Como bloquear protocolos de rede específicos e portas usando IPSec

Regras de filtragem de segurança de protocolo Internet (IPSec) pode ser usada para ajudar a proteger baseado no Windows 2000, baseado no Windows XP, Windows Server 2003 computadores com e contra ataques baseados em rede contra ameaças como vírus e worms. Este artigo descreve como filtrar um protocolo específico e combinação de porta para tráfego de rede de entrada e saída. Ele inclui etapas para se houver quaisquer diretivas IPSec atualmente atribuídas a um computador baseado no Windows 2000, baseado no Windows XP ou baseado no Windows Server 2003, as etapas para criar e atribuir uma nova diretiva IPSec e as etapas para remover a atribuição e excluir uma IPSec diretiva.

As diretivas IPSec podem ser aplicadas localmente ou ser aplicadas a um membro de um domínio como parte das diretivas de grupo do domínio. IPSec local diretivas podem ser estático (persistent após reiniciar) ou dinâmicos (volátil). Diretivas de IPSec estáticas são gravadas no Registro local e persistirem depois que o sistema operacional for reiniciado. IPSec dinâmico diretivas não são gravadas permanentemente o registro e são removidas se o sistema operacional ou o serviço Agente de diretiva IPSec for reiniciado.

importante Este artigo contém informações sobre como editar o registro usando o Ipsecpol.exe. Antes de editar o registro, verifique se que você sabe como restaurá-lo se ocorrer um problema. Para obter informações sobre como fazer backup, restaurar e editar o registro, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft: Observação Regras de filtro IPSec podem causar programas de rede a perda de dados e pare de responder às solicitações de rede, incluindo Falha ao autenticar usuários. Use regras de filtro IPSec como uma medida defensiva de último recurso e só depois de ter uma compreensão clara do impacto que terá de bloqueio de portas específicas em seu ambiente. Se uma diretiva IPSec que você criar usando as etapas que são listadas neste artigo tem efeitos indesejados em seus programas de rede, consulte a seção "Cancelar a atribuição e excluir uma diretiva de IPSec" neste artigo para obter instruções sobre como desativar e excluir a diretiva imediatamente.

Determinar se uma diretiva IPSec é atribuída

Computadores baseados no Server 2003 no Windows

Antes de você cria ou atribuir qualquer novas diretivas de IPSec a um computador baseado no Windows Server 2003, determine se as diretivas IPSec estão sendo aplicadas a partir do Registro local ou através de um objeto de diretiva de grupo (GPO). Para fazer isso, execute as seguintes etapas:

1. Instalar o Netdiag.exe do CD do Windows Server 2003 executando Suptools.msi da pasta Support\Tools.
2. Abra um prompt de comando e defina a pasta de trabalho para c:\Arquivos de programas\Support Tools.
3. Execute o seguinte comando para verificar que não há uma diretiva IPSec existente já atribuída ao computador:
   netdiag/test: IPSec
   Se nenhuma diretiva é atribuída, você receberá a seguinte mensagem:
   Teste de segurança IP.... . : Passada Serviço de diretiva IPSec está ativo, mas nenhuma diretiva é atribuída.

Computadores baseados no XP no Windows

Antes de criar ou atribuir qualquer novas diretivas de IPSec a um computador baseado no Windows XP, determine se as diretivas IPSec estão sendo aplicadas a partir do Registro local ou através de um GPO. Para fazer isso, execute as seguintes etapas:

1. Instalar o Netdiag.exe do CD do Windows XP executando Setup.exe da pasta Support\Tools.
2. Abra um prompt de comando e defina a pasta de trabalho para c:\Arquivos de programas\Support Tools.
3. Execute o seguinte comando para verificar que não há uma diretiva IPSec existente já atribuída ao computador:
   netdiag/test: IPSec
   Se nenhuma diretiva é atribuída, você receberá a seguinte mensagem:
   Teste de segurança IP.... . : Passada Serviço de diretiva IPSec está ativo, mas nenhuma diretiva é atribuída.

