Jak blokować wybrane protokoły i porty sieciowe za pomocą protokołu IPSec

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 813878 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

Reguły filtrowania protokołu IPSec (Internet Protocol security) mogą służyć do ochrony komputerów z systemem Windows 2000, Windows XP i Windows Server 2003 przed atakami z sieci wykonywanymi przez różne źródła zagrożenia, takie jak wirusy czy robaki. W tym artykule omówiono możliwości filtrowania ruchu wychodzącego do sieci i przychodzącego z sieci w przypadku konkretnych kombinacji protokołów i portów. Przedstawiono tu również kroki procedur weryfikacji, czy do komputera z systemem Windows 2000, Windows XP lub Windows Server 2003 są przypisane jakiekolwiek zasady IPSec, tworzenia i przypisywania nowych zasad IPSec oraz cofania przypisań i usuwania istniejących zasad.

Więcej informacji

Zasady IPSec mogą być stosowane lokalnie lub do członka domeny w ramach zasad grupy tej domeny. Lokalne zasady IPSec mogą być statyczne (zachowywane po ponownym uruchomieniu) lub dynamiczne (ulotne). Statyczne zasady IPSec są zapisywane w lokalnym rejestrze i pozostają takie same po ponownym uruchomieniu systemu operacyjnego. Dynamiczne zasady IPSec nie są trwale zapisywane w rejestrze i są usuwane po ponownym uruchomieniu systemu operacyjnego lub usługi agenta zasad IPSec.

Ważne Ten artykuł zawiera informacje na temat modyfikowania rejestru przy użyciu narzędzia Ipsecpol.exe. Przed edycją rejestru upewnij się, że wiesz, jak go przywrócić w przypadku pojawienia się problemu. Aby uzyskać informacje dotyczące wykonywania kopii zapasowej, przywracania i edytowania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
256986 Opis rejestru systemu Microsoft Windows
Uwaga Reguły filtrowania IPSec mogą powodować, że programy sieciowe będą traciły dane oraz przestaną odpowiadać na żądania sieciowe, w tym nie będą uwierzytelniać użytkowników. Reguł filtrowania IPSec należy używać jako ostatecznego mechanizmu obronnego i wyłącznie pod warunkiem dysponowania pełną wiedzą na temat wpływu zablokowania konkretnych portów na środowisko pracy. Jeśli zasada IPSec utworzona przy użyciu procedury opisanej w tym artykule będzie mieć niepożądany wpływ na używane programy sieciowe, należy skorzystać z instrukcji opisujących sposób natychmiastowego wyłączenia i usunięcia zasady, które znajdują się w sekcji „Cofanie przypisania i usuwanie zasady IPSec” w dalszej części tego artykułu.

Weryfikacja przypisania zasady IPSec

Komputery z systemem Windows Server 2003

Przed utworzeniem jakichkolwiek nowych zasad IPSec lub przypisaniem ich do komputera z systemem Windows Server 2003 należy ustalić, czy w rejestrze lokalnym lub obiekcie zasad grupy są już przypisane jakiekolwiek zasady IPSec. W tym celu wykonaj następujące kroki:
  1. Zainstaluj program Netdiag.exe z dysku CD z systemem Windows Server 2003, uruchamiając pakiet instalatora Suptools.msi z folderu Support\Tools.
  2. Otwórz wiersz polecenia i jako katalog roboczy ustaw C:\Program Files\Support Tools.
  3. Uruchom następujące polecenie, aby się upewnić, że do komputera nie ma aktualnie przypisanych zasad IPSec:
    netdiag /test:ipsec
    Jeśli nie jest przypisana żadna zasada, pojawi się następujący komunikat:
    IP Security test . . . . . . . . . : Passed IPSec policy service is active, but no policy is assigned.

Komputery z systemem Windows XP

Przed utworzeniem jakichkolwiek nowych zasad IPSec lub przypisaniem ich do komputera z systemem Windows XP należy ustalić, czy w rejestrze lokalnym lub obiekcie zasad grupy są już przypisane jakieś zasady IPSec. W tym celu wykonaj następujące kroki:
  1. Zainstaluj narzędzie Netdiag.exe z dysku instalacyjnego systemu Windows XP, uruchamiając program Setup.exe znajdujący się w folderze Support\Tools.
  2. Otwórz wiersz polecenia i jako katalog roboczy ustaw C:\Program Files\Support Tools.
  3. Uruchom następujące polecenie, aby się upewnić, że do komputera nie ma aktualnie przypisanych zasad IPSec:
    netdiag /test:ipsec
    Jeśli nie jest przypisana żadna zasada, pojawi się następujący komunikat:
    IP Security test . . . . . . . . . : Passed IPSec policy service is active, but no policy is assigned.

