Blockieren bestimmter Netzwerkprotokolle und Ports mithilfe von IPSec

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 813878 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
813878 How to block specific network protocols and ports by using IPSec
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

Mithilfe von IPSec-Filterregeln (Internet Protocol Security = Internetprotokollsicherheit) können Computer mit den Betriebssystemen Windows 2000, Windows XP und Windows Server 2003 vor netzwerkbasierten Angriffen, beispielsweise mit Viren und Würmern, geschützt werden. Dieser Artikel beschreibt, wie Sie den ein- und ausgehenden Netzwerkverkehr einer bestimmten Protokoll/Port-Kombination filtern können. Unter anderem wird erläutert, wie Sie ermitteln können, ob einem Windows 2000-, Windows XP- oder Windows Server 2003-Computer derzeit IPSec-Richtlinien zugewiesen sind, wie Sie eine neue IPSec-Richtlinie erstellen und zuweisen und wie Sie die Zuweisung einer IPSec-Richtlinie aufheben und die IPSec-Richtlinie löschen.

Weitere Informationen

IPSec-Richtlinien können lokal oder im Rahmen der Gruppenrichtlinien einer Domäne auf ein Domänenmitglied angewendet werden. Lokale IPSec-Richtlinien können statisch (bleiben nach Neustarts bestehen) oder dynamisch (temporär) sein. Statische IPSec-Richtlinien werden in die lokale Registrierung geschrieben und bleiben auch nach dem Neustart des Betriebssystems erhalten. Dynamische IPSec-Richtlinien werden nicht dauerhaft in die Registrierung geschrieben. Sie werden entfernt, wenn das Betriebssystem oder der IPSec-Richtlinien-Agent neu gestartet werden.

Wichtig: Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung mithilfe des Tools "Ipsecpol.exe". Erstellen Sie eine Sicherungskopie der Registrierung, bevor Sie die Registrierung bearbeiten. Vergewissern Sie sich, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen einer Sicherungskopie, zum Wiederherstellen und Bearbeiten der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
256986 Beschreibung der Microsoft Windows-Registrierung
Hinweis: IPSec-Filterregeln können dazu führen, dass Netzwerkprogramme Daten verlieren und nicht mehr auf Netzwerkanforderungen reagieren (unter anderem erfolgt keine Benutzerauthentifizierung mehr). Verwenden Sie IPSec-Filterregeln als letztes Mittel zum Schutz Ihrer Umgebung. Sie sollten IPSec-Filterregeln nur dann einsetzen, wenn Sie sich über die Auswirkungen im Klaren sind, die die Blockierung bestimmter Ports auf Ihre Umgebung haben kann. Wenn eine von Ihnen mithilfe des in diesem Artikel beschriebenen Verfahrens erstellte IPSec-Richtlinie unerwünschte Auswirkungen auf Ihre Netzwerkanwendungen hat, erfahren Sie im Abschnitt "Aufheben der Zuweisung und Löschen einer IPSec-Richtlinie" weiter unten in diesem Artikel, wie Sie die Richtlinie deaktivieren und löschen können.

Bestimmen, ob eine IPSec-Richtlinie zugewiesen ist

Windows Server 2003-Computer

Bevor Sie neue IPSec-Richtlinien auf einem Windows Server 2003-Computer erstellen oder zuweisen, ermitteln Sie, ob bereits IPSec-Richtlinien über die lokale Registrierung oder ein Gruppenrichtlinienobjekt angewendet werden. Gehen Sie hierzu folgendermaßen vor:
  1. Installieren Sie das Tool "Netdiag.exe" von der Windows Server 2003-CD, indem Sie die Datei "Suptools.msi" aus dem Ordner "Support\Tools" ausführen.
  2. Öffnen Sie eine Eingabeaufforderung, und wechseln Sie zum Ordner "C:\Programme\Support Tools".
  3. Führen Sie den folgenden Befehl aus, um sich zu vergewissern, dass dem Computer noch KEINE IPSec-Richtlinie zugewiesen ist:
    netdiag /test:ipsec
    Wenn noch keine Richtlinie zugewiesen ist, wird die folgende Meldung angezeigt:
    IP Security test . . . . . . . . . : Passed IPSec policy service is active, but no policy is assigned. (IP-Sicherheitstest . . . . . . . . . : Bestanden IPSec-Richtliniendienst ist aktiv, es ist aber keine Richtlinie zugewiesen.)

Windows XP-Computer

Bevor Sie neue IPSec-Richtlinien auf einem Windows XP-Computer erstellen oder zuweisen, ermitteln Sie, ob bereits IPSec-Richtlinien über die lokale Registrierung oder ein Gruppenrichtlinienobjekt angewendet werden. Gehen Sie hierzu folgendermaßen vor:
  1. Installieren Sie das Tool "Netdiag.exe" von der Windows XP-CD, indem Sie die Datei "Setup.exe" aus dem Ordner "Support\Tools" ausführen.
  2. Öffnen Sie eine Eingabeaufforderung, und wechseln Sie zum Ordner "C:\Programme\Support Tools".
  3. Führen Sie den folgenden Befehl aus, um sich zu vergewissern, dass dem Computer noch KEINE IPSec-Richtlinie zugewiesen ist:
    netdiag /test:ipsec
    Wenn noch keine Richtlinie zugewiesen ist, wird die folgende Meldung angezeigt:
    IP Security test . . . . . . . . . : Passed IPSec policy service is active, but no policy is assigned. (IP-Sicherheitstest . . . . . . . . . : Bestanden IPSec-Richtliniendienst ist aktiv, es ist aber keine Richtlinie zugewiesen.)

