΑ: 255.255.255.255
    Διοχέτευσης Διεύθυνση: 0.0.0.0 Src θύρας: 0 θύρα προορισμού: 1434
    Πρωτόκολλο: 17 TunnelFilter: Όχι
    Σημαίες: Αποκλεισμός εισερχόμενης
    Χωρίς όνομα
    Αναγνωριστικό φίλτρου: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
    Αναγνωριστικό πολιτικής: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
    Src Addr: 192.168.1.1 Src μάσκας: 255.255.255.255
    DEST Addr: 0.0.0.0 ΠΡΟΟΡΙΣΜΟΣ ΜΑΣΚΑ: 0.0.0.0
    Addr διοχέτευσης : Θύρα 0.0.0.0 Src: 0 θύρα προορισμού: 1434
    Πρωτόκολλο: 17 TunnelFilter: όχι
    Σημαίες: Αποκλεισμός εξερχόμενων
    Σημείωση Θα διευθύνσεις IP και τους αριθμούς του χρήστη με γραφικά διασύνδεσης (GUID) είναι διαφορετική. Θα αντικατοπτρίζουν εκείνες του υπολογιστή σας που βασίζεται στα Windows 2000.
Επιστροφή στην αρχή

Προσθήκη ενός κανόνα μπλοκ για ένα συγκεκριμένο πρωτόκολλο και τη θύρα

Υπολογιστές που βασίζονται σε Server 2003 και Windows XP σε Windows

Για να προσθέσετε έναν κανόνα μπλοκ για ένα συγκεκριμένο πρωτόκολλο και τη θύρα σε Windows Υπολογιστή που βασίζεται σε διακομιστή 2003 ή Windows XP που έχει υπάρχοντα τοπικά αντιστοιχιστεί στατικά πολιτικής IPSec, Ακολουθήστε τα εξής βήματα:
  1. Εγκαταστήστε το IPSeccmd.exe. IPSeccmd.exe αποτελεί μέρος των εργαλείων υποστήριξης των Windows XP SP2.

    Για περισσότερες πληροφορίες σχετικά με τη λήψη και εγκατάσταση XP Service Pack 2 εργαλεία υποστήριξης των Windows, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
    838079  (http://support.microsoft.com/kb/838079/ ) Εργαλεία υποστήριξης των Windows XP Service Pack 2
  2. Προσδιορίστε το όνομα αυτήν τη στιγμή αντιστοιχισμένη πολιτική IPSec. Για να το κάνετε αυτό, πληκτρολογήστε τα ακόλουθα σε μια γραμμή εντολών:
    Netdiag/Test: IPSec
    Αν έχει αντιστοιχιστεί μια πολιτική, θα λάβετε ένα μήνυμα Αυτό είναι παρόμοιο με το ακόλουθο:
    Έλεγχος ασφαλείας IP....... . . : Διαβιβάστηκε
    Τοπικό ενεργό πολιτική IPSec: ' μπλοκ UDP 1434 Φίλτρο '
  3. Εάν υπάρχει ήδη μια πολιτική IPSec που έχει αντιστοιχιστεί για το υπολογιστή (τοπικά ή τομέα), χρησιμοποιήστε την ακόλουθη εντολή για να προσθέσετε μια επιπλέον κανόνα φίλτρου ΑΠΟΚΛΕΙΣΜΟΎ στην υπάρχουσα πολιτική IPSec.