Komputery z systemem Windows 2000

Przed utworzeniem jakichkolwiek nowych zasad IPSec lub przypisaniem ich do komputera z systemem Windows 2000 należy ustalić, czy w rejestrze lokalnym lub obiekcie zasad grupy są już przypisane jakieś zasady IPSec. W tym celu wykonaj następujące kroki:
  1. Zainstaluj narzędzie Netdiag.exe z dysku instalacyjnego systemu Windows 2000, uruchamiając program Setup.exe znajdujący się w folderze Support\Tools.
  2. Otwórz wiersz polecenia i jako katalog roboczy ustaw C:\Program Files\Support Tools.
  3. Uruchom następujące polecenie, aby się upewnić, że do komputera nie ma aktualnie przypisanych zasad IPSec:
    netdiag /test:ipsec
    Jeśli nie jest przypisana żadna zasada, pojawi się następujący komunikat:
    IP Security test . . . . . . . . . : Passed IPSec policy service is active, but no policy is assigned.

Tworzenie statycznej zasady blokowania ruchu

Komputery z systemem Windows Server 2003 i Windows XP

W przypadku systemów, dla których nie włączono lokalnie zdefiniowanych zasad IPSec, należy skorzystać z poniższej procedury, aby utworzyć nową statyczną zasadę lokalną blokowania ruchu kierowanego do określonego protokołu i portu na komputerach z systemem Windows Server 2003 i Windows XP bez przypisanych zasad IPSec. W tym celu wykonaj następujące kroki:
  1. Upewnij się, że w przystawce Usługi w konsoli MMC jest włączona i uruchomiona usługa agenta zasad IPSec.
  2. Zainstaluj program IPSeccmd.exe. Program IPSeccmd.exe jest częścią pakietu narzędzi obsługi z dodatku Service Pack 2 (SP2) dla systemu Windows XP.

    Uwaga Program IPSeccmd.exe będzie działać w systemach operacyjnych Windows XP i Windows Server 2003, ale jest dostępny tylko w pakiecie narzędzi obsługi z dodatku SP2 dla systemu Windows XP.

    Aby uzyskać więcej informacji dotyczących pobierania i instalowania narzędzi obsługi z dodatku Service Pack 2 dla systemu Windows XP, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    838079 Narzędzia obsługi dodatku Service Pack 2 dla systemu Windows XP
  3. Otwórz wiersz polecenia i jako folder roboczy ustaw folder, w którym zostały zainstalowane narzędzia obsługi z dodatku Service Pack 2 dla systemu Windows XP.

    Uwaga Domyślny folder narzędzi obsługi z dodatku SP2 dla systemu Windows XP to C:\Program Files\Support Tools.
  4. Aby utworzyć nową lokalną zasadę IPSec i regułę filtrowania dotyczącą ruchu sieciowego kierowanego z dowolnego adresu IP do adresu IP komputera z systemem Windows Server 2003 lub Windows XP, należy użyć następującego polecenia.

    Uwaga W następującym poleceniu części Protokół i NumerPortu są zmiennymi.
    IPSeccmd.exe -w REG -p "Block ProtokółNumerPortu Filter" -r "Block Inbound ProtokółNumerPortu Rule" -f *=0:NumerPortu:Protokół -n BLOCK –x
    Aby na przykład zablokować ruch z jakiegokolwiek adresu IP i portu źródłowego do docelowego portu UDP 1434 na komputerze z systemem Windows Server 2003 lub Windows XP, należy wpisać następujące polecenie. Zasada ta zapewnia ochronę komputerom z programem Microsoft SQL Server 2000 przed robakiem „Slammer”.
    IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -r "Block Inbound UDP 1434 Rule" -f *=0:1434:UDP -n BLOCK -x
    Kolejne polecenie przykładowe blokuje ruch przychodzący do portu TCP 80, ale zezwala na ruch wychodzący z tego portu. Zasada ta zapewnia ochronę komputerom z Internetowymi usługami informacyjnymi (IIS) 5.0 firmy Microsoft przed robakami „Code Red” i „Nimda”.
    IPSeccmd.exe -w REG -p "Block TCP 80 Filter" -r "Block Inbound TCP 80 Rule" -f *=0:80:TCP -n BLOCK -x
    Uwaga Przełącznik -x powoduje natychmiastowe przypisanie zasady. Po wprowadzeniu tego polecenia zasada „Block UDP 1434 Filter” zostanie cofnięta, a zostanie przypisana zasada „Block TCP 80 Filter”. Aby dodać zasadę, nie przypisując jej, należy wpisać polecenie bez umieszczania na końcu przełącznika -x.
  5. Aby do istniejącej zasady „Block UDP 1434 Filter” dodać kolejną regułę filtrowania, która powoduje blokowanie ruchu wychodzącego z komputera z systemem Windows Server 2003 lub Windows XP do wszelkich adresów IP, należy użyć następującego polecenia.

