IPsec Kullanýlarak Belirli Að Protokolleri ve Baðlantý Noktalarý Nasýl Engellenir (Bu baðlantý, bir kýsmý veya tamamý Ýngilizce olan içeriðe iþaret edebilir.)

Kurallarý süzme ýnternet Protokolü güvenliði (ýpsec), Windows 2000, Windows XP tabanlý ve Windows Server 2003 tabanlý bilgisayarlarda, virüsler ve solucanlar gibi tehditlere karþý að tabanlý saldýrýlara karþý korunmasýna yardýmcý olmak için kullanýlabilir. Bu makalede, bir özel iletiþim kuralý ve baðlantý noktasý bileþimi için gelen ve giden að trafiðini süzmek açýklamaktadýr. Bu adýmlarý içerir Windows 2000, Windows XP tabanlý veya Windows Server 2003 tabanlý bir bilgisayara atanmýþ hiçbir ýpsec ilkesinde olsanýz da, oluþturmak ve yeni bir ýpsec ilkesi atamak için adýmlarý ve atamasýný ve ýpsec silmek için adýmlarý ilke.

Ipsec ilkeleri yerel olarak uygulanabilir veya bir etki alanýnýn üyesi için Grup ilkeleri, etki alanýnýn bir parçasý olarak uygulanýr. Yerel ýpsec ilkeleri, statik (yeniden baþlatýldýktan sonra kalýcý) veya dinamik (geçici) olabilir. Statik ýpsec ilkelerini, yerel kayýt defterine yazýlýr ve gerçekleþtikten sonra iþletim sistemini yeniden. ýpsec dinamik, ilkeler, kalýcý olarak kayýt defterine yazýlýr ve iþletim sistemi veya ýpsec ilke aracýsý hizmeti yeniden baþlatýlýrsa kaldýrýlýr.

Önemli Bu makalede, ýpsecpol.exe kullanarak kayýt defterini düzenleme hakkýnda bilgi içerir. Kayýt defterini düzenlemeden önce bir sorun oluþursa, nasýl geri yükleyeceðinizi anladýðýnýzdan emin olun. Kayýt defterini yedekleme, geri yükleme ve düzenleme ile ilgili bilgi için, Microsoft Bilgi Bankasý'ndaki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn: Not Ipsec filtre kurallarý, að programlarý, veri kaybýna ve kullanýcýlarýn kimliklerini doðrulamak için hata dahil olmak üzere að isteklerine yanýt vermemeye baþlamasýna neden olabilir. Son çare olarak ve yalnýzca belirli baðlantý noktalarýnýn engellenmesini olan etkisi þifresiz bir anlayýþ ortamýnýzda oluþturduktan sonra bir savunma önlemi olarak, ýpsec filtresi kurallarýný kullanýn. Bu makalede listelenen adýmlarý kullanarak oluþturduðunuz ýpsec ilkesinin istenmeyen etkileri að programlarýnýz varsa, hemen devre dýþý býrakabilir ve ilke silme hakkýnda bilgi için bu makalenin ilerisindeki "Atamasýný ve Sil bir ýpsec ilkesi" bölümüne bakýn.

Bir ýpsec ilkesinin atanýp atanmadýðýný belirlemek.

<a1>Windows</a1> Server 2003 tabanlý bilgisayarlar

Oluþturduðunuz veya Windows Server 2003 tabanlý bir bilgisayara herhangi bir yeni ýpsec ilkeleri atamak için önce tüm ýpsec ilkelerinin Grup ilkesi nesnesi (GPO) veya yerel kayýt defterinden uygulanmakta olan olup olmadýðýný belirleyin. Bunu yapmak için þu adýmlarý izleyin:

1. Netdiag.exe, Support\Tools klasöründen Suptools.msi dosyasýný çalýþtýrarak Windows Server 2003 CD'SINDEN yükleyin.
2. Komut istemini açýn ve sonra da çalýþma klasörünü C:\Program Files\Support Araçlarý'na ayarlayýn.
3. Bilgisayara atanmýþ olan varolan bir ýpsec ilkesi yok doðrulamak için aþaðýdaki komutu çalýþtýrýn:
   netdiag/test: IPSec
   Hiçbir ilke atadýysanýz, aþaðýdaki iletiyi alýrsýnýz:
   IP güvenliði sýnama........ . : Geçirilen Ipsec ilkesi hizmeti etkin olduðu halde hiçbir ilke atanýr.

Windows XP tabanlý bilgisayarlar

Oluþturmak veya yeni hiçbir ýpsec ilkesinde, Windows XP tabanlý bir bilgisayara atamak için önce tüm ýpsec ilkeleri yerel kayýt defterinden veya bir GPO uygulanmakta olan olup olmadýðýný belirleyin. Bunu yapmak için þu adýmlarý izleyin:

1. Netdiag.exe Support\Tools klasöründeki Setup.exe dosyasýný çalýþtýrarak, Windows XP CD'SINDEN yükleyin.
2. Komut istemini açýn ve sonra da çalýþma klasörünü C:\Program Files\Support Araçlarý'na ayarlayýn.
3. Bilgisayara atanmýþ olan varolan bir ýpsec ilkesi yok doðrulamak için aþaðýdaki komutu çalýþtýrýn:
   netdiag/test: IPSec
   Hiçbir ilke atadýysanýz, aþaðýdaki iletiyi alýrsýnýz:
   IP güvenliði sýnama........ . : Geçirilen Ipsec ilkesi hizmeti etkin olduðu halde hiçbir ilke atanýr.