Windows 2000-Computer

Bevor Sie neue IPSec-Richtlinien auf einem Windows 2000-Computer erstellen oder zuweisen, ermitteln Sie, ob bereits IPSec-Richtlinien über die lokale Registrierung oder ein Gruppenrichtlinienobjekt angewendet werden. Gehen Sie hierzu folgendermaßen vor:
  1. Installieren Sie das Tool "Netdiag.exe" von der Windows 2000-CD, indem Sie die Datei "Setup.exe" im Ordner "Support\Tools" ausführen.
  2. Öffnen Sie eine Eingabeaufforderung, und wechseln Sie zum Ordner "C:\Programme\Support Tools".
  3. Führen Sie den folgenden Befehl aus, um sich zu vergewissern, dass dem Computer noch KEINE IPSec-Richtlinie zugewiesen ist:
    netdiag /test:ipsec
    Wenn noch keine Richtlinie zugewiesen ist, wird die folgende Meldung angezeigt:
    IP Security test . . . . . . . . . : Passed IPSec policy service is active, but no policy is assigned. (IP-Sicherheitstest . . . . . . . . . : Bestanden IPSec-Richtliniendienst ist aktiv, es ist aber keine Richtlinie zugewiesen.)

Erstellen einer statischen Richtlinie zum Blockieren von Datenverkehr

Windows Server 2003- und Windows XP-Computer

Auf Systemen, auf denen keine lokal definierte IPSec-Richtlinie aktiviert ist, erstellen Sie eine neue lokale statische Richtlinie zum Blockieren von Datenverkehr, der an ein bestimmtes Protokoll und einen bestimmten Port eines Windows Server 2003- oder Windows XP-Computers gerichtet ist. Gehen Sie hierzu folgendermaßen vor:
  1. Stellen Sie sicher, dass der IPSec-Richtlinien-Agent im MMC-Snap-In "Dienste" aktiviert und gestartet wurde.
  2. Installieren Sie "IPSeccmd.exe". "IPSeccmd.exe" ist Bestandteil der Supporttools in Windows XP Service Pack 2 (SP2).

    Hinweis: "IPSeccmd.exe" kann zwar auf Computern mit den Betriebssystemen Windows XP und Windows Server 2003 ausgeführt werden, dieses Tool ist jedoch nur als Bestandteil des Supporttools-Pakets von Windows XP SP2 erhältlich.

    Weitere Informationen zum Herunterladen und Installieren der Windows XP Service Pack 2-Supporttools finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    838079 Supporttools in Windows XP Service Pack 2
  3. Öffnen Sie eine Eingabeaufforderung, und wechseln Sie zu dem Ordner, in dem Sie die Windows XP Service Pack 2-Supporttools installiert haben.

    Hinweis: Der Standardordner für die Windows XP Service Pack 2-Supporttools ist der Ordner "C:\Programme\Support Tools".
  4. Verwenden Sie den folgenden Befehl, um eine neue lokale IPSec-Richtlinie und -Filterregel zu erstellen, die auf Netzwerkverkehr von einer beliebigen IP-Adresse an die IP-Adresse des Windows Server 2003- oder Windows XP-Computers angewendet wird, den Sie konfigurieren:

    Hinweis: In dem folgenden Befehl sind Protokoll und Portnummer Variablen.
    IPSeccmd.exe -w REG -p "Block ProtokollPortnummer Filter" -r "Block Inbound ProtokollPortnummer Rule" -f *=0:Portnummer:Protokoll -n BLOCK –x
    Geben Sie zum Beispiel den folgenden Befehl ein, um Netzwerkverkehr von einer beliebigen IP-Adresse und einem beliebigen Quellport an den Zielport UDP 1434 auf einem Windows Server 2003- oder Windows XP-Computer zu blockieren. Mithilfe dieser Richtlinie können Computer, auf denen Microsoft SQL Server 2000 ausgeführt wird, vor dem Wurmvirus "Slammer" geschützt werden.
    IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -r "Block Inbound UDP 1434 Rule" -f *=0:1434:UDP -n BLOCK -x
    Mit dem folgenden Beispielbefehl wird eingehender Verkehr am TCP-Port 80 blockiert, ausgehender Verkehr am TCP-Port 80 jedoch zugelassen. Mithilfe dieser Richtlinie können Computer, auf denen Microsoft Internet Information Services (IIS) 5.0 ausgeführt wird, vor den Würmern "Code Red" und "Nimda" geschützt werden.
    IPSeccmd.exe -w REG -p "Block TCP 80 Filter" -r "Block Inbound TCP 80 Rule" -f *=0:80:TCP -n BLOCK -x
    Hinweis: Die Befehlszeilenoption -x weist die Richtlinie sofort zu. Wenn Sie diesen Befehl eingeben, wird die Zuweisung der Richtlinie "Block UDP 1434 Filter" aufgehoben, und die Richtlinie "Block TCP 80 Filter" wird zugewiesen. Wenn Sie die Richtlinie zwar hinzufügen, aber nicht zuweisen möchten, geben Sie den Befehl ohne die abschließende Befehlszeilenoption -x ein.
  5. Verwenden Sie den folgenden Befehl, um eine zusätzliche Filterregel zur vorhandenen Richtlinie "Block UDP 1434 Filter" hinzuzufügen, die Netzwerkverkehr von Ihrem Windows Server 2003- oder Windows XP-Computer zu einer beliebigen IP-Adresse blockiert.

