Cómo bloquear determinados protocolos de red y puertos mediante IPSec

Seleccione idioma Seleccione idioma
Id. de artículo: 813878 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Resumen

Seguridad de protocolo Internet (IPSec) las reglas de filtrado puede utilizarse para proteger equipos basados en Windows 2000, basado en Windows y basado en Windows Server 2003 frente a ataques basados en red de amenazas como virus y gusanos. En este artículo describe cómo filtrar un protocolo determinado y la combinación de puerto para el tráfico de red entrante y saliente. Incluye pasos para si no hay ninguna directiva IPSec asignada actualmente a un equipo basado en Windows 2000, basado en Windows XP o basado en Windows Server 2003, los pasos para crear y asignar una nueva directiva IPSec y los pasos para cancelar la asignación y eliminar una IPSec directiva.

Más información

Las directivas IPSec se pueden aplicar localmente o aplicarse a un miembro de un dominio como parte de las directivas de grupo del dominio. IPSec local directivas pueden ser estáticos (persistente tras reiniciar) o dinámico (volátil). Las directivas IPSec estáticas se escriben en el registro local y conservan después de reiniciar el sistema operativo. IPSec dinámico directivas no se escriben permanentemente en el registro y se quitan si se reinicia el sistema operativo o el servicio Agente de directivas IPSec.

importante Este artículo contiene información acerca de cómo modificar el registro utilizando Ipsecpol.exe. Antes de modificar el registro, asegúrese de que sabe cómo restaurarlo si se produce un problema. Para obtener información sobre cómo realizar una copia de seguridad, restaurar y modificar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
256986Definición del Registro de Microsoft Windows
Nota Reglas de filtro de IPSec pueden ocasionar que programas de red para perder datos y dejar de responder a solicitudes de red, incluido el error al autenticar a los usuarios. Utilizar reglas de filtro de IPSec como una medida defensiva de último recurso y sólo después de tener una idea clara del impacto que tendrá el bloqueo de puertos específicos en su entorno. Si una directiva IPSec que se crea mediante los pasos que se enumeran en este artículo tiene efectos no deseados en los programas de red, consulte la sección "Desasignar y eliminar una directiva de IPSec" más adelante en este artículo para instrucciones acerca de cómo deshabilitar inmediatamente y elimine la directiva.

Determinar si se ha asignado una directiva

Equipos basados en Server 2003 en Windows

Antes de crear o asignar cualquier nuevas directivas IPSec a un equipo basado en Windows Server 2003, determine si se aplican las directivas IPSec desde el registro local o mediante un objeto de directiva de grupo (GPO). Para ello, siga estos pasos:
  1. Ejecute Suptools.msi desde la carpeta Support\Tools instalar Netdiag.exe desde el CD de Windows Server 2003.
  2. Abra un símbolo del sistema y a continuación, establezca la carpeta de trabajo en c:\Archivos de programa\Support Tools.
  3. Ejecute el comando siguiente para comprobar que no es una directiva IPSec existente ya asignada al equipo:
    netdiag/test: IPSec
    Si no se ha asignado ninguna directiva, recibirá el mensaje siguiente:
    Prueba de seguridad IP........ . : Pasado Servicio directiva de IPSec está activa, pero no se asigna ninguna directiva.

Equipos basado en Windows

Antes de crear o asignar cualquier nuevas directivas IPSec a un equipo basado en Windows, determine si se aplican las directivas IPSec desde el registro local o a través de un objeto de directiva de grupo. Para ello, siga estos pasos:
  1. Ejecute Setup.exe desde la carpeta Support\Tools instalar Netdiag.exe desde el CD de Windows XP.
  2. Abra un símbolo del sistema y a continuación, establezca la carpeta de trabajo en c:\Archivos de programa\Support Tools.
  3. Ejecute el comando siguiente para comprobar que no es una directiva IPSec existente ya asignada al equipo:
    netdiag/test: IPSec
    Si no se ha asignado ninguna directiva, recibirá el mensaje siguiente:
    Prueba de seguridad IP........ . : Pasado Servicio directiva de IPSec está activa, pero no se asigna ninguna directiva.