Computadores baseados no Windows 2000

Antes de criar ou atribuir qualquer novas diretivas de IPSec a um computador baseado no Windows 2000, determine se as diretivas IPSec estão sendo aplicadas a partir do Registro local ou através de um GPO. Para fazer isso, execute as seguintes etapas:

1. Instalar o Netdiag.exe do CD do Windows 2000 executando o Setup.exe da pasta Support\Tools.
2. Abra um prompt de comando e defina a pasta de trabalho para c:\Arquivos de programas\Support Tools.
3. Execute o seguinte comando para verificar que não há uma diretiva IPSec existente já atribuída ao computador:
   netdiag/test: IPSec
   Se nenhuma diretiva é atribuída, você receberá a seguinte mensagem:
   Teste de segurança IP.... . : Passada Serviço de diretiva IPSec está ativo, mas nenhuma diretiva é atribuída.

Criar uma diretiva estática para tráfego de bloco

Computadores baseados em Windows XP em Server 2003 e Windows

Para sistemas que não têm uma diretiva IPSec definida localmente habilitada, crie uma nova local diretiva estática para tráfego de bloco que é direcionada para um protocolo específico e uma porta específica no baseados no Windows Server 2003 e Windows XP com base em computadores. Para fazer isso, execute as seguintes etapas:

1. Verifique se o serviço Agente de diretiva IPSec está habilitado e iniciado no snap-in do MMC Serviços.
2. Instale o IPSeccmd.exe. IPSeccmd.exe faz parte de ferramentas de suporte do Windows XP Service Pack 2 (SP2).
   
   Observação IPSeccmd.exe será executado no Windows XP e sistemas operacionais Windows Server 2003, mas a ferramenta só está disponível do pacote de ferramentas de suporte do Windows XP SP2.
   
   Para obter mais informações sobre como fazer o download e instalar ferramentas de suporte do Windows XP Service Pack 2, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
   838079  (http://support.microsoft.com/kb/838079/ ) Ferramentas de suporte do Windows XP Service Pack 2
3. Abra um prompt de comando e, em seguida, configure a pasta de trabalho para a pasta onde você instalar as ferramentas de suporte do Windows XP Service Pack 2.
   
   Observação A pasta padrão para ferramentas de suporte do Windows XP SP2 é c:\Arquivos de programas\Support Tools.
4. Para criar uma regra de filtragem que se aplica ao tráfego de rede de qualquer endereço IP para o endereço IP do computador Windows Server 2003 ou baseado no Windows XP que você está configurando e um nova diretiva IPSec local, use o comando a seguir.
   
   Observação No comando a seguir, o Protocol e PortNumber são variáveis.
   IPSeccmd.exe -w REG -p "Block ProtocolPortNumber filtro"-r"Block entrada ProtocolPortNumber regra" -f * = 0: PortNumber: Protocol - n BLOCK ? x
   Por exemplo, para bloquear tráfego de rede de qualquer IP endereço e qualquer porta de origem para destino porta UDP 1434 em um computador baseado no Windows Server 2003 ou Windows XP, digite o seguinte. Esta diretiva é suficiente para ajudar a proteger computadores que executam o Microsoft SQL Server 2000 do worm "Slammer".
   IPSeccmd.exe -w REG -p "Block UDP 1434 filtrar"-r"Block entrada UDP 1434 regra" -f * = 0:1434:UDP - n BLOCK - x
   O seguinte exemplo blocos entrada acesso para TCP porta 80, mas ainda permite o acesso de saída TCP 80. Esta diretiva é suficiente para ajudar a proteger computadores que executam serviços de informações da Internet (IIS) 5.0 contra o worm "Code Red" e o worm "Nimda".
   IPSeccmd.exe -w REG -p "Block TCP 80 filtro"-r"Bloquear TCP de entrada regra 80" -f * = 0:80:TCP - n BLOCK - x
   Observação A opção - x atribui a diretiva imediatamente. Se você inserir esse comando, a diretiva "Bloquear UDP 1434 filtro" é não atribuída e o "bloqueio TCP 80 filtro" é atribuído. Para adicionar a diretiva, mas não atribuir a diretiva, digite o comando sem a opção - x no final.
5. Para adicionar uma regra filtragem adicional à diretiva "Bloquear UDP 1434 filtro" existente que blocos o tráfego originado pelo computador com Windows XP ou baseado no Windows Server 2003 para qualquer endereço IP de rede, use o comando a seguir.
   
