Nasıl IPSec kullanarak belirli ağ protokolleri ve bağlantı noktalarını engelleyin.

Makale çevirileri Makale çevirileri
Makale numarası: 813878 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

Özet

Internet Protokolü güvenliği (IPSec) filtresi kurallarını olabilir Windows 2000, Windows xp ve Windows Server 2003 tabanlı bilgisayarların ağ tabanlı saldırılara karşı korunmasına yardımcı olmak için kullanılır virüsler ve solucanlar gibi tehditlerden. Bu makalede nasıl filtre bir Belirli iletişim kuralı ve bağlantı noktası bileşimi için gelen ve giden ağ trafik. Mı adımları içeren herhangi bir IPSec ilkesi vardır. Windows 2000, Windows xp veya Windows Server 2003 tabanlı bir bilgisayara atanmış olanlara adımları oluşturmak ve atamak için Yeni bir IPSec ilkesi ve atamasını ve IPSec silmek için adımlar ilke.

Daha fazla bilgi

IPSec ilkeleri yerel olarak uygulanabilir veya uygulanan bir Grup İlkeleri, etki alanının bir parçası olarak bir etki alanının üyesi. Yerel IPSec ilkeler, statik (yeniden başlatıldıktan sonra kalıcı) veya dinamik (değişken) olabilir. Yerel IPSec ilkeleri statik yazılır kayıt defteri ve işletim sistemi yeniden başlatıldıktan sonra devam ediyor. Dinamik IPSec ilkeler kayıt defterinde kalıcı olarak yazılmaz ve kaldırılır işletim sistemi veya IPSec İlke Aracısı hizmeti yeniden başlatılır.

Önemli Bu makale tarafından kayıt defterini düzenleme hakkında bilgi içerir. Ipsecpol.exe kullanıyor. Kayıt defterini düzenlemeden önce bildiğinizden emin olun nasıl bir sorun olursa geri yüklemek için oluşur. Yedekleme hakkında daha fazla bilgi için Geri Yükleme ' yi ve kayıt defterini düzenlemek, görüntülemek üzere aşağıdaki makale numarasını tıklatın Microsoft Bilgi Bankası makalesine:
256986 Microsoft açıklaması Windows kayıt defteri
Not IPSec filtre kuralları ağ programlarının veri kaybına neden olabilir ve kullanıcıların kimliğini doğrulamak için hata da dahil olmak üzere ağ isteklerine yanıt vermiyor. Son çare ve yalnızca sonra bir savunma önlemi olarak IPSec filtresi kurallarını kullan Belirli bağlantı noktalarının engellenmesini olan etkisi NET bir anlayışa sahip ortamınızda. Adımları kullanarak oluşturduğunuz IPSec ilkesi yoksa, Bu konuda listelenen makale istenmeyen ağ programlarınızı üzerindeki etkileri için bkz: için bu makalenin ilerisindeki "Atamayı kaldırmak ve silmek bir IPSec ilkesi" bölümüne hemen ilkesini silmek ve devre dışı bırakma ile ilgili yönergeler.

Bir IPSec ilkesinin atanmış olup olmadığını belirleme

Windows Server 2003 tabanlı bilgisayarlar

Önce oluşturmak veya bir Windows için herhangi bir yeni IPSec ilkeleri atama Server 2003 tabanlı bir bilgisayarda hiçbir IPSec ilkesinde yapılan olup olmadığını belirlemek yerel kayıt defterinden veya bir Grup İlkesi nesnesi (gpo) aracılığıyla uygulanır. Bunu yapmak için şu adımları izleyin:
  1. Netdiag.exe çalıştırarak Windows Server 2003 CD'SİNDEN yükleyin. Support\Tools klasöründen Suptools.msi dosyasını.
  2. Bir komut istemi açın ve sonra çalışma klasörü ayarlamak C:\Program Files\Support Tools.
  3. Olmadığını doğrulamak için aşağıdaki komutu çalıştırın bir varolan IPSec ilkesi bilgisayara atanmış:
    Netdiag / Test: ipsec
    Hiçbir ilkenin atandığı, aşağıdaki alırsınız İleti:
    IP Güvenliği test........ . : Geçirilen IPSec ilkesi hizmeti etkindir, ancak hiçbir ilke atanır.

Windows xp tabanlı bilgisayarlar

Önce oluşturmak veya bir Windows için herhangi bir yeni IPSec ilkeleri atama xp SP2 tabanlı bir bilgisayarda hiçbir IPSec ilkesinde yapılan olup olmadığını belirlemek yerel kayıt defterinden veya aracılığıyla bir gpo uygulanır. Bunu yapmak için Bu, aşağıdaki adımları izleyin:
  1. Netdiag.exe çalıştırarak Windows xp CD'SİNDEN yükleyin. Support\Tools klasöründen Setup.exe.
  2. Bir komut istemi açın ve sonra çalışma klasörü ayarlamak C:\Program Files\Support Tools.
  3. Olmadığını doğrulamak için aşağıdaki komutu çalıştırın bir varolan IPSec ilkesi bilgisayara atanmış:
    Netdiag / Test: ipsec
    Hiçbir ilkenin atandığı, aşağıdaki alırsınız İleti:
    IP Güvenliği test........ . : Geçirilen IPSec ilkesi hizmeti etkindir, ancak hiçbir ilke atanır.