Equipos basados en Windows 2000

Antes de crear o asignar cualquier nuevas directivas IPSec a un equipo basado en Windows 2000, determine si se aplican las directivas IPSec desde el registro local o a través de un objeto de directiva de grupo. Para ello, siga estos pasos:
  1. Instalar Netdiag.exe desde el CD de Windows 2000 ejecutando Setup.exe desde la carpeta Support\Tools.
  2. Abra un símbolo del sistema y a continuación, establezca la carpeta de trabajo en c:\Archivos de programa\Support Tools.
  3. Ejecute el comando siguiente para comprobar que no es una directiva IPSec existente ya asignada al equipo:
    netdiag/test: IPSec
    Si no se ha asignado ninguna directiva, recibirá el mensaje siguiente:
    Prueba de seguridad IP........ . : Pasado Servicio directiva de IPSec está activa, pero no se asigna ninguna directiva.

Crear una directiva estática para bloquear el tráfico

Windows Server 2003 basado en Windows XP equipos y

Para sistemas que no tienen una directiva de IPSec definida localmente habilitada, crear una nueva directiva estática local bloquear el tráfico que se dirige a un protocolo específico y un puerto específico en Windows Server 2003 y equipos de Windows XP basado. Para ello, siga estos pasos:
  1. Compruebe que el servicio Agente de directivas IPSec está habilitado y iniciado en el complemento MMC de servicios.
  2. Instalar IPSeccmd.exe. IPSeccmd.exe forma parte de herramientas de soporte de Windows XP Service Pack 2 (SP2).

    Nota IPSeccmd.exe se ejecutará en Windows XP y sistemas operativos Windows Server 2003, pero la herramienta sólo está disponible desde el paquete de herramientas de soporte técnico de SP2 de Windows XP.

    Para obtener más información acerca de cómo descargar e instalar herramientas de soporte técnico de Windows XP Service Pack 2, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    838079Herramientas de soporte técnico del Service Pack 2 de Windows XP
  3. Abra un símbolo del sistema y, a continuación, establezca la carpeta de trabajo a la carpeta donde instaló las herramientas de soporte de Windows XP Service Pack 2.

    Nota La carpeta predeterminada for Windows XP Service Pack 2 Support Tools es c:\Archivos de programa\Support Tools.
  4. Para crear una nueva directiva IPSec local y la regla de filtrado que se aplica al tráfico de red desde cualquier dirección IP a la dirección IP del equipo basado en Windows Server 2003 o basado en Windows que está configurando, utilice el comando siguiente.

    Nota En el siguiente comando, Protocol y PortNumber son variables.
    IPSeccmd.exe -w REG -p "Bloque de filtro de ProtocolPortNumber"-r"Block entrada ProtocolPortNumber Rule" -f * = 0: PortNumber: Protocol - n BLOCK ? x
    Por ejemplo, para bloquear tráfico de red desde cualquier IP dirección y cualquier puerto de origen al destino puerto UDP 1434 en un equipo basado en Windows Server 2003 o basado en Windows, escriba lo siguiente. Esta directiva es suficiente para ayudar a proteger los equipos que ejecutan Microsoft SQL Server 2000 desde el gusano "Slammer".
    IPSeccmd.exe -w REG -p "Block UDP 1434 filtrar"-r"Block entrante UDP 1434 Rule" -f * = 0:1434:UDP - n BLOCK - x
    El siguiente ejemplo bloques entrante acceso a TCP puerto 80 pero todavía permite el acceso TCP 80 de salida. Esta directiva es suficiente para proteger equipos que ejecutan Microsoft Internet Information Services (IIS) 5.0 desde el gusano "Code Red" y el gusano "Nimda".
    IPSeccmd.exe -w REG -p "Block TCP 80 TCP de entrada de bloque de filtro"-r"regla 80" -f * = 0:80:TCP - n BLOCK - x
    Nota El modificador - x asigna la directiva inmediatamente. Si escribe este comando, no está asignada la directiva "Filtro de bloque UDP 1434" y se asigna la "filtro 80 de bloquear TCP". Para agregar la directiva pero no asignar la directiva, escriba el comando sin el modificador - x al final.
  5. Para agregar una regla de filtrado adicional a la directiva "Filtro de bloque UDP 1434" existente que bloquea tráfico que procede de un equipo Windows Server 2003 o Windows XP a cualquier dirección IP de red, utilice el comando siguiente.