Windows 2000 tabanlý bilgisayarlar

Oluþturduðunuz veya Windows 2000 tabanlý bir bilgisayara herhangi bir yeni ýpsec ilkeleri atamak için önce tüm ýpsec ilkeleri yerel kayýt defterinden veya bir GPO uygulanmakta olan olup olmadýðýný belirleyin. Bunu yapmak için þu adýmlarý izleyin:

1. Netdiag.exe, Windows 2000 CD'SINDEN Support\Tools klasöründeki Setup.exe dosyasýný çalýþtýrarak yükleyin.
2. Komut istemini açýn ve sonra da çalýþma klasörünü C:\Program Files\Support Araçlarý'na ayarlayýn.
3. Bilgisayara atanmýþ olan varolan bir ýpsec ilkesi yok doðrulamak için aþaðýdaki komutu çalýþtýrýn:
   netdiag/test: IPSec
   Hiçbir ilke atadýysanýz, aþaðýdaki iletiyi alýrsýnýz:
   IP güvenliði sýnama........ . : Geçirilen Ipsec ilkesi hizmeti etkin olduðu halde hiçbir ilke atanýr.

Blok trafiðini statik bir ilke oluþturun.

<a1>Windows</a1> Server 2003 ve Windows XP tabanlý bilgisayarlar

Yerel olarak tanýmlanan bir ýpsec ilkesi etkinleþtirilmiþ olduðu sistemlerde, belirli bir iletiþim kuralý, belirli bir baðlantý üzerinde Windows Server 2003 tabanlý ve Windows XP tabanlý bilgisayarlar için yönlendirilmiþ trafik bloðu için yeni bir yerel statik ilkesi oluþturun. Bunu yapmak için þu adýmlarý izleyin:

1. ýpsec ilke aracýsý hizmeti etkin ve Hizmetler MMC ek bileþeninde baþlatýldýðýndan emin olun.
2. Ipseccmd.exe yükleyin. Ipseccmd.exe Windows XP Service Pack 2 (SP2) Destek Araçlarý'nýn bir parçasýdýr.
   
   Not Ipseccmd.exe, Windows XP ve Windows Server 2003 iþletim sistemleri üzerinde çalýþýr, ancak bu araç yalnýzca Windows XP SP2 Destek Araçlarý paketini kullanarak edinilebilir.
   
   Karþýdan yükleme ve Windows XP Service Pack 2 Destek Araçlarý'ný yükleme hakkýnda daha fazla bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn:
   838079  (http://support.microsoft.com/kb/838079/ ) Windows XP Service Pack 2 Destek Araçlarý
3. Komut istemini açýn ve sonra çalýþma klasörü, Windows XP Service Pack 2 Destek Araçlarý yüklediðiniz klasöre ayarlayýn.
   
   Not C:\Program Files\Support araçlar Windows XP SP2 Destek Araçlarý için varsayýlan klasördür.
4. Bir yeni bir yerel ýpsec ilkesi ve yapýlandýrmakta olduðunuz Windows Server 2003 tabanlý veya Windows XP tabanlý bir bilgisayarýn IP adresi için tüm IP adreslerinden gelen að trafiðine uygulanan filtre kuralý oluþturmak için <a0></a0>, aþaðýdaki komutu kullanýn.
   
   Not Aþaðýdaki komutta, Protocol ve PortNumber deðiþkenleridir.
   ýpseccmd.exe -w REG -p "Önle PortNumber Süz Protocol"-r"Block gelen ProtocolPortNumber kuralý" -f * = 0: PortNumber: –x Protocol - n BLOCK
   Örneðin, herhangi bir IP að trafiði engellemek için adres ve hedef için herhangi bir kaynak baðlantý noktasý UDP 1434 baðlantý Windows Server 2003 tabanlý veya Windows XP tabanlý bir bilgisayarda, aþaðýdakileri yazýn. Bu ilke, "Slammer" parazitinden Microsoft SQL Server 2000 çalýþtýran bilgisayarlarýn korunmasýna yardýmcý olmak yeterli olur.
   ýpseccmd.exe -w REG -p "<a1>Engelle</a1> UDP 1434"-r"Block gelen UDP 1434 kuralý süzme" -f * 0:1434:UDP - n BLOCK = x -
   Aþaðýdaki örnek blok gelen eriþimi TCP 80 numaralý baðlantý noktasý, ancak yine de giden TCP 80 eriþim saðlar. Bu ilke, "Code Red" paraziti ve "Nimda" solucan, Microsoft ýnternet ýnformation Services (IIS) 5.0 çalýþtýran bilgisayarlarýn korunmasýna yardýmcý olmak yeterli olur.
   ýpseccmd.exe -w REG -p "<a1>Engelle</a1> TCP 80 süzgeci"-r"gelen TCP engelle 80 kuralý" -f * 0:80:TCP - n BLOCK = - x
   Not-X anahtarý, ilkenin hemen atar. Bu komut girerseniz, "UDP 1434 süzgeç engelle" ilkesi atanmamýþ ve "Block TCP 80 süzgeci" atanýr. Ilke eklemek, ancak ilke atamak için son komutu - x anahtarý olmadan yazýn.
5. Bloklar herhangi bir IP adresi için Windows Server 2003 tabanlý veya Windows XP tabanlý bilgisayardan kaynaklanan trafiðe að bir ek süzme kural varolan "UDP 1434 süzgeç engelle" ilkesi eklemek için aþaðýdaki komutu kullanýn.
   
