Блокирование определенных сетевых протоколов и портов с помощью IPSec

Переводы статьи Переводы статьи
Код статьи: 813878 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Аннотация

Правила фильтрации безопасного протокола IPSec можно использовать для защиты компьютера под управлением Windows 2000 от возможных атак из сети (вирусов и вирусов-червей). В этой статье описан процесс фильтрации входящего и исходящего сетевого трафика на определенном порте по соответствующему протоколу. В ней также приводятся рекомендации по определению наличия на компьютерах под управлением Windows 2000, Windows XP и Windows Server 2003 назначенных политик IPSec, а также инструкции по созданию, назначению, отмене и удалению политик.

Дополнительная информация

Политики IPSec могут применяться локально или как составная часть групповых политик домена (для членов домена). Различают статические (не изменяющиеся после перезагрузки компьютера) и динамические (непостоянные) локальные политики IPSec. Статическая политика IPSec записывается в реестр локального компьютера и сохраняется после перезагрузки системы. Динамическая политика IPSec не заносится в реестр на постоянной основе и удаляется при перезагрузке операционной системы или агента политики IPSec.

Внимание! Решение проблемы связано с использованием программы Ipsecpol.exe для внесения изменений в системный реестр. Перед внесением изменений в системный реестр рекомендуется изучить процедуру его восстановления. Для получения дополнительных сведений о создании резервной копии, восстановлении и изменении реестра щелкните следующий номер статьи базы знаний Майкрософт:
256986 Описание реестра Microsoft Windows
Примечание. В результате использования правил фильтрации IPSec сетевые программы могут терять данные и не отвечать на сетевые запросы, включая отказ в проведении проверки пользователей. Правила фильтрации IPSec должны применяться только в крайнем случае при наличии четкого понимания последствий блокирования определенных портов. Если назначение созданной в соответствии с инструкциями данной статьи политики IPSec приводит к появлению нежелательных результатов, ее необходимо немедленно отключить и удалить (см. раздел «Отмена и удаление политики IPSec»).

Определение наличия назначенной политики IPSec

Компьютеры под управлением Windows Server 2003

Перед созданием или применением на компьютере под управлением Windows 2003 Server новых политик IPSec необходимо проверить наличие других политик IPSec, назначенных с помощью записей в системном реестре, или объекта групповой политики. Для этого выполните следующие действия:
  1. Установите программу Netdiag.exe, запустив файл Suptools.msi из папки Support\Tools компакт-диска Windows Server 2003.
  2. В командной строке перейдите в папку C:\Program Files\Support Tools.
  3. Для проверки наличия на компьютере назначенных политик IPSec выполните следующую команду.
    netdiag /test:ipsec
    Если такие политики отсутствуют, появится следующее сообщение:
    IP Security test . . . . . . . . . : Passed IPSec policy service is active, but no policy is assigned. (Проверка IPSec пройдена. Служба политик IPSec включена, но политик не назначено)

Компьютеры под управлением системы Windows XP

Перед созданием или назначением новых политик на компьютер под управлением политик Windows XP определите, применяются ли политики IPSec с помощью локального реестра или с помощью объекта групповой политики. Для этого выполните следующие действия:
  1. Установите программу Netdiag.exe, запустив файл Setup.exe из папки Support\Tools компакт-диска Windows 2000.
  2. В командной строке перейдите в папку C:\Program Files\Support Tools.
  3. Для проверки наличия на компьютере назначенных политик IPSec выполните следующую команду.
    netdiag /test:ipsec
    Если такие политики отсутствуют, появится следующее сообщение:
    IP Security test . . . . . . . . . : Passed IPSec policy service is active, but no policy is assigned. (Проверка IPSec пройдена. Служба политик IPSec включена, но политик не назначено)