    Nota En este comando, Protocol y PortNumber son variables:
    IPSeccmd.exe -w REG -p "de Protocol de bloque PortNumber filtrar"-r"Block regla de salida ProtocolPortNumber" -f * 0 =: PortNumber: Protocol n BLOCK
    Por ejemplo, para bloquear cualquier tráfico de red que se origina desde un equipo de Windows Server 2003 o Windows XP que se dirige al puerto UDP 1434 en cualquier otro host, escriba lo siguiente. Esta directiva es suficiente para evitar que equipos que ejecutan SQL Server 2000 desde extendiendo el gusano "Slammer".
    IPSeccmd.exe -w REG -p "Block UDP 1434"-r"Bloquear UDP saliente 1434 regla de filtro" -f 0 = *:1434:UDP - n BLOCK
    Nota Puede agregar tantas reglas de filtrado a una directiva que desee mediante este comando. Por ejemplo, puede utilizar este comando para bloquear varios puertos mediante la misma directiva.
  6. La directiva en el paso 5 ahora estará en vigor y se conservará cada vez que reinicie el equipo. Sin embargo, si una directiva IPSec basada en el dominio está asignada en el equipo más adelante, esta directiva local se va a reemplazar y dejará de aplicarse.

    Para comprobar la asignación correcta de la regla de filtrado, establecer la carpeta de trabajo a c:\Archivos de programa\Support Tools en el símbolo del sistema y, a continuación, escriba el comando siguiente:
    netdiag/test: IPSec /debug
    Si las directivas para el tráfico entrante y saliente se asignan como en estos ejemplos, recibirá el mensaje siguiente:
    Prueba de seguridad IP........ . :
    Ruta de directiva de seguridad IP de pasado activo directiva IPSec local: 'Bloquear UDP 1434 filtro': SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy {D239C599-F945-47A3-A4E3-B37BC12826B9}

    No hay 2 filtros
    Sin nombre
    Id. de filtro: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
    Id. de directiva: {509492EA-1214-4F50-BF43-9CAC2B538518}
    Dirección de origen: 0.0.0.0 máscara de origen: 0.0.0.0
    Dirección de destino: 192.168.1.1 Máscara Dest: 255.255.255.255
    Dirección de túnel: 0.0.0.0 puerto orig: 0 puerto Dest: 1434
    Protocolo: 17 TunnelFilter: no
    Indicadores: Bloque de entrada
    Sin nombre
    Id. de filtro: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
    Id. de directiva: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
    192.168.1.1 De direcciones de origen: máscara de origen: 255.255.255.255
    Dirección de destino: 0.0.0.0 Máscara Dest: 0.0.0.0
    Dirección de túnel: 0.0.0.0 puerto orig: 0 puerto Dest: 1434
    Protocolo: 17 TunnelFilter: no
    Indicadores: Bloque de salida
    Nota Las direcciones IP y números de (GUID) de la interfaz gráfica de usuario será diferentes basándose en un equipo Windows Server 2003 o Windows XP.

Equipos basados en Windows 2000

Para sistemas sin una directiva IPSec definida localmente habilitado, siga estos pasos para crear una nueva directiva estática local para bloquear el tráfico que se dirige a un protocolo específico y el puerto en un equipo basado en Windows 2000 sin una directiva IPSec existente asignado:
  1. Compruebe que el servicio Agente de directivas IPSec está habilitado y iniciado en el complemento MMC de servicios.
  2. Visite el siguiente sitio Web para descargar e instalar Ipsecpol.exe:
    http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361
  3. Abra un símbolo del sistema y establezca la carpeta de trabajo en la carpeta donde instaló Ipsecpol.exe.