Windows 2000 tabanlı bilgisayarlar

Önce oluşturmak veya bir Windows için herhangi bir yeni IPSec ilkeleri atama 2000 tabanlı bir bilgisayara hiçbir IPSec ilkesinde yapılan olup olmadığını belirlemek yerel kayıt defterinden veya aracılığıyla bir gpo uygulanır. Bunu yapmak için şu adımları izleyin:
  1. Netdiag.exe çalıştırarak Windows 2000 CD'SİNDEN yükleyin. Support\Tools klasöründen Setup.exe.
  2. Bir komut istemi açın ve sonra çalışma klasörü ayarlamak C:\Program Files\Support Tools.
  3. Olmadığını doğrulamak için aşağıdaki komutu çalıştırın bir varolan IPSec ilkesi bilgisayara atanmış:
    Netdiag / Test: ipsec
    Hiçbir ilkenin atandığı, aşağıdaki alırsınız İleti:
    IP Güvenliği test........ . : Geçirilen IPSec ilkesi hizmeti etkindir, ancak hiçbir ilke atanır.

Trafiği engellemek için statik bir ilke oluşturmak

Windows Server 2003 ve Windows xp tabanlı bilgisayarlar

Yerel olarak tanımlanmış bir IPSec ilkesi etkin olmayan sistemler için olan trafiği engellemek için yeni yerel statik İlkesi Oluştur Belirli bir iletişim kuralı ve belirli bir bağlantı noktasında Windows Server 2003 tabanlı ve Windows xp tabanlı bilgisayarlara yönlendirilir. Bunu yapmak için şu adımları izleyin:
  1. IPSec İlke Aracısı hizmeti etkinleştirilmiş olduğunu doğrulayın ve Hizmetler mmc ek bileşeninde başladı.
  2. IPSeccmd.exe yükleyin. IPSeccmd.exe Windows xp Service Pack 2 (SP2) Destek Araçları'nın bir parçasıdır.

    Not IPSeccmd.exe Windows xp ve Windows Server 2003 işletim sistemlerinde çalışır, ancak bu araç yalnızca Windows xp SP2 Destek Araçları paketini kullanılabilir.

    Karşıdan yükleme ve Windows xp Service Pack 2 Destek Araçları hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
    838079Windows xp Service Pack 2 Destek Araçları
  3. Bir komut istemi açın ve sonra çalışma klasörü ayarlamak Windows xp Service Pack 2 Destek Araçları yüklü olduğu klasör.

    Not Windows xp SP2 Destek Araçları için varsayılan klasör C:\Program Files\Support Tools klasörüdür.
  4. Yeni bir yerel IPSec ilkesi oluşturmak için ve filtre kuralı Geçerli ağ yapılandırmakta olduğunuz Windows Server 2003 veya Windows xp tabanlı bilgisayarın IP adresi herhangi bir IP adresinden gelen trafiği için aşağıdaki komutu kullanın.

    Not Aşağıdaki komutta, İletişim kuralı ve BağlantıNoktasıNumarası olan değişkenleri.
    IPSeccmd.exe -w reg -p "Block İletişim kuralıBağlantıNoktasıNumarası Filtre uygulama"- r "Blok gelen İletişim kuralıBağlantıNoktasıNumarası -F kural"* = 0:BağlantıNoktasıNumarası:İletişim kuralı -n –x ENGELLEME
    Örneğin, herhangi bir gelen ağ trafiğini engellemek için adresi ve hedef için herhangi bir kaynak bağlantı noktası 1434 numaralı udp bağlantı noktası Windows Server 2003 tabanlı veya Windows xp tabanlı bir bilgisayarda, aşağıdaki komutu yazın. Bu ilke korunmasına yardımcı olmak için yeterli "Slammer" Parazitinden Microsoft sql Server 2000 çalıştıran bilgisayarlar.
    IPSeccmd.exe -w reg -p "Block udp 1434 Filtre"- r" gelen udp 1434 kuralı engelle"-f * = 0:1434:UDP - n block -x
    Aşağıdaki örnek gelen erişimi engeller tcp 80 numaralı bağlantı noktası, ancak yine de giden tcp 80 erişimine izin verir. Bu ilke için yeterli Microsoft Internet Information Services (IIS) 5.0 çalıştıran bilgisayarların korunmasına yardımcı olmak "Code Red" paraziti ve "Nimda" solucan.
    IPSeccmd.exe -w reg -p "tcp 80 engelleme filtresi" - r "engelle gelen tcp 80 Kuralı"-f * = 0:80:TCP - n block - x
    Not , -x Geçiş İlkesi hemen atar. Bu komutu girerseniz, "udp 1434 filtre engelle" ilkesi atanmamış ve "Block tcp 80 filtre" atanır. İlkeyi atamak değil ancak ilkesi eklemek için komut olmadan yazın. -x sonunda geçiş yapın.
  5. Varolan "bloğu için ek bir filtre kuralı eklemek için Windows Server 2003 tabanlı veya Windows xp tabanlı bilgisayarınızdan herhangi bir IP adresi kullanımı kaynaklanan ağ trafiğini engellediği udp 1434 filtre"ilkesi Aşağıdaki komutu.