    Hinweis: In diesem Befehl sind Protokoll und Portnummer Variablen.
    IPSeccmd.exe -w REG -p "Block ProtokollPortnummer Filter" -r "Block Outbound ProtokollPortnummer Rule" -f *=0:Portnummer:Protokoll -n BLOCK
    Geben Sie zum Beispiel den folgenden Befehl ein, um Netzwerkverkehr von Ihrem Windows Server 2003- oder Windows XP-Computer an den Zielport UDP 1434 auf einem beliebigen anderen Host zu blockieren. Mithilfe dieser Richtlinie kann verhindert werden, dass Computer, auf denen SQL Server 2000 ausgeführt wird, den Wurmvirus "Slammer" verbreiten.
    IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -r "Block Outbound UDP 1434 Rule" -f 0=*:1434:UDP -n BLOCK
    Hinweis: Mit diesem Befehl können Sie beliebig viele Filterregeln zu einer Richtlinie hinzufügen. Beispielsweise können Sie mithilfe dieses Befehls mehrere Ports mithilfe derselben Richtlinie blockieren.
  6. Die Richtlinie aus Schritt 5 ist nun wirksam und bleibt auch nach dem Neustart des Computers erhalten. Wird dem Computer jedoch später eine domänenbasierte IPSec-Richtlinie zugewiesen, wird diese lokale Richtlinie überschrieben und nicht mehr angewendet.

    Wechseln Sie in einer Eingabeaufforderung zum Ordner "C:\Programme\Support Tools", und geben Sie den folgenden Befehl ein, um die erfolgreiche Zuweisung der Filterregel zu überprüfen:
    netdiag /test:ipsec /debug
    Wenn wie in diesen Beispielen Richtlinien für eingehenden und ausgehenden Verkehr zugewiesen werden, wird die folgende Meldung angezeigt:
    IP Security test . . . . . . . . . :
    Passed Local IPSec Policy Active: 'Block UDP 1434 Filter' IP Security Policy Path: (IP-Sicherheitstest . . . . . . . . . : Bestanden Lokale IPSec-Richtlinie ist aktiv: 'Block UDP 1434 Filter'-IP-Sicherheitsrichtlinienpfad:) SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{D239C599-F945-47A3-A4E3-B37BC12826B9}

    There are 2 filters (Es gibt zwei Filter)
    No Name
    Filter Id: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
    Policy Id: {509492EA-1214-4F50-BF43-9CAC2B538518}
    Src Addr : 0.0.0.0 Src Mask : 0.0.0.0
    Dest Addr : 192.168.1.1 Dest Mask : 255.255.255.255
    Tunnel Addr : 0.0.0.0 Src Port : 0 Dest Port : 1434
    Protocol : 17 TunnelFilter: No
    Flags : Inbound Block
    No Name
    Filter Id: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
    Policy Id: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
    Src Addr : 192.168.1.1 Src Mask : 255.255.255.255
    Dest Addr : 0.0.0.0 Dest Mask : 0.0.0.0
    Tunnel Addr : 0.0.0.0 Src Port : 0 Dest Port : 1434
    Protocol : 17 TunnelFilter: No
    Flags : Outbound Block
    Hinweis: Statt der hier angegebenen IP-Adressen und GUIDs werden die Angaben für Ihren Windows Server 2003- oder Windows XP-Computer angezeigt.

Windows 2000-Computer

Gehen Sie auf Systemen, auf denen keine lokal definierte IPSec-Richtlinie aktiviert ist, folgendermaßen vor, um eine neue lokale statische Richtlinie zum Blockieren von Verkehr zu erstellen, der an ein bestimmtes Protokoll und einen bestimmten Port eines Windows 2000-Computers gerichtet ist, auf dem keine IPSec-Richtlinie zugewiesen ist:
  1. Stellen Sie sicher, dass der IPSec-Richtlinien-Agent im MMC-Snap-In "Dienste" aktiviert und gestartet wurde.
  2. Besuchen Sie die folgende Website von Microsoft, um das Tool "Ipsecpol.exe" herunterzuladen und zu installieren:
    http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361
  3. Öffnen Sie eine Eingabeaufforderung, und wechseln Sie zu dem Ordner, in dem Sie das Tool "Ipsecpol.exe" installiert haben.