    Nota La carpeta predeterminada para Ipsecpol.exe es c:\Archivos de programa\Resource Kit.
  4. Para crear una nueva directiva IPSec local y la regla de filtrado que se aplica al tráfico de red desde cualquier dirección IP a la dirección IP del equipo basado en Windows 2000 que está configurando, utilice el comando siguiente, donde Protocol y PortNumber son variables:
    ipsecpol -w REG -p "Block ProtocolPortNumber filtro"-r"Block Inbound ProtocolPortNumber Rule" -f * = 0: PortNumber: ? x de Protocol - n BLOCK
    Por ejemplo, para bloquear tráfico de red desde cualquier IP dirección y cualquier puerto de origen al destino puerto UDP 1434 en un equipo basado en Windows 2000, escriba lo siguiente. Esta directiva es suficiente para ayudar a proteger los equipos que ejecutan Microsoft SQL Server 2000 desde el gusano "Slammer".
    ipsecpol -w REG -p "Filtro de bloque UDP 1434" - r"Block Inbound UDP 1434 Rule" -f * = 0:1434:UDP - n BLOCK - x
    El siguiente ejemplo bloques entrante acceso a TCP puerto 80 pero todavía permite el acceso TCP 80 de salida. Esta directiva es suficiente para proteger equipos que ejecutan Microsoft Internet Information Services (IIS) 5.0 desde el "Código rojo" y "Nimda" gusanos.
    ipsecpol -w REG -p "Filtro de bloque TCP 80" - r"Block Inbound TCP 80 Rule" -f * = 0:80:TCP - n BLOCK - x
    Nota El modificador - x asigna la directiva inmediatamente. Si escribe este comando, no está asignada la directiva "Filtro de bloque UDP 1434" y se asigna la "filtro 80 de bloquear TCP". Para agregar pero no asignar la directiva, escriba el comando sin el modificador - x al final.
  5. Para agregar una regla de filtrado adicional a la directiva "Filtro de bloque UDP 1434" existente que el tráfico que procede de red de bloques de equipo basado en Windows 2000 a cualquier dirección IP, utilice el comando siguiente, donde Protocol y PortNumber son variables:
    ipsecpol -w REG -p "de Protocol de bloque PortNumber filtrar"-r"Block salida ProtocolPortNumber Rule" -f * 0 =: PortNumber: Protocol n BLOCK
    Por ejemplo, para bloquear cualquier tráfico de red que se origina en su equipo basado en Windows 2000 dirigido al puerto UDP 1434 en cualquier otro host, escriba lo siguiente. Esta directiva es suficiente para evitar que equipos que ejecutan SQL Server 2000 desde extendiendo el gusano "Slammer".
    ipsecpol -w REG -p "Filtro de bloque UDP 1434" - r"Block saliente UDP 1434 Rule" -f 0 = *:1434:UDP - n BLOCK
    Nota Puede agregar tantas reglas de filtrado a una directiva que desee mediante este comando (por ejemplo, para bloquear varios puertos mediante la misma directiva).
  6. La directiva en el paso 5 ahora estará en vigor y se conservará cada vez que reinicie el equipo. Sin embargo, si una directiva IPSec basada en el dominio está asignada en el equipo más adelante, esta directiva local se va a reemplazar y dejará de aplicarse. Para comprobar la asignación correcta de la regla de filtrado, en el símbolo del sistema, establecer la carpeta de trabajo a c:\Archivos de programa\Support Tools y, a continuación, escriba el comando siguiente:
    netdiag/test: IPSec /debug
    Si, como en estos ejemplos, se asignan directivas para el tráfico entrante y saliente, recibirá el mensaje siguiente:
    Prueba de seguridad IP........ . :
    Ruta de directiva de seguridad IP de pasado activo directiva IPSec local: 'Bloquear UDP 1434 filtro': SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy {D239C599-F945-47A3-A4E3-B37BC12826B9}

