Nasýl IPSec kullanarak belirli að protokolleri ve baðlantý noktalarýný engelleyin.

Internet Protokolü güvenliði (IPSec) filtresi kurallarýný olabilir Windows 2000, Windows xp ve Windows Server 2003 tabanlý bilgisayarlarýn að tabanlý saldýrýlara karþý korunmasýna yardýmcý olmak için kullanýlýr virüsler ve solucanlar gibi tehditlerden. Bu makalede nasýl filtre bir Belirli iletiþim kuralý ve baðlantý noktasý bileþimi için gelen ve giden að trafik. Mý adýmlarý içeren herhangi bir IPSec ilkesi vardýr. Windows 2000, Windows xp veya Windows Server 2003 tabanlý bir bilgisayara atanmýþ olanlara adýmlarý oluþturmak ve atamak için Yeni bir IPSec ilkesi ve atamasýný ve IPSec silmek için adýmlar ilke.

IPSec ilkeleri yerel olarak uygulanabilir veya uygulanan bir Grup Ýlkeleri, etki alanýnýn bir parçasý olarak bir etki alanýnýn üyesi. Yerel IPSec ilkeler, statik (yeniden baþlatýldýktan sonra kalýcý) veya dinamik (deðiþken) olabilir. Yerel IPSec ilkeleri statik yazýlýr kayýt defteri ve iþletim sistemi yeniden baþlatýldýktan sonra devam ediyor. Dinamik IPSec ilkeler kayýt defterinde kalýcý olarak yazýlmaz ve kaldýrýlýr iþletim sistemi veya IPSec Ýlke Aracýsý hizmeti yeniden baþlatýlýr.

Önemli Bu makale tarafýndan kayýt defterini düzenleme hakkýnda bilgi içerir. Ipsecpol.exe kullanýyor. Kayýt defterini düzenlemeden önce bildiðinizden emin olun nasýl bir sorun olursa geri yüklemek için oluþur. Yedekleme hakkýnda daha fazla bilgi için Geri Yükleme ' yi ve kayýt defterini düzenlemek, görüntülemek üzere aþaðýdaki makale numarasýný týklatýn Microsoft Bilgi Bankasý makalesine: Not IPSec filtre kurallarý að programlarýnýn veri kaybýna neden olabilir ve kullanýcýlarýn kimliðini doðrulamak için hata da dahil olmak üzere að isteklerine yanýt vermiyor. Son çare ve yalnýzca sonra bir savunma önlemi olarak IPSec filtresi kurallarýný kullan Belirli baðlantý noktalarýnýn engellenmesini olan etkisi NET bir anlayýþa sahip ortamýnýzda. Adýmlarý kullanarak oluþturduðunuz IPSec ilkesi yoksa, Bu konuda listelenen makale istenmeyen að programlarýnýzý üzerindeki etkileri için bkz: için bu makalenin ilerisindeki "Atamayý kaldýrmak ve silmek bir IPSec ilkesi" bölümüne hemen ilkesini silmek ve devre dýþý býrakma ile ilgili yönergeler.

Bir IPSec ilkesinin atanmýþ olup olmadýðýný belirleme

Windows Server 2003 tabanlý bilgisayarlar

Önce oluþturmak veya bir Windows için herhangi bir yeni IPSec ilkeleri atama Server 2003 tabanlý bir bilgisayarda hiçbir IPSec ilkesinde yapýlan olup olmadýðýný belirlemek yerel kayýt defterinden veya bir Grup Ýlkesi nesnesi (gpo) aracýlýðýyla uygulanýr. Bunu yapmak için þu adýmlarý izleyin:

1. Netdiag.exe çalýþtýrarak Windows Server 2003 CD'SÝNDEN yükleyin. Support\Tools klasöründen Suptools.msi dosyasýný.
2. Bir komut istemi açýn ve sonra çalýþma klasörü ayarlamak C:\Program Files\Support Tools.
3. Olmadýðýný doðrulamak için aþaðýdaki komutu çalýþtýrýn bir varolan IPSec ilkesi bilgisayara atanmýþ:
   Netdiag / Test: ipsec
   Hiçbir ilkenin atandýðý, aþaðýdaki alýrsýnýz Ýleti:
   IP Güvenliði test........ . : Geçirilen IPSec ilkesi hizmeti etkindir, ancak hiçbir ilke atanýr.

Windows xp tabanlý bilgisayarlar

Önce oluþturmak veya bir Windows için herhangi bir yeni IPSec ilkeleri atama xp SP2 tabanlý bir bilgisayarda hiçbir IPSec ilkesinde yapýlan olup olmadýðýný belirlemek yerel kayýt defterinden veya aracýlýðýyla bir gpo uygulanýr. Bunu yapmak için Bu, aþaðýdaki adýmlarý izleyin:

1. Netdiag.exe çalýþtýrarak Windows xp CD'SÝNDEN yükleyin. Support\Tools klasöründen Setup.exe.
2. Bir komut istemi açýn ve sonra çalýþma klasörü ayarlamak C:\Program Files\Support Tools.
3. Olmadýðýný doðrulamak için aþaðýdaki komutu çalýþtýrýn bir varolan IPSec ilkesi bilgisayara atanmýþ:
   Netdiag / Test: ipsec
   Hiçbir ilkenin atandýðý, aþaðýdaki alýrsýnýz Ýleti:
   IP Güvenliði test........ . : Geçirilen IPSec ilkesi hizmeti etkindir, ancak hiçbir ilke atanýr.