    Not Bu komutta, İletişim kuralı veBağlantıNoktasıNumarası değişkenler şunlardır:
    IPSeccmd.exe -w reg -p "Block İletişim kuralıBağlantıNoktasıNumarası-R "blok giden filtre" İletişim kuralıBağlantıNoktasıNumarası Kuralı"-f * 0 =:BağlantıNoktasıNumarası:İletişim kuralı -n block
    Örneğin, engellemek için herhangi bir ağ trafiği udp 1434 yönlendiren Windows Server 2003 veya Windows xp tabanlı bilgisayarınızı kaynaklandığı diğer ana bilgisayarda, aşağıdaki komutları yazın. Bu ilke önlemeye yardımcı olmak yeterli "Slammer" paraziti yayılmasını sql Server 2000 çalıştıran bilgisayarlar.
    IPSeccmd.exe -w reg -p "Block udp 1434 Filtre"- r"Blok giden udp 1434 Kuralı"-f 0 = *:1434:UDP - n BLOK
    Not Olarak istediğiniz kadar sayıda filtresi kurallarını ilkesine ekleyebilirsiniz. Bu komutun kullanılması. Örneğin, birden çok bağlantı noktası kullanarak aynı engellemek için bu komutu kullanabilirsiniz ilke.
  6. Adım 5'te ilke şimdi etkili olacak ve devam Bilgisayar yeniden başlatıldığında her zaman. Ancak, bir etki alanı tabanlı IPSec ilkesi ise Daha sonra bilgisayara atanmış, bu yerel ilke geçersiz kılınır ve olacaktır artık uygulanmaz.

    Filtreleme kuralınız başarılı atamasını doğrulamak için C:\Program Files\Support Tools için çalışma klasörünü ayarlama Komut İstemi ve sonra aşağıdaki komutu yazın:
    Netdiag/test: ipsec/Debug
    İlkeleri hem de gelen, ve giden trafik Bu örneklerde olduğu gibi atanan, aşağıdaki iletiyi alırsınız:
    IP Güvenliği test........ . :
    Yerel geçti Etkin IPSec ilkesi: 'Filtre blok udp 1434' IP Güvenlik İlkesi yolu: SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy {D239C599-F945-47A3-A4E3-B37BC12826B9}

    2 Filtreler vardır.
    Adı yok
    Filtre Kimliği: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
    İlke kimliği: {509492EA-1214-4F50-BF43-9CAC2B538518}
    Kaynak adresi: 0.0.0.0 maskesi Src: 0.0.0.0
    Hedef adresi: 192.168.1.1 Dest Mask: 255.255.255.255
    Tünel Addr: 0.0.0.0 kaynak bağlantı noktası: 0 hedef bağlantı noktası: 1434
    Protokol: 17 TunnelFilter: Hayır
    Bayrakları: Gelen blok
    Adı yok
    Filtre Kimliği: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
    İlke kimliği: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
    Kaynak adresi: 192.168.1.1 Src maskesi: 255.255.255.255
    Hedef adresi: 0.0.0.0 hedef maskesi: 0.0.0.0
    Tünel adresi : 0.0.0.0 Kaynak bağlantı noktası: 0 hedef bağlantı noktası: 1434
    Protokol: 17 TunnelFilter: Hayır
    Bayrakları: Giden engelleme
    Not IP adreslerini ve grafik kullanıcı arabirimi (GUID) numaralarını olur Windows Server 2003 tabanlı veya Windows xp tabanlı bilgisayarınızda göre farklı olabilir.

Windows 2000 tabanlı bilgisayarlar

Yerel olarak tanımlanmış bir IPSec ilkesi etkin olmayan sistemlerde, izleyin olan trafiği engellemek için yeni yerel statik ilkesi oluşturmak için aşağıdaki adımları Belirli iletişim kuralı ve bağlantı noktası Windows 2000 tabanlı bir bilgisayarda yönlendirilmiş Varolan bir IPSec ilkesinin atanmış:
  1. IPSec İlke Aracısı hizmeti etkinleştirilmiş olduğunu doğrulayın ve Hizmetler mmc ek bileşeninde başladı.
  2. Karşıdan yüklemek için aşağıdaki Microsoft Web sitesini ziyaret edin ve Ipsecpol.exe yükleyin:
    http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361
  3. Bir komut istemi açın ve çalışma klasörü ayarlamak Ipsecpol.exe yüklediğiniz klasöre.