Компьютеры под управлением системы Windows 2000

Перед созданием или назначением новых политик на компьютер под управлением политик Windows XP определите, применяются ли политики IPSec с помощью локального реестра или с помощью объекта групповой политики. Для этого выполните следующие действия:
  1. Установите программу Netdiag.exe (запустите файл Setup.exe из папки Support\Tools компакт-диска Windows 2000).
  2. В командной строке перейдите в папку C:\Program Files\Support Tools.
  3. Для проверки наличия на компьютере назначенных политик IPSec выполните следующую команду.
    netdiag /test:ipsec
    Если такие политики отсутствуют, появится следующее сообщение:
    IP Security test . . . . . . . . . : Passed IPSec policy service is active, but no policy is assigned. (Проверка IPSec пройдена. Служба политик IPSec включена, но политик не назначено)

Создание статической политики для блокировки трафика

Компьютеры под управлением Windows Server 2003 и Windows XP

Если на компьютере не применяются локальные политики IPSec, создайте новую локальную статическую политику IPSec, предназначенную для блокировки пакетов, передаваемых по определенному протоколу через определенный порт на компьютерах под управлением Windows Server 2003 и Windows XP. Для этого выполните следующие действия:
  1. С помощью оснастки «Службы» консоли управления убедитесь, что служба агента политики безопасности IP-протокола включена и запущена.
  2. Установите IPSeccmd.exe. IPSeccmd.exe входит в состав средств поддержки для Windows XP с пакетом обновления 2 (SP2).

    Примечание. Средство IPSeccmd.exe совместимо с системами Windows XP и Windows Server 2003, но доступно только в пакете средств поддержки пакета обновления 2 (SP2) для Windows XP.

    Дополнительные сведения о загрузке и установке пакета обновления 2 (SP2) для Windows XP см. в следующей статье базы знаний Майкрософт:
    838079 Средства поддержки для Windows XP с пакетом обновления 2 (SP2)
  3. В командной строке перейдите в папку, где установлена программа Ipsecpol.exe.

    Примечание. Папкой по умолчанию для средств поддержки пакета обновления 2 (SP2) для Windows XP является C:\Program Files\Support Tools.
  4. Для создания новой локальной политики IPSec и правил фильтрации сетевого трафика от любого IP-адреса на IP-адрес настраиваемого компьютера под управлением Windows 2003 или Windows XP используется следующая команда.

    Примечание. В следующей команде Протокол и Номер_порта являются переменными.
    IPSeccmd.exe -w REG -p "Block ПротоколНомер_порта Filter" -r "Block Inbound ПротоколНомер_порта Rule" -f *=0:Номер_порта:Протокол -n BLOCK –x
    Например, для блокировки сетевых пакетов с любого IP-адреса и любого порта-источника на порт назначения UDP 1434 компьютера под управлением системы Windows Server 2003 или Windows XP введите следующую команду. Такой политики достаточно для защиты компьютера под управлением Microsoft SQL Server 2000 от вируса-червя Slammer.
    ipsecpol -w REG -p "Block UDP 1434 Filter" -r "Block Inbound UDP 1434 Rule" -f *=0:1434:UDP -n BLOCK -x
    В результате выполнения следующей команды будет перекрыт только входящий доступ на TCP-порт 80. Такой политики достаточно для защиты компьютера, на котором установлены службы Microsoft IIS 5.0, от вирусов-червей Code Red и Nimda.
    ipsecpol -w REG -p "Block TCP 80 Filter" -r "Block Inbound TCP 80 Rule" -f *=0:80:TCP -n BLOCK -x
    Примечание. Параметр -x используется для немедленного назначения политики. После ввода этой команды политика Block UDP 1434 Filter отменяется и вместо нее назначается политика Block TCP 80 Filter. Чтобы просто добавить политику (не назначая ее), команду необходимо ввести без параметра -x.
  5. Чтобы к существующей политике Block UDP 1434 Filter добавить новое правило фильтрации для блокировки трафика от настраиваемого компьютера под управлением Windows 2003 на любой IP-адрес, используется следующий синтаксис.