Windows 2000 tabanlý bilgisayarlar

Önce oluþturmak veya bir Windows için herhangi bir yeni IPSec ilkeleri atama 2000 tabanlý bir bilgisayara hiçbir IPSec ilkesinde yapýlan olup olmadýðýný belirlemek yerel kayýt defterinden veya aracýlýðýyla bir gpo uygulanýr. Bunu yapmak için þu adýmlarý izleyin:

1. Netdiag.exe çalýþtýrarak Windows 2000 CD'SÝNDEN yükleyin. Support\Tools klasöründen Setup.exe.
2. Bir komut istemi açýn ve sonra çalýþma klasörü ayarlamak C:\Program Files\Support Tools.
3. Olmadýðýný doðrulamak için aþaðýdaki komutu çalýþtýrýn bir varolan IPSec ilkesi bilgisayara atanmýþ:
   Netdiag / Test: ipsec
   Hiçbir ilkenin atandýðý, aþaðýdaki alýrsýnýz Ýleti:
   IP Güvenliði test........ . : Geçirilen IPSec ilkesi hizmeti etkindir, ancak hiçbir ilke atanýr.

Trafiði engellemek için statik bir ilke oluþturmak

Windows Server 2003 ve Windows xp tabanlý bilgisayarlar

Yerel olarak tanýmlanmýþ bir IPSec ilkesi etkin olmayan sistemler için olan trafiði engellemek için yeni yerel statik Ýlkesi Oluþtur Belirli bir iletiþim kuralý ve belirli bir baðlantý noktasýnda Windows Server 2003 tabanlý ve Windows xp tabanlý bilgisayarlara yönlendirilir. Bunu yapmak için þu adýmlarý izleyin:

1. IPSec Ýlke Aracýsý hizmeti etkinleþtirilmiþ olduðunu doðrulayýn ve Hizmetler mmc ek bileþeninde baþladý.
2. IPSeccmd.exe yükleyin. IPSeccmd.exe Windows xp Service Pack 2 (SP2) Destek Araçlarý'nýn bir parçasýdýr.
   
   Not IPSeccmd.exe Windows xp ve Windows Server 2003 iþletim sistemlerinde çalýþýr, ancak bu araç yalnýzca Windows xp SP2 Destek Araçlarý paketini kullanýlabilir.
   
   Karþýdan yükleme ve Windows xp Service Pack 2 Destek Araçlarý hakkýnda daha fazla bilgi için Microsoft Bilgi Bankasý'ndaki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn:
   838079

   (http://support.microsoft.com/kb/838079/ )

   Windows xp Service Pack 2 Destek Araçlarý
3. Bir komut istemi açýn ve sonra çalýþma klasörü ayarlamak Windows xp Service Pack 2 Destek Araçlarý yüklü olduðu klasör.
   
   Not Windows xp SP2 Destek Araçlarý için varsayýlan klasör C:\Program Files\Support Tools klasörüdür.
4. Yeni bir yerel IPSec ilkesi oluþturmak için ve filtre kuralý Geçerli að yapýlandýrmakta olduðunuz Windows Server 2003 veya Windows xp tabanlý bilgisayarýn IP adresi herhangi bir IP adresinden gelen trafiði için aþaðýdaki komutu kullanýn.
   
   Not Aþaðýdaki komutta, Ýletiþim kuralý ve BaðlantýNoktasýNumarasý olan deðiþkenleri.
   IPSeccmd.exe -w reg -p "Block Ýletiþim kuralýBaðlantýNoktasýNumarasý Filtre uygulama"- r "Blok gelen Ýletiþim kuralýBaðlantýNoktasýNumarasý -F kural"* = 0:BaðlantýNoktasýNumarasý:Ýletiþim kuralý -n –x ENGELLEME
   Örneðin, herhangi bir gelen að trafiðini engellemek için adresi ve hedef için herhangi bir kaynak baðlantý noktasý 1434 numaralý udp baðlantý noktasý Windows Server 2003 tabanlý veya Windows xp tabanlý bir bilgisayarda, aþaðýdaki komutu yazýn. Bu ilke korunmasýna yardýmcý olmak için yeterli "Slammer" Parazitinden Microsoft sql Server 2000 çalýþtýran bilgisayarlar.
   IPSeccmd.exe -w reg -p "Block udp 1434 Filtre"- r" gelen udp 1434 kuralý engelle"-f * = 0:1434:UDP - n block -x
   Aþaðýdaki örnek gelen eriþimi engeller tcp 80 numaralý baðlantý noktasý, ancak yine de giden tcp 80 eriþimine izin verir. Bu ilke için yeterli Microsoft Internet Information Services (IIS) 5.0 çalýþtýran bilgisayarlarýn korunmasýna yardýmcý olmak "Code Red" paraziti ve "Nimda" solucan.
   IPSeccmd.exe -w reg -p "tcp 80 engelleme filtresi" - r "engelle gelen tcp 80 Kuralý"-f * = 0:80:TCP - n block - x
   Not , -x Geçiþ Ýlkesi hemen atar. Bu komutu girerseniz, "udp 1434 filtre engelle" ilkesi atanmamýþ ve "Block tcp 80 filtre" atanýr. Ýlkeyi atamak deðil ancak ilkesi eklemek için komut olmadan yazýn. -x sonunda geçiþ yapýn.
5. Varolan "bloðu için ek bir filtre kuralý eklemek için Windows Server 2003 tabanlý veya Windows xp tabanlý bilgisayarýnýzdan herhangi bir IP adresi kullanýmý kaynaklanan að trafiðini engellediði udp 1434 filtre"ilkesi Aþaðýdaki komutu.
   
