Konfigurieren von RPC für die Verwendung bestimmter Ports und Schützen dieser Ports mit IPsec

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 908472 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Zusammenfassung

Dieser Artikel beschreibt, wie RPC für die Verwendung eines bestimmten dynamischen Portbereichs konfiguriert werden kann und wie die Ports in diesem Bereich mit einer IPsec-Richtlinie geschützt werden können (IPsec = Internet Protocol Security). Standardmäßig verwendet RPC Ports im Bereich der temporären Ports (1024-5000), wenn es Ports zu RPC-Anwendungen zuordnet, die einen TCP-Endpunkt überwachen müssen. Dieses Verhalten kann die Beschränkung des Zugriffs auf diese Ports für Netzwerkadministratoren schwierig machen. Der Artikel behandelt Möglichkeiten zur Reduzierung der Ports, die für RPC-Anwendungen zur Verfügung stehen, sowie die Vorgehensweise zur Einschränkung des Zugriffs auf diese Ports über eine auf der Registrierung basierende IPsec-Richtlinie.

Da die in diesem Artikel beschriebenen Schritte computerweite Änderungen bedeuten, die ein Neustarten des Computers erfordern, sollten sie zunächst in Nicht-Produktionsumgebungen durchgeführt werden, um eventuelle Probleme mit der Anwendungskompatibilität zu ermitteln, die aus diesen Änderungen resultieren können.

Weitere Informationen

Es sind mehrere Konfigurationsaufgaben in einer bestimmten Reihenfolge durchzuführen, um RPC-Ports zu verschieben, zu reduzieren und den Zugriff auf diese Ports einzuschränken.

Zunächst sollte der dynamische RPC-Portbereich auf einen kleineren, besser handhabbaren Portbereich eingeschränkt werden, der leichter über eine Firewall oder eine IPsec-Richtlinie blockiert werden kann. Standardmäßig weist RPC dynamisch Ports im Bereich zwischen 1024 und 5000 für Endpunkte zu, die keinen Port für die Überwachung angeben.

Hinweis Dieser Artikel verwendet den Portbereich von 5001 bis 5021, um ein Ausschöpfen der temporären Ports zu vermeiden und die Anzahl der für RPC-Endpunkte verfügbaren Ports von 3.976 auf 20 zu reduzieren.

Anschließend muss eine IPsec-Richtlinie erstellt werden, um den Zugriff auf diesen Portbereich einzuschränken und so den Zugriff auf alle Hosts im Netzwerk zu verweigern.

Schließlich kann die IPsec-Richtlinie aktualisiert werden, um bestimmten IP-Adressen oder Netzwerksubnetzen den Zugriff auf die blockierten RPC-Ports zu gewähren und alle anderen auszuschließen.

Zur Neukonfiguration des dynamischen RPC-Portbereichs laden Sie das RPC-Konfigurationsprogramm ("RPCCfg.exe") herunter, und kopieren Sie es auf die Arbeitsstation oder den Server, die bzw. der neu konfiguriert werden soll. Rufen Sie hierzu die folgende Website von Microsoft auf:
http://www.microsoft.com/downloads/details.aspx?FamilyID=0f9cde2f-8632-4da8-ae70-645e1ddaf369&DisplayLang=en
Zum anschließenden Erstellen einer IPsec-Richtlinie laden Sie das IPsec-Richtlinien-Tool ("Ipsecpol.exe") herunter, und kopieren Sie es auf die Arbeitsstation oder den Server, die bzw. der neu konfiguriert werden soll. Rufen Sie hierzu die folgende Website von Microsoft auf:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361
Hinweis Verwenden Sie das Programm "Ipseccmd.exe", um eine IPsec-Richtlinie für Microsoft Windows XP oder eine höhere Version des Windows-Betriebssystems zu erstellen. "Ipseccmd.exe" ist in den Windows XP-Supporttools enthalten. Syntax und Verwendung von "Ipseccmd.exe" entsprechen der Syntax und Verwendung von "Ipsecpol.exe". Weitere Informationen zu den Windows XP-Supporttools finden Sie im folgenden Artikel der Microsoft Knowledge Base:
838079 Supporttools in Windows XP Service Pack 2