    Примечание. В следующей команде Протокол и Номер_порта являются переменными.
    IPSeccmd.exe -w REG -p "Block ПротоколНомер_порта Filter" -r "Block Outbound ПротоколНомер_порта Rule" -f *0=:Номер_порта:Протокол -n BLOCK
    Например, для блокировки сетевых пакетов с компьютера под управлением системы Windows Server 2003 или Windows XP на порт UDP 1434 другого компьютера введите следующую команду. Такой политики достаточно, чтобы не позволить компьютеру под управлением SQL Server 2000 распространять червь Slammer.
    IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -r "Block Outbound UDP 1434 Rule" -f 0=*:1434:UDP -n BLOCK
    Примечание. С помощью этой команды к политике можно добавить произвольное количество правил. Например, эту команду можно использовать для блокировки множества портов с использованием одинаковой политики.
  6. Теперь созданная при выполнении шага 5 политика будет применяться каждый раз после перезагрузки компьютера. Однако назначение доменной политики IPSec приведет к переопределению и отмене локальной политики.

    Чтобы проверить успешность назначения правила фильтрации, в командной строке перейдите в папку C:\Program Files\Support Tools и введите следующую команду:
    netdiag /test:ipsec /debug
    Если (как в приведенных примерах) была назначена политика как для входящего, так и для исходящего трафика, появится следующее сообщение.
    IP Security test . . . . . . . . . :
    Local IPSec Policy Active (Тест IPSec пройден. Активны локальные политики): 'Block UDP 1434 Filter' IP Security Policy Path (Путь к политике безопасности): SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{D239C599-F945-47A3-A4E3-B37BC12826B9}

    There are 2 filters (Существуют 2 фильтра)
    No Name (Без имени)
    Filter ID (Код фильтра): {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
    Policy ID (Код политики): {509492EA-1214-4F50-BF43-9CAC2B538518}
    Src Addr (Адрес источника): 0.0.0.0 Src Mask (Маска источника): 0.0.0.0
    Dest Addr (Адрес назначения): 192.168.1.1 Dest Mask (маска назначения): 255.255.255.255
    Tunnel Addr (Адрес туннелирования): 0.0.0.0 Src Port (Порт источника): 0 Dest Port (Порт назначения): 1434
    Protocol (Протокол): 17 TunnelFilter (Фильтр туннелирования): No (Нет)
    Flags (Флажки): Inbound Block (Блок входящего трафика)
    No Name (Без имени)
    Filter ID (Код фильтра): {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
    Policy ID (Код политики): {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
    Src Addr (Адрес источника): 192.168.1.1 Src Mask (Маска источника): 255.255.255.255
    Dest Addr (Адрес назначения): 0.0.0.0 Dest Mask (Маска назначения): 0.0.0.0
    Tunnel Addr (Адрес туннелирования): 0.0.0.0 Src Port (Порт источника): 0 Dest Port (Порт назначения): 1434
    Protocol (Протокол): 17 TunnelFilter (Фильтр туннелирования): No (Нет)
    Flags (Флажки): Outbound Block (Блок исходящего трафика)
    Примечание. IP-адреса и номера GUID зависят от конфигурации текущего компьютера.

Компьютеры под управлением Windows 2000

Если на компьютере под управлением Windows 2000 не применяются локальные политики IPSec, то для создания новой локальной статической политики IPSec, предназначенной для блокировки пакетов, передаваемых по определенному протоколу через определенный порт, на этом компьютере необходимо выполнить следующие действия:
  1. С помощью оснастки «Службы» консоли управления убедитесь, что служба агента политики безопасности IP-протокола включена и запущена.
  2. Обратитесь на следующий веб-узел корпорации Microsoft для загрузки и установки программы Ipsecpol.exe:
    http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361(на английском языке)
  3. В командной строке перейдите в папку, где установлена программа Ipsecpol.exe.