    Not C:\Program Files\Resource Ipsecpol.exe için varsayılan klasördür Seti.
  4. Yeni bir yerel IPSec ilkesi oluşturmak için ve filtre kuralı Windows IP adresi herhangi bir IP adresinden gelen ağ trafiği için geçerlidir. Yapılandırmakta olduğunuz 2000 tabanlı bir bilgisayarda, aşağıdaki komutu kullanın buradaİletişim kuralı ve BağlantıNoktasıNumarası olan değişkenler:
    ipsecpol -w reg -p "Block İletişim kuralıBağlantıNoktasıNumarası Filtre uygulama"- r "Blok gelen İletişim kuralıBağlantıNoktasıNumarası -F kural"* = 0:BağlantıNoktasıNumarası:İletişim kuralı -n –x ENGELLEME
    Örneğin, herhangi bir gelen ağ trafiğini engellemek için Windows bir udp 1434 adresi ve hedef için herhangi bir kaynak bağlantı noktası bağlantı noktası 2000 tabanlı bir bilgisayarda aşağıdaki yazın. Bu ilke korunmasına yardımcı olmak için yeterli "Slammer" Parazitinden Microsoft sql Server 2000 çalıştıran bilgisayarlar.
    ipsecpol -w reg -p "blok udp 1434 Filtre"- r" gelen udp 1434 kuralı engelle"-f * = 0:1434:UDP - n block -x
    Aşağıdaki örnek gelen erişimi engeller tcp 80 numaralı bağlantı noktası, ancak yine de giden tcp 80 erişimine izin verir. Bu ilke için yeterli Microsoft Internet Information Services (IIS) 5.0 çalıştıran bilgisayarların korunmasına yardımcı olmak "Code Red" ve "Nimda" solucanlara.
    ipsecpol -w reg -p "Block tcp 80 filtre" - r "blok gelen tcp 80 Kuralı"-f * = 0:80:TCP - n block - x
    Not-X anahtarı ilkesi hemen atar. Bu komutu girerseniz, Atanmamış, "udp 1434 filtre engelle" ilkesi ve "Block tcp 80 filtre" atanır. Eklemek, ancak değil ilke atamak için sonunda - x anahtarı olmadan komutunu yazın.
  5. Varolan "bloğu için ek bir filtre kuralı eklemek için Windows 2000 tabanlı bilgisayarınızı herhangi bir IP adresi kaynaklandığı ağ trafiğini engelleyen udp 1434 filtre"ilkesini kullanın Aşağıdaki komut, burada İletişim kuralı veBağlantıNoktasıNumarası değişkenler şunlardır:
    ipsecpol -w reg -p "Block İletişim kuralıBağlantıNoktasıNumarası-R "blok giden filtre" İletişim kuralıBağlantıNoktasıNumarası Kuralı"-f * 0 =:BağlantıNoktasıNumarası:İletişim kuralı -n block
    Örneğin, engellemek için herhangi bir ağ trafiği udp 1434'e yöneltilen Windows 2000 tabanlı bilgisayarınızı kaynaklandığı diğer ana bilgisayarda, aşağıdaki komutları yazın. Bu ilkeyi engellemek için yeterli "Slammer" paraziti yayılmasını sql Server 2000 çalıştıran bilgisayarlar.
    ipsecpol -w reg -p "blok udp 1434 Filtre"- r"Blok giden udp 1434 Kuralı"-f 0 = *:1434:UDP - n BLOK
    Not Olarak istediğiniz kadar sayıda filtresi kurallarını ilkesine ekleyebilirsiniz. (örneğin aynı kullanarak birden çok bağlantı noktalarının engellenmesi, bu komutun kullanılması İlke).
  6. Adım 5'te ilke şimdi etkili olacak ve devam Bilgisayar yeniden başlatıldığında her zaman. Ancak, bir etki alanı tabanlı IPSec ilkesi ise Daha sonra bilgisayara atanmış, bu yerel ilke geçersiz kılınır ve olacaktır artık uygulanmaz. En başarılı filtreleme kuralınız atamasının doğrulamak için komut istemi için C:\Program Files\Support Tools çalışma klasörünü ayarlama, ve sonra aşağıdaki komutu yazın:
    Netdiag/test: ipsec/Debug
    Bu örneklerde olduğu gibi gelen her ikisi için de ilkeleri, ve giden trafik atanır, aşağıdaki iletiyi alırsınız:
    IP Güvenliği test........ . :
    Yerel geçti Etkin IPSec ilkesi: 'Filtre blok udp 1434' IP Güvenlik İlkesi yolu: SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy {D239C599-F945-47A3-A4E3-B37BC12826B9}

    2 Filtreler vardır.
    Adı yok
    Filtre Kimliği: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
    İlke kimliği: {509492EA-1214-4F50-BF43-9CAC2B538518}
    Kaynak adresi: 0.0.0.0 maskesi Src: 0.0.0.0
    Hedef adresi: 192.168.1.1 Dest Mask: 255.255.255.255
    Tünel Addr: 0.0.0.0 kaynak bağlantı noktası: 0 hedef bağlantı noktası: 1434
    Protokol: 17 TunnelFilter: Hayır
    Bayrakları: Gelen blok
    Adı yok
    Filtre Kimliği: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
    İlke kimliği: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
    Kaynak adresi: 192.168.1.1 Src maskesi: 255.255.255.255
    Hedef adresi: 0.0.0.0 hedef maskesi: 0.0.0.0
    Tünel adresi : 0.0.0.0 Kaynak bağlantı noktası: 0 hedef bağlantı noktası: 1434
    Protokol: 17 TunnelFilter: Hayır
    Bayrakları: Giden engelleme
    Not IP adreslerini ve grafik kullanıcı arabirimi (GUID) numaralarını olur farklı olabilir. Bunlar, Windows 2000 tabanlı bilgisayarınızı yansıtır.

