Sådan konfigureres RPC til at bruge bestemte porte, og sådan sikres disse porte ved hjælp af IPsec

Oversættelser af artikler Oversættelser af artikler
Artikel-id: 908472 - Få vist de produkter, som denne artikel refererer til.
Udvid alle | Skjul alle

Sammenfatning

I denne artikel beskrives, hvordan RPC konfigureres til at bruge et bestemt dynamisk portområde, og hvordan portene i dette område sikres ved hjælp af IP-sikkerhedspolitik (IPsec). Som standard anvender RPC porte i det kortvarige portområde (1024-5000), når det tildeler porte til RPC-programmer, der skal lytte på et TCP-slutpunkt. Denne funktionsmåde kan gøre det svært for netværksadministratorer at begrænse adgangen til disse porte. I denne artikel diskuteres måder, hvorpå antallet af porte, der er tilgængelige for RPC-programmer, begrænses, og hvordan adgangen til disse porte begrænses ved hjælp af en registreringsdatabasebaseret IP-sikkerhedspolitik.

Da trinnene i denne artikel omfatter computerglobale ændringer, der kræver, at computeren genstartes, skal alle disse trin først udføres i miljøer, der ikke er produktionsmiljøer, for at identificere alle problemer med programkompatibilitet, som kan forekomme som resultat af disse ændringer.

Yderligere Information

Der er flere konfigurationsopgaver, der skal udføres for at flytte, reducere og begrænse adgangen til RPC-porte.

Først skal det dynamiske RPC-område begrænses til et mindre og lettere administrerbart portområde, der er lettere blokere med en firewall eller IP-sikkerhedspolitik. Som standard allokerer RPC dynamisk porte i området 1024 til 5000 for slutpunkter, der ikke specificerer en port, hvorpå der skal lyttes.

Bemærk! I denne artikel gøres brug af portområdet 5001-5021 for at undgå at bruge alle midlertidige porte og for at reducere antallet af porte, der er tilgængelige for RPC-slutpunkter, fra 3976 til 20.

Derefter skal der oprettes en IP-sikkerhedspolitik for at begrænse adgangen til dette portområde med henblik på at nægte adgang til alle værter på netværket.

Til sidst kan IP-sikkerhedspolitikken opdateres for at give bestemte IP-adresser eller netværksundernet adgang til de blokerede RPC-porte og udelukke alle andre.

Hvis du vil starte opgaven med at omkonfigurere det dynamiske RPC-portområde, skal du hente RPC Configuration Tool (RPCCfg.exe) og derefter kopiere det til den arbejdsstation eller server, der skal omkonfigureres. Du kan finde sikkerhedsopdateringen på følgende Microsoft-websted:
http://www.microsoft.com/downloads/details.aspx?FamilyID=0f9cde2f-8632-4da8-ae70-645e1ddaf369&DisplayLang=en
Hvis du vil udføre den efterfølgende opgave med at oprette en IPsec-politik, skal du hente Internet Protocol Security Policies Tool (Ipsecpol.exe) og derefter kopiere det til den arbejdsstation eller server, der skal omkonfigureres. Du kan finde sikkerhedsopdateringen på følgende Microsoft-websted:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361
Bemærk! Du kan oprette en IPsec-politik til Microsoft Windows XP eller en nyere version af Windows-operativsystemet ved hjælp af Ipseccmd.exe. Ipseccmd.exe er del af Windows XP-supportværktøjerne. Syntaksen og brugen af IPseccmd.exe er den samme som med Ipsecpol.exe. Yderligere oplysninger om Windows XP-supportværktøjerne finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
838079 Windows XP Service Pack 2 Support Tools

Flyt og reducer det dynamiske RPC-portområde ved hjælp af RPCCfg.exe

Benyt følgende fremgangsmåde for at flytte og reducere det dynamiske RPC-portområde ved hjælp af RPCCfg.exe:
  1. Kopier RPCCfg.exe til den server, der skal konfigureres
  2. Skriv rpccfg.exe -pe 5001-5021 -d 0 ved kommandoprompten.
    Bemærk! Dette portområde anbefales til brug af RPC-slutpunkter, fordi der ikke er stor sandsynlighed for, at portene i dette område allokeres til brug af andre programmer. Som standard bruges portområdet 1024 til 5000 af RPC til allokering af porte til slutpunkter. Dog allokeres porte i dette område også dynamisk af Windows-operativsystemet for alle Windows sockets-anvendelser, og kan opbruges på servere med tungt brug, f.eks. terminalservere og mellemtrinsservere, der foretager mange udgående kald til fjernsystemer.