   Not Bu komutta, Ýletiþim kuralý veBaðlantýNoktasýNumarasý deðiþkenler þunlardýr:
   IPSeccmd.exe -w reg -p "Block Ýletiþim kuralýBaðlantýNoktasýNumarasý-R "blok giden filtre" Ýletiþim kuralýBaðlantýNoktasýNumarasý Kuralý"-f * 0 =:BaðlantýNoktasýNumarasý:Ýletiþim kuralý -n block
   Örneðin, engellemek için herhangi bir að trafiði udp 1434 yönlendiren Windows Server 2003 veya Windows xp tabanlý bilgisayarýnýzý kaynaklandýðý diðer ana bilgisayarda, aþaðýdaki komutlarý yazýn. Bu ilke önlemeye yardýmcý olmak yeterli "Slammer" paraziti yayýlmasýný sql Server 2000 çalýþtýran bilgisayarlar.
   IPSeccmd.exe -w reg -p "Block udp 1434 Filtre"- r"Blok giden udp 1434 Kuralý"-f 0 = *:1434:UDP - n BLOK
   Not Olarak istediðiniz kadar sayýda filtresi kurallarýný ilkesine ekleyebilirsiniz. Bu komutun kullanýlmasý. Örneðin, birden çok baðlantý noktasý kullanarak ayný engellemek için bu komutu kullanabilirsiniz ilke.
6. Adým 5'te ilke þimdi etkili olacak ve devam Bilgisayar yeniden baþlatýldýðýnda her zaman. Ancak, bir etki alaný tabanlý IPSec ilkesi ise Daha sonra bilgisayara atanmýþ, bu yerel ilke geçersiz kýlýnýr ve olacaktýr artýk uygulanmaz.
   
   Filtreleme kuralýnýz baþarýlý atamasýný doðrulamak için C:\Program Files\Support Tools için çalýþma klasörünü ayarlama Komut Ýstemi ve sonra aþaðýdaki komutu yazýn:
   Netdiag/test: ipsec/Debug
   Ýlkeleri hem de gelen, ve giden trafik Bu örneklerde olduðu gibi atanan, aþaðýdaki iletiyi alýrsýnýz:
   IP Güvenliði test........ . :
   Yerel geçti Etkin IPSec ilkesi: 'Filtre blok udp 1434' IP Güvenlik Ýlkesi yolu: SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy {D239C599-F945-47A3-A4E3-B37BC12826B9}
   
   2 Filtreler vardýr.
   Adý yok
   Filtre Kimliði: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
   Ýlke kimliði: {509492EA-1214-4F50-BF43-9CAC2B538518}
   Kaynak adresi: 0.0.0.0 maskesi Src: 0.0.0.0
   Hedef adresi: 192.168.1.1 Dest Mask: 255.255.255.255
   Tünel Addr: 0.0.0.0 kaynak baðlantý noktasý: 0 hedef baðlantý noktasý: 1434
   Protokol: 17 TunnelFilter: Hayýr
   Bayraklarý: Gelen blok
   Adý yok
   Filtre Kimliði: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
   Ýlke kimliði: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
   Kaynak adresi: 192.168.1.1 Src maskesi: 255.255.255.255
   Hedef adresi: 0.0.0.0 hedef maskesi: 0.0.0.0
   Tünel adresi : 0.0.0.0 Kaynak baðlantý noktasý: 0 hedef baðlantý noktasý: 1434
   Protokol: 17 TunnelFilter: Hayýr
   Bayraklarý: Giden engelleme
   Not IP adreslerini ve grafik kullanýcý arabirimi (GUID) numaralarýný olur Windows Server 2003 tabanlý veya Windows xp tabanlý bilgisayarýnýzda göre farklý olabilir.

Windows 2000 tabanlý bilgisayarlar

Yerel olarak tanýmlanmýþ bir IPSec ilkesi etkin olmayan sistemlerde, izleyin olan trafiði engellemek için yeni yerel statik ilkesi oluþturmak için aþaðýdaki adýmlarý Belirli iletiþim kuralý ve baðlantý noktasý Windows 2000 tabanlý bir bilgisayarda yönlendirilmiþ Varolan bir IPSec ilkesinin atanmýþ:

1. IPSec Ýlke Aracýsý hizmeti etkinleþtirilmiþ olduðunu doðrulayýn ve Hizmetler mmc ek bileþeninde baþladý.
2. Karþýdan yüklemek için aþaðýdaki Microsoft Web sitesini ziyaret edin ve Ipsecpol.exe yükleyin:
   http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361

   (http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361)
3. Bir komut istemi açýn ve çalýþma klasörü ayarlamak Ipsecpol.exe yüklediðiniz klasöre.
   