Belirli iletişim kuralı ve bağlantı noktası için bir engelleme kuralı Ekle

Windows Server 2003 ve Windows xp tabanlı bilgisayarlar

Windows üzerinde belirli iletişim kuralı ve bağlantı noktası için bir engelleme kuralı eklemek için Varolan yerel olarak atanan statik bir IPSec ilkesi olan server 2003 tabanlı veya Windows xp tabanlı bilgisayar aşağıdaki adımları izleyin:
  1. IPSeccmd.exe yükleyin. IPSeccmd.exe Windows xp SP2 Destek Araçları'nın bir parçasıdır.

    Karşıdan yükleme ve Windows xp Service Pack 2 Destek Araçları hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
    838079Windows xp Service Pack 2 Destek Araçları
  2. Şu anda atanmış olan IPSec ilkesinin adını belirleyin. Bunu yapmak için komut isteminde aşağıdakileri yazın:
    Netdiag/test: ipsec
    Bir ilke atadıysanız, bir ileti alırsınız. aşağıdakine benzer:
    IP güvenliği test....... . . : Geçirilen
    Yerel IPSec ilkesinin etkin: ' blok udp 1434 Filtre '
  3. Atanan IPSec ilkesi zaten varsa bilgisayarın (yerel veya etki alanı), varolan bir IPSec İlkesi ek bir ENGELLEME filtresi kuralı eklemek için aşağıdaki komutu kullanın.

    Not Bu komutta, Existing_IPSec_Policy_Name,İletişim kuralı, ve BağlantıNoktasıNumarası olan değişkenleri.
    IPSeccmd.exe -p "Existing_IPSec_Policy_Name"-w reg - r"önleİletişim kuralıBağlantıNoktasıNumarası -F kural"* = 0:BağlantıNoktasıNumarası:İletişim kuralı -n BLOK
    Örneğin, eklemek için bir filtre engellemek için gelen kuralı var olan blok udp 1434 filtre için tcp bağlantı noktası 80 erişim, aşağıdaki komutu yazın komut:
    IPSeccmd.exe -p "udp 1434 filtre engelle" -w reg - r "gelen tcp 80 engelleme kuralı" -f * = 0:80:TCP - n BLOK

Windows 2000 tabanlı bilgisayarlar

Windows üzerinde belirli iletişim kuralı ve bağlantı noktası için bir engelleme kuralı eklemek için 2000 tabanlı bilgisayarda varolan yerel olarak atanan statik bir IPSec ilkesi ile aşağıdaki adımları izleyin:
  1. Karşıdan yüklemek için aşağıdaki Microsoft Web sitesini ziyaret edin ve Ipsecpol.exe yükleyin:
    http://support.microsoft.com/KB/927229
  2. Şu anda atanmış olan IPSec ilkesinin adını belirleyin. Bunu yapmak için komut isteminde aşağıdakileri yazın:
    Netdiag/test: ipsec
    Bir ilke atadıysanız, bir ileti alırsınız. aşağıdakine benzer:
    IP güvenliği test....... . . : Geçirilen
    Yerel IPSec ilkesinin etkin: ' blok udp 1434 Filtre '
  3. Atanan IPSec ilkesi zaten varsa bilgisayarın (yerel veya etki alanı) bir ek ÖBEĞİ eklemek için aşağıdaki komutu kullanın varolan IPSec ilkesine kural süzme yeriExisting_IPSec_Policy_Name,İletişim kuralı, ve BağlantıNoktasıNumarası olan değişkenler:
    ipsecpol -p "Existing_IPSec_Policy_Name"-w reg - r"önleİletişim kuralıBağlantıNoktasıNumarası -F kural"* = 0:BağlantıNoktasıNumarası:İletişim kuralı -n BLOK
    Örneğin, eklemek için bir filtre engellemek için gelen kuralı var olan blok udp 1434 filtre için tcp bağlantı noktası 80 erişim, aşağıdaki komutu yazın komut:
    ipsecpol -p "udp 1434 filtre engelle" -w reg - r "gelen tcp 80 engelleme kuralı" -f * = 0:80:TCP - n BLOK

Belirli iletişim kuralı ve bağlantı noktası için bir dinamik engelleme ilkesi ekleme

Windows Server 2003 ve Windows xp tabanlı bilgisayarlar

Geçici olarak belirli bir bağlantı noktasına erişimi engellemek isteyebilirsiniz. Örneğin, belirli bir bağlantı noktasına kadar bir düzeltme yükleyebilirsiniz veya etki alanı tabanlı bloke etmek isteyebilirsiniz IPSec ilkesi bilgisayara zaten atanmış. Geçici olarak engelleyin IPSec ilkesi kullanılarak Windows Server 2003 veya Windows xp tabanlı bir bilgisayarda bir bağlantı noktasına adımları izleyin: adımlar:
  1. IPSeccmd.exe yükleyin. IPSeccmd.exe Windows xp Service Pack 2 Destek Araçları'nın bir parçasıdır.