    Примечание. По умолчанию она находится в папке C:\Program Files\Resource Kit.
  4. Для создания новой локальной политики IPSec и правил фильтрации сетевого трафика от любого IP-адреса на IP-адрес настраиваемого компьютера под управлением Windows 2003 или Windows XP используется следующая команда, в которой Протокол и Номер_порта являются переменными.
    IPSeccmd.exe -w REG -p "Block ПротоколНомер_порта Filter" -r "Block Inbound ПротоколНомер_порта Rule" -f *=0:НомерПорта:Протокол -n BLOCK –x
    Например, для блокировки сетевых пакетов с любого IP-адреса и любого порта-источника на порт назначения UDP 1434 компьютера под управлением системы Windows Server 2000 введите следующую команду. Такой политики достаточно для защиты компьютера под управлением Microsoft SQL Server 2000 от вируса-червя Slammer.
    ipsecpol -w REG -p "Block UDP 1434 Filter" -r "Block Inbound UDP 1434 Rule" -f *=0:1434:UDP -n BLOCK -x
    В результате выполнения следующей команды будет перекрыт только входящий доступ на TCP-порт 80. Такой политики достаточно для защиты компьютера, на котором установлены службы Microsoft Internet Information Services (IIS) 5.0, от червей Code Red и Nimda.
    iipsecpol -w REG -p "Block TCP 80 Filter" -r "Block Inbound TCP 80 Rule" -f *=0:80:TCP -n BLOCK -x
    Примечание. Параметр -x используется для немедленного назначения политики. После ввода этой команды политика Block UDP 1434 Filter отменяется и вместо нее назначается политика Block TCP 80 Filter. Чтобы просто добавить политику (не назначая ее), команду необходимо ввести без параметра -x.
  5. Чтобы добавить дополнительное правило фильтрации к существующей политике Block UDP 1434 Filter, блокирующей трафик от компьютера пользователя под управлением Windows 2000 на любой IP-адрес, введите следующую команду, в которой Протокол и Номер_порта являются переменными:
    ipsecpol -w REG -p "Block ПротоколНомер_порта Filter" -r "Block Outbound ПротоколНомер_порта Rule" -f *0=:Номер_порта:Протокол -n BLOCK
    Например, для блокировки сетевых пакетов с компьютера под управлением системы Windows Server 2000 на порт UDP 1434 другого компьютера введите следующую команду. Такой политики достаточно, чтобы не позволить компьютеру под управлением SQL Server 2000 распространять вирус-червь Slammer.
    ipsecpol -w REG -p "Block UDP 1434 Filter" -r "Block Outbound UDP 1434 Rule" -f 0=*:1434:UDP -n BLOCK
    Примечание. С помощью этого синтаксиса к политике можно добавить произвольное количество правил (например, для блокировки нескольких портов с помощью одной политики).
  6. Теперь созданная при выполнении шага 5 политика будет применяться каждый раз после перезагрузки компьютера. Однако назначение доменной политики IPSec приведет к переопределению и отмене локальной политики. Чтобы проверить успешность назначения правила фильтрации, в командной строке перейдите в папку C:\Program Files\Support Tools и введите следующую команду:
    netdiag /test:ipsec /debug
    Если (как в приведенном примере) была назначена политика как для входящего, так и для исходящего трафика, появится следующее сообщение.
    IP Security test . . . . . . . . . :
    Local IPSec Policy Active (Тест IPSec пройден. Активны локальные политики): 'Block UDP 1434 Filter' IP Security Policy Path (Путь к политике безопасности): SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{D239C599-F945-47A3-A4E3-B37BC12826B9}