   Observação Neste comando, Protocol e PortNumber são variáveis:
   IPSeccmd.exe -w REG -p "Block ProtocolPortNumber"-r"Block saída ProtocolPortNumber regra de filtro" -f * 0 =: PortNumber: Protocol n BLOCK
   Por exemplo, para bloquear qualquer tráfego de rede que se origina em seu computador baseado no Windows Server 2003 ou baseado no Windows XP que é direcionada a UDP 1434 em qualquer outro host, digite o seguinte. Esta diretiva é suficiente para ajudar a impedir que computadores que executam SQL Server 2000 espalhe o worm "Slammer".
   IPSeccmd.exe -w REG -p "Block UDP 1434 filtrar"-r"Block saída UDP 1434 regra" -f 0 = *:1434:UDP - n BLOCK
   Observação Você pode adicionar quantas regras de filtragem a uma diretiva de como você deseja usando este comando. Por exemplo, você pode usar este comando para bloquear várias portas usando a mesma diretiva.
6. A diretiva na etapa 5 agora estará em vigor e serão mantidas sempre que o computador for reiniciado. No entanto, se uma diretiva IPSec baseada no domínio for atribuída para o computador mais tarde, esta diretiva local será substituída e não se aplicará mais.
   
   Para verificar a atribuição bem-sucedida de sua regra de filtragem, defina a pasta de trabalho para c:\Arquivos de programas\Support Tools no prompt de comando e, em seguida, digite o seguinte comando:
   netdiag/test: IPSec /debug
   Se diretivas para tráfego de entrada e saída são atribuídas como nesses exemplos, você receberá a seguinte mensagem:
   Teste de segurança IP.... . :
   Passado Active diretiva IPSec local: 'Bloquear UDP 1434 filtro' Diretiva de segurança IP caminho: SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy {D239C599-F945-47A3-A4E3-B37BC12826B9}
   
   Existem 2 filtros
   Sem nome
   Identificação do filtro: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
   Identificação da diretiva: {509492EA-1214-4F50-BF43-9CAC2B538518}
   Endereço de origem: 0.0.0.0 máscara de origem: 0.0.0.0
   Endereço de destino: 192.168.1.1 máscara de destino: 255.255.255.255
   Endereço de encapsulamento: 0.0.0.0 porta de origem: 0 porta de destino: 1434
   Protocolo: 17 TunnelFilter: não
   Sinalizadores: Entrada bloquear
   Sem nome
   Identificação do filtro: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
   Identificação da diretiva: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
   Endereço de origem: 192.168.1.1 máscara de origem: 255.255.255.255
   Endereço de destino: 0.0.0.0 máscara de destino: 0.0.0.0
   Endereço de encapsulamento: 0.0.0.0 porta de origem: 0 porta de destino: 1434
   Protocolo: 17 TunnelFilter: não
   Sinalizadores: Bloqueio de saída
   Observação Os endereços IP e números de (GUID) da interface gráfica do usuário serão diferentes com base no computador Windows Server 2003 ou no Windows XP.

Computadores baseados no Windows 2000

Para sistemas sem uma diretiva IPSec definida localmente habilitada, siga estas etapas para criar uma nova diretiva estática local ao tráfego de bloco é direcionada para um protocolo específico e uma porta em um computador baseado no Windows 2000 sem uma diretiva IPSec existente atribuída:

1. Verifique se o serviço Agente de diretiva IPSec está habilitado e iniciado no snap-in do MMC Serviços.
2. Visite o seguinte site para fazer o download e instalar o Ipsecpol.exe:
   http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361 (http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361)
3. Abra um prompt de comando e defina a pasta de trabalho para a pasta onde você instalou o Ipsecpol.exe.
   