    Not IPSeccmd.exe Windows xp ve Windows Server 2003 işletim sistemlerinde çalışır, ancak bu araç yalnızca Windows xp SP2 Destek Araçları paketini kullanılabilir.

    Nasıl karşıdan yüklenir ve Windows xp Service Pack 2 Destek Araçları'nı yükleme hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
    838079Windows xp Service Pack 2 Destek Araçları
  2. Dinamik gelen tüm paketleri engelleyen bir ENGELLEME filtresi ekleyin herhangi bir IP adresi için sisteminizin IP adresi ve hedef bağlantı noktası türü bir komut isteminde aşağıdaki.

    Not Aşağıdaki komutta, İletişim kuralı veBağlantıNoktasıNumarası değişkenlerdir.
    IPSeccmd.exe -f [*=0:BağlantıNoktasıNumarası:İletişim kuralı]
    Not Bu komut engelleme filtresi dinamik olarak oluşturur. IPSec İlke Aracısı hizmeti çalıştığı sürece ilkesi atanmış olarak kalır. Eğer IPSec İlke Aracısı hizmeti yeniden başlatılıncaya veya bilgisayar yeniden başlatıldığında, bu ilkeyi kaybolur. IPSec filtre kuralı dinamik olarak atamak istediğiniz her Sistem yeniden başlatıldığında saat, filtre uygulamak için bir başlangıç komut dosyası oluşturma Kural. Kalıcı olarak bu filtre uygulamak isterseniz, filtre olarak yapılandırma bir statik IPSec ilkesi. IPSec İlkesi Yönetimi mmc ek bileşenini sağlar bir IPSec ilkesi yapılandırmasını yönetmek için grafik kullanıcı arabirimi. Varsa bir etki alanı tabanlı IPSec ilkesi uygulanmış, Netdiag/test: ipsec/Debug komut yalnızca filtre ayrıntıları komut olup olmadığını gösterebilir etki alanı yönetici kimlik bilgilerine sahip bir kullanıcı tarafından çalıştırılabilir.

Windows 2000 tabanlı bilgisayarlar

Belirli bir bağlantı noktasını engellemek isteyebilirsiniz. geçici olarak (örneğin, bir düzeltme yüklü kadar veya etki alanı tabanlı IPSec ilkesi bilgisayara atanmış). Geçici olarak engelleyin Windows 2000 tabanlı bir bilgisayarda IPSec ilkesi kullanılarak bir bağlantı noktasına adımları izleyin: adımlar:
  1. Karşıdan yüklemek için aşağıdaki Microsoft Web sitesini ziyaret edin ve Ipsecpol.exe yükleyin:
    http://support.microsoft.com/KB/927229
  2. Dinamik gelen tüm paketleri engelleyen bir ENGELLEME filtresi ekleyin herhangi bir IP adresi için sisteminizin IP adresi ve hedef bağlantı noktası türü komut isteminde, aşağıdaki burada İletişim kuralı veBağlantıNoktasıNumarası değişkenler şunlardır:
    ipsecpol -f [*=0:BağlantıNoktasıNumarası:İletişim kuralı]
    Not Bu komut engelleme filtresi dinamik olarak oluşturur ve İlkesi IPSec İlke Aracısı hizmeti çalıştığı sürece atanmış kalacak. Eğer IPSec hizmeti yeniden başlatılıncaya veya bilgisayar yeniden başlatıldığında, bu ayarı kaybolur. IPSec filtre kuralı dinamik olarak atamak istediğiniz her Sistem başlatılır zaman filtre uygulamak için bir başlangıç komut dosyası oluşturma Kural. Kalıcı olarak bu filtre uygulamak isterseniz, filtre olarak yapılandırma bir statik IPSec ilkesi. IPSec İlkesi Yönetimi mmc ek bileşenini sağlar bir IPSec ilkesi yapılandırmasını yönetmek için grafik kullanıcı arabirimi. Varsa bir etki alanı tabanlı IPSec ilkesi uygulanmış, Netdiag/test: ipsec/Debug komut yalnızca filtre ayrıntıları komut olup olmadığını gösterebilir etki alanı yönetici kimlik bilgilerine sahip bir kullanıcı tarafından çalıştırılabilir. Güncelleştirilmiş bir sürümü Netdiag.exe'nin Windows 2000 Service Pack 4'sağlayacak kullanılabilir olacaktır. etki alanı tabanlı IPSec ilkesini görüntülemek için yerel Yöneticiler.