    There are 2 filters (Существуют 2 фильтра)
    No Name (Без имени)
    Filter ID (Код фильтра): {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
    Policy ID (Код политики): {509492EA-1214-4F50-BF43-9CAC2B538518}
    Src Addr (Адрес источника): 0.0.0.0 Src Mask (Маска источника): 0.0.0.0
    Dest Addr (Адрес назначения): 192.168.1.1 Dest Mask (маска назначения): 255.255.255.255
    Tunnel Addr (Адрес туннелирования): 0.0.0.0 Src Port (Порт источника): 0 Dest Port (Порт назначения): 1434
    Protocol (Протокол): 17 TunnelFilter (Фильтр туннелирования): No (Нет)
    Flags (Флажки): Inbound Block (Блок входящего трафика)
    No Name (Без имени)
    Filter ID (Код фильтра): {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
    Policy ID (Код политики): {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
    Src Addr (Адрес источника): 192.168.1.1 Src Mask (Маска источника): 255.255.255.255
    Dest Addr (Адрес назначения): 0.0.0.0 Dest Mask (Маска назначения): 0.0.0.0
    Tunnel Addr (Адрес туннелирования): 0.0.0.0 Src Port (Порт источника): 0 Dest Port (Порт назначения): 1434
    Protocol (Протокол): 17 TunnelFilter (Фильтр туннелирования): No (Нет)
    Flags (Флажки): Outbound Block (Блок исходящего трафика)
    Примечание. IP-адреса и номера пользовательского интерфейса будут соответствовать конфигурации вашего компьютера под управлением Windows 2000.

Добавление правила для блокировки определенного порта и протокола

Компьютеры под управлением Windows Server 2003 и Windows XP

Чтобы добавить правило для блокировки определенного порта и протокола на компьютере под управлением системы Windows Server 2003 или Windows XP, на котором уже назначена локальная статическая политика IPSec, выполните следующие действия:
  1. Установите IPSeccmd.exe. IPSeccmd.exe входит в состав средств поддержки пакета обновления 2 (SP2) для Windows XP.

    Дополнительные сведения о загрузке и установке пакета обновления 2 (SP2) для Windows XP см. в следующей статье базы знаний Майкрософт:
    838079 Средства поддержки для Windows XP с пакетом обновления 2 (SP2)
  2. Определите имя назначенной политики IPSec. Для этого выполните в командной строке следующую команду:
    netdiag /test:ipsec
    Если на компьютере назначена политика IPSec, появится сообщение, подобное приведенному ниже.
    IP Security test . . . . . . . . . : Passed
    Local IPSec Policy Active (Тест IPSec пройден. Активны локальные политики): 'Block UDP 1434 Filter'
  3. Для добавления к политике IPSec, назначенной локально или в рамках домена, нового блокирующего правила фильтрации используется следующий синтаксис.

    Примечание. В этой команде Имя_существующей_политики_IPSec, Протокол и Номер_порта являются переменными.
    IPSeccmd.exe -p "Имя_существующей_политики_IPSec" -w REG -r "Block ПротоколНомер_порта Rule" -f *=0:Номер_порта:Протокол -n BLOCK
    Например, чтобы добавить к существующему фильтру Block UDP 1434 Filter правило фильтрации для блокировки входящего доступа на TCP-порт 80, необходимо ввести следующую команду:
    IPSeccmd.exe -p "Block UDP 1434 Filter" -w REG -r "Block Inbound TCP 80 Rule" -f *=0:80:TCP -n BLOCK