    ΣημείωσηΣε αυτήν την εντολή, Existing_IPSec_Policy_Name,Πρωτόκολλο, και PortNumber Οι μεταβλητές.
    IPSeccmd.exe -p "Existing_IPSec_Policy_Name"-w REG - r"BlockΠρωτόκολλοPortNumber Κανόνα"-f * = 0:PortNumber:Πρωτόκολλο -n ΜΠΛΟΚ
    Για παράδειγμα, για να προσθέσετε έναν κανόνα φίλτρου αποκλεισμού εισερχόμενων η πρόσβαση στη θύρα TCP 80 στο υπάρχον φίλτρο θύρα UDP 1434 μπλοκ, πληκτρολογήστε τα εξής εντολή:
    IPSeccmd.exe -p "Αποκλεισμός UDP 1434 φίλτρου" -w REG - r "Αποκλεισμός εισερχόμενου TCP 80 κανόνα" -f * = 0:80:TCP - n ΜΠΛΟΚ

Τα Windows υπολογιστές που βασίζονται σε 2000

Για να προσθέσετε έναν κανόνα μπλοκ για ένα συγκεκριμένο πρωτόκολλο και τη θύρα σε Windows υπολογιστή 2000 με υπάρχοντα τοπικά αντιστοιχιστεί στατικά πολιτικής IPSec, Ακολουθήστε τα εξής βήματα:
  1. Επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web για να κάνετε λήψη και εγκατάσταση Ipsecpol.exe:
    http://support.Microsoft.com/KB/927229 (http://support.microsoft.com/kb/927229)
  2. Προσδιορίστε το όνομα αυτήν τη στιγμή αντιστοιχισμένη πολιτική IPSec. Για να το κάνετε αυτό, πληκτρολογήστε τα ακόλουθα σε μια γραμμή εντολών:
    Netdiag/Test: IPSec
    Αν έχει αντιστοιχιστεί μια πολιτική, θα λάβετε ένα μήνυμα Αυτό είναι παρόμοιο με το ακόλουθο:
    Έλεγχος ασφαλείας IP....... . . : Διαβιβάστηκε
    Τοπικό ενεργό πολιτική IPSec: ' μπλοκ UDP 1434 Φίλτρο '
  3. Εάν υπάρχει ήδη μια πολιτική IPSec που έχει αντιστοιχιστεί για το υπολογιστή (τοπικά ή τομέα), χρησιμοποιήστε την ακόλουθη εντολή για να προσθέσετε μια επιπλέον ΜΠΛΟΚ Φιλτράρισμα κανόνα στην υπάρχουσα πολιτική IPSec, όπουExisting_IPSec_Policy_Name,Πρωτόκολλο, και PortNumber Οι μεταβλητές:
    Ipsecpol -p "Existing_IPSec_Policy_Name"-w REG - r"BlockΠρωτόκολλοPortNumber Κανόνα"-f * = 0:PortNumber:Πρωτόκολλο -n ΜΠΛΟΚ
    Για παράδειγμα, για να προσθέσετε έναν κανόνα φίλτρου αποκλεισμού εισερχόμενων η πρόσβαση στη θύρα TCP 80 στο υπάρχον φίλτρο θύρα UDP 1434 μπλοκ, πληκτρολογήστε τα εξής εντολή:
    Ipsecpol -p "Αποκλεισμός UDP 1434 φίλτρου" -w REG - r "Αποκλεισμός εισερχόμενου TCP 80 κανόνα" -f * = 0:80:TCP - n ΜΠΛΟΚ
Επιστροφή στην αρχή

Προσθέστε μια πολιτική δυναμικής μπλοκ για ένα συγκεκριμένο πρωτόκολλο και τη θύρα

Windows Server 2003 και σε υπολογιστές που βασίζονται στα Windows XP

Μπορεί να θέλετε να αποκλείσετε προσωρινά την πρόσβαση σε συγκεκριμένη θύρα. Για παράδειγμα, μπορεί να θέλετε να αποκλείσετε μια συγκεκριμένη θύρα, μέχρι να εγκαταστήσετε μια επείγουσα επιδιόρθωση ή εάν τομέα με βάση Πολιτική IPSec έχει ήδη αντιστοιχιστεί στον υπολογιστή. Για να αποκλείσετε προσωρινά την πρόσβαση θύρα σε έναν υπολογιστή που βασίζεται σε Windows Server 2003 ή Windows XP χρησιμοποιώντας την πολιτική IPSec, ακολουθήστε αυτά τα βήματα:
  1. Εγκαταστήστε το IPSeccmd.exe. IPSeccmd.exe αποτελεί μέρος των XP Service Pack 2 εργαλεία υποστήριξης των Windows.

