如何使用 IPSec 來封鎖特定網路通訊協定和連接埠

文章翻譯 文章翻譯
文章編號: 813878 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

結論

網際網路通訊協定安全性 (IPSec) 篩選規則可用來協助防止來自如病毒及蠕蟲的潛在威脅的網路型攻擊的 Windows 2000、 Windows XP 架構和 Windows Server 2003 電腦。本文將告訴您,如何篩選特定的通訊協定和輸入與輸出網路流量的通訊埠組合。它包含的步驟是否是任何目前指派給 Windows 2000、 Windows XP 為主或 Windows Server 2003 電腦的 IPSec 原則步驟來建立並指派新的 IPSec 原則並步驟來取消指派,並刪除一個 IPSec 原則。

其他相關資訊

IPSec 原則可以在本機上套用,或是套用到網域的成員,為該網域的群組原則的一部分。本機 IPSec 原則可以是 靜態 (在重新啟動後持續) 或 動態 (靜態)。靜態的 IPSec 原則會寫入本機登錄,而且保存作業系統重新啟動之後。動態 IPSec 原則不會永久寫入到登錄檔,並且如果重新啟動作業系統或 IPSec 原則代理程式服務移除。

重要本文包含有關藉由使用 Ipsecpol.exe 編輯登錄的資訊。在編輯登錄之前確定您瞭解如何在發生問題時還原]。如如何備份、 還原,以及編輯登錄有關,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
256986Microsoft Windows 登錄的描述
附註IPSec 篩選器規則可能會造成資料遺失,並停止回應網路要求包括失敗驗證使用者的網路程式。 作為最後的手段,只有在您環境中有的封鎖特定連接埠會有影響清楚了解之後的防禦性量值使用 IPSec 篩選器規則。如果您使用本文所列的步驟來建立的 IPSec 原則不想要的效果,在網路程式上請參閱 < 取消指派和刪除的 IPSec 原則 > 一節有關如何立即停用,並刪除原則指示本篇文章稍後的。

判斷是否已指派 IPSec 原則

Windows Server 2003 電腦

您建立或指派給 Windows Server 2003 電腦的任何新的 IPSec 原則之前,決定是否從本機登錄,或透過群組原則物件 (GPO),任何的 IPSec 原則會被套用。要這麼做,請您執行下列步驟:
  1. 從 Windows Server 2003 光碟安裝 Netdiag.exe,藉由執行 Suptools.msi 從 Support\Tools 資料夾。
  2. 開啟命令提示字元,然後將工作資料夾設為 [C:\Program Files\Support 工具。
  3. 執行下列命令,請確認有不是現有的 IPSec 原則已經指派給電腦:
    netdiag /test:ipsec
    如果分派沒有原則會收到下列訊息:
    ........IP 安全性測試 . : 傳遞 IPSec 原則服務是使用中,但沒有原則指派。

Windows XP 的電腦

您建立或指派給 Windows XP 的電腦的任何新的 IPSec 原則之前,決定是否任何的 IPSec 原則被套用從本機登錄,或透過一個 GPO。要這麼做,請您執行下列步驟:
  1. 藉由從 Support\Tools 資料夾執行 Setup.exe,從 Windows XP CD 安裝 Netdiag.exe。
  2. 開啟命令提示字元,然後將工作資料夾設為 [C:\Program Files\Support 工具。
  3. 執行下列命令,請確認有不是現有的 IPSec 原則已經指派給電腦:
    netdiag /test:ipsec
    如果分派沒有原則會收到下列訊息:
    ........IP 安全性測試 . : 傳遞 IPSec 原則服務是使用中,但沒有原則指派。

Windows 2000 架構的電腦

您建立或指派給 Windows 2000 電腦的任何新的 IPSec 原則之前,決定是否任何的 IPSec 原則被套用從本機登錄,或透過一個 GPO。要這麼做,請您執行下列步驟:
  1. 藉由從 Support\Tools 資料夾執行 Setup.exe,從 Windows 2000 光碟安裝 Netdiag.exe。
  2. 開啟命令提示字元,然後將工作資料夾設為 [C:\Program Files\Support 工具。
  3. 執行下列命令,請確認有不是現有的 IPSec 原則已經指派給電腦:
    netdiag /test:ipsec
    如果分派沒有原則會收到下列訊息:
    ........IP 安全性測試 . : 傳遞 IPSec 原則服務是使用中,但沒有原則指派。