    No hay 2 filtros
    Sin nombre
    Id. de filtro: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
    Id. de directiva: {509492EA-1214-4F50-BF43-9CAC2B538518}
    Dirección de origen: 0.0.0.0 máscara de origen: 0.0.0.0
    Dirección de destino: 192.168.1.1 Máscara Dest: 255.255.255.255
    Dirección de túnel: 0.0.0.0 puerto orig: 0 puerto Dest: 1434
    Protocolo: 17 TunnelFilter: no
    Indicadores: Bloque de entrada
    Sin nombre
    Id. de filtro: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
    Id. de directiva: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
    192.168.1.1 De direcciones de origen: máscara de origen: 255.255.255.255
    Dirección de destino: 0.0.0.0 Máscara Dest: 0.0.0.0
    Dirección de túnel: 0.0.0.0 puerto orig: 0 puerto Dest: 1434
    Protocolo: 17 TunnelFilter: no
    Indicadores: Bloque de salida
    Nota Las direcciones IP y números de (GUID) de la interfaz gráfica de usuario será diferentes. Se reflejan los del equipo basado en Windows 2000.

Agregar una regla de bloque para un protocolo específico y un puerto

Windows Server 2003 basado en Windows XP equipos y

Para agregar una regla de bloque para un protocolo específico y un puerto en un equipo basado en Windows Server 2003 o basado en Windows XP que tiene una existente asignado localmente estática directiva IPSec, siga estos pasos:
  1. Instalar IPSeccmd.exe. IPSeccmd.exe forma parte de las herramientas de soporte técnico del SP2 de Windows XP.

    Para obtener más información acerca de cómo descargar e instalar herramientas de soporte técnico de Windows XP Service Pack 2, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    838079Herramientas de soporte técnico del Service Pack 2 de Windows XP
  2. Identificar el nombre de la directiva IPSec asignada actualmente. Para ello, escriba lo siguiente en el símbolo del sistema:
    netdiag/test: IPSec
    Si asigna una directiva, recibirá un mensaje similar al siguiente:
    Prueba de seguridad IP........ . Pasado:
    Activo de directiva IPSec local: 'Bloquear UDP 1434 filtro'
  3. Si hay una directiva IPSec ya asignada a equipo (local o dominio), utilice el comando siguiente para agregar una regla de filtro de bloque adicionales a la directiva IPSec existente.

    Nota En este comando, Existing_IPSec_Policy_Name, Protocol y PortNumber son variables.
    IPSeccmd.exe -p "Existing_IPSec_Policy_Name"-w REG - r"Block regla de ProtocolPortNumber" -f * = 0: PortNumber: Protocol - n BLOCK
    Por ejemplo, para agregar una regla de filtro para bloquear el acceso entrante a el puerto TCP 80 para el filtro de bloque UDP 1434 existente, escriba el comando siguiente:
    IPSeccmd.exe -p "Filtro de bloque UDP 1434" -w REG - r "bloquear entrante TCP 80 Rule" -f * = 0:80:TCP - n BLOCK

Equipos basados en Windows 2000

Para agregar una regla de bloque para un protocolo específico y un puerto en un equipo basado en Windows 2000 con una existente asignado localmente estático directiva IPSec, siga estos pasos:
  1. Visite el siguiente sitio Web para descargar e instalar Ipsecpol.exe:
    http://support.microsoft.com/kb/927229
  2. Identificar el nombre de la directiva IPSec asignada actualmente. Para ello, escriba lo siguiente en el símbolo del sistema:
    netdiag/test: IPSec
    Si asigna una directiva, recibirá un mensaje similar al siguiente:
    Prueba de seguridad IP........ . Pasado:
    Activo de directiva IPSec local: 'Bloquear UDP 1434 filtro'
  3. Si hay una directiva IPSec ya asignada a equipo (local o dominio), utilice el comando siguiente para agregar un bloque adicional filtrado de regla para la directiva IPSec existente, donde Existing_IPSec_Policy_Name, Protocol y PortNumber son variables:
    ipsecpol -p "Existing_IPSec_Policy_Name" -w REG - r "Block regla de ProtocolPortNumber" -f * = 0: PortNumber: n de Protocol BLOCK
    Por ejemplo, para agregar una regla de filtro para bloquear el acceso entrante a el puerto TCP 80 para el filtro de bloque UDP 1434 existente, escriba el comando siguiente:
    ipsecpol -p "Filtro de bloque UDP 1434" -w REG - r "Block Inbound TCP 80 Rule" -f * = 0:80:TCP - n BLOCK