Компьютеры под управлением Windows 2000

Чтобы добавить правило для блокировки определенного порта и протокола на компьютере под управлением Windows 2000, на котором локально применена политика IPSec, необходимо выполнить следующие действия:
  1. Обратитесь на следующий веб-узел корпорации Microsoft для загрузки и установки программы Ipsecpol.exe:
    http://support.microsoft.com/kb/927229(на английском языке)
  2. Определите имя назначенной политики IPSec. Для этого выполните в командной строке следующую команду:
    netdiag /test:ipsec
    Если на компьютере назначена политика IPSec, появится сообщение, подобное приведенному ниже.
    IP Security test . . . . . . . . . : Passed
    Local IPSec Policy Active (Тест IPSec пройден. Активны локальные политики): 'Block UDP 1434 Filter'
  3. Для добавления к политике IPSec, назначенной локально или в рамках домена, нового блокирующего правила фильтрации используется следующий синтаксис, где Имя_существующей_политики_IPSec, Протокол и Номер_порта являются переменными:
    ipsecpol -p "Имя_существующей_политики_IPSec" -w REG -r "Block ПротоколНомер_порта Rule" -f *=0:Номер_порта:Протокол -n BLOCK
    Например, чтобы добавить к существующему фильтру Block UDP 1434 Filter правило фильтрации для блокировки входящего доступа на TCP-порт 80, необходимо ввести следующую команду:
    ipsecpol -p "Block UDP 1434 Filter" -w REG -r "Block Inbound TCP 80 Rule" -f *=0:80:TCP -n BLOCK

Добавление динамической политики для блокировки определенного порта и протокола

Компьютеры под управлением Windows Server 2003 или Windows XP

Может возникнуть необходимость временной блокировки доступа к определенному порту. В некоторых случаях порт необходимо заблокировать временно, пока не установлено исправление или если компьютеру уже назначена доменная политика IPSec. Чтобы с помощью политики IPSec временно заблокировать порт на компьютере под управлением Windows 2003 или Windows XP, необходимо выполнить следующие действия:
  1. Установите IPSeccmd.exe. IPSeccmd.exe входит в состав средств поддержки для Windows XP с пакетом обновления 2 (SP2).

    Примечание. Средство IPSeccmd.exe совместимо с системами Windows XP и Windows Server 2003, но доступно только в пакете средств поддержки пакета обновления 2 (SP2) для Windows XP.

    Дополнительные сведения о загрузке и установке пакета обновления 2 (SP2) для Windows XP см. в следующей статье базы знаний Майкрософт:
    838079 Средства поддержки для Windows XP с пакетом обновления 2 (SP2)
  2. Для добавления динамического фильтра BLOCK, блокирующего все пакеты от любого IP-адреса на определенный порт компьютера пользователя, выполните следующую команду.

    Примечание. В этой команде Протокол и Номер_порта являются переменными.
    IPSeccmd.exe -f [*=0:Номер_порта:Протокол]
    Примечание. Будет создан динамический фильтр блокировки. Политика действует, пока запущена служба агента политики IPSec. Перезапуск службы IPSec или перезагрузка компьютера приводят к отмене политики. Чтобы каждый раз при перезагрузке системы правило фильтрации политики IPSec назначалось динамически, необходимо написать специальный загрузочный сценарий. Чтобы фильтр применялся всегда, настройте его в качестве статической политики IPSec. Для изменения конфигурации политики IPSec предназначена оснастка «Управление политикой IPSec». Если назначена доменная политика IPSec, то запуск команды netdiag /test:ipsec /debug пользователем с правами администратора домена приведет только к отображению сведений о фильтре.

Компьютеры под управлением Windows 2000

В некоторых случаях порт необходимо заблокировать временно (например, пока не установлено исправление или если компьютеру уже назначена доменная политика IPSec). Чтобы с помощью политики IPSec временно заблокировать порт на компьютере под управлением Windows 2000, необходимо выполнить следующие действия:
  1. Обратитесь на следующий веб-узел корпорации Microsoft для загрузки и установки программы Ipsecpol.exe:
    http://support.microsoft.com/kb/927229(на английском языке)
  2. Для добавления динамического фильтра BLOCK, блокирующего все пакеты от любого IP-адреса на определенный порт системы пользователя, выполните следующую команду, где протокол и Номер_порта являются переменными.
    ipsecpol -f [*=0:Номер_порта:Протокол]
    Примечание. Будет создан динамический фильтр блокировки; политика действует, пока запущена служба агента политики IPSec. Перезапуск службы IPSec или перезагрузка компьютера приводят к потере настройки. Чтобы каждый раз при перезагрузке системы правило фильтрации политики IPSec назначалось динамически, необходимо написать специальный загрузочный сценарий. Чтобы фильтр применялся всегда, настройте его в качестве статической политики IPSec. Для изменения конфигурации политики IPSec предназначена оснастка «Управление политикой IPSec». Если назначена доменная политика IPSec, то запуск команды netdiag /test:ipsec /debug пользователем с правами администратора домена приведет только к отображению сведений о фильтре. В состав пакета обновления 4 (SP4) для Windows 2000 войдет обновленная версия программы Netdiag.exe, с помощью которой локальный администратор сможет просматривать политики IPSec уровня домена.