建立靜態原則來封鎖流量

Windows Server 2003 為基礎和 Windows XP 的電腦

沒有啟用本機定義的 IPSec 原則的系統建立一個新本機靜態原則到區塊導向到特定的通訊協定及在 Windows Server 2003 為主的特定連接埠和基礎的 Windows XP 電腦的流量。要這麼做,請您執行下列步驟:
  1. 請確認 IPSec 原則代理程式服務啟用,且在 [服務 MMC] 嵌入式管理單元中啟動。
  2. 安裝 IPSeccmd.exe。 IPSeccmd.exe 是 Windows XP Service Pack 2 (SP2) 支援工具的一部份。

    附註IPSeccmd.exe 將 Windows XP 和 Windows Server 2003 作業系統上執行,但工具才可用從 Windows XP SP2 支援工具套件。

    如需有關下載及安裝 Windows XP 服務套件 2 支援工具,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
    838079Windows XP 服務套件 2 支援工具
  3. 開啟命令提示字元,然後將工作資料夾設為 [Windows XP 服務套件 2 支援工具的安裝位置] 資料夾。

    附註Windows XP SP2 支援工具的預設資料夾是 C:\Program Files\Support 工具。
  4. 若要建立新的本機 IPSec 原則和套用到來自任何 IP 位址,以便您正在設定在 Windows Server 2003 為主或 Windows XP 電腦的 IP 位址的網路流量的篩選規則,請使用下列命令。

    附註下列命令在 [Protocol] 和 [PortNumber] 都是變數。
    IPSeccmd.exe-w REG-p 封鎖 ProtocolPortNumber 篩選"-r"封鎖輸入 ProtocolPortNumber 規則"-f * = 0: PortNumberProtocol-n 封鎖 –x
    比方說來封鎖網路資料傳輸,從任何 IP 位址和到目的地的任何來源連接埠連接埠 UDP 1434 在一個 Windows Server 2003 為主或 Windows XP 的電腦上輸入下列。此原則是足夠來協助保護從 Slammer"蠕蟲執行 Microsoft SQL Server 2000 的電腦。
    IPSeccmd.exe-w REG-p"封鎖 UDP 1434 篩選"-r"封鎖輸入的 UDP 1434 規則"-f * = 0:1434:UDP-n BLOCK-x
    下列範例區塊輸入的存取至 TCP 連接埠 80,但仍然允許輸出 TCP 80 存取。此原則是足夠來協助保護從"Code Red"病蟲和 Nimda"病蟲執行 Microsoft 網際網路資訊服務 (IIS) 5.0 的電腦。
    IPSeccmd.exe-w REG-p"封鎖 TCP 80 篩選"-r"封鎖輸入的 TCP 80 規則"-f * = 0:80:TCP-n BLOCK-x
    附註-x 參數會立即指派原則。如果您輸入此命令,「 封鎖 UDP 1434 篩選 」 原則是未指定,並在 「 封鎖 TCP 80 篩選 」 指派。新增原則,但不是指派原則、 在結尾鍵入 -x 參數沒有指令。
  5. 若要加入一個額外篩選規則至現有的 「 封鎖 UDP 1434 篩選 」 原則區塊網路源自於 Windows Server 2003 為主或 Windows XP 的電腦到任何 IP 位址的流量使用下列命令。

    附註這個命令在 [Protocol] 和 [PortNumber] 都是變數:
    IPSeccmd.exe-w REG-p"區塊 ProtocolPortNumber 篩選"-r"封鎖輸出 ProtocolPortNumber 規則"-f * 0 =: PortNumberProtocol-n BLOCK
    比方說要封鎖源自於 Windows Server 2003 為主或 Windows XP 電腦 UDP 1434 引導其他主機上的任何網路流量,輸入下列。此原則,即足以幫助防止從分配 Slammer"蠕蟲執行 SQL Server 2000 的電腦。
    IPSeccmd.exe-w REG-p"封鎖 UDP 1434 篩選"-r"封鎖輸出 UDP 1434 規則"-f 0 = *:1434:UDP-n BLOCK
    附註您可以新增多個篩選規則到原則所要使用此命令。比方說您可以使用此命令來使用相同的原則來封鎖多個連接埠。
  6. 步驟 5 中的原則將現在作用中,而且能保存每次重新啟動電腦。不過,如果網域為基礎的 IPSec 原則指派給電腦稍後,此本機原則會覆寫,並將不再套用。