   Observação A pasta padrão para Ipsecpol.exe é c:\Arquivos de programas\Resource kit.
4. Para criar uma regra de filtragem que se aplica ao tráfego de rede de qualquer endereço IP para o endereço IP do computador baseado no Windows 2000 que você está configurando e um nova diretiva IPSec local, use o comando a seguir, onde Protocol e PortNumber são variáveis:
   ipsecpol -w REG -p "Block ProtocolPortNumber filtro"-r"Block entrada ProtocolPortNumber regra" -f * = 0: PortNumber: Protocol - n BLOCK ? x
   Por exemplo, para bloquear tráfego de rede de qualquer IP endereço e qualquer porta de origem para destino porta UDP 1434 em um computador baseado no Windows 2000, digite o seguinte. Esta diretiva é suficiente para ajudar a proteger computadores que executam o Microsoft SQL Server 2000 do worm "Slammer".
   ipsecpol -w REG -p "Block UDP 1434 filtro" - r"Block entrada UDP 1434 regra" -f * = 0:1434:UDP - n BLOCK - x
   O seguinte exemplo blocos entrada acesso para TCP porta 80, mas ainda permite o acesso de saída TCP 80. Esta diretiva é suficiente para ajudar a proteger computadores que executam serviços de informações da Internet (IIS) 5.0 dos "Code Red" e "Nimda" worms.
   ipsecpol -w REG -p "Block TCP 80 filtro" - r"Block Inbound TCP 80 regra" -f * = 0:80:TCP - n BLOCK - x
   Observação A opção - x atribui a diretiva imediatamente. Se você inserir esse comando, a diretiva "Bloquear UDP 1434 filtro" é não atribuída e o "bloqueio TCP 80 filtro" é atribuído. Para adicionar, mas não atribuir a diretiva, digite o comando sem a opção - x no final.
5. Para adicionar uma regra de filtragem adicional à diretiva "Bloquear UDP 1434 filtro" existente que blocos o tráfego originado de rede seu computador baseado no Windows 2000 para qualquer endereço IP, use o comando a seguir, onde Protocol e PortNumber são variáveis:
   ipsecpol -w REG -p "Block ProtocolPortNumber"-r"Block saída ProtocolPortNumber regra de filtro" -f * 0 =: PortNumber: Protocol n BLOCK
   Por exemplo, para bloquear qualquer tráfego de rede originado pelo computador baseado em Windows 2000 que é direcionada a UDP 1434 em qualquer outro host, digite o seguinte. Esta diretiva é suficiente para impedir que computadores que executam SQL Server 2000 espalhe o worm "Slammer".
   ipsecpol -w REG -p "Block UDP 1434 filtro" - r"Block saída UDP 1434 regra" -f 0 = *:1434:UDP - n BLOCK
   Observação Você pode adicionar quantas regras de filtragem a uma diretiva de como você deseja usando este comando (por exemplo, para bloquear várias portas usando a mesma diretiva).
6. A diretiva na etapa 5 agora estará em vigor e serão mantidas sempre que o computador for reiniciado. No entanto, se uma diretiva IPSec baseada no domínio for atribuída para o computador mais tarde, esta diretiva local será substituída e não se aplicará mais. Para verificar a atribuição bem-sucedida de sua regra de filtragem, no prompt de comando, defina a pasta de trabalho para c:\Arquivos de programas\Support Tools e, em seguida, digite o seguinte comando:
   netdiag/test: IPSec /debug
   Se, como nestes exemplos, são atribuídas a diretivas para tráfego de entrada e saída, você receberá a seguinte mensagem:
   Teste de segurança IP.... . :
   Passado Active diretiva IPSec local: 'Bloquear UDP 1434 filtro' Diretiva de segurança IP caminho: SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy {D239C599-F945-47A3-A4E3-B37BC12826B9}
   
