วิธีการที่บล็อกโพรโทคอลเครือข่ายเฉพาะและพอร์ต โดยใช้ IPSec

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 813878 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

รักษาความปลอดภัย Internet Protocol (IPSec) การกรองกฎที่สามารถใช้เพื่อช่วยป้องกันการโจมตีที่ขึ้นอยู่กับเครือข่ายจากการคุกคามเช่นไวรัสและหนอนไวรัสคอมพิวเตอร์ที่ใช้ Windows 2000 ใช้ Windows XP และเซิร์ฟเวอร์ที่ใช้ Windows server 2003 บทความนี้อธิบายวิธีการกรองข้อมูลโพรโทคอลเฉพาะและพอร์ตพร้อมสำหรับการรับส่งข้อมูลการเครือข่ายทั้งขาเข้า และขาออก ซึ่งจะรวมถึงขั้นตอนต่อไปหรือไม่มีนโยบาย IPSec ใด ๆ ในขณะนี้กำหนดให้กับคอมพิวเตอร์ที่ใช้ Windows 2000, Windows xp หรือเซิร์ฟเวอร์ที่ใช้ Windows server 2003 ตามขั้นตอนในการสร้าง และกำหนดนโยบาย IPSec และขั้นตอนต่อไป unassign และลบ IPSec นโยบาย

ข้อมูลเพิ่มเติม

นโยบาย ipsec สามารถถูกประยุกต์ใช้ภายใน หรือถูกนำไปใช้กับสมาชิกของโดเมนเป็นส่วนหนึ่งของนโยบายกลุ่มของโดเมนนั้น IPSec ที่สามารถนโยบายท้องถิ่นคงที่(ถาวรหลังจากการเริ่มระบบใหม่) หรือแบบไดนามิก(volatile) นโยบาย IPSec คงเขียนรีจิสทรีในเครื่อง และยืนยันหลังจากที่ระบบปฏิบัติการจะเริ่มต้นใหม่ IPSec ไดนามิกนโยบายไม่ออกอย่างถาวรเขียนรีจิสทรี และจะถูกลบออกหากระบบปฏิบัติการบริการบริษัทตัวแทนของนโยบาย IPSec จะเริ่มใหม่

สิ่งสำคัญบทความนี้ประกอบด้วยข้อมูลเกี่ยวกับการแก้ไขรีจิสทรีโดยใช้ Ipsecpol.exe ก่อนที่จะทำการแก้ไขรีจิสทรี ตรวจสอบให้แน่ใจว่า คุณเข้าใจวิธีการคืนค่าหากเกิดปัญหา สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีสำรอง คืนค่า และแก้ไขรีจิสทรี โปรดคลิกที่หมายเลขบทความต่อไปนี้ เพื่อดูบทความในฐานความรู้ของ Microsoft::
256986คำอธิบายสำหรับ Microsoft Windows Registry
หมายเหตุ:กฎการกรอง ipsec อาจทำให้โปรแกรมเครือข่าย การสูญเสียข้อมูล และหยุดการตอบสนองการร้องขอเครือข่าย การรวมถึงความล้มเหลวในการรับรองความถูกต้องของผู้ใช้ ใช้กฎในตัวกรอง IPSec เป็นหน่วยวัดป้องกันวิธีสุดท้าย และเฉพาะหลัง จากที่คุณมีความเข้าใจเกี่ยวกับผลกระทบที่บล็อกพอร์ตเฉพาะจะมีการยกเลิกการเลือกในสภาพแวดล้อมการทำงานของคุณ ถ้ามีนโยบาย IPSec ที่คุณสร้างขึ้น โดยใช้ขั้นตอนที่ระบุไว้ในบทความนี้ มีลักษณะพิเศษที่ไม่พึงประสงค์บนโปรแกรมเครือข่ายของคุณ ดูส่วน "Unassign และลบข้อ IPSec Policy" ในบทความนี้สำหรับคำแนะนำเกี่ยวกับวิธีการปิดใช้งาน และลบนโยบายได้ทันที

ตรวจสอบว่า มีกำหนดนโยบาย IPSec

windows Server 2003 บนคอมพิวเตอร์

ก่อนที่คุณสร้าง หรือกำหนดนโยบาย IPSec ใด ๆ ใหม่ลงในคอมพิวเตอร์ที่ใช้ Windows Server 2003 ตรวจสอบว่า นโยบาย IPSec ใด ๆ จะถูกประยุกต์ใช้ จากรีจิสทรีในเครื่อง หรือ ผ่าน Group Policy object (GPO) โดยให้ทำตามขั้นตอนต่อไปนี้::
  1. การติดตั้ง Netdiag.exe จากยังซีดี Windows Server 2003 โดยการเรียกใช้ Suptools.msi จากโฟลเดอร์ Support\Tools
  2. เปิดพร้อมท์คำสั่ง และจากนั้น ตั้งค่าโฟลเดอร์การทำงานกับเครื่องมือ Files\Support C:\Program
  3. เรียกใช้คำสั่งต่อไปนี้เพื่อตรวจสอบว่า ไม่มีนโยบาย IPSec ที่มีอยู่ที่ได้กำหนดให้กับคอมพิวเตอร์:
    netdiag /test:ipsec
    ถ้ามีกำหนดนโยบายไม่มี คุณได้รับข้อความแสดงข้อความต่อไปนี้:
    ทดสอบความปลอดภัยของ ip........ . : ส่งผ่านบริการนโยบาย IPSec จะทำงาน แต่มีกำหนดนโยบายไม่มี