Agregue una directiva dinámica bloque para un protocolo específico y un puerto

Equipos basados en Windows XP y Windows Server 2003

Puede que desee bloquear temporalmente el acceso a un puerto específico. Por ejemplo, desea bloquear un puerto específico hasta que pueda instalar una revisión o si una directiva IPSec basada en el dominio ya está asignada al equipo. Para bloquear temporalmente el acceso a un puerto en un equipo Windows Server 2003 o Windows XP mediante Directiva de IPSec, siga estos pasos:
  1. Instalar IPSeccmd.exe. IPSeccmd.exe forma parte de herramientas de soporte técnico de Windows XP Service Pack 2.

    Nota IPSeccmd.exe se ejecutará en Windows XP y sistemas operativos Windows Server 2003, pero la herramienta sólo está disponible desde el paquete de herramientas de soporte técnico de SP2 de Windows XP.

    Para obtener más información acerca de cómo descargar e instalar herramientas de soporte técnico de Windows XP Service Pack 2, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    838079Herramientas de soporte técnico del Service Pack 2 de Windows XP
  2. Para agregar un filtro dinámico de bloque que bloquea todos los paquetes desde cualquier dirección IP en dirección del sistema y puerto de destino, escriba lo siguiente en un símbolo del sistema.

    Nota En el siguiente comando, Protocol y PortNumber son variables.
    IPSeccmd.exe -f [* = 0: PortNumber: Protocol]
    Nota Este comando crea el filtro de bloque dinámicamente. La directiva permanece asignada si el servicio de agente de directivas IPSec se está ejecutando. Si se reinicia el servicio Agente de directivas IPSec o se reinicia el equipo, esta directiva se pierde. Si desea reasignar dinámicamente la regla de filtrado de IPSec cada vez que se reinicie el sistema, cree un script de inicio para volver a aplicar la regla de filtro. Si desea aplicar permanentemente este filtro, configurar el filtro como una directiva IPSec estática. El complemento Administración de directivas IPSec de MMC proporciona una interfaz gráfica de usuario para administrar la configuración de directivas IPSec. Si ya se ha aplicado una directiva IPSec basada en dominio, el comando netdiag/test: IPSec /debug sólo puede mostrar los detalles de filtro si el comando se ejecuta un usuario que tenga credenciales de administrador de dominio.

Equipos basados en Windows 2000

Puede que desee bloquear temporalmente un puerto específico (por ejemplo, hasta que se puede ser instalada una revisión o si una directiva IPSec basada en el dominio ya está asignada al equipo). Para bloquear temporalmente el acceso a un puerto en un equipo basado en Windows 2000 mediante Directiva de IPSec, siga estos pasos:
  1. Visite el siguiente sitio Web para descargar e instalar Ipsecpol.exe:
    http://support.microsoft.com/kb/927229
  2. Para agregar un filtro dinámico de bloque que bloquea todos los paquetes desde cualquier dirección IP en dirección del sistema y puerto de destino, escriba lo siguiente en un símbolo del sistema, donde Protocol y PortNumber son variables:
    ipsecpol -f [* = 0: PortNumber: Protocol]
    Nota Este comando crea dinámicamente el filtro de bloque y la directiva permanecerá asignada siempre que el servicio de agente de directivas IPSec se está ejecutando. Si se reinicia el servicio IPSec o se reinicia el equipo, esta configuración se perderá. Si desea reasignar dinámicamente la regla de filtrado de IPSec cada vez que el sistema se reinicia, crear un script de inicio para volver a aplicar la regla de filtro. Si desea aplicar permanentemente este filtro, configurar el filtro como una directiva IPSec estática. El complemento Administración de directivas IPSec de MMC proporciona una interfaz gráfica de usuario para administrar la configuración de directivas IPSec. Si ya se ha aplicado una directiva IPSec basada en dominio, el comando netdiag/test: IPSec /debug sólo puede mostrar los detalles de filtro si el comando se ejecuta un usuario con credenciales de administrador de dominio. Una versión actualizada de Netdiag.exe estará disponible en Windows 2000 Service Pack 4 que permitirá a los administradores locales ver la directiva IPSec basada en dominio.