   Not C:\Program Files\Resource Ipsecpol.exe için varsayýlan klasördür Seti.
4. Yeni bir yerel IPSec ilkesi oluþturmak için ve filtre kuralý Windows IP adresi herhangi bir IP adresinden gelen að trafiði için geçerlidir. Yapýlandýrmakta olduðunuz 2000 tabanlý bir bilgisayarda, aþaðýdaki komutu kullanýn buradaÝletiþim kuralý ve BaðlantýNoktasýNumarasý olan deðiþkenler:
   ipsecpol -w reg -p "Block Ýletiþim kuralýBaðlantýNoktasýNumarasý Filtre uygulama"- r "Blok gelen Ýletiþim kuralýBaðlantýNoktasýNumarasý -F kural"* = 0:BaðlantýNoktasýNumarasý:Ýletiþim kuralý -n –x ENGELLEME
   Örneðin, herhangi bir gelen að trafiðini engellemek için Windows bir udp 1434 adresi ve hedef için herhangi bir kaynak baðlantý noktasý baðlantý noktasý 2000 tabanlý bir bilgisayarda aþaðýdaki yazýn. Bu ilke korunmasýna yardýmcý olmak için yeterli "Slammer" Parazitinden Microsoft sql Server 2000 çalýþtýran bilgisayarlar.
   ipsecpol -w reg -p "blok udp 1434 Filtre"- r" gelen udp 1434 kuralý engelle"-f * = 0:1434:UDP - n block -x
   Aþaðýdaki örnek gelen eriþimi engeller tcp 80 numaralý baðlantý noktasý, ancak yine de giden tcp 80 eriþimine izin verir. Bu ilke için yeterli Microsoft Internet Information Services (IIS) 5.0 çalýþtýran bilgisayarlarýn korunmasýna yardýmcý olmak "Code Red" ve "Nimda" solucanlara.
   ipsecpol -w reg -p "Block tcp 80 filtre" - r "blok gelen tcp 80 Kuralý"-f * = 0:80:TCP - n block - x
   Not-X anahtarý ilkesi hemen atar. Bu komutu girerseniz, Atanmamýþ, "udp 1434 filtre engelle" ilkesi ve "Block tcp 80 filtre" atanýr. Eklemek, ancak deðil ilke atamak için sonunda - x anahtarý olmadan komutunu yazýn.
5. Varolan "bloðu için ek bir filtre kuralý eklemek için Windows 2000 tabanlý bilgisayarýnýzý herhangi bir IP adresi kaynaklandýðý að trafiðini engelleyen udp 1434 filtre"ilkesini kullanýn Aþaðýdaki komut, burada Ýletiþim kuralý veBaðlantýNoktasýNumarasý deðiþkenler þunlardýr:
   ipsecpol -w reg -p "Block Ýletiþim kuralýBaðlantýNoktasýNumarasý-R "blok giden filtre" Ýletiþim kuralýBaðlantýNoktasýNumarasý Kuralý"-f * 0 =:BaðlantýNoktasýNumarasý:Ýletiþim kuralý -n block
   Örneðin, engellemek için herhangi bir að trafiði udp 1434'e yöneltilen Windows 2000 tabanlý bilgisayarýnýzý kaynaklandýðý diðer ana bilgisayarda, aþaðýdaki komutlarý yazýn. Bu ilkeyi engellemek için yeterli "Slammer" paraziti yayýlmasýný sql Server 2000 çalýþtýran bilgisayarlar.
   ipsecpol -w reg -p "blok udp 1434 Filtre"- r"Blok giden udp 1434 Kuralý"-f 0 = *:1434:UDP - n BLOK
   Not Olarak istediðiniz kadar sayýda filtresi kurallarýný ilkesine ekleyebilirsiniz. (örneðin ayný kullanarak birden çok baðlantý noktalarýnýn engellenmesi, bu komutun kullanýlmasý Ýlke).
6. Adým 5'te ilke þimdi etkili olacak ve devam Bilgisayar yeniden baþlatýldýðýnda her zaman. Ancak, bir etki alaný tabanlý IPSec ilkesi ise Daha sonra bilgisayara atanmýþ, bu yerel ilke geçersiz kýlýnýr ve olacaktýr artýk uygulanmaz. En baþarýlý filtreleme kuralýnýz atamasýnýn doðrulamak için komut istemi için C:\Program Files\Support Tools çalýþma klasörünü ayarlama, ve sonra aþaðýdaki komutu yazýn:
   Netdiag/test: ipsec/Debug
   Bu örneklerde olduðu gibi gelen her ikisi için de ilkeleri, ve giden trafik atanýr, aþaðýdaki iletiyi alýrsýnýz:
   IP Güvenliði test........ . :
   Yerel geçti Etkin IPSec ilkesi: 'Filtre blok udp 1434' IP Güvenlik Ýlkesi yolu: SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy {D239C599-F945-47A3-A4E3-B37BC12826B9}
   