   Existem 2 filtros
   Sem nome
   Identificação do filtro: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
   Identificação da diretiva: {509492EA-1214-4F50-BF43-9CAC2B538518}
   Endereço de origem: 0.0.0.0 máscara de origem: 0.0.0.0
   Endereço de destino: 192.168.1.1 máscara de destino: 255.255.255.255
   Endereço de encapsulamento: 0.0.0.0 porta de origem: 0 porta de destino: 1434
   Protocolo: 17 TunnelFilter: não
   Sinalizadores: Entrada bloquear
   Sem nome
   Identificação do filtro: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
   Identificação da diretiva: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
   Endereço de origem: 192.168.1.1 máscara de origem: 255.255.255.255
   Endereço de destino: 0.0.0.0 máscara de destino: 0.0.0.0
   Endereço de encapsulamento: 0.0.0.0 porta de origem: 0 porta de destino: 1434
   Protocolo: 17 TunnelFilter: não
   Sinalizadores: Bloqueio de saída
   Observação Os endereços IP e números de (GUID) da interface gráfica do usuário serão diferentes. Eles serão refletem as de seu computador baseado no Windows 2000.

Adicionar uma regra de bloco para um protocolo específico e uma porta

Computadores baseados em Windows XP em Server 2003 e Windows

Para adicionar uma regra de bloco para uma porta e protocolo específico em um computador baseado no Windows Server 2003 ou baseado no Windows XP que possui uma existente localmente atribuído estática diretiva IPSec, execute estas etapas:

1. Instale o IPSeccmd.exe. IPSeccmd.exe faz parte de ferramentas de suporte do Windows XP SP2.
   
   Para obter mais informações sobre como fazer o download e instalar ferramentas de suporte do Windows XP Service Pack 2, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
   838079  (http://support.microsoft.com/kb/838079/ ) Ferramentas de suporte do Windows XP Service Pack 2
2. Identifique o nome da diretiva IPSec atribuída no momento. Para fazer isso, digite o seguinte em um prompt de comando:
   netdiag/test: IPSec
   Se uma diretiva é atribuída, você receberá uma mensagem semelhante à seguinte:
   Teste de segurança IP.... . : Passado
   Ativo de diretiva IPSec local: 'Bloquear UDP 1434 filtro'
3. Se houver uma diretiva IPSec já atribuída ao computador (local ou domínio), uso o seguinte comando para adicionar uma regra de filtro BLOCK adicionais à diretiva IPSec existente.
   
   Observação Este comando, Existing_IPSec_Policy_Name, Protocol e PortNumber são variáveis.
   IPSeccmd.exe -p "Existing_IPSec_Policy_Name"-w REG - r"Block ProtocolPortNumber regra" -f * = 0: PortNumber: Protocol - n BLOCK
   Por exemplo, para adicionar uma regra de filtro para bloquear o acesso de entrada à porta TCP 80 para o filtro de bloqueio UDP 1434 existente, digite o seguinte comando:
   IPSeccmd.exe -p "Block UDP 1434 filtro" -w REG - r "bloquear entrada TCP 80 Rule" -f * = 0:80:TCP - n BLOCK

Computadores baseados no Windows 2000

Para adicionar uma regra de bloco para uma porta e protocolo específico em um computador baseado no Windows 2000 com uma existente localmente atribuído estático diretiva IPSec, execute estas etapas:

1. Visite o seguinte site para fazer o download e instalar o Ipsecpol.exe:
   http://support.microsoft.com/kb/927229 (http://support.microsoft.com/kb/927229)
2. Identifique o nome da diretiva IPSec atribuída no momento. Para fazer isso, digite o seguinte em um prompt de comando:
   netdiag/test: IPSec
   Se uma diretiva é atribuída, você receberá uma mensagem semelhante à seguinte:
   Teste de segurança IP.... . : Passado
   Ativo de diretiva IPSec local: 'Bloquear UDP 1434 filtro'
3. Se houver uma diretiva IPSec já atribuída ao computador (local ou domínio), uso o comando a seguir para adicionar um BLOCK adicional filtragem regra à diretiva IPSec existente, onde Existing_IPSec_Policy_Name, Protocol e PortNumber são variáveis:
   ipsecpol -p "Existing_IPSec_Policy_Name" -w REG - r "Block ProtocolPortNumber regra" -f * = 0: PortNumber: Protocol - n BLOCK
   Por exemplo, para adicionar uma regra de filtro para bloquear o acesso de entrada à porta TCP 80 para o filtro de bloqueio UDP 1434 existente, digite o seguinte comando:
   ipsecpol -p "Block UDP 1434 filtro" -w REG - r "Entrada de bloquear TCP regra de 80" -f * = 0:80:TCP - n BLOCK