windows XP โดยใช้คอมพิวเตอร์

ก่อนที่คุณสร้าง หรือกำหนดนโยบาย IPSec ใด ๆ ใหม่ลงในคอมพิวเตอร์ที่ใช้ Windows XP ตรวจสอบว่า นโยบาย IPSec ใด ๆ ที่ใช้ จากรีจิสทรีในเครื่อง หรือ ดู GPO โดยให้ทำตามขั้นตอนต่อไปนี้::
  1. การติดตั้ง Netdiag.exe จากซีดี Windows XP โดยการใช้งานมีชื่อเป็น Setup.exe จากโฟลเดอร์ Support\Tools
  2. เปิดพร้อมท์คำสั่ง และจากนั้น ตั้งค่าโฟลเดอร์การทำงานกับเครื่องมือ Files\Support C:\Program
  3. เรียกใช้คำสั่งต่อไปนี้เพื่อตรวจสอบว่า ไม่มีนโยบาย IPSec ที่มีอยู่ที่ได้กำหนดให้กับคอมพิวเตอร์:
    netdiag /test:ipsec
    ถ้ามีกำหนดนโยบายไม่มี คุณได้รับข้อความแสดงข้อความต่อไปนี้:
    ทดสอบความปลอดภัยของ ip........ . : ส่งผ่านบริการนโยบาย IPSec จะทำงาน แต่มีกำหนดนโยบายไม่มี

คอมพิวเตอร์ที่ใช้ windows 2000

ก่อนที่คุณสร้าง หรือกำหนดนโยบาย IPSec ใด ๆ ใหม่ลงในคอมพิวเตอร์ที่ใช้ Windows 2000 ตรวจสอบว่า นโยบาย IPSec ใด ๆ ที่ใช้ จากรีจิสทรีในเครื่อง หรือ ดู GPO โดยให้ทำตามขั้นตอนต่อไปนี้::
  1. การติดตั้ง Netdiag.exe จากซีดี Windows 2000 โดยการใช้งานมีชื่อเป็น Setup.exe จากโฟลเดอร์ Support\Tools
  2. เปิดพร้อมท์คำสั่ง และจากนั้น ตั้งค่าโฟลเดอร์การทำงานกับเครื่องมือ Files\Support C:\Program
  3. เรียกใช้คำสั่งต่อไปนี้เพื่อตรวจสอบว่า ไม่มีนโยบาย IPSec ที่มีอยู่ที่ได้กำหนดให้กับคอมพิวเตอร์:
    netdiag /test:ipsec
    ถ้ามีกำหนดนโยบายไม่มี คุณได้รับข้อความแสดงข้อความต่อไปนี้:
    ทดสอบความปลอดภัยของ ip........ . : ส่งผ่านบริการนโยบาย IPSec จะทำงาน แต่มีกำหนดนโยบายไม่มี

สร้างนโยบายการบล็อกปริมาณการใช้งานแบบคงที่

Windows Server 2003-based and Windows XP-based computers

For systems that do not have a locally defined IPSec policy enabled, create a new local static policy to block traffic that is directed to a specific protocol and a specific port on Windows Server 2003-based and Windows XP based computers. โดยให้ทำตามขั้นตอนต่อไปนี้::
  1. Verify that the IPSec Policy Agent service is enabled and started in the Services MMC snap-in.
  2. Install IPSeccmd.exe. IPSeccmd.exe is part of Windows XP Service Pack 2 (SP2) Support Tools.

    หมายเหตุ:IPSeccmd.exe will run on Windows XP and Windows Server 2003 operating systems, but the tool is only available from the Windows XP SP2 Support Tools package.

    For more information about downloading and installing Windows XP Service Pack 2 Support Tools, click the following article number to view the article in the Microsoft Knowledge Base:
    838079windows XP Service Pack 2 เครื่องสนับสนุนมือ
  3. Open a command prompt, and then set the working folder to the folder where you installed the Windows XP Service Pack 2 Support Tools.

    หมายเหตุ:The default folder for Windows XP SP2 Support Tools is C:\Program Files\Support Tools.
  4. To create a new local IPSec policy and filtering rule that applies to network traffic from any IP address to the IP address of the Windows Server 2003-based or Windows XP-based computer that you are configuring, use the following command.