    Uwaga W tym poleceniu części Protokół i NumerPortu są zmiennymi:
    IPSeccmd.exe -w REG -p "Block ProtokółNumerPortu Filter" -r "Block Outbound ProtokółNumerPortu Rule" -f *0=:NumerPortu:Protokół -n BLOCK
    Aby na przykład zablokować cały ruch kierowany z komputera z systemem Windows Server 2003 lub Windows XP do portu UDP 1434 wszelkich innych hostów, należy wpisać następujące polecenie. Zasada ta zapewnia ochronę komputerom z programem SQL Server 2000 przed robakiem „Slammer”.
    IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -r "Block Outbound UDP 1434 Rule" -f 0=*:1434:UDP -n BLOCK
    Uwaga Do zasady można dodać żądaną liczbę reguł filtrowania, które zostaną użyte w tym poleceniu. Na przykład za pomocą tej samej zasady można zablokować wiele portów.
  6. Zasada pokazana w kroku 5 będzie teraz obowiązywać i będzie uaktywniana po każdym ponownym uruchomieniu komputera. Jeśli jednak do komputera zostanie później przypisana zasada IPSec oparta na domenie, zasada lokalna zostanie zastąpiona i nie będzie już stosowana.

    Aby sprawdzić, czy reguła filtrowania została pomyślnie przypisana, w wierszu polecenia należy ustawić folder C:\Program Files\Support Tools jako folder roboczy i wpisać następujące polecenie:
    netdiag /test:ipsec /debug
    Jeśli, tak jak w pokazanych przykładach, są przypisane zasady dotyczące zarówno ruchu przychodzącego, jak i ruchu wychodzącego, pojawi się następujący komunikat:
    IP Security test . . . . . . . . . :
    Passed Local IPSec Policy Active: 'Block UDP 1434 Filter' IP Security Policy Path: SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{D239C599-F945-47A3-A4E3-B37BC12826B9}

    There are 2 filters
    No Name
    Filter Id: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
    Policy Id: {509492EA-1214-4F50-BF43-9CAC2B538518}
    Src Addr : 0.0.0.0 Src Mask : 0.0.0.0
    Dest Addr : 192.168.1.1 Dest Mask : 255.255.255.255
    Tunnel Addr : 0.0.0.0 Src Port : 0 Dest Port : 1434
    Protocol : 17 TunnelFilter: No
    Flags : Inbound Block
    No Name
    Filter Id: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
    Policy Id: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
    Src Addr : 192.168.1.1 Src Mask : 255.255.255.255
    Dest Addr : 0.0.0.0 Dest Mask : 0.0.0.0
    Tunnel Addr : 0.0.0.0 Src Port : 0 Dest Port : 1434
    Protocol : 17 TunnelFilter: No
    Flags : Outbound Block
    Uwaga Adresy IP i numery graficznego interfejsu użytkownika (GUID) będą różne na komputerach z systemem Windows Server 2003 i systemem Windows XP.

Komputery z systemem Windows 2000

W przypadku systemów, dla których nie włączono lokalnie zdefiniowanych zasad IPSec, należy wykonać poniższą procedurę, aby utworzyć nową statyczną zasadę lokalną, która powoduje blokowanie ruchu kierowanego do określonego protokołu i portu komputera z systemem Windows 2000 bez przypisanych zasad IPSec:
  1. Upewnij się, że w przystawce Usługi w konsoli MMC jest włączona i uruchomiona usługa agenta zasad IPSec.
  2. Odwiedź następującą witrynę firmy Microsoft w sieci Web w celu pobrania i zainstalowania narzędzia Ipsecpol.exe:
    http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361
  3. Otwórz wiersz polecenia i jako folder roboczy ustaw folder, w którym został zainstalowany program Ipsecpol.exe.