    Når Internet Explorer f.eks. kontakter en webserver på port 80, lytter det på en port i området 1024-5000 efter svaret fra serveren. En mellemtrins COM-server, der foretager udgående kald til andre fjernservere, anvender også en port i dette område til det indkommende svar på det pågældende kald. Når området af porte, som RPC anvender som slutpunkter, flyttes til 5001-portområdet, reduceres risikoen for, at disse porte vil blive anvendt af andre programmer.
    Yderligere oplysninger om kortvarigt portbrug i Windows-operativsystemer, finder du ved at besøge følgende af Microsofts websteder:

Brug en IPsec- eller firewallpolitik til at blokere adgangen til de svage porte på den berørte vært

I kommandoerne i følgende afsnit repræsenterer enhver tekst, der vises mellem procenttegn (%), tekst i kommandoen, som skal indtastes af den person, der opretter IPsec-politikken. For eksempel skal personen, der opretter politikken, udskifte teksten, alle steder hvor teksten "%IPSECTOOL%" vises. Det skal gøres på følgende måde:
  • På Windows 2000 skal "%IPSECTOOL%" erstattes med "ipsecpol.exe".
  • På Windows XP eller en nyere version af Windows skal "%IPSECTOOL%" erstattes med "ipseccmd.exe".
Yderligere oplysninger om, hvordan du bruger IPsec til at blokere porte, finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
813878 Sådan blokeres for bestemte netværksprotokoller og porte ved hjælp af IPSec. Artiklen er evt. på engelsk.

Bloker adgang til RPC-slutpunktsafbildning for alle IP-adresser

Adgangen til RPC-slutpunktsafbildning blokeres for alle IP-adresser ved hjælp af følgende syntaks.

Bemærk! På Windows XP og nyere operativsystemer skal du bruge Ipseccmd.exe. På Windows 2000 skal du bruge Ipsecpol.exe (Windows 2000).
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK
Bemærk! Skriv ikke "%IPSECTOOL%" i denne kommando. "%IPSECTOOL%" har til formål at repræsentere den del af kommandoen, som skal tilpasses. På Windows 2000 skal du f.eks. indtaste følgende kommando fra en mappe, der indeholder Ipsecpol.exe, for at blokere al indkommende adgang til TCP 135:
ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK
På Windows XP og nyere operativsystemer skal du indtaste følgende kommando fra en mappe, der indeholder Ipseccmd.exe, for at blokere al indkommende adgang til TCP 135:
ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

Bloker adgang til det dynamiske RPC-portområde for alle IP-adresser

Adgangen til det dynamiske RPC-portområde blokeres for alle IP-adresser ved hjælp af følgende syntaks.

Bemærk! På Windows XP og nyere operativsystemer skal du bruge Ipseccmd.exe. På Windows 2000 skal du bruge Ipsecpol.exe (Windows 2000).
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP %PORT% Rule" -f *=0:%PORT%:TCP -n BLOCK
Bemærk! Skriv ikke "%IPSECTOOL%" eller "%PORT%" i denne kommando. "%IPSECTOOL%" og "%PORT%" har til formål at repræsentere de dele af kommandoen, som skal tilpasses. På Windows 2000-værter skal du f.eks. indtaste følgende kommando for at blokere al indkommende adgang til TCP 5001:
ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK
På Windows XP-værter og værter på senere Windows-operativsystemer blokerer du al indkommende adgang til TCP 5001 ved at indtaste følgende kommando:
ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK
Gentag denne kommando for hver RPC-port, der skal blokeres, ved at ændre det portnummer, der er angivet i denne kommando. Portene, der skal blokeres, er i området 5001-5021.

Bemærk! Husk at ændre portnummeret i regelnavnet (parameteren -r) og i filteret (parameteren -f).

Valgfrit: Giv adgang til RPC-slutpunktsafbildning for bestemte undernet, hvis der kræves adgang

Hvis det er nødvendigt at give bestemte undernet adgang til de begrænsede RPC-porte, skal du først give disse undernet adgang til den RPC-slutpunktsafbildning, du har blokeret tidligere. Brug følgende kommando til at give et bestemt undernet adgang til RPC-slutpunktsafbildning:
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP 135 from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:135:TCP -n PASS
Bemærk! I denne kommando gælder følgende sætninger:
  • %IPSECTOOL% repræsenterer den kommando, der skal bruges. Denne kommando er enten "ipsecpol.exe" eller "ipseccmd.exe." Hvilken kommando, der skal bruges, afhænger af det operativsystem, som skal konfigureres.
  • "%SUBNET%" repræsenterer det eksterne IP-undernet, som du vil give adgang til, f.eks. 10.1.1.0.
  • "%MASK%" repræsenterer den undernetmaske, der skal bruges, f.eks. 255.255.255.0.