Правила фильтрации IPSec и групповая политика

Если политика IPSec назначается с помощью параметра групповой политики, то для блокировки определенного протокола и порта необходимо обновить политику всего домена. После установки для политики IPSec параметров групповой политики их необходимо обновить на всех компьютерах под управлением Windows Server 2003, Windows XP и Windows 2000 в рамках домена. для загрузки символов:
secedit /refreshpolicy machine_policy
Для определения изменений политики IPSec понадобится от одного до двух интервалов опроса. Вновь назначенная политика IPSec, применяемая к объекту групповой политики, будет применена к клиентам в течении установленного для групповой политики интервала опроса или после выполнения на клиентском компьютере команды secedit /refreshpolicy machine_policy. Если новые фильтры и правила добавляются к политике IPSec, которая уже назначена объекту групповой политики, то ввести изменения в действие с помощью команды secedit не удастся. В таком случае изменения существующей политики IPSec на основе объектов групповой политики будут обнаружены в течение собственного интервала опроса политики IPSec. Этот интервал устанавливается на вкладке Общие для соответствующей политики IPSec. Кроме того, для обновления параметров политики IPSec можно перезапустить службу агента политики IPSec. При остановке и перезапуске службы «Агент политики IPSEC» безопасный обмен данными, осуществляемый с помощью протокола IPSec, будет прерван и возобновлен через несколько секунд. Это может привести к разрыву установленных подключений (особенно тех, которые в данный момент используются для пересылки большого объема информации). Если политика IPSec назначена только на локальном компьютере, перезапускать службу нет необходимости.

Отмена назначения и удаление политики IPSec

Компьютеры под управлением Windows Server 2003 и Windows XP

  • Компьютеры, на которых локально определена статическая политика
    1. В командной строке перейдите в папку, где установлена программа Ipsecpol.exe.
    2. Для отмены созданного ранее фильтра используется следующий синтаксис:
      IPSeccmd.exe -w REG -p "Block ПротоколНомер_порта Filter" –y
      Например, чтобы отменить назначение фильтра Block UDP 1434 Filter, созданного ранее, введите следующую команду:
      IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -y
    3. Для удаления созданного ранее фильтра используется следующий синтаксис:
      IPSeccmd.exe -w REG -p "Block ПротоколНомер_порта Filter" -r "Block ПротоколНомер_порта Rule" –o
      Например, для удаления ранее созданного фильтра Block UDP 1434 Filter введите следующую команду:
      IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -r "Block Inbound UDP 1434 Rule" -r "Block Outbound UDP 1434 Rule" -o
  • Компьютеры, на которых локально определена динамическая политика
    Для отмены динамической политики IPSec достаточно остановить службу агента политики IPSec (с помощью команды net stop policyagent). Для того чтобы удалить использованные ранее команды, не останавливая службу агента политики IPSec, необходимо выполнить следующие действия:
    1. В командной строке перейдите в папку, где установлены средства поддержки системы Windows XP с пакетом обновления 2 (SP2).
    2. Введите следующую команду:
      IPSeccmd.exe –u
      Примечание. Для сброса всех динамически назначенных политик перезапустите службу агента политики IPSec.