    Uwaga Folder domyślny narzędzia Ipsecpol.exe to C:\Program Files\Resource Kit.
  4. Aby utworzyć nową lokalną zasadę IPSec i regułę filtrowania dotyczącą ruchu sieciowego kierowanego z dowolnego adresu IP do adresu IP konfigurowanego komputera z systemem Windows 2000, należy użyć następującego polecenia, gdzie Protokół i NumerPortu są zmiennymi:
    ipsecpol -w REG -p "Block ProtokółNumerPortu Filter" -r "Block Inbound ProtokółNumerPortu Rule" -f *=0:NumerPortu:Protokół -n BLOCK –x
    Aby na przykład zablokować ruch sieciowy kierowany z jakiegokolwiek adresu IP i portu źródłowego do docelowego portu UDP 1434 na komputerze z systemem Windows 2000, należy wpisać następujące polecenie. Zasada ta zapewnia ochronę komputerom z programem Microsoft SQL Server 2000 przed robakiem „Slammer”.
    ipsecpol -w REG -p "Block UDP 1434 Filter" -r "Block Inbound UDP 1434 Rule" -f *=0:1434:UDP -n BLOCK -x
    Kolejne polecenie przykładowe blokuje ruch przychodzący do portu TCP 80, ale zezwala na ruch wychodzący z tego portu. Zasada ta zapewnia ochronę komputerom z Internetowymi usługami informacyjnymi (IIS) 5.0 firmy Microsoft przed robakami „Code Red” i „Nimda”.
    ipsecpol -w REG -p "Block TCP 80 Filter" -r "Block Inbound TCP 80 Rule" -f *=0:80:TCP -n BLOCK -x
    Uwaga Przełącznik -x powoduje natychmiastowe przypisanie zasady. Jeśli polecenie zostanie wpisane w postaci widocznej powyżej, przypisanie zasady "Block UDP 1434 Filter" zostanie anulowane, natomiast zostanie przypisana zasada "Block TCP 80 Filter". Aby zasadę dodać, nie przypisując jej, należy wpisać polecenie bez umieszczania na końcu przełącznika -x.
  5. Aby do istniejącej zasady „Block UDP 1434 Filter” dodać kolejną regułę filtrowania, która powoduje blokowanie ruchu z komputera z systemem Windows 2000 do wszelkich adresów IP, należy użyć następującego polecenia, gdzie Protokół i NumerPortu są zmiennymi.
    ipsecpol -w REG -p "Block ProtokółNumerPortu Filter" -r "Block Outbound ProtokółNumerPortu Rule" -f *0=:NumerPortu:Protokół -n BLOCK
    Aby na przykład zablokować cały ruch sieciowy kierowany z komputera z systemem Windows 2000 do portu UDP 1434 wszelkich innych hostów, należy wpisać następujące polecenie. Zasada ta pomaga w ochronie komputerów z programem SQL Server 2000 przed robakiem „Slammer”.
    ipsecpol -w REG -p "Block UDP 1434 Filter" -r "Block Outbound UDP 1434 Rule" -f 0=*:1434:UDP -n BLOCK
    Uwaga Korzystając z tego polecenia, można dodać do zasady dowolną liczbę reguł filtrowania (na przykład w celu zablokowania wielu portów przy użyciu tej samej zasady).
  6. Zasada pokazana w kroku 5 będzie teraz obowiązywać i będzie uaktywniana po każdym ponownym uruchomieniu komputera. Jeśli jednak do komputera zostanie później przypisana zasada IPSec oparta na domenie, zasada lokalna zostanie zastąpiona i nie będzie już stosowana. Aby sprawdzić, czy reguła filtrowania została pomyślnie przypisana, w wierszu polecenia należy ustawić folder C:\Program Files\Support Tools jako folder roboczy, po czym wpisać następujące polecenie:
    netdiag /test:ipsec /debug
    Jeśli, tak jak w pokazanych przykładach, są przypisane zasady dotyczące zarówno ruchu przychodzącego, jak i ruchu wychodzącego, pojawi się następujący komunikat:
    IP Security test . . . . . . . . . :
    Passed Local IPSec Policy Active: 'Block UDP 1434 Filter' IP Security Policy Path: SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{D239C599-F945-47A3-A4E3-B37BC12826B9}

    There are 2 filters
    No Name
    Filter Id: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
    Policy Id: {509492EA-1214-4F50-BF43-9CAC2B538518}
    Src Addr : 0.0.0.0 Src Mask : 0.0.0.0
    Dest Addr : 192.168.1.1 Dest Mask : 255.255.255.255
    Tunnel Addr : 0.0.0.0 Src Port : 0 Dest Port : 1434
    Protocol : 17 TunnelFilter: No
    Flags : Inbound Block
    No Name
    Filter Id: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
    Policy Id: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
    Src Addr : 192.168.1.1 Src Mask : 255.255.255.255
    Dest Addr : 0.0.0.0 Dest Mask : 0.0.0.0
    Tunnel Addr : 0.0.0.0 Src Port : 0 Dest Port : 1434
    Protocol : 17 TunnelFilter: No
    Flags : Outbound Block
    Uwaga Adresy IP i numery graficznego interfejsu użytkownika (GUI) będą różne. Faktyczne adresy IP i numery graficznego interfejsu użytkownika będą odpowiadać rzeczywistym ustawieniom istniejącym na używanym komputerze z systemem Windows 2000.