    若要確認成功的工作分派的篩選規則,C:\Program Files\Support 工具來設定工作資料夾,在命令提示字元下,並鍵入下列命令:
    netdiag /test:ipsec/debug
    如果輸入與輸出流量的原則指派在這些範例中,您會收到下列訊息:
    ........IP 安全性測試 . :
    傳遞本機 IPSec 原則作用中: '封鎖 UDP 1434 篩選器' IP 安全性原則路徑: SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy {D239C599-F945-47A3-A4E3-B37BC12826B9}

    有 2 的篩選器
    沒有名稱
    篩選器識別碼: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
    原則識別碼: {509492EA-1214年-4F50-BF43-9CAC2B538518}
    Src addr: 0.0.0.0 src 遮罩: 0.0.0.0
    目的地位址: 192.168.1.1 目的地遮罩: 255.255.255.255
    通道 addr: 0.0.0.0 src 連接埠: 0 目的地連接埠: 1434年
    通訊協定: 17 TunnelFilter: 否
    旗標: 輸入的區塊
    沒有名稱
    篩選器識別碼: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
    原則識別碼: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
    來源位址: 192.168.1.1 Src 遮罩: 255.255.255.255
    目的地位址: 0.0.0.0 目的地遮罩: 0.0.0.0
    通道 addr: 0.0.0.0 src 連接埠: 0 目的地連接埠: 1434年
    通訊協定: 17 TunnelFilter: 否
    旗標: 輸出區塊
    附註IP 位址及圖形化使用者介面 (GUID) 編號將會不同根據 Windows Server 2003 為主或 Windows XP 架構電腦。

Windows 2000 架構的電腦

沒有本機定義的 IPSec 原則啟用,系統請依照下列步驟執行,以建立新本機靜態原則來封鎖流量導向到特定的通訊協定和連接埠的 Windows 2000 架構的電腦,沒有現有的 IPSec 原則指派:
  1. 請確認 IPSec 原則代理程式服務啟用,且在 [服務 MMC] 嵌入式管理單元中啟動。
  2. 請造訪下列 Microsoft 網站下載並安裝 Ipsecpol.exe:
    http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361
  3. 開啟命令提示字元,並將工作資料夾設定為 [Ipsecpol.exe 的安裝位置] 資料夾。

    附註Ipsecpol.exe 預設的資料夾是 C:\Program Files\Resource 套件。
  4. 若要建立新的本機 IPSec 原則及套用到來自任何 IP 位址,以便您要設定 [Windows 2000 電腦的 IP 位址的網路流量的篩選規則,使用下列命令其中 ProtocolPortNumber 為變數:
    ipsecpol-w REG-p"區塊 ProtocolPortNumber 篩選"-r"封鎖輸入 ProtocolPortNumber 規則 」-f * = 0: PortNumberProtocol-n BLOCK –x
    比方說來封鎖網路資料傳輸,從任何 IP 位址和到目的地的任何來源連接埠連接埠 UDP 1434 在 Windows 2000 電腦上輸入下列命令。此原則是足夠來協助保護從 Slammer"蠕蟲執行 Microsoft SQL Server 2000 的電腦。
    ipsecpol-w REG-p"封鎖 UDP 1434 篩選器 」-r"封鎖輸入 UDP 1434 規則"-f * = 0:1434:UDP-n BLOCK-x
    下列範例區塊輸入的存取至 TCP 連接埠 80,但仍然允許輸出 TCP 80 存取。此原則是足夠來協助保護從"Code Red"和 Nimda"蠕蟲執行 Microsoft 網際網路資訊服務 (IIS) 5.0 的電腦。
    ipsecpol-w REG-p"封鎖 TCP 80 篩選器 」-r"封鎖輸入 TCP 80 規則"-f * = 0:80:TCP-n BLOCK-x
    附註-x 參數會立即指派原則。如果您輸入此命令,「 封鎖 UDP 1434 篩選 」 原則是未指派,並在 「 封鎖 TCP 80 篩選 」 指派。新增但未指派原則、 在結尾鍵入 -x 參數沒有指令。
  5. 若要將額外的篩選規則加入至現有的 「 封鎖 UDP 1434 篩選 」 原則區塊網路是 產生的流量到任何的 IP 位址您 Windows 2000 架構的電腦會使用下列命令 ProtocolPortNumber 是變數:
    ipsecpol-w REG-p"區塊 ProtocolPortNumber 篩選"-r"封鎖輸出 ProtocolPortNumber 規則"-f * 0 =: PortNumberProtocol-n BLOCK
    比方說要封鎖來自其他主機導向至 UDP 1434 您 Windows 2000 電腦任何網路流量,輸入下列。此原則,即足以防止從分配 Slammer"蠕蟲執行 SQL Server 2000 的電腦。
    ipsecpol-w REG-p"封鎖 UDP 1434 篩選器 」-r"封鎖輸出 UDP 1434 規則"-f 0 = *:1434:UDP n 封鎖
    附註您可以新增多個篩選規則到原則所要使用此命令 (例如使用相同的原則來封鎖多個連接埠)。
  6. 步驟 5 中的原則將現在作用中,而且能保存每次重新啟動電腦。不過,如果網域為基礎的 IPSec 原則指派給電腦稍後,此本機原則會覆寫,並將不再套用。若要確認成功的工作分派在命令提示字元下的您篩選規則的 C:\Program Files\Support 工具中設定的工作資料夾,並鍵入下列命令:
    netdiag /test:ipsec/debug
    如果在這些範例中所指派的輸入與輸出流量的原則,您會收到下列訊息:
    ........IP 安全性測試 . :
    傳遞本機 IPSec 原則作用中: '封鎖 UDP 1434 篩選器' IP 安全性原則路徑: SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy {D239C599-F945-47A3-A4E3-B37BC12826B9}