   Not Bu komutta, Protocol ve PortNumber deðiþkenler þunlardýr:
   ýpseccmd.exe -w REG -p "Block ProtocolPortNumber"-r"<a1>Engelle</a1> ProtocolPortNumber için giden kuralý süzme" -f * 0 =: PortNumber: Protocol - n BLOCK
   Örneðin, maaþýnýn UDP 1434'için herhangi bir ana bilgisayarda Windows Server 2003 tabanlý veya Windows XP tabanlý bilgisayarýnýzý oluþturulan tüm að trafiðini engellemek için <a0></a0>, aþaðýdaki komutu yazýn. Bu ilke, "Slammer" solucanýn yayýlmasýný SQL Server 2000 çalýþtýran bilgisayarlar engellenmesine yardýmcý olmak yeterli olur.
   ýpseccmd.exe -w REG -p "<a1>Engelle</a1> UDP 1434"-r"<a1>Engelle</a1> giden UDP 1434 kuralý süzme" -f 0 = *:1434:UDP - n BLOCK
   Not Bu komutu kullanarak, istediðiniz sayýda süzme kurallarý ilkesine ekleyebilirsiniz. Örneðin, ayný ilke kullanarak birden çok baðlantý noktalarýný engellemek için bu komutu kullanabilirsiniz.
6. Adým 5'te ilke artýk etkin olur ve bilgisayar yeniden baþlatýlýncaya her zaman denetiminin kalýcý olacaðýný. Ancak, bilgisayara daha sonra bir etki alaný tabanlý ýpsec ilkesi atanýrsa, bu yerel ilkeyi geçersiz kýlýnýr ve uygulanmayacaktýr.
   
   Süzme kuralýnýz baþarýlý atamasýnýn doðrulamak için <a0></a0>, çalýþma klasörünü C:\Program Files\Support Araçlar için komut istemine ayarlamak ve sonra da aþaðýdaki komutu yazýn:
   netdiag/test: IPSec Debug
   Bu örneklerde olarak atanmýþ ilkeleri, gelen ve giden trafik için aþaðýdaki iletiyi alýrsýnýz:
   IP güvenliði sýnama........ . :
   Geçirilen yerel ýpsec ilkesi etkin: 'Filtresi bloðu UDP 1434' IP güvenlik ilkesi yolu: {D239C599-F945-47A3-A4E3-B37BC12826B9} SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy
   
   2 Süzgeçler vardýr.
   Hiçbir ad
   Filtre Kimliði: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
   Ilke kimliði: {509492EA-1214-4F50-BF43-9CAC2B538518}
   Kaynak Adres: 0.0.0.0 kaynak maske: 0.0.0.0
   Hedef adresi: 192.168.1.1 hedef maske: 255.255.255.255
   Tünel Adresi: 0.0.0.0 kaynak baðlantý noktasý: 0 hedef baðlantý noktasý: 1434
   Protokol: 17 TunnelFilter: Hayýr
   Bayraklar: Gelen engelle
   Hiçbir ad
   Filtre Kimliði: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
   Ilke kimliði: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
   Kaynak Adres: 192.168.1.1 kaynak maske: 255.255.255.255
   Hedef adresi: 0.0.0.0 hedef maske: 0.0.0.0
   Tünel adresi: 0.0.0.0 kaynak baðlantý noktasý: 0 hedef baðlantý noktasý: 1434
   Protokol: 17 TunnelFilter: Hayýr
   Bayraklar: Giden engelle
   Not IP adreslerini ve grafik kullanýcý arabirimi (GUID) numaralarýný Windows Server 2003 tabanlý veya Windows XP tabanlý bilgisayarýnýzda temel alan farklý olacaktýr.

Windows 2000 tabanlý bilgisayarlar

Etkin, yerel olarak tanýmlanan bir ýpsec ilkesi olmayan sistemler üzerinde belirli bir iletiþim kuralý ve baðlantý noktasý için yönlendirilmiþ trafik bloðu için yeni bir yerel statik ilkesi oluþturmak için bu adýmlarý için Windows 2000 tabanlý bir bilgisayar olmadan, varolan bir ýpsec ilkesi atanmýþ:

1. ýpsec ilke aracýsý hizmeti etkin ve Hizmetler MMC ek bileþeninde baþlatýldýðýndan emin olun.
2. ýpsecpol.exe yüklemek ve kurmak için aþaðýdaki Microsoft Web sitesini ziyaret edin:
   http://www.microsoft.com/downloads/details.aspx?displaylang=en&amp;FamilyID=7D40460C-A069-412E-A015-A2AB904B7361 (http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361)
3. Komut istemini açýn ve çalýþma klasörüne ýpsecpol.exe yüklediðiniz klasöre.
   