Reglas de filtrado de IPSec y directiva de grupo

Para entornos donde se asignan las directivas IPSec mediante una directiva de grupo, tendrá que actualizar directiva todo el dominio ?s para bloquear el puerto y protocolo concreto. Después de configurar correctamente la directiva de grupo Configuración de IPSec, se debe aplicar una actualización de la configuración de directiva de grupo en los equipos de basado en Windows Server 2003, basadas en Windows 2000 y basado en Windows en el dominio. Para ello, utilice el comando siguiente:
secedit /refreshpolicy machine_policy
Se detectará el cambio de directiva de IPSec en uno de dos diferentes intervalos de sondeo. Para una directiva IPSec recién asignada se aplica a un objeto de directiva de grupo, la directiva IPSec se aplicará a los clientes dentro del tiempo establecido para el intervalo de sondeo de directiva de grupo o cuando se ejecuta el comando secedit /refreshpolicy machine_policy en los equipos cliente. Si directiva IPSec ya está asignado a un GPO y filtros de IPSec nueva o las reglas se agregan a una directiva existente, el comando secedit no hará que IPSec reconocen los cambios. En este escenario, las modificaciones de una IPSec existente basado en el GPO directiva se detectará dentro de esa directiva IPSec propia intervalo de sondeo. Este intervalo se especifica en la ficha General para que directiva de IPSec. También puede forzar una actualización de la configuración de directiva de IPSec reiniciando el servicio Agente de directivas IPSec. Si detiene o reinicia el servicio IPSec, las comunicaciones protegidas por IPSec se interrumpirá y tardan varios segundos para reanudar. Esto puede causar desconectar, especialmente para las conexiones que se va a transferir grandes volúmenes de datos activamente las conexiones de programa. En situaciones donde se aplica la directiva IPSec sólo en el equipo local, no es necesario reiniciar el servicio.

Desasignar y eliminar una directiva IPSec

Windows Server 2003 basado en Windows XP equipos y

  • equipos que tienen una directiva estática definido localmente
    1. Abra un símbolo del sistema y, a continuación, establezca la carpeta de trabajo a la carpeta donde instaló Ipsecpol.exe.
    2. Para desasignar el filtro que creó anteriormente, utilice el comando siguiente:
      diskperf ? IPSeccmd.exe -w REG -p "Filtro de Protocol de bloque PortNumber y
      Por ejemplo, para cancelar el filtro de bloque UDP 1434 que creó anteriormente, utilice el comando siguiente:
      IPSeccmd.exe -w REG -p "Filtro de bloque UDP 1434" -y
    3. Para eliminar el filtro que ha creado, utilice el comando siguiente:
      IPSeccmd.exe -w REG -p "Block ProtocolPortNumber filtrar"-r"Block ProtocolPortNumber Rule" ? o
      Por ejemplo, para eliminar el "filtro 1434 de bloquear UDP" filtra y los dos reglas que ha creado, utilice el comando siguiente:
      IPSeccmd.exe -w REG -p "Filtro de bloque UDP 1434" - r "Block regla de entrada UDP 1434"-r"Bloquear UDP saliente 1434 regla" -o
  • equipos que tienen una directiva dinámica definido localmente
    Directiva de IPSec dinámico es no aplicado si se detiene el servicio de agente de directivas IPSec mediante el comando net stop policyagent . Para eliminar los comandos específicos que se utilizaron sin detener el servicio Agente de directivas IPSec, siga estos pasos:
    1. Abra un símbolo del sistema y, a continuación, establezca la carpeta de trabajo en la carpeta donde instalado Herramientas de soporte técnico de Windows XP Service Pack 2.
    2. Escriba el comando siguiente:
      IPSeccmd.exe ? u
      Nota También puede reiniciar el servicio Agente de directiva de IPSec para borrar todas las directivas asignados dinámicamente.