    Hinweis: Die Datei "Ipsecpol.exe" befindet sich standardmäßig im Ordner "C:\Programme\Resource Kit".
  4. Verwenden Sie den folgenden Befehl, um eine neue lokale IPSec-Richtlinie und -Filterregel zu erstellen, die auf Netzwerkverkehr von einer beliebigen IP-Adresse an die IP-Adresse des Windows 2000-Computers angewendet wird, den Sie konfigurieren (hierbei sind Protokoll und Portnummer Variablen):
    ipsecpol -w REG -p "Block ProtokollPortnummer Filter" -r "Block Inbound ProtokollPortnummer Rule" -f *=0:Portnummer:Protokoll -n BLOCK –x
    Geben Sie zum Beispiel den folgenden Befehl ein, um Netzwerkverkehr von einer beliebigen IP-Adresse und einem beliebigen Quellport an den Zielport UDP 1434 auf einem Windows 2000-Computer zu blockieren. Mithilfe dieser Richtlinie können Computer, auf denen Microsoft SQL Server 2000 ausgeführt wird, vor dem Wurmvirus "Slammer" geschützt werden.
    ipsecpol -w REG -p "Block UDP 1434 Filter" -r "Block Inbound UDP 1434 Rule" -f *=0:1434:UDP -n BLOCK -x
    Mit dem folgenden Beispielbefehl wird eingehender Verkehr am TCP-Port 80 blockiert, ausgehender Verkehr am TCP-Port 80 jedoch zugelassen. Mithilfe dieser Richtlinie können Computer, auf denen Microsoft Internet Information Services (IIS) 5.0 ausgeführt wird, vor den Würmern "Code Red" und "Nimda" geschützt werden.
    ipsecpol -w REG -p "Block TCP 80 Filter" -r "Block Inbound TCP 80 Rule" -f *=0:80:TCP -n BLOCK -x
    Hinweis: Die Befehlszeilenoption -x weist die Richtlinie sofort zu. Wenn Sie diesen Befehl eingeben, wird die Zuweisung der Richtlinie "Block UDP 1434 Filter" aufgehoben, und die Richtlinie "Block TCP 80 Filter" wird zugewiesen. Wenn Sie die Richtlinie zwar hinzufügen, aber nicht zuweisen möchten, geben Sie den Befehl ohne den abschließenden Parameter -x ein.
  5. Verwenden Sie den folgenden Befehl, um eine zusätzliche Filterregel zur vorhandenen Richtlinie "Block UDP 1434 Filter" hinzuzufügen, die Netzwerkverkehr von Ihrem Windows 2000-Computer zu einer beliebigen IP-Adresse blockiert (hierbei sind Protokoll und Portnummer Variablen):
    ipsecpol -w REG -p "Block ProtokollPortnummer Filter" -r "Block Outbound ProtokollPortnummer Rule" -f *=0:Portnummer:Protokoll -n BLOCK
    Geben Sie zum Beispiel den folgenden Befehl ein, um Netzwerkverkehr von Ihrem Windows 2000-Computer an den Zielport UDP 1434 auf einem beliebigen anderen Host zu blockieren. Mithilfe dieser Richtlinie kann verhindert werden, dass Computer, auf denen SQL Server 2000 ausgeführt wird, den Wurmvirus "Slammer" verbreiten.
    ipsecpol -w REG -p "Block UDP 1434 Filter" -r "Block Outbound UDP 1434 Rule" -f 0=*:1434:UDP -n BLOCK
    Hinweis: Mit diesem Befehl können Sie beliebig viele Filterregeln zu einer Richtlinie hinzufügen (beispielsweise, um mehrere Ports mithilfe derselben Richtlinie blockieren).
  6. Die Richtlinie aus Schritt 5 ist nun wirksam und bleibt auch nach dem Neustart des Computers erhalten. Wird dem Computer jedoch später eine domänenbasierte IPSec-Richtlinie hinzugefügt, wird diese lokale Richtlinie überschrieben und nicht mehr angewendet. Wechseln Sie an einer Eingabeaufforderung zum Ordner "C:\Programme\Support Tools", und geben Sie den folgenden Befehl ein, um die erfolgreiche Zuweisung der Filterregel zu überprüfen:
    netdiag /test:ipsec /debug
    Wenn wie in diesen Beispielen Richtlinien für eingehenden und ausgehenden Verkehr zugewiesen werden, wird die folgende Meldung angezeigt:
    IP Security test . . . . . . . . . :
    Passed Local IPSec Policy Active: 'Block UDP 1434 Filter' IP Security Policy Path: (IP-Sicherheitstest . . . . . . . . . : Bestanden Lokale IPSec-Richtlinie ist aktiv: 'Block UDP 1434 Filter'-IP-Sicherheitsrichtlinienpfad:) SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{D239C599-F945-47A3-A4E3-B37BC12826B9}