   Not C:\Program Files\Resource ýpsecpol.exe iliþkin varsayýlan klasör olan paketi.
4. Bir yeni bir yerel ýpsec ilkesi ve yapýlandýrmakta olduðunuz Windows 2000 tabanlý bir bilgisayarýn IP adresi için tüm IP adreslerinden gelen að trafiðine uygulanan filtre kuralý oluþturmak için <a0></a0>, burada Protocol ve PortNumber deðiþkenleridir aþaðýdaki komutu kullanýn:
   ipsecpol -w REG -p "Block ProtocolPortNumber süzgeç"-r"Block gelen ProtocolPortNumber kuralý" -f * = 0: PortNumber: Protocol - n BLOCK –x
   Örneðin, herhangi bir IP að trafiði engellemek için adres ve hedef için herhangi bir kaynak baðlantý noktasý UDP 1434 baðlantý Windows 2000 tabanlý bir bilgisayarda, aþaðýdakileri yazýn. Bu ilke, "Slammer" parazitinden Microsoft SQL Server 2000 çalýþtýran bilgisayarlarýn korunmasýna yardýmcý olmak yeterli olur.
   ipsecpol -w REG -p "Block UDP 1434 süzgeci" - r"Block gelen UDP 1434 kuralý" -f * 0:1434:UDP - n BLOCK = x -
   Aþaðýdaki örnek blok gelen eriþimi TCP 80 numaralý baðlantý noktasý, ancak yine de giden TCP 80 eriþim saðlar. Bu ilke, "Code Red" ve "Nimda" solucan, Microsoft ýnternet ýnformation Services (IIS) 5.0 çalýþtýran bilgisayarlarýn korunmasýna yardýmcý olmak yeterli olur.
   ipsecpol -w REG -p "Block TCP 80 süzgeci" - r"Block gelen TCP 80 kuralý" -f * 0:80:TCP - n BLOCK = x -
   Not-X anahtarý, ilkenin hemen atar. Bu komut girerseniz, "UDP 1434 süzgeç engelle" ilkesi atanmamýþ; "Block TCP 80 süzgeci" atanýr. Ekleyin, ancak ilke atamak için son komut - x anahtarý olmadan yazýn.
5. Bloklar oluþturulan trafiðini að varolan "UDP 1434 süzgeç engelle" ilke ek bir filtre kuralý eklemek için Windows 2000 tabanlý bilgisayarýnýzýn IP adresi, aþaðýdaki komutu kullanýn, Protocol ve PortNumber deðiþkenleri olduðu:
   ipsecpol -w REG -p "Block ProtocolPortNumber"-r"Block giden ProtocolPortNumber kuralý süzme" -f * 0 =: PortNumber: Protocol - n BLOCK
   Örneðin, UDP 1434'için herhangi bir ana bilgisayarda yönlendirilir, Windows 2000 tabanlý bir bilgisayarda oluþturulan tüm að trafiðini engellemek için <a0></a0>, aþaðýdaki komutu yazýn. Bu ilke, "Slammer" solucanýn yayýlmasýný SQL Server 2000 çalýþtýran bilgisayarlar engellemeye yeterli olur.
   ipsecpol -w REG -p "Block UDP 1434 süzgeci" - r"Block giden UDP 1434 kuralý" -f 0 = *:1434:UDP - n BLOCK
   Not Bu komutu (örneðin, ayný ilke kullanarak birden çok baðlantý noktalarýnýn da engellenmesi) kullanarak, istediðiniz sayýda süzme kurallarý ilkesine ekleyebilirsiniz.
6. Adým 5'te ilke artýk etkin olur ve bilgisayar yeniden baþlatýlýncaya her zaman denetiminin kalýcý olacaðýný. Ancak, bilgisayara daha sonra bir etki alaný tabanlý ýpsec ilkesi atanýrsa, bu yerel ilkeyi geçersiz kýlýnýr ve uygulanmayacaktýr. Süzme kuralýnýz, komut isteminde, baþarýlý atamasýnýn doðrulamak için çalýþma klasörünü C:\Program Files\Support Araçlarý'na ayarlayýn ve sonra da aþaðýdaki komutu yazýn:
   netdiag/test: IPSec Debug
   Bu örneklerde olarak, ilkeler, gelen ve giden trafik için atanmýþ olan, aþaðýdaki iletiyi alýrsýnýz:
   IP güvenliði sýnama........ . :
   Geçirilen yerel ýpsec ilkesi etkin: 'Filtresi bloðu UDP 1434' IP güvenlik ilkesi yolu: {D239C599-F945-47A3-A4E3-B37BC12826B9} SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy
   