    Σημείωση IPSeccmd.exe θα εκτελείται σε λειτουργικά συστήματα Windows Server 2003 και Windows XP, αλλά το εργαλείο είναι διαθέσιμη μόνο από το πακέτο εργαλείων υποστήριξης των Windows XP SP2.

    Για περισσότερες πληροφορίες σχετικά με τον τρόπο λήψης και εγκατάστασης του XP Service Pack 2 εργαλεία υποστήριξης των Windows, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
    838079  (http://support.microsoft.com/kb/838079/ ) Εργαλεία υποστήριξης των Windows XP Service Pack 2
  2. Για να προσθέσετε το δυναμικό φίλτρο ΜΠΛΟΚ αποκλείει όλα τα πακέτα από οποιαδήποτε διεύθυνση IP διεύθυνση IP και θύρα προορισμού, τον τύπο του συστήματος του παρακάτω στη γραμμή εντολών.

    Σημείωση Στην παρακάτω εντολή Πρωτόκολλο καιPortNumber Οι μεταβλητές.
    IPSeccmd.exe -f [*=0:PortNumber:Πρωτόκολλο]
    Σημείωση Αυτή η εντολή δημιουργεί δυναμικά το μπλοκ φίλτρου. Η πολιτική εξακολουθεί να αντιστοιχεί όσο εκτελείται η υπηρεσία παράγοντα πολιτικής IPSec. Εάν επανεκκίνηση της υπηρεσίας παράγοντα πολιτικής IPSec ή την επανεκκίνηση του υπολογιστή, αυτή η πολιτική θα χαθούν. Εάν θέλετε να κάνουν δυναμικά νέα εκχώρηση κανόνα φιλτράρισμα IPSec κάθε ώρα που γίνεται επανεκκίνηση του συστήματος, να δημιουργήσετε μια δέσμη ενεργειών εκκίνησης για να εφαρμόσετε το φίλτρο Κανόνας. Εάν θέλετε να εφαρμόσετε οριστικά αυτό το φίλτρο, ρυθμίστε το φίλτρο ως ένα στατική πολιτικής IPSec. Το συμπληρωματικό πρόγραμμα MMC διαχείρισης πολιτικής IPSec παρέχει ένα περιβάλλον εργασίας χρήστη για τη Διαχείριση παραμέτρων πολιτικής IPSec. Εάν ένα έχει ήδη εφαρμοστεί η πολιτική IPSec που βασίζεται σε τομέα, το / Debug Netdiag/Test: IPSec εντολή μόνο ενδέχεται να εμφανίζει λεπτομέρειες φίλτρο Εάν η εντολή είναι εκτελείται από ένα χρήστη πιστοποιήσεις διαχειριστή τομέα.