    There are 2 filters (Es gibt zwei Filter)
    No Name
    Filter Id: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
    Policy Id: {509492EA-1214-4F50-BF43-9CAC2B538518}
    Src Addr : 0.0.0.0 Src Mask : 0.0.0.0
    Dest Addr : 192.168.1.1 Dest Mask : 255.255.255.255
    Tunnel Addr : 0.0.0.0 Src Port : 0 Dest Port : 1434
    Protocol : 17 TunnelFilter: No
    Flags : Inbound Block
    No Name
    Filter Id: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
    Policy Id: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
    Src Addr : 192.168.1.1 Src Mask : 255.255.255.255
    Dest Addr : 0.0.0.0 Dest Mask : 0.0.0.0
    Tunnel Addr : 0.0.0.0 Src Port : 0 Dest Port : 1434
    Protocol : 17 TunnelFilter: No
    Flags : Outbound Block
    Hinweis: Statt der hier angegebenen IP-Adressen und GUIDs werden die Angaben für Ihren Windows 2000-Computer angezeigt.

Hinzufügen einer BLOCK-Regel für eine bestimmte Protokoll/Port-Kombination

Windows Server 2003- und Windows XP-Computer

Gehen Sie folgendermaßen vor, um eine BLOCK-Regel für eine bestimmte Protokoll/Port-Kombination auf einem Windows Server 2003- oder Windows XP-Computer hinzuzufügen, auf dem es eine lokal zugewiesene statische IPSec-Richtlinie gibt:
  1. Installieren Sie "IPSeccmd.exe". "IPSeccmd.exe" ist Bestandteil der Supporttools in Windows XP SP2.

    Weitere Informationen zum Herunterladen und Installieren der Windows XP Service Pack 2-Supporttools finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    838079 Supporttools in Windows XP Service Pack 2
  2. Suchen Sie nach der derzeit zugewiesenen IPSec-Richtlinie. Geben Sie hierzu an einer Eingabeaufforderung den folgenden Befehl ein:
    netdiag /test:ipsec
    Wenn bereits eine Richtlinie zugewiesen ist, wird eine Meldung angezeigt, die der folgenden ähnlich ist:
    IP Security test . . . . . . . . . : Passed
    Local IPSec Policy Active: 'Block UDP 1434 Filter' (IP-Sicherheitstest . . . . . . . . . : Bestanden
    Lokale IPSec-Richtlinie ist aktiv: 'Block UDP 1434 Filter')
  3. Wenn dem Computer bereits eine IPSec-Richtlinie (lokal oder domänenbasiert) zugewiesen wurde, verwenden Sie den folgenden Befehl, um eine BLOCK-Filterregel zur vorhandenen IPSec-Richtlinie hinzuzufügen:

    Hinweis: In diesem Befehl sind Name der vorhandenen IPSec-Richtlinie, Protokoll und Portnummer Variablen.
    IPSeccmd.exe -p "Name der vorhandenen IPSec-Richtlinie" -w REG -r "Block ProtokollPortnummer Rule" -f *=0:Portnummer:Protokoll -n BLOCK
    Geben Sie zum Beispiel den folgenden Befehl ein, um eine Filterregel zur vorhandenen Richtlinie "Block UDP 1434 Filter" hinzuzufügen, die den eingehenden Verkehr am TCP-Port 80 blockiert:
    IPSeccmd.exe -p "Block UDP 1434 Filter" -w REG -r "Block Inbound TCP 80 Rule" -f *=0:80:TCP -n BLOCK

Windows 2000-Computer

Gehen Sie folgendermaßen vor, um eine BLOCK-Regel für eine bestimmte Protokoll/Port-Kombination auf einem Windows 2000-Computer mit einer lokal zugewiesenen statischen IPSec-Richtlinie hinzuzufügen:
  1. Besuchen Sie die folgende Website von Microsoft, um das Tool "Ipsecpol.exe" herunterzuladen und zu installieren:
    http://support.microsoft.com/kb/927229
  2. Suchen Sie nach der derzeit zugewiesenen IPSec-Richtlinie. Geben Sie hierzu an einer Eingabeaufforderung den folgenden Befehl ein:
    netdiag /test:ipsec
    Wenn bereits eine Richtlinie zugewiesen ist, wird eine Meldung angezeigt, die der folgenden ähnlich ist:
    IP Security test . . . . . . . . . : Passed
    Local IPSec Policy Active: 'Block UDP 1434 Filter' (IP-Sicherheitstest . . . . . . . . . : Bestanden
    Lokale IPSec-Richtlinie ist aktiv: 'Block UDP 1434 Filter')
  3. Wenn dem Computer bereits eine IPSec-Richtlinie (lokal oder domänenbasiert) zugewiesen wurde, verwenden Sie den folgenden Befehl, um eine BLOCK-Filterregel zur vorhandenen IPSec-Richtlinie hinzuzufügen (hierbei sind Name der vorhandenen IPSec-Richtlinie, Protokoll und Portnummer Variablen):
    ipsecpol -p "Name der vorhandenen IPSec-Richtlinie" -w REG -r "Block ProtokollPortnummer Rule" -f *=0:Portnummer:Protokoll -n BLOCK
    Geben Sie zum Beispiel den folgenden Befehl ein, um eine Filterregel zur vorhandenen Richtlinie "Block UDP 1434 Filter" hinzuzufügen, die den eingehenden Verkehr am TCP-Port 80 blockiert:
    ipsecpol -p "Block UDP 1434 Filter" -w REG -r "Block Inbound TCP 80 Rule" -f *=0:80:TCP -n BLOCK