Dodawanie reguły blokowania określonego protokołu i portu

Komputery z systemem Windows Server 2003 i Windows XP

Aby dodać regułę blokowania określonego protokołu i portu komputera z systemem Windows Server 2003 lub Windows XP, w którego przypadku obowiązuje przypisana lokalnie statyczna zasada IPSec, wykonaj następujące kroki:
  1. Zainstaluj program IPSeccmd.exe. Program IPSeccmd.exe jest częścią narzędzi obsługi z dodatku SP2 dla systemu Windows XP.

    Aby uzyskać więcej informacji dotyczących pobierania i instalowania narzędzi obsługi z dodatku Service Pack 2 dla systemu Windows XP, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    838079 Narzędzia obsługi dodatku Service Pack 2 dla systemu Windows XP
  2. Ustal nazwę aktualnie przypisanej zasady IPSec. Aby to zrobić, wpisz następujące polecenie w wierszu polecenia:
    netdiag /test:ipsec
    Po przypisaniu zasady zostanie wyświetlony komunikat podobny do następującego:
    IP Security test . . . . . . . . . : Passed
    Local IPSec Policy Active: 'Block UDP 1434 Filter'
  3. Jeśli komputer ma już przypisaną zasadę IPSec (lokalnie lub na poziomie domeny), należy użyć następującego polecenia w celu dodania kolejnej reguły filtrowania BLOCK do istniejącej zasady IPSec.

    Uwaga W tym poleceniu Nazwa_istniejącej_zasady_IPSec, Protokół i NumerPortu są zmiennymi.
    IPSeccmd.exe -p "Nazwa_istniejącej_zasady_IPSec" -w REG -r "Block ProtokółNumerPortu Rule" -f *=0:NumerPortu:Protokół -n BLOCK
    Aby na przykład do istniejącej reguły filtrowania, która powoduje blokowanie ruchu do portu UDP 1434 (Block UDP 1434 Filter), dodać regułę filtrowania w celu zablokowania ruchu przychodzącego do portu TCP 80, należy wpisać następujące polecenie:
    IPSeccmd.exe -p "Block UDP 1434 Filter" -w REG -r "Block Inbound TCP 80 Rule" -f *=0:80:TCP -n BLOCK

Komputery z systemem Windows 2000

Aby dodać regułę blokowania określonego protokołu i portu komputera z systemem Windows 2000, w którego przypadku obowiązuje przypisana lokalnie statyczna zasada IPSec, wykonaj następujące kroki:
  1. Odwiedź następującą witrynę firmy Microsoft w sieci Web w celu pobrania i zainstalowania narzędzia Ipsecpol.exe:
    http://support.microsoft.com/kb/927229
  2. Ustal nazwę aktualnie przypisanej zasady IPSec. Aby to zrobić, wpisz następujące polecenie w wierszu polecenia:
    netdiag /test:ipsec
    Po przypisaniu zasady zostanie wyświetlony komunikat podobny do następującego:
    IP Security test . . . . . . . . . : Passed
    Local IPSec Policy Active: 'Block UDP 1434 Filter'
  3. Jeśli komputer ma już przypisaną zasadę IPSec (lokalnie lub na poziomie domeny), należy użyć następującego polecenia w celu dodania kolejnej reguły filtrowania BLOCK do istniejącej zasady IPSec, gdzie Nazwa_istniejącej_zasady_IPSec, Protokół i NumerPortu są zmiennymi.
    ipsecpol -p "Nazwa_istniejącej_zasady_IPSec" -w REG -r "Block ProtokółNumerPortu Rule" -f *=0:NumerPortu:Protokół -n BLOCK
    Aby na przykład do istniejącej reguły filtrowania, która powoduje blokowanie ruchu do portu UDP 1434 (Block UDP 1434 Filter), dodać regułę filtrowania w celu zablokowania ruchu przychodzącego do portu TCP 80, należy wpisać następujące polecenie:
    ipsecpol -p "Block UDP 1434 Filter" -w REG -r "Block Inbound TCP 80 Rule" -f *=0:80:TCP -n BLOCK

Dodawanie reguły dynamicznego blokowania określonego protokołu i portu

Komputery z systemem Windows Server 2003 i Windows XP

Czasem jest konieczne tymczasowe zablokowanie dostępu do określonego portu. Na przykład do momentu zainstalowania poprawki lub wtedy, gdy do komputera przypisano już zasadę IPSec na poziomie domeny. Aby za pomocą zasady IPSec tymczasowo zablokować dostęp do portu komputera z systemem Windows Server 2003 lub Windows XP, wykonaj następujące kroki:
  1. Zainstaluj program IPSeccmd.exe. Program IPSeccmd.exe jest częścią pakietu narzędzi obsługi z dodatku Service Pack 2 dla systemu Windows XP.