IPSec filtresi kurallarını ve Grup İlkesi

IPSec ilkeleri burada bir grup tarafından atanmış olan ortamlar için İlke ayarı, engellemek için tam etki alanı ilkesini güncelleştirmek için gerekli Belirli iletişim kuralı ve bağlantı noktası. Grup İlkesi, başarılı bir şekilde yapılandırdıktan sonra IPSec ayarları, Grup İlkesi ayarları etki alanındaki tüm Windows Server 2003, Windows xp ve Windows 2000 tabanlı bilgisayarlarda yenilenmesini zorlamak gerekir. Bunu yapmak için kullanın Aşağıdaki komutu:
secedit/refreshpolicy machine_policy
İçinde bir IPSec ilkesi değişiklik algılanır farklı iki yoklama aralıkları. Bir yeni atanan IPSec ilkesi olduğun için bir GPO'ya uygulanan, IPSec ilkesi içinde istemcilerine uygulanacak saati ayarlamak için Grup İlkesi yoklama aralığı veya secedit/refreshpolicy machine_policy İstemci bilgisayarlarda komut çalıştırılır. IPSec ilke bir GPO'yu ve yeni atanmış IPSec filtreleri veya kuralları eklenir bir Varolan bir ilkeyi Secedit komut değişikliklerini tanımaz IPSec olmasını sağlamaz. Bu senaryoda, Varolan bir gpo tabanlı IPSec ilkesini değişiklikler içinde algılandı Bu IPSec ilkesinin kendi aralığı yoklamasını çıkar. Bu aralık belirtilmiştir Genel Bu IPSec ilkesi sekmesi. Ayrıca yenilenmesini zorlamak IPSec İlke Aracısı hizmetini başlatarak IPSec ilke ayarları. Varsa IPSec hizmetinin durdurulması veya yeniden başlatma, IPSec güvenli iletişimi olacaktır Kesilen ve devam etmek için birkaç saniye sürer. Bu program neden olabilir bağlantılar, özellikle etkin olarak aktarma bağlantıları kesmek için çok büyük miktarlarda veriyi. IPSec ilkesi yalnızca uygulandığı durumlarda Yerel bilgisayar hizmeti yeniden başlatmanız gerekmez.

Atamayı kaldırma ve IPSec ilkesini silme

Windows Server 2003 ve Windows xp tabanlı bilgisayarlar

  • Yerel olarak tanımlanan statik bir ilkeye sahip bilgisayarların
    1. Bir komut istemi açın ve sonra çalışma klasörünü ayarlama Ipsecpol.exe yüklendiği klasöre.
    2. Daha önce oluşturduğunuz filtre atamasını kaldırmak için kullanın. Aşağıdaki komutu:
      IPSeccmd.exe -w reg -p "Block İletişim kuralıBağlantıNoktasıNumarası Filtre"–y
      Örneğin, udp 1434 engelleme filtresi atamasını kaldırmak için önceden oluşturduğunuz, aşağıdaki komutu kullanın:
      IPSeccmd.exe -w reg -p "Block udp 1434 Filtre uygulama"-y
    3. Oluşturduğunuz filtreyi silmek için kullanın. Aşağıdaki komutu:
      IPSeccmd.exe -w reg -p "Block İletişim kuralıBağlantıNoktasıNumarası-R "Block filtre" İletişim kuralıBağlantıNoktasıNumarası Kural"–o
      Örneğin, "blok udp 1434 filtre" silmek için Filtre ve kuralları, oluşturduğunuz her ikisi de aşağıdaki komutu kullanın:
      IPSeccmd.exe -w reg -p "Blok udp 1434 filtre" - r "önle Gelen udp 1434 Kuralı"- r"Blok giden udp 1434 Kuralı"-o
  • Yerel olarak tanımlanmış bir dinamik ilkesine sahip bilgisayarlar
    Dinamik IPSec ilkesi olup olmadığını uygulanmamış IPSec İlke Aracısı hizmetini kullanarak durduruldu net stop policyagent komutu. Aşağıdaki adımları IPSec İlke Aracısı hizmetini durdurmadan kullanılan belirli komutları silmek için:
    1. Bir komut istemi açın ve sonra çalışma klasörünü ayarlama Windows xp Service Pack 2 Destek Araçları yüklü olduğu klasöre.
    2. Aşağıdaki komutu yazın:
      IPSeccmd.exe –u
      Not Tümünü temizlemek için IPSec İlke Aracısı hizmetini yeniden başlatabilirsiniz dinamik olarak atanan ilkeleri.

Windows 2000 tabanlı bilgisayarlar

  • Yerel olarak tanımlanan statik ilkesiyle bilgisayarlar
    1. Bir komut istemi açın ve sonra çalışma klasörünü ayarlama Ipsecpol.exe yüklendiği klasöre.
    2. Daha önce oluşturduğunuz filtre atamasını kaldırmak için kullanın. Aşağıdaki komutu:
      ipsecpol -w reg -p "Block İletişim kuralıBağlantıNoktasıNumarası Filtre"–y
      Örneğin, udp 1434 engelleme filtresi atamasını kaldırmak için önceden oluşturduğunuz, aşağıdaki komutu kullanın:
      ipsecpol -w reg -p "Block udp 1434 Filtre uygulama"-y
    3. Oluşturduğunuz filtreyi silmek için kullanın. Aşağıdaki komutu:
      ipsecpol -w reg -p "Block İletişim kuralıBağlantıNoktasıNumarası-R "Block filtre" İletişim kuralıBağlantıNoktasıNumarası Kural"–o
      Örneğin, "blok udp 1434 filtre" silmek için Filtre ve daha önce oluşturduğunuz her iki kuralı aşağıdaki komutu kullanın:
      ipsecpol -w reg -p "Blok udp 1434 filtre" - r "önle Gelen udp 1434 Kuralı"- r"Blok giden udp 1434 Kuralı"-o
  • Dinamik ilkesi yerel olarak tanımlı olan bilgisayarlar