   2 Süzgeçler vardýr.
   Hiçbir ad
   Filtre Kimliði: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
   Ilke kimliði: {509492EA-1214-4F50-BF43-9CAC2B538518}
   Kaynak Adres: 0.0.0.0 kaynak maske: 0.0.0.0
   Hedef adresi: 192.168.1.1 hedef maske: 255.255.255.255
   Tünel Adresi: 0.0.0.0 kaynak baðlantý noktasý: 0 hedef baðlantý noktasý: 1434
   Protokol: 17 TunnelFilter: Hayýr
   Bayraklar: Gelen engelle
   Hiçbir ad
   Filtre Kimliði: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
   Ilke kimliði: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
   Kaynak Adres: 192.168.1.1 kaynak maske: 255.255.255.255
   Hedef adresi: 0.0.0.0 hedef maske: 0.0.0.0
   Tünel adresi: 0.0.0.0 kaynak baðlantý noktasý: 0 hedef baðlantý noktasý: 1434
   Protokol: 17 TunnelFilter: Hayýr
   Bayraklar: Giden engelle
   Not IP adreslerini ve grafik kullanýcý arabirimi (GUID) numaralarý farklý olacaktýr. Bunlar, bu Windows 2000 tabanlý bilgisayarýnýzýn yansýtýr.

Belirli bir iletiþim kuralý ve baðlantý noktasý bir engelleme Kuralý Ekle

<a1>Windows</a1> Server 2003 ve Windows XP tabanlý bilgisayarlar

Varolan yerel olarak atanan statik ýpsec ilkesi olan bir Windows Server 2003 tabanlý veya Windows XP tabanlý bilgisayarda bir engelleme kuralý belirli bir iletiþim kuralý ve baðlantý noktasý eklemek için aþaðýdaki adýmlarý izleyin:

1. Ipseccmd.exe yükleyin. Ipseccmd.exe Windows XP SP2 Destek Araçlarý'nýn bir parçasýdýr.
   
   Karþýdan yükleme ve Windows XP Service Pack 2 Destek Araçlarý'ný yükleme hakkýnda daha fazla bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn:
   838079  (http://support.microsoft.com/kb/838079/ ) Windows XP Service Pack 2 Destek Araçlarý
2. Þu anda atanmýþ olan ýpsec ilkesinin adýný belirleyin. Bunu yapmak için <a0></a0>, komut isteminde aþaðýdakileri yazýn:
   netdiag/test: IPSec
   Bir ilke atadýysanýz, aþaðýdakine benzer bir ileti alýrsýnýz:
   IP güvenliði sýnama........ . : Geçirilen
   Yerel ýpsec ilkesi etkin: 'bloðu UDP 1434 süzgeci'
3. Varsa bir ýpsec ilkesi bilgisayarýn (yerel veya etki alaný) kullanmak için varolan ýpsec ilkesine bir ek BLOCK filtresi kuralý eklemek için aþaðýdaki komutu zaten atanmýþ.
   
   Not Bu komut, Existing_IPSec_Policy_Name, Protocol ve PortNumber deðiþkenleridir.
   ýpseccmd.exe -p ""-w REG - r"Block Existing_IPSec_Policy_NameProtocolPortNumber kuralý" -f * = 0: PortNumber: Protocol - n BLOCK
   Örneðin, varolan süzgeç Block UDP 1434 için 80 numaralý TCP baðlantý noktasýný gelen eriþimi engellemek için bir filtre kuralý eklemek için aþaðýdaki komutu yazýn:
   ýpseccmd.exe -p "UDP 1434 süzgeç engelle" -w REG - r "gelen TCP 80 Engelle Kuralý" -f * 0:80:TCP - n BLOCK =

Windows 2000 tabanlý bilgisayarlar

Windows 2000 tabanlý bir bilgisayarda varolan yerel olarak atanan statik ýpsec ilkesi ile bir engelleme kuralý belirli bir iletiþim kuralý ve baðlantý noktasý eklemek için aþaðýdaki adýmlarý izleyin:

1. ýpsecpol.exe yüklemek ve kurmak için aþaðýdaki Microsoft Web sitesini ziyaret edin:
   http://support.microsoft.com/kb/927229 (http://support.microsoft.com/kb/927229)
2. Þu anda atanmýþ olan ýpsec ilkesinin adýný belirleyin. Bunu yapmak için <a0></a0>, komut isteminde aþaðýdakileri yazýn:
   netdiag/test: IPSec
   Bir ilke atadýysanýz, aþaðýdakine benzer bir ileti alýrsýnýz:
   IP güvenliði sýnama........ . : Geçirilen
   Yerel ýpsec ilkesi etkin: 'bloðu UDP 1434 süzgeci'
3. Varsa bir ýpsec ilkesi bilgisayarýn (yerel veya etki alaný) kullanmak için varolan ýpsec ilkesine kural Existing_IPSec_Policy_NameProtocol ve PortNumber deðiþkenleri olan süzme ek bir BLOCK eklemek için aþaðýdaki komutu atanmýþ:
   ipsecpol -p "Existing_IPSec_Policy_Name" -w REG - r "Block ProtocolPortNumber kuralý" -f * = 0: PortNumber: Protocol - n BLOCK
   Örneðin, varolan süzgeç Block UDP 1434 için 80 numaralý TCP baðlantý noktasýný gelen eriþimi engellemek için bir filtre kuralý eklemek için aþaðýdaki komutu yazýn:
   ipsecpol -p "UDP 1434 süzgeç engelle" -w REG - r "Block gelen TCP 80 kuralý" -f * = 0:80:TCP - n BLOCK