    Uwaga Program IPSeccmd.exe będzie działać w systemach operacyjnych Windows XP i Windows Server 2003, ale jest dostępny tylko w pakiecie narzędzi obsługi z dodatku SP2 dla systemu Windows XP.

    Aby uzyskać więcej informacji dotyczących sposobu pobierania i instalowania narzędzi obsługi z dodatku Service Pack 2 dla systemu Windows XP, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    838079 Narzędzia obsługi dodatku Service Pack 2 dla systemu Windows XP
  2. Aby dodać dynamiczny filtr typu BLOCK, który powoduje blokowanie wszystkich pakietów kierujących się do adresu IP i wybranego portu komputera z jakichkolwiek zewnętrznych adresów IP, należy wpisać następujące polecenie w wierszu polecenia.

    Uwaga W następującym poleceniu części Protokół i NumerPortu są zmiennymi.
    IPSeccmd.exe -f [*=0:NumerPortu:Protokół]
    Uwaga To polecenie służy do tworzenia filtru blokowania w sposób dynamiczny. Zasada pozostanie przypisana, dopóki jest uruchomiona usługa agenta zasad IPSec. Ponowne uruchomienie agenta zasad IPSec lub komputera spowoduje utratę tej zasady. Aby reguła filtrowania IPSec była dynamicznie przypisywana po każdym ponownym uruchomieniu komputera, należy utworzyć skrypt uruchamiania ponownie przypisujący tę regułę. Jeśli filtr ma zostać zastosowany na stałe, należy go skonfigurować jako statyczną zasadę IPSec. Przystawka MMC zarządzania zasadami IPSec zapewnia graficzny interfejs użytkownika, ułatwiający zarządzanie konfiguracjami zasad IPSec. Jeśli jest już stosowana zasada IPSec na poziomie domeny, wykonanie polecenia netdiag /test:ipsec /debug będzie powodowało wyświetlenie danych filtru tylko wtedy, gdy zostanie wykonane przez użytkownika mającego poświadczenia administratora domeny.

Komputery z systemem Windows 2000

Czasami jest konieczne tymczasowe zablokowanie portu (na przykład do momentu zainstalowania poprawki lub jeśli do komputera przypisano już zasadę IPSec na poziomie domeny). Aby za pomocą zasady IPSec tymczasowo zablokować dostęp do portu komputera wyposażonego w system Windows 2000, wykonaj następujące kroki:
  1. Odwiedź następującą witrynę firmy Microsoft w sieci Web w celu pobrania i zainstalowania narzędzia Ipsecpol.exe:
    http://support.microsoft.com/kb/927229
  2. Aby dodać dynamiczny filtr typu BLOCK, który powoduje blokowanie wszystkich pakietów kierujących się do adresu IP i wybranego portu komputera z jakichkolwiek zewnętrznych adresów IP, należy wpisać w wierszu polecenia podane polecenie, w którym Protokół i NumerPortu są zmiennymi:
    ipsecpol -f [*=0:NumerPortu:Protokół]
    Uwaga To polecenie służy do tworzenia filtru blokowania w sposób dynamiczny. Zasada pozostanie przypisana, dopóki jest uruchomiona usługa agenta zasad IPSec. Ponowne uruchomienie usługi IPSec lub komputera spowoduje utratę tego ustawienia. Aby reguła filtrowania IPSec była dynamicznie przypisywana po każdym ponownym uruchomieniu komputera, należy utworzyć skrypt uruchamiania, który będzie powodował ponowne zastosowanie reguły. Jeśli filtr ma zostać zastosowany na stałe, należy go skonfigurować jako statyczną zasadę IPSec. Przystawka MMC zarządzania zasadami IPSec zapewnia graficzny interfejs użytkownika, ułatwiający zarządzanie konfiguracjami zasad IPSec. Jeśli jest już stosowana zasada IPSec na poziomie domeny, wykonanie polecenia netdiag /test:ipsec /debug będzie powodowało wyświetlenie danych filtru tylko wtedy, gdy zostanie wykonane przez użytkownika mającego poświadczenia administratora domeny. W dodatku Service Pack 4 dla systemu Windows 2000 będzie dostępna zaktualizowana wersja narzędzia Netdiag.exe, która umożliwi wgląd w treść zasad IPSec stosowanych na poziomie domen administratorom lokalnym.