Υπολογιστές που βασίζονται στα Windows 2000

Θέλετε να αποκλείσετε μια συγκεκριμένη θύρα προσωρινά (για παράδειγμα, μέχρι να εγκατασταθεί μια επείγουσα επιδιόρθωση ή εάν τομέα με βάση Πολιτική IPSec έχει ήδη αντιστοιχιστεί στον υπολογιστή). Για να αποκλείσετε προσωρινά την πρόσβαση θύρα σε έναν υπολογιστή με Windows 2000 χρησιμοποιώντας την πολιτική IPSec, ακολουθήστε αυτά τα βήματα:
  1. Επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web για να κάνετε λήψη και εγκατάσταση Ipsecpol.exe:
    http://support.Microsoft.com/KB/927229 (http://support.microsoft.com/kb/927229)
  2. Για να προσθέσετε το δυναμικό φίλτρο ΜΠΛΟΚ αποκλείει όλα τα πακέτα από οποιαδήποτε διεύθυνση IP διεύθυνση IP και θύρα προορισμού, τον τύπο του συστήματος του μετά από μια γραμμή εντολών, όπου Πρωτόκολλο καιPortNumber Οι μεταβλητές:
    Ipsecpol -f [*=0:PortNumber:Πρωτόκολλο]
    Σημείωση Αυτή η εντολή δημιουργεί το μπλοκ φίλτρου δυναμικά, και η πολιτική θα εξακολουθεί να αντιστοιχεί όσο εκτελείται η υπηρεσία παράγοντα πολιτικής IPSec. Εάν επανεκκίνηση της υπηρεσίας IPSec ή την επανεκκίνηση του υπολογιστή, η ρύθμιση αυτή θα να χαθεί. Εάν θέλετε να κάνουν δυναμικά νέα εκχώρηση κανόνα φιλτράρισμα IPSec κάθε φορά επανεκκίνηση του συστήματος, να δημιουργήσετε μια δέσμη ενεργειών εκκίνησης για να εφαρμόσετε το φίλτρο Κανόνας. Εάν θέλετε να εφαρμόσετε οριστικά αυτό το φίλτρο, ρυθμίστε το φίλτρο ως ένα στατική πολιτικής IPSec. Το συμπληρωματικό πρόγραμμα MMC διαχείρισης πολιτικής IPSec παρέχει ένα περιβάλλον εργασίας χρήστη για τη Διαχείριση παραμέτρων πολιτικής IPSec. Εάν ένα έχει ήδη εφαρμοστεί η πολιτική IPSec που βασίζεται σε τομέα, το / Debug Netdiag/Test: IPSec εντολή μόνο ενδέχεται να εμφανίζει λεπτομέρειες φίλτρο Εάν η εντολή είναι εκτελείται από ένα χρήστη με πιστοποιήσεις διαχειριστή τομέα. Ενημερωμένη έκδοση Θα είναι διαθέσιμη στο Windows 2000 Service Pack 4, η οποία θα επιτρέπει Netdiag.exe τοπικοί διαχειριστές για να προβάλετε την πολιτική IPSec που βασίζεται σε τομέα.
Επιστροφή στην αρχή

Οι κανόνες φιλτραρίσματος IPSec και της πολιτικής ομάδας

Για περιβάλλοντα όπου οι πολιτικές IPSec αντιστοιχίζονται από μια ομάδα Πολιτική ρύθμιση, πρέπει να ενημερώσετε ολόκληρο τομέα πολιτικής για να αποκλείσετε την συγκεκριμένο πρωτόκολλο και τη θύρα. Αφού ρυθμίσετε την πολιτική ομάδας με επιτυχία Ρυθμίσεις IPSec πρέπει να επιβάλετε μια ανανέωση των ρυθμίσεων πολιτικής ομάδας σε όλους τους υπολογιστές με Windows Server 2003, τα Windows XP και βασίζεται στα Windows 2000 στον τομέα. Για να γίνει αυτό, χρησιμοποιήστε το η παρακάτω εντολή:
Secedit /refreshpolicy machine_policy
Η αλλαγή πολιτικής IPSec θα εντοπιστεί σε μία δύο διαφορετικά διαστήματα σταθμοσκόπησης. Για μια ανατέθηκαν πρόσφατα την πολιτική IPSec εφαρμοστεί σε ένα αντικείμενο πολιτικής ΟΜΆΔΑΣ, η πολιτική IPSec θα εφαρμοστούν σε υπολογιστές-πελάτες εντός του Ορισμός χρόνου για το διάστημα σταθμοσκόπησης πολιτική ομάδας ή όταν η Secedit /refreshpolicy machine_policy η εντολή εκτελείται σε υπολογιστές-πελάτες. Εάν η πολιτική IPSec ήδη αντιστοιχιστεί σε ένα αντικείμενο πολιτικής ΟΜΆΔΑΣ και νέα φίλτρα IPSec ή κανόνες που προστίθενται σε ένα υπάρχουσα πολιτική, το Secedit η εντολή θα δημιουργήσει IPSec αναγνωρίζει τις αλλαγές. Σε αυτό το σενάριο, τροποποιήσεις σε μια υπάρχουσα πολιτική IPSec που βασίζεται στο αντικείμενο πολιτικής ΟΜΆΔΑΣ θα εντοπιστεί μέσα διάστημα σταθμοσκόπησης που πολιτικής IPSec του δικού. Αυτό το χρονικό διάστημα καθορίζεται από το Γενικά στην καρτέλα για τη συγκεκριμένη πολιτική IPSec. Μπορείτε επίσης να πραγματοποιηθεί ανανέωση του Ρυθμίσεις πολιτικής IPSec από την επανεκκίνηση της υπηρεσίας παράγοντα πολιτικής IPSec. Εάν το Διακοπεί ή επανεκκίνηση της υπηρεσίας IPSec, θα είναι IPSec ασφαλείς επικοινωνίες διακόπτεται και θα διαρκέσει μερικά δευτερόλεπτα για να συνεχίσετε. Αυτό μπορεί να προκαλέσει πρόγραμμα συνδέσεις για να αποσυνδεθείτε, ιδίως για τις συνδέσεις που ενεργά τη μεταφορά μεγάλους όγκους δεδομένων. Σε περιπτώσεις όπου η πολιτική IPSec εφαρμόζεται μόνο σε στον τοπικό υπολογιστή, δεν χρειάζεται να κάνετε επανεκκίνηση της υπηρεσίας.
Επιστροφή στην αρχή