   2 Filtreler vardýr.
   Adý yok
   Filtre Kimliði: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
   Ýlke kimliði: {509492EA-1214-4F50-BF43-9CAC2B538518}
   Kaynak adresi: 0.0.0.0 maskesi Src: 0.0.0.0
   Hedef adresi: 192.168.1.1 Dest Mask: 255.255.255.255
   Tünel Addr: 0.0.0.0 kaynak baðlantý noktasý: 0 hedef baðlantý noktasý: 1434
   Protokol: 17 TunnelFilter: Hayýr
   Bayraklarý: Gelen blok
   Adý yok
   Filtre Kimliði: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
   Ýlke kimliði: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
   Kaynak adresi: 192.168.1.1 Src maskesi: 255.255.255.255
   Hedef adresi: 0.0.0.0 hedef maskesi: 0.0.0.0
   Tünel adresi : 0.0.0.0 Kaynak baðlantý noktasý: 0 hedef baðlantý noktasý: 1434
   Protokol: 17 TunnelFilter: Hayýr
   Bayraklarý: Giden engelleme
   Not IP adreslerini ve grafik kullanýcý arabirimi (GUID) numaralarýný olur farklý olabilir. Bunlar, Windows 2000 tabanlý bilgisayarýnýzý yansýtýr.

Belirli iletiþim kuralý ve baðlantý noktasý için bir engelleme kuralý Ekle

Windows Server 2003 ve Windows xp tabanlý bilgisayarlar

Windows üzerinde belirli iletiþim kuralý ve baðlantý noktasý için bir engelleme kuralý eklemek için Varolan yerel olarak atanan statik bir IPSec ilkesi olan server 2003 tabanlý veya Windows xp tabanlý bilgisayar aþaðýdaki adýmlarý izleyin:

1. IPSeccmd.exe yükleyin. IPSeccmd.exe Windows xp SP2 Destek Araçlarý'nýn bir parçasýdýr.
   
   Karþýdan yükleme ve Windows xp Service Pack 2 Destek Araçlarý hakkýnda daha fazla bilgi için Microsoft Bilgi Bankasý'ndaki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn:
   838079

   (http://support.microsoft.com/kb/838079/ )

   Windows xp Service Pack 2 Destek Araçlarý
2. Þu anda atanmýþ olan IPSec ilkesinin adýný belirleyin. Bunu yapmak için komut isteminde aþaðýdakileri yazýn:
   Netdiag/test: ipsec
   Bir ilke atadýysanýz, bir ileti alýrsýnýz. aþaðýdakine benzer:
   IP güvenliði test....... . . : Geçirilen
   Yerel IPSec ilkesinin etkin: ' blok udp 1434 Filtre '
3. Atanan IPSec ilkesi zaten varsa bilgisayarýn (yerel veya etki alaný), varolan bir IPSec Ýlkesi ek bir ENGELLEME filtresi kuralý eklemek için aþaðýdaki komutu kullanýn.
   
   Not Bu komutta, Existing_IPSec_Policy_Name,Ýletiþim kuralý, ve BaðlantýNoktasýNumarasý olan deðiþkenleri.
   IPSeccmd.exe -p "Existing_IPSec_Policy_Name"-w reg - r"önleÝletiþim kuralýBaðlantýNoktasýNumarasý -F kural"* = 0:BaðlantýNoktasýNumarasý:Ýletiþim kuralý -n BLOK
   Örneðin, eklemek için bir filtre engellemek için gelen kuralý var olan blok udp 1434 filtre için tcp baðlantý noktasý 80 eriþim, aþaðýdaki komutu yazýn komut:
   IPSeccmd.exe -p "udp 1434 filtre engelle" -w reg - r "gelen tcp 80 engelleme kuralý" -f * = 0:80:TCP - n BLOK

Windows 2000 tabanlý bilgisayarlar

Windows üzerinde belirli iletiþim kuralý ve baðlantý noktasý için bir engelleme kuralý eklemek için 2000 tabanlý bilgisayarda varolan yerel olarak atanan statik bir IPSec ilkesi ile aþaðýdaki adýmlarý izleyin:

1. Karþýdan yüklemek için aþaðýdaki Microsoft Web sitesini ziyaret edin ve Ipsecpol.exe yükleyin:
   http://support.microsoft.com/KB/927229

   (http://support.microsoft.com/kb/927229)
2. Þu anda atanmýþ olan IPSec ilkesinin adýný belirleyin. Bunu yapmak için komut isteminde aþaðýdakileri yazýn:
   Netdiag/test: ipsec
   Bir ilke atadýysanýz, bir ileti alýrsýnýz. aþaðýdakine benzer:
   IP güvenliði test....... . . : Geçirilen
   Yerel IPSec ilkesinin etkin: ' blok udp 1434 Filtre '
3. Atanan IPSec ilkesi zaten varsa bilgisayarýn (yerel veya etki alaný) bir ek ÖBEÐÝ eklemek için aþaðýdaki komutu kullanýn varolan IPSec ilkesine kural süzme yeriExisting_IPSec_Policy_Name,Ýletiþim kuralý, ve BaðlantýNoktasýNumarasý olan deðiþkenler:
   ipsecpol -p "Existing_IPSec_Policy_Name"-w reg - r"önleÝletiþim kuralýBaðlantýNoktasýNumarasý -F kural"* = 0:BaðlantýNoktasýNumarasý:Ýletiþim kuralý -n BLOK
   Örneðin, eklemek için bir filtre engellemek için gelen kuralý var olan blok udp 1434 filtre için tcp baðlantý noktasý 80 eriþim, aþaðýdaki komutu yazýn komut:
   ipsecpol -p "udp 1434 filtre engelle" -w reg - r "gelen tcp 80 engelleme kuralý" -f * = 0:80:TCP - n BLOK