Verschieben und Reduzieren des dynamischen RPC-Portbereichs mit "RPCCfg.exe"

Gehen Sie folgendermaßen vor, um den dynamischen RPC-Portbereich mit "RPCCfg.exe" zu verschieben und zu reduzieren:
  1. Kopieren Sie "RPCCfg.exe" auf den zu konfigurierenden Server.
  2. Geben Sie an der Eingabeaufforderung rpccfg.exe -pe 5001-5021 -d 0 ein.
    Hinweis Dieser Portbereich wird für die Verwendung durch RPC-Endpunkte empfohlen, da es unwahrscheinlich ist, dass Ports in diesem Bereich für die Nutzung durch andere Anwendungen zugeordnet werden. Standardmäßig verwendet RPC den Portbereich zwischen 1024 und 5000 für die Zuordnung von Ports für Endpunkte. Ports in diesem Bereich werden jedoch auch für die Verwendung durch das Windows-Betriebssystem für alle Windows-Sockets-Anwendungen dynamisch zugewiesen und können auf stark belasteten Servern ausgeschöpft sein, z. B. auf Terminalservern und COM-Servern auf mittlerer Ebene, die viele ausgehende Anrufe an Remotesysteme durchführen.

    Wenn beispielsweise Internet Explorer Kontakt zu einem Webserver auf Port 80 aufnimmt, wartet er an einem Port im Bereich zwischen 1024 und 5000 auf die Antwort vom Server. Ein COM-Server auf mittlerer Ebene, der ausgehende Anrufe an andere Remoteserver durchführt, verwendet ebenfalls einen Port in diesem Bereich für die eingehende Antwort auf diesen Anruf. Durch das Verschieben des Portbereichs, den RPC für seine Endpunkte verwendet, in den 5001-Portbereich wird es weniger wahrscheinlich, dass diese Ports von anderen Anwendungen verwendet werden.
    Weitere Informationen zur Verwendung temporärer Ports in Windows-Betriebssystemen finden Sie auf folgenden Microsoft-Websites.

Verwendung einer IPsec- oder Firewallrichtlinie zum Blockieren des Zugriffs auf die anfälligen Ports auf dem jeweiligen Host

In den Befehlen im folgenden Abschnitt steht Text, der zwischen Prozentzeichen (%) erscheint, für Text im Befehl, der vom Ersteller der IPsec-Richtlinie eingegeben werden muss. Beispielsweise sollte der Ersteller der Richtlinie den Text "%IPSECTOOL%", wo immer er erscheint, folgendermaßen ersetzen:
  • Für Windows 2000 muss "%IPSECTOOL%" durch "ipsecpol.exe" ersetzt werden.
  • Für Windows XP oder eine höhere Windows-Version muss "%IPSECTOOL%" durch "ipseccmd.exe" ersetzt werden.
Weitere Informationen zur Verwendung von IPsec zum Blockieren von Ports finden Sie im folgenden Artikel der Microsoft Knowledge Base:
813878 Blockieren bestimmter Netzwerkprotokolle und Ports mithilfe von IPSec

Blockieren des Zugriffs auf die RPC-Endpunktzuordnung für alle IP-Adressen

Verwenden Sie die folgende Syntax, um den Zugriff auf die RPC-Endpunktzuordnung für alle IP-Adressen zu blockieren:

Hinweis Verwenden Sie unter Windows XP und höheren Betriebssystemen das Programm "Ipseccmd.exe". Verwenden Sie unter Windows 2000 das Programm "Ipsecpol.exe".
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK
Hinweis Geben Sie in diesem Befehl nicht "%IPSECTOOL%" ein. "%IPSECTOOL%" steht für den Teil des Befehls, der angepasst werden muss. Geben Sie beispielsweise unter Windows 2000 den folgenden Befehl aus einem Verzeichnis heraus ein, das "Ipsecpol.exe" enthält, um jeglichen Zugriff von außen auf TCP 135 zu blockieren:
ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK
Geben Sie unter Windows XP und höheren Betriebssystemen den folgenden Befehl aus einem Verzeichnis heraus ein, das "Ipseccmd.exe" enthält, um jeglichen Zugriff von außen auf TCP-Port 135 zu blockieren:
ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