Κατάργηση αντιστοίχισης και διαγραφή μιας πολιτικής IPSec

Υπολογιστές που βασίζονται σε Server 2003 και Windows XP σε Windows

  • Οι υπολογιστές που έχουν οριστεί τοπικά στατική πολιτική
    1. Ανοίξτε μια γραμμή εντολών και στη συνέχεια ορίστε το φάκελο εργασίας στο φάκελο όπου εγκαταστήσατε Ipsecpol.exe.
    2. Για να καταργήσετε την αντιστοίχιση του φίλτρου που δημιουργήσατε προηγουμένως, χρησιμοποιήστε η ακόλουθη εντολή:
      IPSeccmd.exe -w REG -p "Block ΠρωτόκολλοPortNumber Φίλτρο"–y
      Για παράδειγμα, για να καταργήσετε το φίλτρο μπλοκ UDP 1434 που δημιουργήσατε προηγουμένως, χρησιμοποιήστε την ακόλουθη εντολή:
      IPSeccmd.exe -w REG -p "Block UDP 1434 Φίλτρο"-y
    3. Για να διαγράψετε το φίλτρο που έχετε δημιουργήσει, χρησιμοποιήστε το η παρακάτω εντολή:
      IPSeccmd.exe -w REG -p "Block ΠρωτόκολλοPortNumberΦίλτρο"- r"Block ΠρωτόκολλοPortNumber –O κανόνα"
      Για παράδειγμα, για να διαγράψετε το "μπλοκ UDP 1434 φίλτρο" φίλτρο και τα δύο κανόνες που δημιουργήθηκαν, χρησιμοποιήστε την ακόλουθη εντολή:
      IPSeccmd.exe -w REG -p "Block UDP 1434 φίλτρο" - r "Block Εισερχόμενος κανόνας UDP 1434""Αποκλεισμός εξερχόμενων UDP 1434 κανόνα"-o - r
  • Υπολογιστές που έχουν οριστεί τοπικά δυναμικό πολιτική
    Δυναμική πολιτικής IPSec είναι μη συσχετισμένες εάν το IPSec Διακοπή της υπηρεσίας παράγοντα πολιτικής χρησιμοποιώντας το net stop policyagent η εντολή. Για να διαγράψετε τις συγκεκριμένες εντολές που χρησιμοποιήθηκαν χωρίς διακοπή της υπηρεσίας παράγοντα πολιτικής IPSec, ακολουθήστε τα εξής βήματα:
    1. Ανοίξτε μια γραμμή εντολών και στη συνέχεια ορίστε το φάκελο εργασίας στο φάκελο όπου εγκαταστήσατε το Windows XP Service Pack 2 των εργαλείων υποστήριξης.
    2. Πληκτρολογήστε την ακόλουθη εντολή:
      IPSeccmd.exe –u
      Σημείωση Μπορείτε επίσης να κάνετε επανεκκίνηση της υπηρεσίας παράγοντα πολιτικής IPSec για να καταργήσετε την επιλογή όλων Δυναμικά εκχωρημένες πολιτικές.