    Dinamik IPSec ilkesi olacaktır uygulanmamış, IPSec İlke Aracısı hizmeti durduruldu (kullanarak net stop policyagent komutu). Ancak, kullanılan belirli komutları silmek için daha önce aşağıdaki adımları IPSec İlke Aracısı hizmetini durdurmadan:
    1. Bir komut istemi açın ve sonra çalışma klasörünü ayarlama Ipsecpol.exe yüklendiği klasöre.
    2. Aşağıdaki komutu yazın:
      Ipsecpol –u
      Not Tümünü temizlemek için IPSec İlke Aracısı'nı yeniden başlatılabilir dinamik olarak atanan ilkeleri.

Tüm protokoller ve bağlantı noktaları, yeni filtre kuralı Uygula

Microsoft Windows 2000 ve Microsoft Windows XP'de varsayılan olarak Tüm yayın, çok noktaya yayın, Kerberos, rsvp ve IKE trafiği IPSec exempts Filtre ve kimlik doğrulama kısıtlamaları. Bunlar hakkında ek bilgi için muafiyetleri, makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın Microsoft Knowledge Base:
253169 Trafik --olabilir ve IPSec tarafından güvenliği sağlanamaz
İzin ver ve Engelle IPSec kullanıldığı trafik, Kerberos ve rsvp iletişim kuralları için muafiyetini kaldırmak değiştirerek bir kayıt defteri değeri. Bunun nasıl yapılacağı hakkında eksiksiz yönergeler için tıklatın Microsoft Knowledge makaleyi görüntülemek üzere aşağıdaki makale numarasını Base:
254728 IPSec, Kerberos güvenli değil etki alanı denetleyicileri arasındaki trafiği
Bu yönergeleri izleyerek, udp korunmasına yardımcı olabilirsiniz saldırganlar kendi kaynak bağlantı noktası için Kerberos belirlendiği yerlerde durumda bile 1434 88 numaralı tcp/udp bağlantı noktaları. Kerberos muafiyetleri kaldırarak Kerberos paketlerinin olur Şimdi IPSec ilkesindeki tüm süzgeçlerle eşlenmesi. Bu nedenle, Kerberos can içinde izin verilen veya engellenen IPSec, güvenlik altına alınması. Bu nedenle, IPSec filtreleri, etki alanı denetleyicisi IP adreslerine giden Kerberos trafiğini eşleşmesi, IPSec ilke tasarım izin vermek için yeni bir süzgeç eklemek için değiştirmek zorunda kalabilirsiniz Kerberos trafiğini (siz değilseniz, her etki alanı denetleyicisinin IP adresi Bilgi olarak etki alanı denetleyicileri arasındaki tüm trafiğin güvenliğini sağlamak için IPSec kullanma Temel 254728 makalede).

Temel bilgisayar IPSec filtre kuralları, uygulama yeniden başlatma

Tüm IPSec ilkeleri olması için IPSec İlke Aracısı hizmetini kullanır. atanmış. Başlatma işlemi sırasında Windows 2000 tabanlı bir bilgisayar olduğunda, IPSec İlke Aracısı hizmeti mutlaka ilk hizmet başlatmak için değil. Bu nedenle, olabilir kısa bir süre, bilgisayarın ağ bağlantısı virüs veya solucan saldırılara karşı savunmasız durumda. Bu durum yalnızca durumda geçerlidir. Burada savunmasız olabilecek hizmeti başarıyla başlatıldı ve IPSec İlke Aracısı hizmeti tamamen sahiptir önce bağlantıyı kabul etme başlatılan ve tüm atanan ilkeleri.

Özellikler

Makale numarası: 813878 - Last Review: 23 Aralık 2012 Pazar - Gözden geçirme: 8.0
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional Edition
Anahtar Kelimeler: 
kbhowto kbmt KB813878 KbMttr
Machine-translated Article
ÖNEMLİ: Bu makale, bir kişi tarafından çevrilmek yerine, Microsoft makine-çevirisi yazılımı ile çevrilmiştir. Microsoft size hem kişiler tarafından çevrilmiş, hem de makine-çevrisi ile çevrilmiş makaleler sunar. Böylelikle, bilgi bankamızdaki tüm makalelere, kendi dilinizde ulaşmış olursunuz. Bununla birlikte, makine tarafından çevrilmiş makaleler mükemmel değildir. Bir yabancının sizin dilinizde konuşurken yapabileceği hatalar gibi, makale; kelime dağarcığı, söz dizim kuralları veya dil bilgisi açısından yanlışlar içerebilir. Microsoft, içeriğin yanlış çevrimi veya onun müşteri tarafından kullanımından doğan; kusur, hata veya zarardan sorumlu değildir. Microsoft ayrıca makine çevirisi yazılımını sıkça güncellemektedir.
Makalenin İngilizcesi aşağıdaki gibidir: 813878

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com