Reguły filtrowania IPSec i zasady grupy

W środowiskach, w których zasady IPSec są przypisywane na podstawie ustawienia zasad grupy, w celu zablokowania konkretnego protokołu i portu należy zaktualizować zasadę obowiązującą dla całej domeny. Po pomyślnym skonfigurowaniu ustawień IPSec zasad grupy należy wymusić odświeżenie ustawień zasad grupy na wszystkich komputerach z systemem Windows Server 2003, Windows XP i Windows 2000 w domenie. W tym celu należy użyć następującego polecenia:
secedit /refreshpolicy zasada_obowiązująca_dla_komputera
Zmiana zasady IPSec zostanie wykryta w trakcie jednego z dwóch różnych interwałów sondowania. Nowo przypisana zasada IPSec zastosowana do obiektu zasad grupy zacznie obowiązywać dla klientów w przedziale czasu określonym jako interwał sondowania zasad grupy lub po wykonaniu polecenia secedit /refreshpolicy zasada_obowiązująca_dla_komputera na komputerach klienckich. Jeśli zasada IPSec jest już przypisana do obiektu zasad grupy i do tej istniejącej zasady są dodawane nowe filtry lub reguły IPSec, wykonanie polecenia secedit nie będzie powodowało rozpoznania zmian przez protokół IPSec. W takim przypadku modyfikacje istniejącej zasady IPSec opartej na zasadach grupy będą wykrywane w trakcie interwału sondowania samej zasady. Interwał ten jest określony na karcie Ogólne tej zasady. Można również wymusić odświeżenie ustawień zasady IPSec, ponownie uruchamiając usługę agenta zasad IPSec. Zatrzymanie lub ponowne uruchomienie usługi IPSec powoduje przerwanie komunikacji zabezpieczanej przez protokół, a jej wznowienie zajmuje kilka sekund. Efektem może być przerwanie połączeń różnych programów, szczególnie w przypadku połączeń, które aktualnie realizują transfery dużych ilości danych. W sytuacjach, gdy zasada IPSec jest stosowana tylko na komputerze lokalnym, nie ma potrzeby ponownego uruchamiania usługi.

Anulowanie przypisania i usuwanie zasady IPSec

Komputery z systemem Windows Server 2003 i Windows XP

  • Komputery ze zdefiniowaną lokalnie zasadą statyczną
    1. Otwórz wiersz polecenia i jako folder roboczy ustaw folder, w którym został zainstalowany program Ipsecpol.exe.
    2. Aby anulować przypisanie utworzonego wcześniej filtru, użyj następującego polecenia:
      IPSeccmd.exe -w REG -p "Block ProtokółNumerPortu Filter" –y
      Aby na przykład anulować przypisanie utworzonej wcześniej zasady Block UDP 1434 Filter, użyj następującego polecenia:
      IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -y
    3. Aby usunąć utworzony filtr, użyj następującego polecenia:
      IPSeccmd.exe -w REG -p "Block ProtokółNumerPortu Filter" -r "Block ProtokółNumerPortu Rule" –o
      Aby na przykład usunąć filtr Block UDP 1434 Filter oraz obie utworzone wcześniej reguły, użyj następującego polecenia:
      IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -r "Block Inbound UDP 1434 Rule" -r "Block Outbound UDP 1434 Rule" -o
  • Komputery ze zdefiniowaną lokalnie zasadą dynamiczną
    Dynamiczna zasada IPSec przestanie obowiązywać po zatrzymaniu usługi agenta zasad IPSec (przy użyciu polecenia net stop policyagent). Aby usunąć określone użyte polecenia bez zatrzymywania usługi agenta zasad IPSec, wykonaj następujące kroki:
    1. Otwórz wiersz polecenia i jako folder roboczy ustaw folder, w którym zostały zainstalowane narzędzia obsługi dodatku Service Pack 2 dla systemu Windows XP.
    2. Wpisz następujące polecenie:
      IPSeccmd.exe –u
      Uwaga Usługę agenta zasad IPSec można również ponownie uruchomić w celu usunięcia wszystkich zasad przypisanych dynamicznie.