    有 2 的篩選器
    沒有名稱
    篩選器識別碼: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
    原則識別碼: {509492EA-1214年-4F50-BF43-9CAC2B538518}
    Src addr: 0.0.0.0 src 遮罩: 0.0.0.0
    目的地位址: 192.168.1.1 目的地遮罩: 255.255.255.255
    通道 addr: 0.0.0.0 src 連接埠: 0 目的地連接埠: 1434年
    通訊協定: 17 TunnelFilter: 否
    旗標: 輸入的區塊
    沒有名稱
    篩選器識別碼: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
    原則識別碼: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
    來源位址: 192.168.1.1 Src 遮罩: 255.255.255.255
    目的地位址: 0.0.0.0 目的地遮罩: 0.0.0.0
    通道 addr: 0.0.0.0 src 連接埠: 0 目的地連接埠: 1434年
    通訊協定: 17 TunnelFilter: 否
    旗標: 輸出區塊
    附註IP 位址及圖形化使用者介面 (GUID) 編號將會不同。它們會反映那些您 Windows 2000 架構的電腦。

新增特定的通訊協定和連接埠封鎖規則

Windows Server 2003 為基礎和 Windows XP 的電腦

在 Windows Server 2003 為主或 Windows XP 的電腦上具有現有在本機上指派靜態的 IPSec 原則新增特定的通訊協定和連接埠的封鎖規則,請依照下列步驟執行:
  1. 安裝 IPSeccmd.exe。 IPSeccmd.exe 是 Windows XP SP2 支援工具的一部份。

    如需有關下載及安裝 Windows XP 服務套件 2 支援工具,按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項:
    838079Windows XP 服務套件 2 支援工具
  2. 識別目前指派的 IPSec 原則的名稱。 如果要執行這項操作,請在命令提示字元中如下輸入:
    netdiag /test:ipsec
    如果指派一個原則您會收到類似下列的訊息:
    ........IP 安全性測試 . : 傳遞
    本機 IPSec 原則作用中: '封鎖 UDP 1434 篩選器'
  3. 如果沒有 IPSec 原則已經指派給電腦 (本機或網域) 使用下列命令,將一個額外的封鎖篩選規則新增至現有的 IPSec 原則。

    附註 在這個命令、 Existing_IPSec_Policy_NameProtocolPortNumber 是變數。
    IPSeccmd.exe p"Existing_IPSec_Policy_Name"-w REG-r"封鎖 ProtocolPortNumber 規則"-f * = 0: PortNumberProtocol-n BLOCK
    比方說將篩選規則,到封鎖 TCP 連接埠 80 到現有的封鎖 UDP 1434 篩選器的輸入的存取輸入下列命令:
    IPSeccmd.exe-p 「 封鎖 UDP 1434 篩選 」-w REG-r"封鎖輸入的 TCP 80 規則"-f * = 0:80:TCP-n BLOCK