Υπολογιστές που βασίζονται στα Windows 2000

  • Υπολογιστές με στατική πολιτική ορίζεται τοπικά
    1. Ανοίξτε μια γραμμή εντολών και στη συνέχεια ορίστε το φάκελο εργασίας στο φάκελο όπου εγκαταστήσατε Ipsecpol.exe.
    2. Για να καταργήσετε την αντιστοίχιση του φίλτρου που δημιουργήσατε προηγουμένως, χρησιμοποιήστε η ακόλουθη εντολή:
      Ipsecpol -w REG -p "Block ΠρωτόκολλοPortNumber Φίλτρο"–y
      Για παράδειγμα, για να καταργήσετε το φίλτρο μπλοκ UDP 1434 που δημιουργήσατε προηγουμένως, χρησιμοποιήστε την ακόλουθη εντολή:
      Ipsecpol -w REG -p "Block UDP 1434 Φίλτρο"-y
    3. Για να διαγράψετε το φίλτρο που έχετε δημιουργήσει, χρησιμοποιήστε το η παρακάτω εντολή:
      Ipsecpol -w REG -p "Block ΠρωτόκολλοPortNumberΦίλτρο"- r"Block ΠρωτόκολλοPortNumber –O κανόνα"
      Για παράδειγμα, για να διαγράψετε το "μπλοκ UDP 1434 φίλτρο" φίλτρο και τους δύο κανόνες που δημιουργήσατε προηγουμένως, χρησιμοποιήστε την ακόλουθη εντολή:
      Ipsecpol -w REG -p "Block UDP 1434 φίλτρο" - r "Block Εισερχόμενος κανόνας UDP 1434""Αποκλεισμός εξερχόμενων UDP 1434 κανόνα"-o - r
  • Υπολογιστές με τοπικά ορισμένη δυναμική πολιτική

    Δυναμική πολιτική IPSec θα είναι μη συσχετισμένες εάν το IPSec Διακόπηκε η υπηρεσία παράγοντα πολιτικής (χρησιμοποιώντας το net stop policyagent εντολή). Ωστόσο, για να διαγράψετε τις συγκεκριμένες εντολές που χρησιμοποιήθηκαν προηγούμενη έκδοση, χωρίς διακοπή της υπηρεσίας παράγοντα πολιτικής IPSec, ακολουθήστε τα εξής βήματα:
    1. Ανοίξτε μια γραμμή εντολών και στη συνέχεια ορίστε το φάκελο εργασίας στο φάκελο όπου εγκαταστήσατε Ipsecpol.exe.
    2. Πληκτρολογήστε την ακόλουθη εντολή:
      Ipsecpol –u
      Σημείωση Ίσως επίσης επανεκκίνηση της υπηρεσίας παράγοντα πολιτικής IPSec για να καταργήσετε την επιλογή όλων Δυναμικά εκχωρημένες πολιτικές.
Επιστροφή στην αρχή