Adicionar uma diretiva de bloco dinâmico para um protocolo específico e uma porta

Computadores baseados no Windows XP e Windows Server 2003

Convém bloquear temporariamente o acesso a uma porta específica. Por exemplo, talvez queira bloquear uma porta específica até que você pode instalar um hotfix ou se uma diretiva IPSec baseada no domínio já está atribuída ao computador. Para bloquear temporariamente o acesso a uma porta em um computador Windows Server 2003 ou no Windows XP usando a diretiva IPSec, execute estas etapas:

1. Instale o IPSeccmd.exe. IPSeccmd.exe faz parte de ferramentas de suporte do Windows XP Service Pack 2.
   
   Observação IPSeccmd.exe será executado no Windows XP e sistemas operacionais Windows Server 2003, mas a ferramenta só está disponível do pacote de ferramentas de suporte do Windows XP SP2.
   
   Para obter mais informações sobre como fazer o download e instalar ferramentas de suporte do Windows XP Service Pack 2, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:
   838079  (http://support.microsoft.com/kb/838079/ ) Ferramentas de suporte do Windows XP Service Pack 2
2. Para adicionar um filtro de BLOCK dinâmico que bloqueia todos os pacotes de qualquer endereço IP ao endereço IP do seu sistema e porta de destino, digite o seguinte em um prompt de comando.
   
   Observação No comando a seguir, o Protocol e PortNumber são variáveis.
   IPSeccmd.exe -f [* = 0: PortNumber: Protocol]
   Observação Esse comando cria o filtro de bloqueio dinamicamente. A diretiva permanecerá atribuída, desde que o serviço de agente de diretiva IPSec está sendo executado. Se o serviço Agente de diretiva IPSec for reiniciado ou o computador for reiniciado, esta diretiva é perdida. Se desejar reatribuir a regra de filtragem de IPSec dinamicamente sempre que o sistema for reiniciado, crie um script de inicialização para reaplicar a regra de filtro. Se você quiser aplicar esse filtro permanentemente, configure o filtro como uma diretiva IPSec estática. O snap-in MMC de gerenciamento de diretivas de IPSec fornece uma interface gráfica do usuário para gerenciamento de configuração de diretiva IPSec. Se uma diretiva IPSec baseada no domínio já for aplicada, o comando netdiag/test: IPSec /debug pode mostrar apenas os detalhes de filtro se o comando é executado por um usuário que tenha credenciais de administrador de domínio.

Computadores baseados no Windows 2000

Talvez queira bloquear temporariamente uma porta específica (por exemplo, até que pode ser instalado um hotfix ou se uma diretiva IPSec baseada no domínio já está atribuída ao computador). Para bloquear temporariamente o acesso a uma porta em um computador baseado no Windows 2000 usando a diretiva IPSec, execute estas etapas:

1. Visite o seguinte site para fazer o download e instalar o Ipsecpol.exe:
   http://support.microsoft.com/kb/927229 (http://support.microsoft.com/kb/927229)
2. Para adicionar um filtro de BLOCK dinâmico que bloqueia todos os pacotes de qualquer endereço IP ao endereço IP do seu sistema e porta de destino, digite o seguinte num prompt de comando, onde Protocol e PortNumber são variáveis:
   ipsecpol -f [* = 0: PortNumber: Protocol]
   Observação Esse comando cria o filtro de bloqueio dinamicamente e a diretiva permanecerá atribuída, desde que o serviço de agente de diretiva IPSec está sendo executado. Se o serviço IPSec for reiniciado ou o computador for reinicializado, essa configuração serão perdida. Se desejar reatribuir dinamicamente a regra de filtragem de IPSec sempre que o sistema for reiniciado, crie um script de inicialização para reaplicar a regra de filtro. Se você quiser aplicar esse filtro permanentemente, configure o filtro como uma diretiva IPSec estática. O snap-in MMC de gerenciamento de diretivas de IPSec fornece uma interface gráfica do usuário para gerenciamento de configuração de diretiva IPSec. Se uma diretiva IPSec baseada no domínio já for aplicada, o comando netdiag/test: IPSec /debug pode mostrar apenas os detalhes de filtro se o comando é executado por um usuário com credenciais de administrador de domínio. Uma versão atualizada de Netdiag.exe estará disponível no Windows 2000 Service Pack 4 que permitirá que os administradores locais Exibir diretiva de IPSec com base em domínio.