Windows 2000 架構的電腦

在 Windows 2000 架構的電腦,與現有在本機上指派靜態的 IPSec 原則新增特定的通訊協定和連接埠的封鎖規則,請依照下列步驟執行:
  1. 請造訪下列 Microsoft 網站下載並安裝 Ipsecpol.exe:
    http://support.microsoft.com/kb/927229
  2. 識別目前指派的 IPSec 原則的名稱。 如果要執行這項操作,請在命令提示字元中如下輸入:
    netdiag /test:ipsec
    如果指派一個原則您會收到類似下列的訊息:
    ........IP 安全性測試 . : 傳遞
    本機 IPSec 原則作用中: '封鎖 UDP 1434 篩選器'
  3. 如果沒有 IPSec 原則已被指派給電腦 (本機或網域) 使用下列命令以新增篩選至現有的 IPSec 原則的規則 Existing_IPSec_Policy_Name]、 [Protocol,] 及 [PortNumber 變數的額外 BLOCK:
    ipsecpol-p Existing_IPSec_Policy_Name"-w REG-r"封鎖 ProtocolPortNumber 規則"-f * = 0: PortNumberProtocol-n 封鎖
    比方說將篩選規則,到封鎖 TCP 連接埠 80 到現有的封鎖 UDP 1434 篩選器的輸入的存取輸入下列命令:
    ipsecpol-p 「 封鎖 UDP 1434 篩選 」-w REG-r"封鎖輸入 TCP 80 規則"-f * = 0:80:TCP n 封鎖

新增動態區塊的原則,以特定通訊協定和連接埠

Windows Server 2003 和 Windows XP 的電腦

若要暫時封鎖特定連接埠的存取。比方說您可以封鎖特定連接埠,直到您可以安裝 Hotfix,或網域為基礎的 IPSec 原則已經指派給電腦。如果要暫時使用 IPSec 原則來封鎖 Windows Server 2003 為主或 Windows XP 電腦上的連接埠的存取,請依照下列步驟執行:
  1. 安裝 IPSeccmd.exe。 IPSeccmd.exe 是 Windows XP 服務套件 2 支援工具的一部份。

    附註IPSeccmd.exe 將 Windows XP 和 Windows Server 2003 作業系統上執行,但工具才可用從 Windows XP SP2 支援工具套件。

    如需有關如何下載並安裝 Windows XP 服務套件 2 支援工具的詳細資訊,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
    838079Windows XP 服務套件 2 支援工具
  2. 若要新增動態 BLOCK 篩選來封鎖所有封包從任何 IP 位址到您的系統 IP 位址和目標連接埠,請在命令提示字元輸入下列。

    附註下列命令在 [Protocol] 和 [PortNumber] 都是變數。
    IPSeccmd.exe f [* = 0: PortNumberProtocol]
    附註這個命令會以動態方式建立封鎖篩選器。IPSec 原則代理程式服務正在執行時,仍然指派原則。如果重新啟動 IPSec 原則代理程式服務,或是電腦重新啟動此原則會遺失。如果想動態地重新指派 IPSec 篩選規則在系統重新啟動每一次建立啟動指令碼,以重新套用篩選規則。如果想永久套用此篩選器將篩選器設定為靜態的 IPSec 原則。IPSec 原則管理 MMC 嵌入式管理單元提供 [管理 IPSec 原則設定的 [圖形化使用者介面]。如果已經套用網域為基礎的 IPSec 原則則 netdiag /test:ipsec/debug 命令可能只顯示篩選器的詳細資料如果由具有網域系統管理員認證的使用者執行此命令。

Windows 2000 架構的電腦

您可能想要暫時封鎖特定連接埠 (比方說直到可以安裝 Hotfix,或者網域為基礎的 IPSec 原則已經指派給電腦)。若要暫時使用 IPSec 原則來封鎖在 Windows 2000 架構的電腦上的連接埠的存取,請依照下列步驟執行:
  1. 請造訪下列 Microsoft 網站下載並安裝 Ipsecpol.exe:
    http://support.microsoft.com/kb/927229
  2. 若要新增動態 BLOCK 篩選來封鎖所有封包從任何 IP 位址到您的系統的 IP 位址和目標連接埠,請在 ProtocolPortNumber 是變數在命令提示字元中如下輸入:
    ipsecpol f [* = 0: PortNumberProtocol]
    附註這個命令動態,建立封鎖篩選器,IPSec 原則代理程式服務正在執行時,該原則將維持分派。如果 IPSec 服務重新啟動,或是電腦重新開機,則此設定將會遺失。如果要每次重新啟動系統,動態地重新指派 IPSec 篩選規則建立啟動指令碼,以重新套用篩選規則。如果想永久套用此篩選器將篩選器設定為靜態的 IPSec 原則。IPSec 原則管理 MMC 嵌入式管理單元提供 [管理 IPSec 原則設定的 [圖形化使用者介面]。如果已經套用網域為基礎的 IPSec 原則則 netdiag /test:ipsec/debug 命令可能只顯示篩選器的詳細資料如果由網域系統管理員認證的使用者執行此命令。Netdiag.exe 的更新的版本可以使用 Windows 2000 服務套件 4年] 中,讓本機系統管理員若要檢視網域為基礎的 IPSec 原則。

IPSec 篩選規則] 及 [群組原則

IPSec 原則由群組原則] 設定所指派的環境中,您必須更新整個網域 ’s 原則來封鎖特定通訊協定與連接埠。成功地設定群組原則之後 IPSec 設定必須強制重新整理的網域中的所有 Windows Server 2003 為基礎、 Windows XP 用和 Windows 2000 電腦上的 [群組原則] 設定。若要執行此動作使用下列命令:
secedit /refreshpolicy machine_policy
IPSec 原則變更會偵測到的其中一個兩個不同的輪詢間隔內。為剛指定的 IPSec 原則套用到 GPO,IPSec 原則會套用到用戶端設定群組原則輪詢間隔或 secedit /refreshpolicy machine_policy 命令在用戶端電腦上執行的時間內。如果 IPSec 原則已指定給一個 GPO 和新的 IPSec 篩選或規則加入現有的原則,secedit 命令不會讓 IPSec 識別變更。在這種情況下修改原則將偵測到的 IPSec 原則中的自己的現有 GPO 為基礎的 IPSec 輪詢間隔。此間隔時間指定於該 IPSec 原則的 [一般] 索引標籤。您也可以強制重新整理的 「 IPSec 原則 」 設定來重新啟動 IPSec 原則代理程式服務。如果已停止或重新啟動 IPSec 服務,IPSec 保護的通訊也會中斷,然後才會繼續播放幾秒鐘。這可能會造成程式連線特別是針對主動傳輸大量資料的連線中斷連線。在 IPSec 原則只能在本機電腦的套用所在的情況下,您不必重新啟動服務。

取消指派,並刪除 IPSec 原則

Windows Server 2003 為基礎和 Windows XP 的電腦

  • 具有本機定義的靜態原則的電腦
    1. 開啟命令提示字元,然後將工作資料夾設為 [Ipsecpol.exe 的安裝位置] 資料夾。
    2. 若要取消指派您稍早建立的篩選,請使用下列命令:
      IPSeccmd.exe-w REG-p"區塊 ProtocolPortNumber 篩選 」 –y
      比方說要取消指派您稍早建立 「 封鎖 UDP 1434 篩選器,使用下列命令:
      IPSeccmd.exe-w REG-p 「 封鎖 UDP 1434 篩選 」-y
    3. 若要刪除您所建立的篩選器,使用下列命令:
      IPSeccmd.exe-w REG-p"區塊 ProtocolPortNumber 篩選"-r"封鎖 ProtocolPortNumber 規則"–o
      比方說要刪除之 「 封鎖 UDP 1434 篩選 」 篩選,這兩個您建立的規則使用下列命令:
      IPSeccmd.exe-w REG-p 「 封鎖 UDP 1434 篩選 」-r"封鎖輸入的 UDP 1434 規則"-r"封鎖輸出 UDP 1434 規則"-o
  • 具有本機定義的動態原則的電腦
    如果 IPSec 原則代理程式服務被停止使用 net stop policyagent] 指令,動態 IPSec 原則是 unapplied。若要刪除特定而不需停止依照下列步驟執行 「 IPSec 原則代理程式服務所使用的指令:
    1. 開啟命令提示字元,然後將工作資料夾設為 [Windows XP 服務套件 2 支援工具的安裝位置] 資料夾。
    2. 輸入下列命令:
      IPSeccmd.exe –u
      附註您也可以重新啟動 IPSec 原則代理程式服務,以清除所有動態指派的原則。

Windows 2000 架構的電腦

  • 在本機定義的靜態原則的電腦
    1. 開啟命令提示字元,然後將工作資料夾設為 [Ipsecpol.exe 的安裝位置] 資料夾。
    2. 若要取消指派您稍早建立的篩選,請使用下列命令:
      ipsecpol-w REG-p"區塊 ProtocolPortNumber 篩選 」 –y
      比方說要取消指派您稍早建立 「 封鎖 UDP 1434 篩選器,使用下列命令:
      ipsecpol-w REG-p 「 封鎖 UDP 1434 篩選 」-y
    3. 若要刪除您所建立的篩選器,使用下列命令:
      ipsecpol-w REG-p"區塊 ProtocolPortNumber 篩選"-r"封鎖 ProtocolPortNumber 規則"–o
      比方說要刪除之 「 封鎖 UDP 1434 篩選 」 篩選,您稍早,建立兩個規則使用下列命令:
      ipsecpol-w REG-p 「 封鎖 UDP 1434 篩選 」-r"封鎖輸入 UDP 1434 規則"-r"封鎖輸出 UDP 1434 規則"-o
  • 在本機定義的動態原則的電腦

    如果 IPSec 原則代理程式服務被停止 (經由使用 net stop policyagent 命令),就會 unapplied 動態 IPSec 原則。不過,來刪除不停止先前使用的特定指令,IPSec 原則代理程式服務,下列步驟執行:
    1. 開啟命令提示字元,然後將工作資料夾設為 [Ipsecpol.exe 的安裝位置] 資料夾。
    2. 輸入下列命令:
      Ipsecpol –u
      附註您也可能會重新啟動 IPSec 原則代理程式服務,以清除所有動態指派的原則。

將您新的篩選規則套用到所有的通訊協定和連接埠

在 Microsoft Windows 2000 和 Microsoft Windows XP 預設 IPSec 以豁免不從所有的篩選器 」 和 「 驗證限制的廣播、 多點傳送、 RSVP、 IKE 及 Kerberos 流量。取得更多資訊有關這些豁免按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
253169可以--並無法--受到 IPSec 保護的流量
在 IPSec 只用來允許及封鎖流量,移除 Kerberos 和 RSVP 通訊協定的豁免變更登錄值。如需有關如何執行這項操作的完整指示,按一下 [下面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
254728IPSec 不保護 Kerberos 網域控制站之間的流量
依照這些指示您可以協助保護在其中攻擊者可能會設定其來源連接埠為 [Kerberos 的情況下甚至 UDP 1434 連接埠的 TCP/UDP 88。藉由移除 Kerberos 豁免,Kerberos 封包現在要相符與 IPSec 原則中的所有篩選器。因此,Kerberos 可以保護內部 IPSec、 封鎖或允許。因此,如果 IPSec 篩選器相符即將網域控制站 IP 位址的 Kerberos 流量,您可能必須變更 IPSec 原則設計,以新增新的篩選器,以允許為每個網域控制站的 IP 位址的 Kerberos 資料傳輸 (如果您不使用 IPSec 來幫助安全知識庫文件 254728 說明為網域控制站之間的所有流量)。

應用程式的 IPSec 篩選器規則時電腦重新啟動

要指派 IPSec 原則代理程式服務依賴所有 IPSec 原則。當 Windows 2000 架構的電腦啟動的過程中,IPSec 原則代理程式服務不一定要開始第一個服務。 因此,可能有簡短一下,當電腦的網路連線很容易受到病毒或蠕蟲攻擊。這種情況只會套用在其中可能有弱點的服務已順利啟動,而接受連線,IPSec 原則代理程式服務已經完全啟動並指派所有原則之前的情況下。

屬性

文章編號: 813878 - 上次校閱: 2007年2月28日 - 版次: 6.2
這篇文章中的資訊適用於:
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Home Edition (家用版)
  • Microsoft Windows XP Professional
關鍵字:?
kbmt kbhowto KB813878 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:813878
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com