Belirli bir iletiþim kuralý ve baðlantý noktasý için bir dinamik engelleme ilkesi ekleme

Windows Server 2003 ve Windows XP tabanlý bilgisayarlar

Geçici olarak belirli bir baðlantý noktasýna eriþimi engellemek isteyebilirsiniz. Örneðin, belirli bir baðlantý için bir düzeltme yükleyene kadar veya bilgisayar için zaten bir etki alaný tabanlý ýpsec ilkesi atanmýþsa engellemek isteyebilirsiniz. ýpsec ilkesi kullanarak, geçici olarak Windows Server 2003 tabanlý veya Windows XP tabanlý bir bilgisayarda bir baðlantý noktasýna eriþimi engellemek için <a0></a0>, aþaðýdaki adýmlarý izleyin:

1. Ipseccmd.exe yükleyin. Ipseccmd.exe Windows XP Service Pack 2 Destek Araçlarý'nýn bir parçasýdýr.
   
   Not Ipseccmd.exe, Windows XP ve Windows Server 2003 iþletim sistemleri üzerinde çalýþýr, ancak bu araç yalnýzca Windows XP SP2 Destek Araçlarý paketini kullanarak edinilebilir.
   
   Nasýl karþýdan yüklenir ve Windows XP Service Pack 2 Destek Araçlarý'ný yükleme hakkýnda daha fazla bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn:
   838079  (http://support.microsoft.com/kb/838079/ ) Windows XP Service Pack 2 Destek Araçlarý
2. Dinamik BLOCK süzgeç engelleyen tüm paketleri herhangi bir IP adresinden sisteminizin IP adresine ve hedef baðlantý noktasý eklemek için <a0></a0>, komut isteminde aþaðýdakileri yazýn.
   
   Not Aþaðýdaki komutta, Protocol ve PortNumber deðiþkenleridir.
   ýpseccmd.exe -f [* = 0: PortNumber: Protocol]
   Not Bu komut, engelleme filtresi dinamik olarak oluþturur. ýpsec ilke aracýsý hizmeti çalýþtýðý sürece ilkesini atanmýþ olarak kalýr. Bu ilke, ýpsec ilke aracýsý hizmeti yeniden baþlatýlana veya bilgisayar yeniden baþlatýlýncaya kaybolur. ýpsec filtresi kuralý, sistem yeniden baþlatýldýðýnda her zaman dinamik olarak yeniden atamak isterseniz, filtre kuralý yeniden uygulamak için bir baþlangýç komut dosyasý oluþturun. Kalýcý olarak bu filtre uygulamak isterseniz, filtre statik bir ýpsec ilkesi yapýlandýrýn. Ipsec ilkesi yönetimi MMC ek bileþenini ýpsec ilkesinin yapýlandýrmasýný yönetmek için bir grafik kullanýcý arabirimi saðlar. Bir etki alaný tabanlý ýpsec ilkesi zaten uyguladýysanýz, netdiag/test: IPSec/Debug</a0> komutu yalnýzca komutu etki alaný yönetici kimlik bilgilerine sahip bir kullanýcý tarafýndan yürütülen süzgeç ayrýntýlarý gösterebilir.

Windows 2000 tabanlý bilgisayarlar

Belirli bir baðlantý noktasý'ný geçici olarak bloke etmek isteyebilirsiniz (örneðin, bir düzeltme yükleyerek kadar veya bilgisayar için zaten bir etki alaný tabanlý ýpsec ilkesi atanmýþsa). ýpsec ilkesi kullanarak, geçici olarak Windows 2000 tabanlý bir bilgisayarda bir baðlantý noktasýna eriþimi engellemek için <a0></a0>, aþaðýdaki adýmlarý izleyin:

1. ýpsecpol.exe yüklemek ve kurmak için aþaðýdaki Microsoft Web sitesini ziyaret edin:
   http://support.microsoft.com/kb/927229 (http://support.microsoft.com/kb/927229)
2. Dinamik BLOCK süzgeç engelleyen tüm paketleri herhangi bir IP adresinden sisteminizin IP adresine ve hedef baðlantý noktasý eklemek için <a0></a0>, bir Protocol ve PortNumber deðiþkenleri olduðu komut isteminde aþaðýdakileri yazýn:
   ipsecpol -f [* = 0: PortNumber: Protocol]
   Not Bu komut engelleme filtresi dinamik olarak oluþturur ve ýpsec ilke aracýsý hizmeti çalýþtýðý sürece ilke atanan kalýr. Bu ayar, ýpsec hizmetini yeniden veya bilgisayar yeniden baþlatýlýncaya kaybolacaktýr. Sistem yeniden baþlatýldýðýnda her ýpsec kuralý süzme dinamik olarak atamak istiyorsanýz bir baþlangýç komut dosyasý filtresi kuralý yeniden oluþturun. Kalýcý olarak bu filtre uygulamak isterseniz, filtre statik bir ýpsec ilkesi yapýlandýrýn. Ipsec ilkesi yönetimi MMC ek bileþenini ýpsec ilkesinin yapýlandýrmasýný yönetmek için bir grafik kullanýcý arabirimi saðlar. Bir etki alaný tabanlý ýpsec ilkesi zaten uyguladýysanýz, netdiag/test: IPSec/Debug</a0> komutu yalnýzca etki alaný yönetici kimlik bilgilerine sahip bir kullanýcý tarafýndan komut yürütüldüðünde, süzgeç ayrýntýlarý gösterebilir. Netdiag.exe güncelleþtirilmiþ bir sürümünü Windows 2000 Service Pack 4'te olanak tanýyan bir etki alaný tabanlý ýpsec ilkesini görüntülemek, yerel yöneticiler tarafýndan kullanýlabilir.