As regras de filtragem IPSec e diretiva de grupo

Para ambientes em que as diretivas IPSec são atribuídas por uma configuração de diretiva de grupo, você precisará atualizar diretiva ?s domínio inteiro para bloquear o protocolo específico e a porta. Depois de configurar a diretiva de grupo com êxito as configurações de IPSec, você deve aplicar uma atualização das configurações de diretiva de grupo em todos os computadores baseados no Windows Server 2003, baseado no Windows XP e baseados no Windows 2000 no domínio. Para fazer isso, use o seguinte comando: A alteração de diretiva IPSec será detectada em um dos dois intervalos de pesquisa diferentes. Para uma diretiva IPSec recém-atribuída sendo aplicada a um GPO, a diretiva IPSec será aplicada aos clientes dentro do tempo definido para o intervalo de pesquisa de diretiva de grupo ou quando o comando secedit /refreshpolicy machine_policy é executado nos computadores cliente. Se a diretiva IPSec já está atribuída a um GPO e filtros IPSec nova ou regras estão sendo adicionadas a uma diretiva existente, o comando secedit não fará IPSec reconhecem as alterações. Nesse cenário, modificações para uma IPSec existente com base no GPO diretiva será detectada dentro dessa diretiva IPSec própria intervalo de pesquisa. Esse intervalo é especificado na guia Geral para a diretiva IPSec. Você também pode forçar uma atualização das configurações de diretiva IPSec reiniciando o serviço Agente de diretiva IPSec. Se o serviço IPSec for interrompido ou reiniciado, comunicações protegidas por IPSec serão interrompidas e levará alguns segundos para continuar. Isso pode causar conexões de programa para desconectar, especialmente para conexões que estão ativamente transferir grandes volumes de dados. Em situações onde a diretiva IPSec é aplicada somente no computador local, não é necessário reiniciar o serviço.

Cancelar a atribuição e excluir uma diretiva IPSec

Computadores baseados em Windows XP em Server 2003 e Windows

• computadores que têm uma diretiva estática definida localmente
  1. Abra um prompt de comando e defina a pasta de trabalho para a pasta onde você instalou o Ipsecpol.exe.
  2. Para remover o filtro que você criou anteriormente, use o seguinte comando:
     IPSeccmd.exe -w REG -p "Block ProtocolPortNumber filtro" ?y
     Por exemplo, para remover o filtro de bloqueio UDP 1434 que você criou anteriormente, use o comando a seguir:
     IPSeccmd.exe -w REG -p "Block UDP 1434 filtro" -y
  3. Para excluir o filtro que você criou, use o seguinte comando:
     IPSeccmd.exe -w REG -p "Block ProtocolPortNumber"-r"Block ProtocolPortNumber regra de filtro" ?o
     Por exemplo, para excluir o "bloqueio UDP 1434 filtro" Filtrar e ambas as regras que você criou, use o seguinte comando:
     IPSeccmd.exe -w REG -p "Block UDP 1434 filtro" - r "Block"-r"Block saída UDP 1434 regra de regra de entrada UDP 1434" -o
• computadores que têm uma diretiva dinâmica definidos localmente
  Diretiva IPSec dinâmica é unapplied se o serviço Agente de diretiva IPSec for interrompido usando o comando net stop policyagent . Para excluir os comandos específicos que foram usados sem interromper o serviço Agente de diretiva IPSec, execute as seguintes etapas:
  1. Abra um prompt de comando e defina a pasta de trabalho para a pasta onde você instalou o ferramentas de suporte do Windows XP Service Pack 2.
  2. Digite o seguinte comando:
     IPSeccmd.exe ? u
     Observação Você também pode reiniciar o serviço Agente de diretiva IPSec para limpar todas as diretivas atribuídas dinamicamente.