Komputery z systemem Windows 2000

  • Komputery ze zdefiniowaną lokalnie zasadą statyczną
    1. Otwórz wiersz polecenia i jako folder roboczy ustaw folder, w którym został zainstalowany program Ipsecpol.exe.
    2. Aby anulować przypisanie utworzonego wcześniej filtru, użyj następującego polecenia:
      ipsecpol -w REG -p "Block ProtokółNumerPortu Filter" –y
      Aby na przykład anulować przypisanie utworzonej wcześniej zasady Block UDP 1434 Filter, użyj następującego polecenia:
      ipsecpol -w REG -p "Block UDP 1434 Filter" -y
    3. Aby usunąć utworzony filtr, użyj następującego polecenia:
      ipsecpol -w REG -p "Block ProtokółNumerPortu Filter" -r "Block ProtokółNumerPortu Rule" –o
      Aby na przykład usunąć filtr Block UDP 1434 Filter oraz obie utworzone wcześniej reguły, użyj następującego polecenia:
      ipsecpol -w REG -p "Block UDP 1434 Filter" -r "Block Inbound UDP 1434 Rule" -r "Block Outbound UDP 1434 Rule" -o
  • Komputery ze zdefiniowaną lokalnie zasadą dynamiczną

    Dynamiczna zasada IPSec przestanie obowiązywać po zatrzymaniu usługi agenta zasad IPSec (przy użyciu polecenia net stop policyagent). Aby jednak usunąć konkretne użyte wcześniej polecenia bez zatrzymywania usługi agenta zasad IPSec, wykonaj następujące kroki:
    1. Otwórz wiersz polecenia i jako folder roboczy ustaw folder, w którym został zainstalowany program Ipsecpol.exe.
    2. Wpisz następujące polecenie:
      Ipsecpol –u
      Uwaga Usługę agenta zasad IPSec można również ponownie uruchomić w celu usunięcia wszystkich zasad przypisanych dynamicznie.

Stosowanie nowej reguły filtrowania do wszystkich protokołów i portów

W systemach Microsoft Windows 2000 i Microsoft Windows XP protokół IPSec domyślnie wyklucza ruch związany z emisją i multiemisją oraz protokołami Broadcast, Multicast, RSVP, IKE i Kerberos ze wszystkich ograniczeń dotyczących filtrowania i uwierzytelniania. Aby uzyskać więcej informacji dotyczących tych wykluczeń, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
253169 Traffic that can--and cannot--be secured by IPSec
Tam, gdzie protokół IPSec jest wykorzystywany tylko do zezwalania i blokowania ruchu, należy usunąć wykluczenia dla protokołów Kerberos i RSVP, zmieniając odpowiednią wartość rejestru. Aby zapoznać się z kompletną procedurą, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
254728 IPSec does not secure Kerberos traffic between Domain Controllers
Wykonanie opisanych instrukcji zapewni ochronę portu UDP 1434 nawet wtedy, gdy napastnik jako port źródłowy ustawi port Kerberos TCP/UDP 88. Po usunięciu wyjątków dotyczących protokołu Kerberos jego pakiety będą uzgadniane ze wszystkimi filtrami zdefiniowanymi w zasadzie IPSec. Oznacza to, że protokół Kerberos może być zabezpieczony wewnątrz protokołu IPSec, z opcją blokady lub zezwolenia. Jeśli więc ustawienia filtrów zasady IPSec będą odpowiadały danym przesyłanym za pośrednictwem protokołu Kerberos do adresów IP kontrolerów domen, może być konieczna zmiana konstrukcji zasady IPSec i dodanie nowych filtrów, tak aby ruch realizowany przez protokół Kerberos mógł docierać do każdego adresu IP kontrolera (w sytuacji, gdy do zabezpieczenia całej komunikacji między kontrolerami domen nie jest używany protokół IPSec, co opisano w artykule numer 254728 z bazy wiedzy Knowledge Base).

Stosowanie reguł filtru IPSec po ponownym uruchomieniu komputera

Wszystkie zasady IPSec są przypisywane przez usługę agenta zasad IPSec. Podczas uruchamiania komputera z systemem Windows 2000 usługa ta przeważnie nie jest uruchamiana jako pierwsza. W efekcie może istnieć krótka chwila, gdy połączenie sieciowe komputera jest narażone na ataki wirusów i robaków. Taka sytuacja może mieć miejsce tylko w przypadkach, gdy zostaje uruchomiona usługa potencjalnie narażona na atak, która zaczyna akceptować połączenia przed całkowitym uruchomieniem usługi agenta zasad IPSec i przypisaniem przez nią wszystkich zasad.

Właściwości

Numer ID artykułu: 813878 - Ostatnia weryfikacja: 29 stycznia 2007 - Weryfikacja: 6.1
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
Słowa kluczowe: 
kbhowto KB813878

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com