Blockieren des Zugriffs auf den dynamischen RPC-Portbereich für alle IP-Adressen

Verwenden Sie die folgende Syntax, um den Zugriff auf den dynamischen RPC-Portbereich für alle IP-Adressen zu blockieren:

Hinweis Verwenden Sie unter Windows XP und höheren Betriebssystemen das Programm "Ipseccmd.exe". Verwenden Sie unter Windows 2000 das Programm "Ipsecpol.exe".
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP %PORT% Rule" -f *=0:%PORT%:TCP -n BLOCK
Hinweis Geben Sie in diesem Befehl nicht "%IPSECTOOL%" oder "%PORT%" ein. "%IPSECTOOL%" und "%PORT%" stehen für die Teile des Befehls, die angepasst werden müssen. Geben Sie beispielsweise den folgenden Befehl auf Windows 2000-Hosts ein, um jeglichen Zugriff von außen auf TCP 5001 zu blockieren:
ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK
Geben Sie den folgenden Befehl auf Windows XP-Hosts und Hosts mit höheren Betriebssystemversionen ein, um jeglichen Zugriff von außen auf TCP 5001 zu blockieren:
ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK
Wiederholen Sie diesen Befehl für jeden zu blockierenden RPC-Port, indem Sie die Portnummer ändern, die in diesem Befehl angegeben ist. Zu blockierende Ports liegen im Bereich zwischen 5001 und 5021.

Hinweis Vergessen Sie nicht, die Portnummer im Regelnamen (Option -r) und im Filter (Option -f) zu ändern.

Optional: Zugriff auf die RPC-Endpunktzuordnung für bestimmte Subnetze gewähren, falls der Zugriff benötigt wird

Wenn Sie bestimmten Subnetzen den Zugriff auf die eingeschränkten RPC-Ports gewähren müssen, müssen Sie diesen Subnetzen zunächst den Zugriff auf die RPC-Endpunktzuordnung ermöglichen, die Sie zuvor blockiert haben. Verwenden Sie den folgenden Befehl, um einem bestimmten Subnetz Zugriff auf die RPC-Endpunktzuordnung zu gewähren:
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP 135 from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:135:TCP -n PASS
Hinweis Für diesen Befehl gilt Folgendes:
  • "%IPSECTOOL%" steht für den zu verwendenden Befehl. Der genaue Befehl lautet entweder "ipsecpol.exe" oder "ipseccmd.exe". Der zu verwendende Befehl hängt vom Betriebssystem ab, das Sie konfigurieren.
  • "%SUBNET%" steht für das Remote-IP-Subnetz, dem Sie den Zugriff ermöglichen möchten, z. B. 10.1.1.0.
  • "%MASK%" steht für die zu verwendende Subnetzmaske, z. B. 255.255.255.0.

    Beispielsweise ermöglicht der folgende Befehl allen Hosts aus dem Subnetz 10.1.1.0/255.255.255.0, eine Verbindung zum Port TCP 135 herzustellen. Allen anderen Hosts wird durch die Standardblockierungsregel, die zuvor für diesen Port erstellt wurde, die Verbindung verweigert.
    %IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 135 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:135:TCP -n PASS

Optional: Zugriff auf den neuen dynamischen RPC-Portbereich für bestimmte Subnetze gewähren, falls der Zugriff benötigt wird

Jedes Subnetz, dem zuvor der Zugriff auf die RPC-Endpunktzuordnung gewährt wurde, sollte auch Zugriff auf alle Ports im neuen dynamischen RPC-Portbereich (5001-5021) erhalten.