Computadores baseados no Windows 2000

• computadores com uma diretiva estática definida localmente
  1. Abra um prompt de comando e defina a pasta de trabalho para a pasta onde você instalou o Ipsecpol.exe.
  2. Para remover o filtro que você criou anteriormente, use o seguinte comando:
     ipsecpol -w REG -p "Block ProtocolPortNumber filtro" ?y
     Por exemplo, para remover o filtro de bloqueio UDP 1434 que você criou anteriormente, use o comando a seguir:
     ipsecpol -w REG -p "Block UDP 1434 filtro" -y
  3. Para excluir o filtro que você criou, use o seguinte comando:
     ipsecpol -w REG -p "Block ProtocolPortNumber"-r"Block ProtocolPortNumber regra de filtro" ?o
     Por exemplo, para excluir o "bloqueio UDP 1434 filtro" Filtrar e ambas as regras que você criou anteriormente, use o seguinte comando:
     ipsecpol -w REG -p "Block UDP 1434 filtro" - r "entrada de bloco UDP regra de 1434" - r "Block saída UDP 1434 regra" -o
• computadores com uma diretiva dinâmica definidos localmente
  
  Diretiva IPSec dinâmica será unapplied se o serviço Agente de diretiva IPSec for interrompido (usando o comando net stop policyagent ). No entanto, para excluir os comandos específicos que foram usados anteriormente sem parar o agente de diretiva IPSec serviço, seguindo estas etapas:
  1. Abra um prompt de comando e defina a pasta de trabalho para a pasta onde você instalou o Ipsecpol.exe.
  2. Digite o seguinte comando:
     Ipsecpol ? u
     Observação Você também pode reiniciar o serviço Agente de diretiva IPSec para limpar todas as diretivas atribuídas dinamicamente.

Aplicar a nova regra de filtro a todos os protocolos e portas

Por padrão, no Microsoft Windows 2000 e Microsoft Windows XP, o IPSec isenta o tráfego de difusão, multicast, RSVP, IKE e Kerberos da todas as restrições de filtro e autenticação. Para obter informações adicionais sobre essas isenções, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:Quando o IPSec é usado somente para permitir e bloquear o tráfego, remova as isenções para protocolos Kerberos e RSVP alterando um valor do Registro. Para obter instruções completas sobre como fazer isso, clique no número abaixo para ler o artigo na Base de dados de Conhecimento da Microsoft:Seguindo estas instruções, você pode proteger UDP 1434 mesmo nos casos em que os invasores podem definida sua porta de origem para os Kerberos portas 88 de TCP/UDP. Removendo as isenções de Kerberos, pacotes Kerberos agora serão ser comparados com todos os filtros na diretiva IPSec. Portanto, Kerberos pode ser protegidos dentro do IPSec, bloqueados ou permitidos. Portanto, se filtros IPSec corresponder ao tráfego de Kerberos que será aos endereços IP de controlador de domínio, talvez seja necessário alterar o design de diretiva IPSec para adicionar novos filtros para permitir o tráfego Kerberos para cada endereço IP do controlador de domínio (se não você estiver usando IPSec para ajudar a proteger todo tráfego entre os controladores de domínio como base de dados de Conhecimento artigo 254728).

Reinicie o aplicativo de regras de filtro IPSec no computador

Todas as diretivas IPSec contam com o serviço Agente de diretiva IPSec a ser atribuído. Quando um computador baseado no Windows 2000 está no processo de inicialização, o serviço Agente de diretiva IPSec não é necessariamente o primeiro serviço para ser iniciado. Portanto, talvez haja um momento breve quando a conexão de rede do computador está vulnerável a ataques de vírus ou worm. Essa situação se aplica somente em casos onde um serviço potencialmente vulnerável foi iniciado com êxito e está aceitando conexão antes do serviço Agente de diretiva IPSec tem completamente iniciado e atribuído a todas as diretivas.