Ipsec filtre kurallarý ve grup ilkesi

ýpsec ilkeleri Grup ilkesi ayarý tarafýndan atanan ortamlarda, belirli bir iletiþim kuralý ve baðlantý noktasýný engellemek üzere, tüm etki çubuðundaki ilke güncelleþtirmeniz gerekir. Grup ilkesi baþarýlý olarak yapýlandýrdýktan sonra ýpsec ayarlarý, Grup ilke ayarlarý etki alanýndaki tüm Windows Server 2003 tabanlý, Windows XP tabanlý ve Windows 2000 tabanlý bilgisayarlarda bir yenilemenin zorlamak gerekir. Bunu yapmak için, aþaðýdaki komutu kullanýn: Ipsec ilke deðiþikliði iki farklý yoklama aralýklarý birini içinde algýlanacaktýr. Bir GPO'YA uygulanan bir yeni atanan ýpsec ilkesi için ýpsec ilkesi için Grup ilkesi yoklama aralýðýnda veya istemci bilgisayarlarda secedit/refreshpolicy machine_policy</a0> komutunu çalýþtýrdýðýnýzda süresi içinde istemcilere uygulanýr. Ipsec ilkesi bir GPO için atanmýþ ve yeni ýpsec filtreleri veya varolan bir ilkeyi eklenmekte olan kurallarý, secedit komut ýpsec deðiþiklikleri taný yapamazlar. Bu senaryoda, bu ýpsec ilkesinin içinde kendi ilke algýladý varolan bir GPO'YU tabanlý ýpsec deðiþiklikleri aralýðý yoklanýyor. Bu aralýk, bu ýpsec ilkesi için Genel sekmesinde belirtilir. Ayrýca, ýpsec ilke Aracýsý'ný yeniden baþlatarak, ýpsec ilke ayarlarý yenileme zorlayabilirsiniz. ýpsec hizmetini durmuþ veya yeniden, ýpsec güvenlikli iletiþim kesintiye uðrar ve devam etmek için birkaç saniye sürer. Bu, özellikle çok sayýda veri aktarma etkin baðlantýlarýn baðlantýsýný kesmek, program baðlantýlarý neden olabilir. Burada, yalnýzca yerel bilgisayarda ýpsec ilkesi uygulanýr durumlarda, hizmeti yeniden baþlatmanýz gerekmez.

Atamayý kaldýrma ve ýpsec ilkesini silme

<a1>Windows</a1> Server 2003 ve Windows XP tabanlý bilgisayarlar

• Yerel olarak tanýmlanan bir statik ilke bilgisayarlar
  1. Komut istemini açýn ve sonra da çalýþma klasörü ýpsecpol.exe yüklediðiniz klasöre ayarlayýn.
  2. Daha önce oluþturduðunuz bir filtreyi atamasýný kaldýrmak için aþaðýdaki komutu kullanýn:
     Ipseccmd.exe -w REG -p "Block ProtocolPortNumber süzgeç" –y
     Örneðin, daha önce oluþturduðunuz Block UDP 1434 süzgeç atamasýný kaldýrmak için aþaðýdaki komutu kullanýn:
     ýpseccmd.exe -w REG -p "UDP 1434 süzgeç engelle" -y
  3. Oluþturduðunuz bir filtreyi silmek için <a0></a0>, aþaðýdaki komutu kullanýn:
     ýpseccmd.exe -w REG -p "Block ProtocolPortNumber"-r"Block ProtocolPortNumber kuralý süzme" –o
     Örneðin, silmek için "Block UDP 1434 süzgeci" süzmek ve oluþturduðunuz kurallarýn her ikisi de aþaðýdaki komutu kullanýn:
     ýpseccmd.exe -w REG -p "UDP 1434 süzgeç engelle" - r "Block gelen UDP 1434 kuralý"-r"<a1>Engelle</a1> giden UDP 1434 kuralý" -o
• Yerel olarak tanýmlanan bir dinamik ilke bilgisayarlar
  Net stop policyagent</a0> komutunu kullanarak ýpsec ilke aracýsý hizmeti durdurulursa dinamik ýpsec uygulamasý kaldýrýlan ilkedir. Aþaðýdaki adýmlarý ýpsec ilke aracýsý hizmeti durdurmadan kullanýlan belirli komutlarý silmek için <a0></a0>:
  1. Komut istemini açýn ve sonra çalýþma klasörü, Windows XP Service Pack 2 Destek Araçlarý yüklediðiniz klasöre ayarlayýn.
  2. Aþaðýdaki komutu yazýn:
     ýpseccmd.exe –u
     Not Ipsec ilke aracýsý hizmeti, dinamik olarak atanan tüm ilkeleri silmek için de yeniden.