Wenn Sie es Subnetzen ermöglichen, auf die RPC-Endpunktzuordnung, aber nicht auf den dynamischen Portbereich zuzugreifen, kann es vorkommen, dass die Anwendung nicht mehr reagiert oder sonstige Probleme auftreten.

Durch den folgenden Befehl erhält ein bestimmtes Subnetz Zugriff auf einen Port im neuen dynamischen RPC-Portbereich:
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP %PORT% from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:%PORT%:TCP -n PASS
Hinweis Für diesen Befehl gilt Folgendes:
  • "%IPSECTOOL%" steht für den zu verwendenden Befehl. Der genaue Befehl lautet entweder "ipsecpol.exe" oder "ipseccmd.exe". Der zu verwendende Befehl hängt vom Betriebssystem ab, das Sie konfigurieren.
  • "%PORT%" steht für den Port im dynamischen Portbereich, auf den der Zugriff ermöglicht werden soll.
  • "%SUBNET%" steht für das Remote-IP-Subnetz, dem Sie den Zugriff ermöglichen möchten, z. B. 10.1.1.0.
  • " %MASK%" steht für die zu verwendende Subnetzmaske, z. B. 255.255.255.0.

    Beispielsweise ermöglicht der folgende Befehl allen Hosts aus dem Subnetz 10.1.1.0/255.255.255.0, eine Verbindung zum Port TCP 5001 herzustellen. Allen anderen Hosts wird durch die Standardblockierungsregel, die zuvor für diesen Port erstellt wurde, die Verbindung verweigert.
    %IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 5001 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:5001:TCP -n PASS
Hinweis Dieser Befehl sollte für jedes Subnetz und jeden Port im neuen dynamischen RPC-Portbereich wiederholt werden.

Zuordnen der IPsec-Richtlinie

Hinweis Die Befehle in diesem Abschnitt werden sofort wirksam.

Ordnen Sie die Richtlinie über den folgenden Befehl zu, nachdem Sie alle Blockierregeln und alle optionalen Zulassungsregeln für die konfigurierten RPC-Ports erstellt haben:
%IPSECTOOL% -w REG -p "Block RPC Ports" ?x
Hinweis Mit dem folgenden Befehl können Sie die Zuordnung der Richtlinie sofort zurücknehmen:
%IPSECTOOL% -w REG -p "Block RPC Ports" ?y
Hinweis Mit dem folgenden Befehl können Sie die Richtlinie aus der Registrierung löschen:
%IPSECTOOL% -w REG -p "Block RPC Ports" -o
Sie müssen den Host neu starten, damit die Änderungen wirksam werden.

Hinweise
  • Die Änderungen der RPC-Konfiguration erfordern einen Neustart.
  • Die Änderungen der IPsec-Richtlinie werden sofort wirksam und erfordern keinen Neustart.
Nach dem Neustart der Arbeitsstation oder des Servers wird allen RPC-Schnittstellen, die die Protokollsequenz "cacn_ip_tcp" verwenden und keinen bestimmten TCP-Port für die Bindung angeben, durch die RPC-Laufzeit ein Port aus diesem Bereich zugewiesen, wenn der RPC-Server gestartet wird.

Hinweis Der Server benötigt eventuell mehr als 20 TCP-Ports. Mit dem Befehl rpcdump.exe können Sie die Anzahl der RPC-Endpunkte zählen, die an einen TCP-Port gebunden sind, und diese Anzahl bei Bedarf erhöhen. Weitere Informationen zum Beziehen des Dienstprogramms "RPC Dump" finden Sie auf der folgenden Microsoft-Website:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd

Eigenschaften

Artikel-ID: 908472 - Geändert am: Montag, 9. November 2009 - Version: 6.0
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003 Service Pack 1, wenn verwendet mit:
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows 2000 Server SP4, wenn verwendet mit:
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
  • Microsoft Windows XP Home Edition SP2
  • Microsoft Windows XP Media Center Edition 2005
  • Microsoft Windows XP Professional SP2
  • Microsoft Windows XP Tablet PC Edition 2005
Keywords: 
kbinfo KB908472
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com