Hinzufügen einer dynamischen BLOCK-Richtlinie für eine bestimmte Protokoll/Port-Kombination

Windows Server 2003- und Windows XP-Computer

Eventuell möchten Sie den Zugriff auf einen bestimmten Port vorübergehend blockieren (zum Beispiel bis zur Installation eines Updates, oder wenn dem Computer bereits eine domänenbasierte IPSec-Richtlinie zugewiesen wurde). Gehen Sie folgendermaßen vor, um den Zugriff auf einen Port auf einem Windows Server 2003- oder Windows XP-Computer mithilfe einer IPSec-Richtlinie vorübergehend zu blockieren:
  1. Installieren Sie "IPSeccmd.exe". "IPSeccmd.exe" ist Bestandteil der Supporttools in Windows XP Service Pack 2.

    Hinweis: "IPSeccmd.exe" kann zwar auf Computern mit den Betriebssystemen Windows XP und Windows Server 2003 ausgeführt werden, dieses Tool ist jedoch nur als Bestandteil des Supporttools-Pakets von Windows XP SP2 erhältlich.

    Weitere Informationen zum Herunterladen und Installieren der Windows XP Service Pack 2-Supporttools finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    838079 Supporttools in Windows XP Service Pack 2
  2. Geben Sie den folgenden Befehl an einer Eingabeaufforderung ein, um einen dynamischen BLOCK-Filter hinzuzufügen, der alle Pakete von einer beliebigen IP-Adresse an die IP-Adresse und den Zielport Ihres Systems blockiert.

    Hinweis: In dem folgenden Befehl sind Protokoll und Portnummer Variablen.
    IPSeccmd.exe -f [*=0:Portnummer:Protokoll]
    Hinweis: Dieser Befehl erstellt den BLOCK-Filter dynamisch. Die Richtlinie bleibt zugewiesen, solange der IPSec-Richtlinien-Agent ausgeführt wird. Wenn der IPSec-Richtlinien-Agent oder der Computer neu gestartet werden, geht diese Richtlinie verloren. Wenn Sie die IPSec-Filterregel bei jedem Neustart des Systems dynamisch zuweisen möchten, erstellen Sie ein Startskript, um die Filterregel erneut anzuwenden. Wenn Sie diesen Filter dauerhaft anwenden möchten, konfigurieren Sie den Filter als statische IPSec-Richtlinie. Das MMC-Snap-In für die IPSec-Richtlinienverwaltung stellt eine grafische Benutzeroberfläche für die Verwaltung der IPSec-Richtlinienkonfiguration bereit. Falls bereits eine domänenbasierte IPSec-Richtlinie angewendet wird, zeigt der Befehl netdiag /test:ipsec /debug möglicherweise nur die Filterdetails an, wenn der Befehl von einem Benutzer mit den Anmeldeinformationen des Domänenadministrators ausgeführt wird.

Windows 2000-Computer

Eventuell möchten Sie einen bestimmten Port temporär blockieren (zum Beispiel bis zur Installation eines Updates, oder wenn dem Computer bereits eine domänenbasierte IPSec-Richtlinie zugewiesen wurde). Gehen Sie folgendermaßen vor, um den Zugriff auf einen Port auf einem Windows 2000-Computer mithilfe der IPSec-Richtlinie vorübergehend zu blockieren:
  1. Besuchen Sie die folgende Website von Microsoft, um das Tool "Ipsecpol.exe" herunterzuladen und zu installieren:
    http://support.microsoft.com/kb/927229
  2. Geben Sie den folgenden Befehl an einer Eingabeaufforderung ein, um einen dynamischen BLOCK-Filter hinzuzufügen, der alle Pakete von einer beliebigen IP-Adresse an die IP-Adresse und den Zielport Ihres Systems blockiert (hierbei sind Protokoll und Portnummer Variablen):
    ipsecpol -f [*=0:Portnummer:Protokoll]
    Hinweis: Dieser Befehl erstellt den BLOCK-Filter dynamisch. Die Richtlinie bleibt zugewiesen, solange der IPSec-Richtlinien-Agent ausgeführt wird. Wenn der IPSec-Dienst oder der Computer neu gestartet werden, geht diese Einstellung verloren. Wenn Sie die IPSec-Filterregel bei jedem Neustart des Systems dynamisch zuweisen möchten, erstellen Sie ein Startskript, um die Filterregel erneut anzuwenden. Wenn Sie diesen Filter dauerhaft anwenden möchten, konfigurieren Sie den Filter als statische IPSec-Richtlinie. Das MMC-Snap-In für die IPSec-Richtlinienverwaltung stellt eine grafische Benutzeroberfläche für die Verwaltung der IPSec-Richtlinienkonfiguration bereit. Falls bereits eine domänenbasierte IPSec-Richtlinie angewendet wird, zeigt der Befehl netdiag /test:ipsec /debug möglicherweise nur die Filterdetails an, wenn der Befehl von einem Benutzer mit den Anmeldeinformationen des Domänenadministrators ausgeführt wird. In Windows 2000 Service Pack 4 wird eine aktualisierte Version des Tools "Netdiag.exe" zur Verfügung gestellt, die es lokalen Administratoren erlaubt, domänenbasierte IPSec-Richtlinien anzuzeigen.