Windows 2000 tabanlý bilgisayarlar

• Yerel olarak tanýmlanan bir statik ilkesiyle bilgisayarlar
  1. Komut istemini açýn ve sonra da çalýþma klasörü ýpsecpol.exe yüklediðiniz klasöre ayarlayýn.
  2. Daha önce oluþturduðunuz bir filtreyi atamasýný kaldýrmak için aþaðýdaki komutu kullanýn:
     Ipsecpol -w REG -p "Block ProtocolPortNumber süzgeç" –y
     Örneðin, daha önce oluþturduðunuz Block UDP 1434 süzgeç atamasýný kaldýrmak için aþaðýdaki komutu kullanýn:
     Ipsecpol -w REG -p "UDP 1434 süzgeç engelle" -y
  3. Oluþturduðunuz bir filtreyi silmek için <a0></a0>, aþaðýdaki komutu kullanýn:
     ipsecpol -w REG -p "Block ProtocolPortNumber"-r"Block ProtocolPortNumber kuralý süzme" –o
     Örneðin, silmek için "Block UDP 1434 süzgeci" süzmek ve daha önce oluþturduðunuz her iki kuralý, aþaðýdaki komutu kullanýn:
     Ipsecpol -w REG -p "UDP 1434 süzgeç engelle" - r "Block gelen UDP 1434 kuralý" - r "Block giden UDP 1434 kuralý" -o
• Yerel olarak tanýmlanan bir dinamik ilke bilgisayarlarla
  
  ýpsec ilke Aracýsý hizmetini (net stop policyagent</a0> komutunu kullanarak) durdurulursa dinamik ýpsec ilkesi uygulamasý kaldýrýlan olacaktýr. Ancak, daha önce durmadan kullanýlan belirli komutlarý silmek için ýpsec ilke aracýsý hizmeti, adýmlarý:
  1. Komut istemini açýn ve sonra da çalýþma klasörü ýpsecpol.exe yüklediðiniz klasöre ayarlayýn.
  2. Aþaðýdaki komutu yazýn:
     Ipsecpol –u
     Not Ipsec ilke aracýsý hizmeti, dinamik olarak atanan tüm ilkeleri silmek için de yeniden baþlatýlabilir.

Tüm iletiþim kurallarý ve baðlantý noktalarý için yeni süzgeç kuralýnýz Uygula

Microsoft Windows 2000 ve Microsoft Windows XP varsayýlan olarak, tüm süz ve kimlik doðrulama kýsýtlamalarýný yayýn, çok noktaya yayýn, RSVP, IKE ve Kerberos trafiði ýpsec exempts. Bu muafiyetleri hakkýnda ek bilgi için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn:Ipsec, izin ve trafiði engellemek için kullanýldýðý yerlerde, Kerberos ve RSVP iletiþim kurallarý için muafiyetleri bir kayýt defteri deðerini deðiþtirerek kaldýrýn. Bunun nasýl yapýlacaðý hakkýnda eksiksiz yönergeler için Microsoft Knowledge Base'deki makaleyi görüntülemek üzere aþaðýdaki makale numarasýný týklatýn:Bu yönergeleri izleyerek, UDP 1434 burada saldýrganlar için Kerberos, kaynak baðlantý noktasý ayarlayabilir durumlarda bile korunabilirsiniz TCP/UDP 88 numaralý baðlantý noktalarý. Kerberos muafiyetleri kaldýrarak, Kerberos paketlerinin þimdi ýpsec ilkesindeki tüm süzgeçlerle eþleþtirilirsiniz. Bu nedenle, Kerberos ýpsec güvenli, engellenen veya izin. Bu nedenle, ýpsec filtrelerini, etki alaný denetleyicisi IP adreslerine Kerberos trafiðini eþleþirse, ýpsec ilke tasarýmý (, ýpsec güvenli yardýmcý olmak için Knowledge Base makale 254728 açýklar olarak etki alaný denetleyicileri arasýndaki tüm trafiði kullanýyorsanýz) her etki alaný denetleyicisi IP adresini Kerberos trafiðine izin vermek için yeni bir süzgeç eklemek için deðiþtirmeniz gerekebilir.

Ipsec filtre kurallarý, bilgisayara baðlý olan bir uygulamayý yeniden baþlatýn

Tüm ýpsec ilkelerini, atanmak üzere ýpsec ilke Aracýsý hizmetini kullanýr. Windows 2000 tabanlý bir bilgisayarý baþlatma iþlemi sýrasýnda ýpsec ilke Aracýsý'ný mutlaka baþlatmak için ilk hizmetin deðil. Bu nedenle, bilgisayarýn að baðlantýsýný virüs veya solucan saldýrýlara açýk olduðunda, kýsa bir süre olabilir. Bu durum yalnýzca, olasý güvenlik açýðýndan etkilenen hizmetin baþarýyla baþlatýldý ve baðlantý kabul önce ýpsec ilke aracýsý hizmeti tamamen baþlatýldý ve tüm ilkeleri atanmýþ durumda geçerlidir.