Компьютеры под управлением Windows 2000

  • Компьютеры, на которых локально определена статическая политика
    1. В командной строке перейдите в папку, где установлена программа Ipsecpol.exe.
    2. Для отмены созданного ранее фильтра используется следующий синтаксис:
      ipsecpol -w REG -p "Block ПротоколНомер_порта Filter" –y
      Например, чтобы отменить назначение фильтра Block UDP 1434 Filter, созданного ранее, введите следующую команду:
      ipsecpol -w REG -p "Block UDP 1434 Filter" -y
    3. Для удаления созданного ранее фильтра используется следующий синтаксис:
      ipsecpol -w REG -p "Block ПротоколНомер_порта Filter" -r "Block ПротоколНомер_порта Rule" –o
      Например, для удаления ранее созданного фильтра Block UDP 1434 Filter введите следующую команду:
      ipsecpol -w REG -p "Block UDP 1434 Filter" -r "Block Inbound UDP 1434 Rule" -r "Block Outbound UDP 1434 Rule" -o
  • Компьютеры, на которых локально определена динамическая политика

    Для отмены динамической политики IPSec достаточно остановить службу агента политики IPSec (с помощью команды net stop policyagent). Однако, чтобы удалить использованные ранее команды, не останавливая службу агента политики IPSec, необходимо выполнить следующие действия:
    1. В командной строке перейдите в папку, где установлена программа Ipsecpol.exe.
    2. Введите следующую команду:
      Ipsecpol –u
      Примечание. Для сброса всех динамически назначенных политик перезапустите службу агента политики IPSec.

Применение новых правил фильтрации ко всем протоколам и портам

По умолчанию в Windows 2000 и Windows XP фильтрация и проверка подлинности не применяются политикой IPSec к трафику широковещательной рассылки, многоадрескной рассылки, RSVP, IKE и Kerberos. За дополнительной информацией об этих исключениях обратитесь к следующей статье Microsoft Knowledge Base:
253169 Трафик, который можно и нельзя защитить с помощью протокола IPSec (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
Если безопасность IP-протокола используется только для блокировки и разрешения трафика, необходимо отменить исключения для протоколов Kerberos и RSVP, изменив соответствующий параметр реестра. За подробными инструкциями об этом обратитесь к следующей статье Microsoft Knowledge Base:
254728 IPSec не защищает трафик Kerberos между контроллерами домена (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
Выполнение этих инструкций позволяет защитить порт 1434 протокола UDP даже в том случае, если злоумышленник отправляет пакеты с одного из портов, используемых протоколом Kerberos (порт 88 протоколов TCP и UDP). В результате отмены исключения для Kerberos пакеты этого протокола будут сопоставляться со всеми фильтрами политики IPSec. Таким образом, в рамках политики IPSec можно обеспечить защиту протокола Kerberos (блокировку или разрешение). Следовательно, когда трафик по протоколу Kerberos, который направляется на IP-адреса контроллеров домена, попадает под действие фильтров IPSec, может быть необходимо изменить конфигурацию политики IPSec для пропуска такого трафика на каждый IP-адрес контроллеров домена (если IPSec не используется для обеспечения защиты всего трафика между контроллерами домена, как описано в статье 254728 базы знаний Майкрософт).

Назначение правил фильтрации политики IPSec после перезагрузки компьютера

Для использования политики IPSec необходимо назначить службу агента политики IPSec. В процессе загрузки компьютера под управлением Windows 2000 служба агента политики IPSec не обязательно запускается первой. В результате этого возникает короткий промежуток времени, когда сетевое подключение компьютера уязвимо для атаки вируса или вируса-червя. Такая ситуация возможна, только если перед тем, как служба агента политики IPSec запустилась и назначила все политики, успешно загрузилась и принимает подключение потенциально уязвимая служба.

Свойства

Код статьи: 813878 - Последний отзыв: 29 января 2007 г. - Revision: 6.1
Информация в данной статье относится к следующим продуктам.
  • Операционная система Microsoft Windows 2000 Professional
  • операционная система Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
Ключевые слова: 
kbhowto KB813878

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com