Εφαρμογή νέου σας κανόνα φίλτρου σε όλα τα πρωτόκολλα και θύρες

Από προεπιλογή στα Microsoft Windows 2000 και Microsoft Windows XP IPSec απαλλάσσει κυκλοφορία μετάδοσης, πολλαπλής διανομής, RSVP, IKE και Kerberos από όλους Περιορισμοί φίλτρου και έλεγχο ταυτότητας. Για πρόσθετες πληροφορίες σχετικά με αυτές τις εξαιρέσεις, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακή Βάση της Microsoft:
253169  (http://support.microsoft.com/kb/253169/ ) Κυκλοφορία που μπορεί να--και δεν--ασφάλεια από το IPSec
Όπου IPSec χρησιμοποιείται μόνο για να επιτρέψετε και να αποκλείσετε κυκλοφορία, καταργήστε τις εξαιρέσεις για πρωτοκόλλων Kerberos και RSVP με την αλλαγή ενός η τιμή μητρώου. Για πλήρεις οδηγίες σχετικά με τον τρόπο για να γίνει αυτό, κάντε κλικ στην επιλογή του στον παρακάτω αριθμό άρθρου για να προβάλετε το άρθρο γνωσιακής Microsoft Βάση:
254728  (http://support.microsoft.com/kb/254728/ ) IPSec ασφαλούς Kerberos κυκλοφορία μεταξύ ελεγκτών τομέα
Ακολουθώντας τις οδηγίες αυτές, μπορείτε να προστατεύσετε UDP 1434 ακόμη και σε περιπτώσεις όπου εισβολείς μπορεί να ορίσει τους θύρα προέλευσης για το Kerberos θύρες TCP/UDP 88. Καταργώντας απαλλαγές Kerberos θα πακέτα Kerberos τώρα η να συμφωνεί με όλα τα φίλτρα πολιτικής IPSec. Κατά συνέπεια, να Kerberos η ασφάλεια μέσα IPSec, εμποδίζεται ή θα επιτρέπεται. Επομένως, εάν φίλτρων IPSec συμφωνεί με την κυκλοφορία Kerberos που πρόκειται να τις διευθύνσεις IP ελεγκτή τομέα που Ίσως χρειαστεί να αλλάξετε τη σχεδίαση της πολιτικής IPSec για να προσθέσετε νέα φίλτρα επιτρέπουν Για κάθε διεύθυνση IP του ελεγκτή (Εάν δεν την κυκλοφορία Kerberos χρήση του IPSec για να ασφαλίσετε όλη την κυκλοφορία μεταξύ ελεγκτών τομέα ως Γνωσιακής Άρθρο 254728 της περιγράφει).
Επιστροφή στην αρχή

Επανεκκίνηση της εφαρμογής των κανόνων φίλτρο IPSec από τον υπολογιστή

Όλες οι πολιτικές IPSec που βασίζονται στην υπηρεσία παράγοντα πολιτικής IPSec για να αντιστοίχιση. Όταν ένας υπολογιστής που βασίζεται στα Windows 2000 είναι στη διαδικασία της εκκίνησης η υπηρεσία παράγοντα πολιτικής IPSec δεν είναι απαραίτητα για την έναρξη της πρώτης υπηρεσίας. Επομένως, ενδέχεται να υπάρχει μια σύντομη στιγμή κατά τη σύνδεση δικτύου του υπολογιστή είναι ευάλωτος σε επιθέσεις από ιούς ή worm. Η κατάσταση αυτή ισχύει μόνο στην περίπτωση όπου δυνητικά ευάλωτη υπηρεσία ξεκίνησε με επιτυχία και είναι Αποδοχή σύνδεσης πριν από τον παράγοντα πολιτικής IPSec που έχει εντελώς υπηρεσίας η εκκίνηση και όλα τα εκχωρημένα πολιτικές.
Επιστροφή στην αρχή
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
Επιστροφή στην αρχή
Λέξεις-κλειδιά: 
kbhowto kbmt KB813878 KbMtel
Επιστροφή στην αρχή
Μηχανικά μεταφρασμένοΜηχανικά μεταφρασμένο
ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.
Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:813878  (http://support.microsoft.com/kb/813878/en-us/ )
Επιστροφή στην αρχή