Belirli iletiþim kuralý ve baðlantý noktasý için bir dinamik engelleme ilkesi ekleme

Windows Server 2003 ve Windows xp tabanlý bilgisayarlar

Geçici olarak belirli bir baðlantý noktasýna eriþimi engellemek isteyebilirsiniz. Örneðin, belirli bir baðlantý noktasýna kadar bir düzeltme yükleyebilirsiniz veya etki alaný tabanlý bloke etmek isteyebilirsiniz IPSec ilkesi bilgisayara zaten atanmýþ. Geçici olarak engelleyin IPSec ilkesi kullanýlarak Windows Server 2003 veya Windows xp tabanlý bir bilgisayarda bir baðlantý noktasýna adýmlarý izleyin: adýmlar:

1. IPSeccmd.exe yükleyin. IPSeccmd.exe Windows xp Service Pack 2 Destek Araçlarý'nýn bir parçasýdýr.
   
   Not IPSeccmd.exe Windows xp ve Windows Server 2003 iþletim sistemlerinde çalýþýr, ancak bu araç yalnýzca Windows xp SP2 Destek Araçlarý paketini kullanýlabilir.
   
   Nasýl karþýdan yüklenir ve Windows xp Service Pack 2 Destek Araçlarý'ný yükleme hakkýnda daha fazla bilgi için Microsoft Bilgi Bankasý'ndaki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn:
   838079

   (http://support.microsoft.com/kb/838079/ )

   Windows xp Service Pack 2 Destek Araçlarý
2. Dinamik gelen tüm paketleri engelleyen bir ENGELLEME filtresi ekleyin herhangi bir IP adresi için sisteminizin IP adresi ve hedef baðlantý noktasý türü bir komut isteminde aþaðýdaki.
   
   Not Aþaðýdaki komutta, Ýletiþim kuralý veBaðlantýNoktasýNumarasý deðiþkenlerdir.
   IPSeccmd.exe -f [*=0:BaðlantýNoktasýNumarasý:Ýletiþim kuralý]
   Not Bu komut engelleme filtresi dinamik olarak oluþturur. IPSec Ýlke Aracýsý hizmeti çalýþtýðý sürece ilkesi atanmýþ olarak kalýr. Eðer IPSec Ýlke Aracýsý hizmeti yeniden baþlatýlýncaya veya bilgisayar yeniden baþlatýldýðýnda, bu ilkeyi kaybolur. IPSec filtre kuralý dinamik olarak atamak istediðiniz her Sistem yeniden baþlatýldýðýnda saat, filtre uygulamak için bir baþlangýç komut dosyasý oluþturma Kural. Kalýcý olarak bu filtre uygulamak isterseniz, filtre olarak yapýlandýrma bir statik IPSec ilkesi. IPSec Ýlkesi Yönetimi mmc ek bileþenini saðlar bir IPSec ilkesi yapýlandýrmasýný yönetmek için grafik kullanýcý arabirimi. Varsa bir etki alaný tabanlý IPSec ilkesi uygulanmýþ, Netdiag/test: ipsec/Debug komut yalnýzca filtre ayrýntýlarý komut olup olmadýðýný gösterebilir etki alaný yönetici kimlik bilgilerine sahip bir kullanýcý tarafýndan çalýþtýrýlabilir.

Windows 2000 tabanlý bilgisayarlar

Belirli bir baðlantý noktasýný engellemek isteyebilirsiniz. geçici olarak (örneðin, bir düzeltme yüklü kadar veya etki alaný tabanlý IPSec ilkesi bilgisayara atanmýþ). Geçici olarak engelleyin Windows 2000 tabanlý bir bilgisayarda IPSec ilkesi kullanýlarak bir baðlantý noktasýna adýmlarý izleyin: adýmlar:

1. Karþýdan yüklemek için aþaðýdaki Microsoft Web sitesini ziyaret edin ve Ipsecpol.exe yükleyin:
   http://support.microsoft.com/KB/927229

   (http://support.microsoft.com/kb/927229)
2. Dinamik gelen tüm paketleri engelleyen bir ENGELLEME filtresi ekleyin herhangi bir IP adresi için sisteminizin IP adresi ve hedef baðlantý noktasý türü komut isteminde, aþaðýdaki burada Ýletiþim kuralý veBaðlantýNoktasýNumarasý deðiþkenler þunlardýr:
   ipsecpol -f [*=0:BaðlantýNoktasýNumarasý:Ýletiþim kuralý]
   Not Bu komut engelleme filtresi dinamik olarak oluþturur ve Ýlkesi IPSec Ýlke Aracýsý hizmeti çalýþtýðý sürece atanmýþ kalacak. Eðer IPSec hizmeti yeniden baþlatýlýncaya veya bilgisayar yeniden baþlatýldýðýnda, bu ayarý kaybolur. IPSec filtre kuralý dinamik olarak atamak istediðiniz her Sistem baþlatýlýr zaman filtre uygulamak için bir baþlangýç komut dosyasý oluþturma Kural. Kalýcý olarak bu filtre uygulamak isterseniz, filtre olarak yapýlandýrma bir statik IPSec ilkesi. IPSec Ýlkesi Yönetimi mmc ek bileþenini saðlar bir IPSec ilkesi yapýlandýrmasýný yönetmek için grafik kullanýcý arabirimi. Varsa bir etki alaný tabanlý IPSec ilkesi uygulanmýþ, Netdiag/test: ipsec/Debug komut yalnýzca filtre ayrýntýlarý komut olup olmadýðýný gösterebilir etki alaný yönetici kimlik bilgilerine sahip bir kullanýcý tarafýndan çalýþtýrýlabilir. Güncelleþtirilmiþ bir sürümü Netdiag.exe'nin Windows 2000 Service Pack 4'saðlayacak kullanýlabilir olacaktýr. etki alaný tabanlý IPSec ilkesini görüntülemek için yerel Yöneticiler.