Equipos basados en Windows 2000

  • equipos con una directiva estática definido localmente
    1. Abra un símbolo del sistema y, a continuación, establezca la carpeta de trabajo a la carpeta donde instaló Ipsecpol.exe.
    2. Para desasignar el filtro que creó anteriormente, utilice el comando siguiente:
      diskperf ? ipsecpol -w REG -p "Filtro de bloque ProtocolPortNumber y
      Por ejemplo, para cancelar el filtro de bloque UDP 1434 que creó anteriormente, utilice el comando siguiente:
      ipsecpol -w REG -p "filtro de bloque UDP 1434" -y
    3. Para eliminar el filtro que ha creado, utilice el comando siguiente:
      ipsecpol -w REG -p "Block ProtocolPortNumber filtrar"-r"Block ProtocolPortNumber Rule" ? o
      Por ejemplo, para eliminar el "filtro 1434 de bloquear UDP" filtra y ambas reglas que creó anteriormente, utilice el comando siguiente:
      ipsecpol -w REG -p "filtro de bloque UDP 1434" - r "Block Inbound UDP 1434 Rule" - r "Block saliente UDP 1434 Rule" -o
  • equipos con una directiva dinámico definido localmente

    Directiva IPSec dinámica se desaplicarán si se detiene el servicio de agente de directivas IPSec (utilizando el comando net stop policyagent ). Sin embargo, para eliminar los comandos específicos que se utilizaron anteriormente sin detener el agente de directivas IPSec servicio, siguiendo estos pasos:
    1. Abra un símbolo del sistema y, a continuación, establezca la carpeta de trabajo a la carpeta donde instaló Ipsecpol.exe.
    2. Escriba el comando siguiente:
      IPSECPOL ? u
      Nota También puede reiniciar el servicio Agente de directiva de IPSec para borrar todas las directivas asignados dinámicamente.

Aplicar la nueva regla de filtro a todos los protocolos y puertos

De forma predeterminada en Microsoft Windows 2000 y Microsoft Windows XP, IPSec excluye el tráfico de difusión, multidifusión, RSVP, IKE y Kerberos de las restricciones de filtro y autenticación. Para obtener información adicional acerca de estas excepciones, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
253169Tráfico que puede y no se--pueden proteger mediante IPSec
Cuando IPSec se utiliza sólo para permitir y bloquear el tráfico, quitar las exenciones para los protocolos Kerberos y RSVP cambiando un valor del registro. Para obtener instrucciones detalladas acerca de cómo hacerlo, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
254728IPSec no protege Kerberos tráfico entre controladores de dominio
Siguiendo estas instrucciones, puede proteger puerto UDP 1434 incluso en casos donde los atacantes pueden establecer su puerto de origen en el Kerberos puertos de TCP/UDP 88. Quitando las exenciones de Kerberos, paquetes de Kerberos ahora se asociarán con todos los filtros de la directiva IPSec. Por lo tanto, Kerberos puede ser protegido dentro de IPSec, bloqueados o permitidos. Por lo tanto, si los filtros IPSec coincide con el tráfico de Kerberos que se va a las direcciones IP de controlador de dominio, quizás tenga que cambiar el diseño de directiva de IPSec para agregar nuevos filtros para permitir tráfico de Kerberos de cada dirección IP de controlador de dominio (si no utiliza IPSec para proteger todo el tráfico entre los controladores de dominio Knowledge Base describe 254728).

Reinicie la aplicación de reglas de filtro de IPSec al equipo

Todas las directivas IPSec se basan en el servicio Agente de directivas IPSec que se va a asignar. Cuando un equipo basado en Windows 2000 está iniciando, el servicio Agente de directivas IPSec no es necesariamente el primer servicio se inicie. Por lo tanto, puede haber un breve momento cuando la conexión de red del equipo es vulnerable a ataques de virus o gusano. Esta situación sólo se aplica en el caso de un servicio potencialmente vulnerable se ha iniciado correctamente y está aceptando conexión antes de que el servicio de agente de directivas IPSec completamente ha iniciado y asignado todas las directivas.

Propiedades

Id. de artículo: 813878 - Última revisión: miércoles, 28 de febrero de 2007 - Versión: 6.2
La información de este artículo se refiere a:
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
Palabras clave: 
kbmt kbhowto KB813878 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 813878

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com