    Følgende kommando gør det f.eks. muligt for alle værter fra undernettet 10.1.1.0/255.255.255.0 at oprette forbindelse til porten TCP 135. Alle andre værters forbindelser afvises af den standardblokeringsregel, der tidligere blev oprettet for denne port.
    %IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 135 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:135:TCP -n PASS

Valgfrit: Giv adgang til det nye dynamiske RPC-portområde for bestemte undernet, hvis der kræves adgang

Alle undernet, der tidligere blev givet adgang til RPC-slutpunktsafbildning, bør også gives adgang til alle portene i det nye dynamiske RPC-portområde (5001-5021).

Hvis du gør det muligt for undernet at nå RPC-slutpunktsafbildningen men ikke det dynamiske portområde, kan programmet holde op med at reagere, eller der kan forekomme andre problemer.

Følgende kommando giver et bestemt undernet adgang til en port i det nye dynamiske RPC-portområde:
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP %PORT% from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:%PORT%:TCP -n PASS
Bemærk! I denne kommando gælder følgende sætninger:
  • %IPSECTOOL% repræsenterer den kommando, der skal bruges. Denne kommando er enten "ipsecpol.exe" eller "ipseccmd.exe." Hvilken kommando, der skal bruges, afhænger af det operativsystem, som skal konfigureres.
  • "%PORT%" repræsenter den port i det dynamiske portområde, som du vil give adgang til.
  • "%SUBNET%" repræsenterer det eksterne IP-undernet, som du vil give adgang til, f.eks. 10.1.1.0.
  • " %MASK%" repræsenterer den undernetmaske, der skal bruges, f.eks. 255.255.255.0.

    Følgende kommando gør det f.eks. muligt for alle værter fra undernettet 10.1.1.0/255.255.255.0 at oprette forbindelse til porten TCP 5001. Alle andre værters forbindelser afvises af den standardblokeringsregel, der tidligere blev oprettet for denne port.
    %IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 5001 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:5001:TCP -n PASS
Bemærk! Denne kommando skal gentages for hvert undernet og hver port i det nye dynamiske RPC-portområde.

Tildel IPsec-politikken

Bemærk! Kommandoerne i dette afsnit træder straks i kraft.

Når du har oprettet alle blokeringsreglerne og alle de valgfri tilladelsesregler for de konfigurerede RPC-porte, skal du tildele politikken ved at bruge følgende kommando:
%IPSECTOOL% -w REG -p "Block RPC Ports" ?x
Bemærk! Brug følgende kommando for straks at fjerne tildelingen af politikken:
%IPSECTOOL% -w REG -p "Block RPC Ports" ?y
Bemærk! Brug følgende kommando for at slette politikken fra registreringsdatabasen:
%IPSECTOOL% -w REG -p "Block RPC Ports" -o
Du skal genstarte værten, før ændringerne træder i kraft.

Bemærk!
  • Ændringerne i RPC-konfigurationen kræver en genstart.
  • Ændringer i IP-sikkerhedspolitikken træder i kraft øjeblikkeligt og kræver ikke genstart.
Når arbejdsstationen eller serveren genstartes, vil alle RPC-grænseflader, der anvender protokolsekvensen ncacn_ip_tcp og ikke angiver en bestemt TCP-port, der skal bindes til, få allokeret en port fra dette område af RPC-runtime, når RPC-serveren starter.

Bemærk! Serveren kan kræve mere end 20 TCP-porte. Du kan bruge kommandoen rpcdump.exe til at tælle antallet af RPC-slutpunkter, der er bundet til en TCP-port, og til om nødvendigt at øge dette antal. Du kan finde flere oplysninger om, hvordan du får fat i værktøjet RPC Dump, på følgende Microsoft-websted:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd

Egenskaber

Artikel-id: 908472 - Seneste redigering: 6. november 2009 - Redigering: 6.0
Oplysningerne i denne artikel gælder:
  • Microsoft Windows Server 2003 Service Pack 1 på følgende platforme
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows 2000 Server SP4 på følgende platforme
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
  • Microsoft Windows XP Home Edition SP2
  • Microsoft Windows XP Media Center Edition 2005
  • Microsoft Windows XP Professional SP2
  • Microsoft Windows XP Tablet PC Edition 2005
Nøgleord: 
kbinfo KB908472

Send feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com