    หมายเหตุ:In the following command,Protocolและportnumberare variables.
    IPSeccmd.exe -w REG -p "BlockProtocolportnumberFilter" -r "Block InboundProtocolportnumberRule" -f *=0:portnumber:Protocol-n BLOCK –x
    For example, to block network traffic from any IP address and any source port to destination port UDP 1434 on a Windows Server 2003-based or Windows XP-based computer, type the following. This policy is sufficient to help protect computers that run Microsoft SQL Server 2000 from the "Slammer" worm.
    IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -r "Block Inbound UDP 1434 Rule" -f *=0:1434:UDP -n BLOCK -x
    The following example blocks inbound access to TCP port 80 but still allows outbound TCP 80 access. This policy is sufficient to help protect computers that run Microsoft Internet Information Services (IIS) 5.0 from the "Code Red" worm and the "Nimda" worm.
    IPSeccmd.exe -w REG -p "Block TCP 80 Filter" -r "Block Inbound TCP 80 Rule" -f *=0:80:TCP -n BLOCK -x
    หมายเหตุ:กระบวนการ-xswitch assigns the policy immediately. If you enter this command, the "Block UDP 1434 Filter" policy is unassigned and the "Block TCP 80 Filter" is assigned. To add the policy but not assign the policy, type the command without the-xswitch at the end.
  5. To add an additional filtering rule to the existing "Block UDP 1434 Filter" policy that blocks network traffic that originates from your Windows Server 2003-based or Windows XP-based computer to any IP address, use the following command.

    หมายเหตุ:ในคำสั่งนี้Protocolและportnumberare variables:
    IPSeccmd.exe -w REG -p "BlockProtocolportnumberFilter" -r "Block OutboundProtocolportnumberRule" -f *0=:portnumber:Protocol-n BLOCK
    For example, to block any network traffic that originates from your Windows Server 2003-based or Windows XP-based computer that is directed to UDP 1434 on any other host, type the following. This policy is sufficient to help prevent computers that run SQL Server 2000 from spreading the "Slammer" worm.
    IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -r "Block Outbound UDP 1434 Rule" -f 0=*:1434:UDP -n BLOCK
    หมายเหตุ:คุณสามารถเพิ่มมากการกรองกฎนโยบายคุณต้องการ โดยใช้คำสั่งนี้ ตัวอย่างเช่น คุณสามารถใช้คำสั่งนี้ให้บล็อกพอร์ตหลาย โดยใช้นโยบายการเดียวกัน
  6. นโยบายในขั้นตอนที่ 5 ตอนนี้จะมีผล และจะยืนยันทุกครั้งที่มีการเริ่มคอมพิวเตอร์ใหม่ อย่างไรก็ตาม ถ้ากำหนดนโยบาย IPSec ที่ขึ้นอยู่กับโดเมนให้กับคอมพิวเตอร์ในภายหลัง นโยบายภายในเครื่องนี้จะสามารถถูกแทน และจะไม่นำไปใช้

    การตรวจสอบการกำหนดกฎการกรองข้อมูลของคุณเสร็จเรียบร้อยแล้ว การตั้งค่าโฟลเดอร์การทำงานกับเครื่องมือ Files\Support C:\Program ที่คอมมานด์พร้อมต์ แล้ว พิมพ์คำสั่งต่อไปนี้:
    netdiag /test:ipsec /debug
    ถ้ามีกำหนดนโยบายสำหรับการรับส่งข้อมูลทั้งขาเข้า และขาออกในตัวอย่างเหล่านี้ คุณจะได้รับข้อความแสดงข้อความต่อไปนี้:
    ทดสอบความปลอดภัยของ ip........ . :
    เส้นทางของนโยบายการรักษาความปลอดภัยของ IP 'UDP บล็อก 1434 ตัวกรอง' ส่งผ่านเฉพาะนโยบาย IPSec อยู่:: SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy {D239C599-F945-47A3-A4E3-B37BC12826B9 }

    ไม่มีตัวกรองที่ 2
    ไม่มีชื่อ
    Id ของตัวกรอง: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592 }
    Id ของนโยบาย: {509492EA-1214-4F50-BF43-9CAC2B538518 }
    ที่อยู่ Src: 0.0.0.0 รูปแบบ Src: 0.0.0.0
    ที่อยู่ Dest: 192.168.1.1 รูปแบบ Dest: 255.255.255.255
    ที่อยู่การทันเนล: 0.0.0.0 Src พอร์ต: พอร์ต Dest 0:1434
    โพรโทคอล: TunnelFilter ที่ 17: ไม่ใช่
    สถานะ: การบล็อกขาเข้า
    ไม่มีชื่อ
    Id ของตัวกรอง: {9B4144A6-774F-4AE5-B23A-51331E67BAB2 }
    Id ของนโยบาย: {2DEB01BD-9830-4067-B58A-AADFC8659BE5 }
    ที่อยู่ Src: 192.168.1.1 รูปแบบ Src: 255.255.255.255
    ที่อยู่ Dest: 0.0.0.0 รูปแบบ Dest: 0.0.0.0
    ที่อยู่การทันเนล: 0.0.0.0 Src พอร์ต: พอร์ต Dest 0:1434
    โพรโทคอล: TunnelFilter ที่ 17: ไม่ใช่
    สถานะ: การบล็อกขาออก
    หมายเหตุ:ที่อยู่ IP และหมายเลข (GUID) ของอินเทอร์เฟซผู้ใช้แบบกราฟิกจะแตกต่างกันขึ้นอยู่กับคอมพิวเตอร์ที่ใช้ Windows Server 2003 หรือใช้ Windows XP

คอมพิวเตอร์ที่ใช้ windows 2000

สำหรับระบบโดยไม่ต้องนโยบาย IPSec เฉพาะที่กำหนดเปิดใช้งาน การทำตามขั้นตอนเหล่านี้เพื่อสร้างใหม่ภายในแบบคงที่นโยบายการรับส่งข้อมูลของบล็อกที่ระบุโดยตรงกับโพรโทคอลเฉพาะและพอร์ตบน คอมพิวเตอร์ที่ใช้ Windows 2000 โดยไม่มีนโยบาย IPSec ที่มีอยู่แล้วกำหนด:
  1. ตรวจสอบว่า บริการของบริษัทตัวแทนของนโยบาย IPSec ถูกเปิดใช้งาน และเริ่มการทำงานในสแน็ปอิน MMC ของบริการ
  2. เยี่ยมชมเว็บไซต์ต่อไปนี้ของ Microsoft เพื่อดาวน์โหลด และติดตั้ง Ipsecpol.exe:
    http://www.microsoft.com/downloads/details.aspx?displaylang=en & FamilyID = 7D40460C-A069-412E-A015-A2AB904B7361
  3. เปิดพร้อมท์คำสั่ง และการตั้งค่าโฟลเดอร์การทำงานไปยังโฟลเดอร์ที่คุณติดตั้ง Ipsecpol.exe

    หมายเหตุ:โฟลเดอร์เริ่มต้นสำหรับ Ipsecpol.exe คือ Files\Resource C:\Program Kit
  4. To create a new local IPSec policy and filtering rule that applies to network traffic from any IP address to the IP address of the Windows 2000-based computer that you are configuring, use the following command, whereProtocolและportnumberare variables:
    ipsecpol -w REG -p "BlockProtocolportnumberFilter" -r "Block InboundProtocolportnumberRule" -f *=0:portnumber:Protocol-n BLOCK –x
    For example, to block network traffic from any IP address and any source port to destination port UDP 1434 on a Windows 2000-based computer, type the following. This policy is sufficient to help protect computers that run Microsoft SQL Server 2000 from the "Slammer" worm.
    ipsecpol -w REG -p "Block UDP 1434 Filter" -r "Block Inbound UDP 1434 Rule" -f *=0:1434:UDP -n BLOCK -x
    The following example blocks inbound access to TCP port 80 but still allows outbound TCP 80 access. This policy is sufficient to help protect computers that run Microsoft Internet Information Services (IIS) 5.0 from the "Code Red" and "Nimda" worms.
    ipsecpol -w REG -p "Block TCP 80 Filter" -r "Block Inbound TCP 80 Rule" -f *=0:80:TCP -n BLOCK -x
    หมายเหตุ:กระบวนการ-xswitch assigns the policy immediately. If you enter this command, the "Block UDP 1434 Filter" policy is unassigned, and the "Block TCP 80 Filter" is assigned. To add but not assign the policy, type the command without the-xswitch at the end .
  5. To add an additional filtering rule to the existing "Block UDP 1434 Filter" policy that blocks network traffic that originatesจากyour Windows 2000-based computer to any IP address, use the following command, whereProtocolและportnumberare variables:
    ipsecpol -w REG -p "BlockProtocolportnumberFilter" -r "Block OutboundProtocolportnumberRule" -f *0=:portnumber:Protocol-n BLOCK
    For example, to block any network traffic that originates from your Windows 2000-based computer that is directed to UDP 1434 on any other host, type the following. This policy is sufficient to prevent computers that run SQL Server 2000 from spreading the "Slammer" worm.
    ipsecpol -w REG -p "Block UDP 1434 Filter" -r "Block Outbound UDP 1434 Rule" -f 0=*:1434:UDP -n BLOCK
    หมายเหตุ:You can add as many filtering rules to a policy as you want by using this command (for example, to block multiple ports by using the same policy).
  6. The policy in step 5 will now be in effect and will persist every time that the computer is restarted. However, if a domain-based IPSec policy is assigned to the computer later, this local policy will be overridden and will no longer apply. To verify the successful assignment of your filtering rule, at the command prompt, set the working folder to C:\Program Files\Support Tools, and then type the following command:
    netdiag /test:ipsec /debug
    If, as in these examples, policies for both inbound and outbound traffic are assigned, you will receive the following message:
    IP Security test . . . . . . . . . :
    Passed Local IPSec Policy Active: 'Block UDP 1434 Filter' IP Security Policy Path: SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{D239C599-F945-47A3-A4E3-B37BC12826B9}

    There are 2 filters
    No Name
    Filter Id: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
    Policy Id: {509492EA-1214-4F50-BF43-9CAC2B538518}
    Src Addr : 0.0.0.0 Src Mask : 0.0.0.0
    Dest Addr : 192.168.1.1 Dest Mask : 255.255.255.255
    Tunnel Addr : 0.0.0.0 Src Port : 0 Dest Port : 1434
    Protocol : 17 TunnelFilter: No
    Flags : Inbound Block
    No Name
    Filter Id: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
    Policy Id: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
    Src Addr : 192.168.1.1 Src Mask : 255.255.255.255
    Dest Addr : 0.0.0.0 Dest Mask : 0.0.0.0
    Tunnel Addr : 0.0.0.0 Src Port : 0 Dest Port : 1434
    Protocol : 17 TunnelFilter: No
    Flags : Outbound Block
    หมายเหตุ:The IP addresses and graphical user interface (GUID) numbers will be different. They will reflect those of your Windows 2000-based computer.

Add a block rule for a specific protocol and port

Windows Server 2003-based and Windows XP-based computers

To add a block rule for a specific protocol and port on a Windows Server 2003-based or Windows XP-based computer that has an existing locally-assigned static IPSec policy, follow these steps:
  1. Install IPSeccmd.exe. IPSeccmd.exe is part of Windows XP SP2 Support Tools.

    For more information about downloading and installing Windows XP Service Pack 2 Support Tools, click the following article number to view the article in the Microsoft Knowledge Base:
    838079Windows XP Service Pack 2 Support Tools
  2. Identify the name of the currently assigned IPSec policy. เมื่อต้องการทำเช่นนี้ พิมพ์ต่อไปนี้ที่พร้อมท์คำสั่ง:
    netdiag /test:ipsec
    If a policy is assigned, you will receive a message that is similar to the following:
    IP Security test . . . . . . . . . : ส่งผ่าน
    Local IPSec Policy Active: 'Block UDP 1434 Filter'
  3. If there is an IPSec policy already assigned to the computer (local or domain), use the following command to add an additional BLOCK Filter Rule to the existing IPSec policy.

    หมายเหตุ:ในคำสั่งนี้Existing_IPSec_Policy_Name,Protocolและportnumberare variables.
    IPSeccmd.exe -p "Existing_IPSec_Policy_Name" -w REG -r "BlockProtocolportnumberกฎ" -f * = 0:portnumber:Protocol-n บล็อก
    ตัวอย่างเช่น การเพิ่มกฎของตัวกรองเพื่อบล็อคการเข้าถึงขาเข้ากับพอร์ต TCP 80 ตัวกรองที่มีอยู่ของบล็อก UDP 1434 พิมพ์คำสั่งต่อไปนี้:
    IPSeccmd.exe -p "UDP บล็อก 1434 ตัวกรอง" -w REG - r "บล็อกการขาเข้า TCP 80 กฎ" -f * = 0:80:TCP การบล็อก - n

คอมพิวเตอร์ที่ใช้ windows 2000

เมื่อต้องการเพิ่มกฎที่ใช้ในการบล็อกสำหรับโพรโทคอลเฉพาะและพอร์ตบนคอมพิวเตอร์ที่ใช้ Windows 2000 กับที่มีอยู่ที่กำหนดในแบบโลคัลคง IPSec นโยบาย ดำเนินการดังต่อไปนี้:
  1. เยี่ยมชมเว็บไซต์ต่อไปนี้ของ Microsoft เพื่อดาวน์โหลด และติดตั้ง Ipsecpol.exe:
    http://support.microsoft.com/kb/927229
  2. ระบุชื่อของนโยบาย IPSec ที่กำหนดในขณะนี้ เมื่อต้องการทำเช่นนี้ พิมพ์ต่อไปนี้ที่พร้อมท์คำสั่ง:
    netdiag /test:ipsec
    ถ้ามีกำหนดนโยบาย คุณจะได้รับข้อความแสดงข้อความที่คล้ายกับข้อความต่อไปนี้:
    ทดสอบความปลอดภัยของ ip........ . : ส่งผ่าน
    นโยบาย IPSec อยู่ภายใน: 'บล็อก UDP 1434 กรอง'
  3. ถ้ามี นโยบาย IPSec กำหนดให้กับคอมพิวเตอร์ (ภายในหรือโดเมน), แล้วใช้คำสั่งต่อไปนี้เพื่อเพิ่มกฎนโยบาย IPSec ที่มีอยู่ การกรองการบล็อกการเพิ่มเติมที่Existing_IPSec_Policy_Name,Protocolและportnumberมีตัวแปร:
    ipsecpol -p "Existing_IPSec_Policy_Name"-w REG - r "บล็อกProtocolportnumberกฎ" -f * = 0:portnumber:Protocol-n บล็อก
    ตัวอย่างเช่น การเพิ่มกฎของตัวกรองเพื่อบล็อคการเข้าถึงขาเข้ากับพอร์ต TCP 80 ตัวกรองที่มีอยู่ของบล็อก UDP 1434 พิมพ์คำสั่งต่อไปนี้:
    ipsecpol -p "UDP บล็อก 1434 ตัวกรอง" -w REG - r "บล็อกขาเข้า TCP 80 กฎ" -f * = 0:80:TCP - n บล็อก

เพิ่มนโยบายที่ใช้ในการบล็อกแบบไดนามิกสำหรับโพรโทคอลเฉพาะและพอร์ต

windows Server 2003 และคอมพิวเตอร์ที่ใช้ Windows XP

คุณอาจจะเป็นการชั่วคราวบล็อคการเข้ากับพอร์ตเฉพาะ ตัวอย่างเช่น คุณอาจต้องการบล็อกพอร์ตเฉพาะจน กว่าคุณสามารถติดตั้งโปรแกรมแก้ไขด่วน หรือ ถ้านโยบาย IPSec ที่ขึ้นอยู่กับโดเมนอยู่แล้วได้ถูกกำหนดให้กับคอมพิวเตอร์ เมื่อต้องการบล็อกเข้ากับพอร์ตในคอมพิวเตอร์ที่ใช้ Windows Server 2003 หรือใช้ Windows XP โดยใช้นโยบาย IPSec ชั่วคราว ดำเนินการดังต่อไปนี้:
  1. ติดตั้ง IPSeccmd.exe IPSeccmd.exe เป็นส่วนหนึ่งของเครื่อง Windows XP Service Pack 2 มือสนับสนุน

    หมายเหตุ:IPSeccmd.exe จะทำงานบน Windows XP และระบบปฏิบัติการ Windows Server 2003 แต่เครื่องมือจะพร้อมใช้งานจากแพคเกจ Windows XP SP2 เครื่องสนับสนุนมือเท่านั้น

    สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการดาวน์โหลด และติดตั้งเครื่อง Windows XP Service Pack 2 มือสนับสนุน คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
    838079windows XP Service Pack 2 เครื่องสนับสนุนมือ
  2. เมื่อต้องการเพิ่มตัวกรองบล็อกแบบไดนามิกซึ่งบล็อกการส่งข้อมูลทั้งหมดจากใด ๆ ที่อยู่ IP ที่อยู่ IP ของระบบของคุณและพอร์ตเป้าหมาย พิมพ์ต่อไปนี้ที่พร้อมท์คำสั่ง

    หมายเหตุ:ในคำสั่งต่อไปนี้Protocolและportnumberมีตัวแปร
    IPSeccmd.exe -f [* = 0:portnumber:Protocol]
    หมายเหตุ:คำสั่งนี้สร้างตัวกรองบล็อกแบบไดนามิก นโยบายจะกำหนดตราบเท่าที่เรียกใช้บริการของบริษัทตัวแทนของนโยบาย IPSec ถ้าการบริการบริษัทตัวแทนของนโยบาย IPSec จะเริ่มระบบใหม่ หรือเริ่มระบบใหม่คอมพิวเตอร์ นโยบายนี้จะสูญหาย ถ้าคุณต้องการแบบไดนามิกกำหนดใหม่กฎการกรอง IPSec ทุกครั้งที่มีการเริ่มระบบใหม่ สร้างสคริปต์ที่ใช้ในการเริ่มต้นกับกฎของตัวกรองการนำไปใช้ใหม่ ถ้าคุณต้องการใช้ตัวกรองข้อมูลนี้อย่างถาวร กำหนดค่าตัวกรองเป็นนโยบาย IPSec แบบคงที่ สแน็ปอิน MMC ของการจัดการนโยบาย IPSec ให้อินเทอร์เฟซของผู้ใช้ที่เป็นรูปภาพสำหรับการจัดการการตั้งค่าคอนฟิกนโยบาย IPSec ถ้านโยบาย IPSec ที่ขึ้นอยู่กับโดเมน ถูกนำไปใช้ได้netdiag /test:ipsec /debugคำสั่งอาจแสดงเฉพาะรายละเอียดของตัวกรองถ้าคำสั่งจะดำเนินการ โดยผู้ใช้ที่มีข้อมูลประจำตัวของผู้ดูแลโดเมน

คอมพิวเตอร์ที่ใช้ windows 2000

คุณอาจต้องการให้บล็อกพอร์ตที่ระบุเป็นการชั่วคราว (ตัวอย่างเช่น จน กว่าโปรแกรมแก้ไขด่วนที่สามารถติดตั้ง หรือ ถ้านโยบาย IPSec ที่ขึ้นอยู่กับโดเมนอยู่แล้วได้ถูกกำหนดให้กับคอมพิวเตอร์) ได้ เมื่อต้องการบล็อกเข้ากับพอร์ตบนคอมพิวเตอร์ที่ใช้ Windows 2000 โดยใช้นโยบาย IPSec ชั่วคราว ดำเนินการดังต่อไปนี้:
  1. เยี่ยมชมเว็บไซต์ต่อไปนี้ของ Microsoft เพื่อดาวน์โหลด และติดตั้ง Ipsecpol.exe:
    http://support.microsoft.com/kb/927229
  2. เมื่อต้องเพิ่มตัวกรองบล็อกแบบไดนามิกที่บล็อกการส่งข้อมูลทั้งหมดจาก ip แอดเดรสใด ๆ ไปยังที่อยู่ IP และพอร์ตที่เป็นเป้าหมายของระบบของคุณ พิมพ์ต่อไปนี้หน้าจอพร้อมรับคำสั่ง ที่ใดProtocolและportnumberare variables:
    ipsecpol -f [*=0:portnumber:Protocol]
    หมายเหตุ:This command creates the block filter dynamically, and the policy will remain assigned as long as the IPSec Policy Agent service is running. If the IPSec service is restarted or the computer is rebooted, this setting will be lost. If you want to dynamically reassign the IPSec Filtering Rule every time the system is restarted, create a startup script to reapply the Filter Rule. If you want to permanently apply this filter, configure the filter as a static IPSec policy. The IPSec Policy Management MMC snap-in provides a graphical user interface for managing IPSec policy configuration. If a domain-based IPSec policy is already applied, thenetdiag /test:ipsec /debugcommand may only show the filter details if the command is executed by a user with domain administrator credentials. An updated version of Netdiag.exe will be available in Windows 2000 Service Pack 4 that will allow local administrators to view domain-based IPSec policy.

IPSec filtering rules and Group Policy

For environments where IPSec policies are assigned by a Group Policy setting, you have to update the whole domain’s policy to block the particular protocol and port. After you successfully configure the Group Policy IPSec settings, you must enforce a refresh of the Group Policy settings on all the Windows Server 2003-based, Windows XP-based, and Windows 2000-based computers in the domain. To do this, use the following command:
secedit /refreshpolicy machine_policy
The IPSec policy change will be detected within one of two different polling intervals. For a newly assigned IPSec policy being applied to a GPO, the IPSec policy will be applied to the clients within the time set for the Group Policy polling interval or when thesecedit /refreshpolicy machine_policycommand is run on the client computers. If IPSec policy is already assigned to a GPO and new IPSec filters or rules are being added to an existing policy, theseceditcommand will not make IPSec recognize changes. In this scenario, modifications to an existing GPO-based IPSec policy will be detected within that IPSec policy's own polling interval. This interval is specified on theทั่วไปtab for that IPSec policy. You can also force a refresh of the IPSec Policy settings by restarting the IPSec Policy Agent service. If the IPSec service is stopped or restarted, IPSec-secured communications will be interrupted and will take several seconds to resume. This may cause program connections to disconnect, particularly for connections that are actively transferring large volumes of data. In situations where the IPSec policy is applied only on the local computer, you do not have to restart the service.

Unassign and delete an IPSec policy

Windows Server 2003-based and Windows XP-based computers

  • Computers that have a locally-defined static policy
    1. Open a command prompt, and then set the working folder to the folder where you installed Ipsecpol.exe.
    2. To unassign the filter that you created earlier, use the following command:
      IPSeccmd.exe -w REG -p "BlockProtocolportnumberFilter" –y
      For example, to unassign the Block UDP 1434 Filter that you created earlier, use the following command:
      IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -y
    3. To delete the filter that you created, use the following command:
      IPSeccmd.exe -w REG -p "BlockProtocolportnumberFilter" -r "BlockProtocolportnumberRule" –o
      For example, to delete the "Block UDP 1434 Filter" filter and both of the rules that you created, use the following command:
      IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -r "Block Inbound UDP 1434 Rule" -r "Block Outbound UDP 1434 Rule" -o
  • Computers that have a locally-defined dynamic policy
    นโยบาย IPSec ไดนามิกคือ unapplied หากหยุดการบริการบริษัทตัวแทนการนโยบาย IPSec โดยใช้การหยุดสุทธิ policyagentคำสั่ง เมื่อต้องการลบคำสั่งเฉพาะที่ใช้โดยไม่ต้องการหยุดการบริการบริษัทตัวแทนของนโยบาย IPSec ทำตามขั้นตอนเหล่านี้:
    1. เปิดพร้อมท์คำสั่ง และจากนั้น ตั้งค่าโฟลเดอร์การทำงานไปยังโฟลเดอร์ที่คุณติดตั้งเครื่อง Windows XP Service Pack 2 มือสนับสนุน
    2. พิมพ์คำสั่งต่อไปนี้:
      IPSeccmd.exe –u
      หมายเหตุ:คุณยังสามารถเริ่มบริการตัวแทนการนโยบาย IPSec เพื่อยกเลิกเลือกนโยบายที่กำหนดให้แบบไดนามิกทั้งหมด

คอมพิวเตอร์ที่ใช้ windows 2000

  • คอมพิวเตอร์ที่ มีการกำหนดไว้ในแบบโลคัลนโยบายแบบคงที่
    1. เปิดพร้อมท์คำสั่ง และจากนั้น ตั้งค่าโฟลเดอร์การทำงานไปยังโฟลเดอร์ที่คุณติดตั้ง Ipsecpol.exe
    2. เมื่อต้องการ unassign ตัวกรองที่คุณสร้างไว้ก่อนหน้านี้ ใช้คำสั่งต่อไปนี้:
      ipsecpol -w REG -p "บล็อกProtocolportnumberการกรองข้อมูล" –y
      ตัวอย่างเช่น การ unassign 1434 UDP บล็อกตัวกรองที่คุณสร้างไว้ก่อนหน้านี้ ใช้คำสั่งต่อไปนี้:
      ipsecpol -w REG -p "UDP บล็อก 1434 ตัวกรอง" -y
    3. เมื่อต้องการลบตัวกรองที่คุณสร้าง ใช้คำสั่งต่อไปนี้:
      ipsecpol -w REG -p "บล็อกProtocolportnumberการกรองข้อมูล" - r "บล็อกProtocolportnumberกฎ" –o
      ตัวอย่างเช่น การลบ หมาย "บล็อก UDP 1434 กรอง" ตัวกรอง และกฎทั้งสองที่คุณสร้างไว้ก่อนหน้านี้ ใช้คำสั่งต่อไปนี้:
      ipsecpol -w REG -p "UDP บล็อก 1434 ตัวกรอง" - r "บล็อกขาเข้า UDP 1434 กฎ" - r"บล็อกขาออก UDP 1434 กฎ" -o
  • คอมพิวเตอร์ที่ มีการกำหนดไว้ในแบบโลคัลนโยบายแบบไดนามิก

    นโยบาย IPSec แบบไดนามิกจะ unapplied หากหยุดการบริการบริษัทตัวแทนการนโยบาย IPSec (โดยใช้การหยุดสุทธิ policyagentคำสั่ง) อย่างไรก็ตาม การลบคำสั่งเฉพาะที่ใช้ก่อนหน้าโดยไม่หยุด บริษัทตัวแทนการนโยบาย IPSec บริการ ต่อไปนี้ขั้นตอนเหล่านี้:
    1. เปิดพร้อมท์คำสั่ง และจากนั้น ตั้งค่าโฟลเดอร์การทำงานไปยังโฟลเดอร์ที่คุณติดตั้ง Ipsecpol.exe
    2. พิมพ์คำสั่งต่อไปนี้:
      Ipsecpol –u
      หมายเหตุ:นอกจากนี้คุณอาจเริ่มต้นบริการตัวแทนการนโยบาย IPSec เพื่อยกเลิกเลือกนโยบายที่กำหนดให้แบบไดนามิกทั้งหมด

ใช้กฎการกรองข้อมูลของคุณใหม่เพื่อพอร์ตและโปรโตคอทั้งหมด

โดยค่าเริ่มต้นใน Microsoft Windows 2000 และ Microsoft Windows XP, IPSec exempts ปริมาณการใช้การออกอากาศ แบบหลายผู้รับ RSVP, IKE และ Kerberos งานจากข้อจำกัดตัวกรองและการรับรองความถูกต้องทั้งหมด สำหรับข้อมูลเพิ่มเติมเกี่ยวกับ exemptions เหล่านี้ ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
253169ปริมาณการใช้งานที่ สามารถ-- และไม่สามารถ--จะรักษาความปลอดภัย โดย IPSec
โดยที่ IPSec ถูกใช้เฉพาะกับอนุญาต และบล็อกการรับส่งข้อมูล ลบ exemptions สำหรับโพรโทคอล Kerberos และ RSVP โดยการเปลี่ยนแปลงค่ารีจิสทรี สำหรับคำสั่งที่สมบูรณ์เกี่ยวกับวิธีการทำเช่นนี้ ให้คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
254728IPSec ไม่ปลอดภัย Kerberos ปริมาณการใช้งานระหว่างตัวควบคุมโดเมน
โดยทำตามคำแนะนำเหล่านี้ คุณสามารถช่วยป้องกัน UDP 1434 แม้แต่ในกรณีที่ผู้โจมตีอาจตั้งค่าพอร์ตของแหล่งที่มากับ Kerberos ในพอร์ตของ 88 TCP/UDP ได้ โดยการเอา Kerberos exemptions แพคเก็ต Kerberos จะตอนนี้จะตรงกับตัวกรองทั้งหมดในนโยบาย IPSec ดังนั้น Kerberos สามารถรักษาความปลอดภัยภายใน IPSec บล็อก หรืออนุญาต ดังนั้น ถ้าตัวกรอง IPSec ตรงกับปริมาณการใช้ Kerberos ซึ่งมีที่อยู่ IP ของตัวควบคุมโดเมนกำลัง คุณอาจต้องเปลี่ยนการออกแบบของนโยบาย IPSec จะเพิ่มตัวกรองใหม่เพื่ออนุญาตการรับส่งข้อมูล Kerberos แต่ละที่อยู่ IP ตัวควบคุมโดเมน (ถ้าคุณไม่ได้ใช้ IPSec จะช่วยรักษาความปลอดภัยการรับส่งข้อมูลทั้งหมดระหว่างตัวควบคุมโดเมนเป็น 254728 บทความ Knowledge Base)

โปรแกรมประยุกต์ของกฎการกรอง IPSec เมื่อคอมพิวเตอร์เริ่มระบบใหม่

นโยบาย IPSec ทั้งหมดอาศัยอยู่กับการบริการบริษัทตัวแทนของนโยบาย IPSec จะถูกกำหนดให้ เมื่อคอมพิวเตอร์ที่ใช้ Windows 2000 ในระหว่างการเริ่มต้น การบริการบริษัทตัวแทนของนโยบาย IPSec ไม่จำเป็นต้องเป็นบริการแรกเพื่อเริ่มการทำงาน ดังนั้น อาจมีครู่หนึ่งย่อเมื่อเชื่อมต่อเครือข่ายของคอมพิวเตอร์ที่มีต่อการถูกโจมตีของไวรัสหรือหนอนไวรัส สถานการณ์นี้ใช้เฉพาะในกรณีที่บริการที่เป็นภาวะได้เริ่มต้นเรียบร้อยแล้ว และถูกยอมรับการเชื่อมต่อก่อนที่การบริการบริษัทตัวแทนของนโยบาย IPSec ได้อย่างสมบูรณ์เริ่มต้น และกำหนดนโยบายทั้งหมด

คุณสมบัติ

หมายเลขบทความ (Article ID): 813878 - รีวิวครั้งสุดท้าย: 11 กันยายน 2554 - Revision: 3.0
ใช้กับ
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional Edition
Keywords: 
kbhowto kbmt KB813878 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:813878

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com