IPSec-Filterregeln und Gruppenrichtlinien

In Umgebungen, in denen IPSec-Richtlinien durch eine Gruppenrichtlinie zugewiesen werden, müssen Sie die Richtlinien der gesamten Domäne so aktualisieren, dass das entsprechende Protokoll und der entsprechende Port blockiert werden. Nachdem Sie die IPSec-Einstellungen im Rahmen der Gruppenrichtlinie erfolgreich konfiguriert haben, müssen Sie eine Aktualisierung aller Gruppenrichtlinien-Einstellungen auf allen Windows Server 2003, Windows XP- und Windows 2000-Computern der Domäne erzwingen. Verwenden Sie hierzu den folgenden Befehl:
secedit /refreshpolicy machine_policy
Die Änderung der IPSec-Richtlinie wird innerhalb von zwei Abfrageintervallen erkannt. Um die neu zugewiesene IPSec-Richtlinie auf ein Gruppenrichtlinienobjekt anzuwenden, wird die IPSec-Richtlinie innerhalb des Zeitraums auf die Clients angewendet, der für das Gruppenrichtlinien-Abfrageintervall festgelegt ist, bzw. wenn der Befehl secedit /refreshpolicy machine_policy auf den Client-Computern ausgeführt wird. Wenn die IPSec-Richtlinie bereits einem Gruppenrichtlinienobjekt (GPO) zugewiesen ist und neue IPSec-Filter oder -Regeln zu einer vorhandenen Richtlinie hinzugefügt werden, erkennt der Befehl secedit keine Änderungen. In diesem Szenario werden Änderungen an einer vorhandenen GPO-basierten IPSec-Richtlinie innerhalb des Abfrageintervalls dieser IPSec-Richtlinie erkannt. Dieses Intervall ist auf der Registerkarte Allgemein für diese IPSec-Richtlinie angegeben. Sie können auch eine Aktualisierung der IPSec-Richtlinieneinstellungen erzwingen, indem Sie den IPSec-Richtlinien-Agenten neu starten. Wenn der IPSec-Dienst beendet oder neu gestartet wird, kommt es zu einer Unterbrechung der IPSec-geschützten Kommunikation. Diese wird erst nach einigen Sekunden wieder aufgenommen. Hierdurch kann es dazu kommen, dass Programmverbindungen getrennt werden. Dies gilt insbesondere für Verbindungen, die große Datenmengen aktiv übertragen. Wenn die IPSec-Richtlinie nur auf dem lokalen Computer angewendet wird, müssen Sie den Dienst nicht neu starten.

Aufheben der Zuweisung und Löschen einer IPSec-Richtlinie

Windows Server 2003- und Windows XP-Computer

  • Computer mit einer lokal definierten statischen Richtlinie
    1. Öffnen Sie eine Eingabeaufforderung, und wechseln Sie zu dem Ordner, in dem Sie das Tool "Ipsecpol.exe" installiert haben.
    2. Verwenden Sie den folgenden Befehl, um die Zuweisung des zuvor erstellten Filters aufzuheben:
      IPSeccmd.exe -w REG -p "Block ProtokollPortnummer Filter" –y
      Verwenden Sie zum Beispiel den folgenden Befehl, um die Zuweisung von "Block UDP 1434 Filter" aufzuheben:
      IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -y
    3. Verwenden Sie den folgenden Befehl, um den von Ihnen erstellten Filter zu löschen:
      IPSeccmd.exe -w REG -p "Block ProtokollPortnummer Filter" -r "Block ProtokollPortnummer Rule" –o
      Verwenden Sie zum Beispiel den folgenden Befehl, um den Filter "Block UDP 1434 Filter" und die beiden zuvor erstellten Regeln zu löschen:
      IPSeccmd.exe -w REG -p "Block UDP 1434 Filter" -r "Block Inbound UDP 1434 Rule" -r "Block Outbound UDP 1434 Rule" -o
  • Computer mit einer lokal definierten dynamischen Richtlinie
    Die Zuweisung dynamischer IPSec-Richtlinien wird aufgehoben, wenn der IPSec-Richtlinien-Agent mithilfe des Befehls net stop policyagent beendet wird. Gehen Sie folgendermaßen vor, um die zuvor verwendeten Befehle zu löschen, ohne den IPSec-Richtlinien-Agenten zu beenden:
    1. Öffnen Sie eine Eingabeaufforderung, und wechseln Sie zu dem Ordner, in dem Sie die Windows XP Service Pack 2-Supporttools installiert haben.
    2. Geben Sie folgenden Befehl ein:
      IPSeccmd.exe –u
      Hinweis: Sie können den IPSec-Richtlinien-Agenten auch neu starten, um alle dynamisch zugewiesenen Richtlinien zu löschen.