IPSec filtresi kurallarýný ve Grup Ýlkesi

IPSec ilkeleri burada bir grup tarafýndan atanmýþ olan ortamlar için Ýlke ayarý, engellemek için tam etki alaný ilkesini güncelleþtirmek için gerekli Belirli iletiþim kuralý ve baðlantý noktasý. Grup Ýlkesi, baþarýlý bir þekilde yapýlandýrdýktan sonra IPSec ayarlarý, Grup Ýlkesi ayarlarý etki alanýndaki tüm Windows Server 2003, Windows xp ve Windows 2000 tabanlý bilgisayarlarda yenilenmesini zorlamak gerekir. Bunu yapmak için kullanýn Aþaðýdaki komutu: Ýçinde bir IPSec ilkesi deðiþiklik algýlanýr farklý iki yoklama aralýklarý. Bir yeni atanan IPSec ilkesi olduðun için bir GPO'ya uygulanan, IPSec ilkesi içinde istemcilerine uygulanacak saati ayarlamak için Grup Ýlkesi yoklama aralýðý veya secedit/refreshpolicy machine_policy Ýstemci bilgisayarlarda komut çalýþtýrýlýr. IPSec ilke bir GPO'yu ve yeni atanmýþ IPSec filtreleri veya kurallarý eklenir bir Varolan bir ilkeyi Secedit komut deðiþikliklerini tanýmaz IPSec olmasýný saðlamaz. Bu senaryoda, Varolan bir gpo tabanlý IPSec ilkesini deðiþiklikler içinde algýlandý Bu IPSec ilkesinin kendi aralýðý yoklamasýný çýkar. Bu aralýk belirtilmiþtir Genel Bu IPSec ilkesi sekmesi. Ayrýca yenilenmesini zorlamak IPSec Ýlke Aracýsý hizmetini baþlatarak IPSec ilke ayarlarý. Varsa IPSec hizmetinin durdurulmasý veya yeniden baþlatma, IPSec güvenli iletiþimi olacaktýr Kesilen ve devam etmek için birkaç saniye sürer. Bu program neden olabilir baðlantýlar, özellikle etkin olarak aktarma baðlantýlarý kesmek için çok büyük miktarlarda veriyi. IPSec ilkesi yalnýzca uygulandýðý durumlarda Yerel bilgisayar hizmeti yeniden baþlatmanýz gerekmez.

Atamayý kaldýrma ve IPSec ilkesini silme

Windows Server 2003 ve Windows xp tabanlý bilgisayarlar

• Yerel olarak tanýmlanan statik bir ilkeye sahip bilgisayarlarýn
  1. Bir komut istemi açýn ve sonra çalýþma klasörünü ayarlama Ipsecpol.exe yüklendiði klasöre.
  2. Daha önce oluþturduðunuz filtre atamasýný kaldýrmak için kullanýn. Aþaðýdaki komutu:
     IPSeccmd.exe -w reg -p "Block Ýletiþim kuralýBaðlantýNoktasýNumarasý Filtre"–y
     Örneðin, udp 1434 engelleme filtresi atamasýný kaldýrmak için önceden oluþturduðunuz, aþaðýdaki komutu kullanýn:
     IPSeccmd.exe -w reg -p "Block udp 1434 Filtre uygulama"-y
  3. Oluþturduðunuz filtreyi silmek için kullanýn. Aþaðýdaki komutu:
     IPSeccmd.exe -w reg -p "Block Ýletiþim kuralýBaðlantýNoktasýNumarasý-R "Block filtre" Ýletiþim kuralýBaðlantýNoktasýNumarasý Kural"–o
     Örneðin, "blok udp 1434 filtre" silmek için Filtre ve kurallarý, oluþturduðunuz her ikisi de aþaðýdaki komutu kullanýn:
     IPSeccmd.exe -w reg -p "Blok udp 1434 filtre" - r "önle Gelen udp 1434 Kuralý"- r"Blok giden udp 1434 Kuralý"-o
• Yerel olarak tanýmlanmýþ bir dinamik ilkesine sahip bilgisayarlar
  Dinamik IPSec ilkesi olup olmadýðýný uygulanmamýþ IPSec Ýlke Aracýsý hizmetini kullanarak durduruldu net stop policyagent komutu. Aþaðýdaki adýmlarý IPSec Ýlke Aracýsý hizmetini durdurmadan kullanýlan belirli komutlarý silmek için:
  1. Bir komut istemi açýn ve sonra çalýþma klasörünü ayarlama Windows xp Service Pack 2 Destek Araçlarý yüklü olduðu klasöre.
  2. Aþaðýdaki komutu yazýn:
     IPSeccmd.exe –u
     Not Tümünü temizlemek için IPSec Ýlke Aracýsý hizmetini yeniden baþlatabilirsiniz dinamik olarak atanan ilkeleri.

Windows 2000 tabanlý bilgisayarlar

• Yerel olarak tanýmlanan statik ilkesiyle bilgisayarlar
  1. Bir komut istemi açýn ve sonra çalýþma klasörünü ayarlama Ipsecpol.exe yüklendiði klasöre.
  2. Daha önce oluþturduðunuz filtre atamasýný kaldýrmak için kullanýn. Aþaðýdaki komutu:
     ipsecpol -w reg -p "Block Ýletiþim kuralýBaðlantýNoktasýNumarasý Filtre"–y
     Örneðin, udp 1434 engelleme filtresi atamasýný kaldýrmak için önceden oluþturduðunuz, aþaðýdaki komutu kullanýn:
     ipsecpol -w reg -p "Block udp 1434 Filtre uygulama"-y
  3. Oluþturduðunuz filtreyi silmek için kullanýn. Aþaðýdaki komutu:
     ipsecpol -w reg -p "Block Ýletiþim kuralýBaðlantýNoktasýNumarasý-R "Block filtre" Ýletiþim kuralýBaðlantýNoktasýNumarasý Kural"–o
     Örneðin, "blok udp 1434 filtre" silmek için Filtre ve daha önce oluþturduðunuz her iki kuralý aþaðýdaki komutu kullanýn:
     ipsecpol -w reg -p "Blok udp 1434 filtre" - r "önle Gelen udp 1434 Kuralý"- r"Blok giden udp 1434 Kuralý"-o
• Dinamik ilkesi yerel olarak tanýmlý olan bilgisayarlar
  
  Dinamik IPSec ilkesi olacaktýr uygulanmamýþ, IPSec Ýlke Aracýsý hizmeti durduruldu (kullanarak net stop policyagent komutu). Ancak, kullanýlan belirli komutlarý silmek için daha önce aþaðýdaki adýmlarý IPSec Ýlke Aracýsý hizmetini durdurmadan:
  1. Bir komut istemi açýn ve sonra çalýþma klasörünü ayarlama Ipsecpol.exe yüklendiði klasöre.
  2. Aþaðýdaki komutu yazýn:
     Ipsecpol –u
     Not Tümünü temizlemek için IPSec Ýlke Aracýsý'ný yeniden baþlatýlabilir dinamik olarak atanan ilkeleri.

Tüm protokoller ve baðlantý noktalarý, yeni filtre kuralý Uygula

Microsoft Windows 2000 ve Microsoft Windows XP'de varsayýlan olarak Tüm yayýn, çok noktaya yayýn, Kerberos, rsvp ve IKE trafiði IPSec exempts Filtre ve kimlik doðrulama kýsýtlamalarý. Bunlar hakkýnda ek bilgi için muafiyetleri, makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn Microsoft Knowledge Base:Ýzin ver ve Engelle IPSec kullanýldýðý trafik, Kerberos ve rsvp iletiþim kurallarý için muafiyetini kaldýrmak deðiþtirerek bir kayýt defteri deðeri. Bunun nasýl yapýlacaðý hakkýnda eksiksiz yönergeler için týklatýn Microsoft Knowledge makaleyi görüntülemek üzere aþaðýdaki makale numarasýný Base:Bu yönergeleri izleyerek, udp korunmasýna yardýmcý olabilirsiniz saldýrganlar kendi kaynak baðlantý noktasý için Kerberos belirlendiði yerlerde durumda bile 1434 88 numaralý tcp/udp baðlantý noktalarý. Kerberos muafiyetleri kaldýrarak Kerberos paketlerinin olur Þimdi IPSec ilkesindeki tüm süzgeçlerle eþlenmesi. Bu nedenle, Kerberos can içinde izin verilen veya engellenen IPSec, güvenlik altýna alýnmasý. Bu nedenle, IPSec filtreleri, etki alaný denetleyicisi IP adreslerine giden Kerberos trafiðini eþleþmesi, IPSec ilke tasarým izin vermek için yeni bir süzgeç eklemek için deðiþtirmek zorunda kalabilirsiniz Kerberos trafiðini (siz deðilseniz, her etki alaný denetleyicisinin IP adresi Bilgi olarak etki alaný denetleyicileri arasýndaki tüm trafiðin güvenliðini saðlamak için IPSec kullanma Temel 254728 makalede).

Temel bilgisayar IPSec filtre kurallarý, uygulama yeniden baþlatma

Tüm IPSec ilkeleri olmasý için IPSec Ýlke Aracýsý hizmetini kullanýr. atanmýþ. Baþlatma iþlemi sýrasýnda Windows 2000 tabanlý bir bilgisayar olduðunda, IPSec Ýlke Aracýsý hizmeti mutlaka ilk hizmet baþlatmak için deðil. Bu nedenle, olabilir kýsa bir süre, bilgisayarýn að baðlantýsý virüs veya solucan saldýrýlara karþý savunmasýz durumda. Bu durum yalnýzca durumda geçerlidir. Burada savunmasýz olabilecek hizmeti baþarýyla baþlatýldý ve IPSec Ýlke Aracýsý hizmeti tamamen sahiptir önce baðlantýyý kabul etme baþlatýlan ve tüm atanan ilkeleri.