Windows 2000-Computer

  • Computer mit einer lokal definierten statischen Richtlinie
    1. Öffnen Sie eine Eingabeaufforderung, und wechseln Sie zu dem Ordner, in dem Sie das Tool "Ipsecpol.exe" installiert haben.
    2. Verwenden Sie den folgenden Befehl, um die Zuweisung des zuvor erstellten Filters aufzuheben:
      ipsecpol -w REG -p "Block ProtokollPortnummer Filter" –y
      Verwenden Sie zum Beispiel den folgenden Befehl, um die Zuweisung von "Block UDP 1434 Filter" aufzuheben:
      ipsecpol -w REG -p "Block UDP 1434 Filter" -y
    3. Verwenden Sie den folgenden Befehl, um den von Ihnen erstellten Filter zu löschen:
      ipsecpol -w REG -p "Block ProtokollPortnummer Filter" -r "Block ProtokollPortnummer Rule" –o
      Verwenden Sie zum Beispiel den folgenden Befehl, um den Filter "Block UDP 1434 Filter" und die beiden zuvor erstellten Regeln zu löschen:
      ipsecpol -w REG -p "Block UDP 1434 Filter" -r "Block Inbound UDP 1434 Rule" -r "Block Outbound UDP 1434 Rule" -o
  • Computer mit einer lokal definierten dynamischen Richtlinie

    Die Zuweisung dynamischer IPSec-Richtlinien wird aufgehoben, wenn der IPSec-Richtlinien-Agent mithilfe des Befehls net stop policyagent beendet wird. Gehen Sie folgendermaßen vor, um die zuvor verwendeten Befehle zu löschen, ohne den IPSec-Richtlinien-Agenten zu beenden:
    1. Öffnen Sie eine Eingabeaufforderung, und wechseln Sie zu dem Ordner, in dem Sie das Tool "Ipsecpol.exe" installiert haben.
    2. Geben Sie folgenden Befehl ein:
      Ipsecpol –u
      Hinweis: Sie können den IPSec-Richtlinien-Agenten auch neu starten, um alle dynamisch zugewiesenen Richtlinien zu löschen.

Anwenden der neuen Filterregel auf alle Protokolle und Ports

Unter Microsoft Windows 2000 und Microsoft Windows XP wendet IPSec standardmäßig keine Filter- und Authentifizierungsbeschränkungen auf den Broadcast-, Multicast-, RSVP-, IKE- und Kerberos-Datenverkehr an. Weitere Informationen zu diesen Ausnahmen finden Sie im folgenden Artikel der Microsoft Knowledge Base:
253169 Von IPSec Verkehr, die folgende Möglichkeit hat, zu können, und nicht abonnieren kann kann, abgesichert werden
In Umgebungen, in denen IPSec nur verwendet wird, um Verkehr zuzulassen und zu blockieren, entfernen Sie die Ausnahmen für Kerberos- und RSVP-Protokolle, indem Sie einen Registrierungswert ändern. Weitere Informationen hierzu finden Sie im folgenden Artikel der Microsoft Knowledge Base:
254728 IPSec sichert Kerberos-Verkehr zwischen Domänencontrollern nicht
Wenn Sie diese Anweisungen befolgen, können Sie den Schutz des UDP-Ports 1434 auch in Fällen verbessern, in denen ein Angreifer seinen Quellport auf die Kerberos-Ports TCP/UDP 88 einstellt. Durch Entfernen der Kerberos-Ausnahmen werden nun alle Filter der IPSec-Richtlinie auf Kerberos-Pakete angewendet. Hierdurch kann Kerberos innerhalb der IPSec-Richtlinie geschützt, blockiert oder zugelassen werden. Wenn der bei den IP-Adressen des Domänencontrollers eingehende Kerberos-Verkehr von IPSec gefiltert wird, müssen Sie eventuell neue Filter zur IPSec-Richtlinie hinzufügen, um Kerberos-Verkehr an alle IP-Adressen des Domänencontrollers zuzulassen (wenn Sie IPSec nicht wie im Knowledge Base-Artikel 254728 beschrieben verwenden, um den gesamten Verkehr zwischen den Domänencontrollern zu sichern).

Anwenden von IPSec-Filterregeln beim Neustart des Computers

Die Zuweisung sämtlicher IPSec-Richtlinien erfolgt über den IPSec-Richtlinien-Agenten. Beim Starten eines Windows 2000-Computers wird der IPSec-Richtlinien-Agent nicht unbedingt als erster Dienst gestartet. Daher kann die Netzwerkverbindung des Computers für einen kurzen Moment anfällig für Angriffe durch Viren oder Würmer sein. Diese Situation besteht jedoch nur, wenn ein potenziell angreifbarer Dienst erfolgreich gestartet wurde und Verbindungen akzeptiert, bevor der IPSec-Richtlinien-Agent vollständig gestartet wurde und sämtliche Richtlinien zugewiesen hat.

Eigenschaften

Artikel-ID: 813878 - Geändert am: Montag, 29. Januar 2007 - Version: 6.1
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional
Keywords: 
kbhowto KB813878
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns