Τρόπος ρύθμισης των παραμέτρων του RPC ώστε να χρησιμοποιεί συγκεκριμένες θύρες και τρόπος παροχής βοήθειας για ασφάλιση αυτών των θυρών χρησιμοποιώντας το IPsec

Μεταφράσεις άρθρων Μεταφράσεις άρθρων
Αναγν. άρθρου: 908472 - Δείτε τα προϊόντα στα οποία αναφέρεται το συγκεκριμένο άρθρο.
Ανάπτυξη όλων | Σύμπτυξη όλων

Περίληψη

Αυτό το άρθρο περιγράφει τον τρόπο ρύθμισης του RPC ώστε να χρησιμοποιεί ένα συγκεκριμένο εύρος δυναμικής θύρας καθώς και τον τρόπο ασφάλισης των θυρών σε αυτό το εύρος χρησιμοποιώντας την πολιτική IPsec (Internet Protocol security). Από προεπιλογή, το RPC χρησιμοποιεί θύρες σε προσωρινό εύρος θύρας (1024-5000) κατά την αντιστοίχιση θυρών σε εφαρμογές RPC που πρέπει να κάνουν ακρόαση σε μια "απόληξη" (endpoint) TCP. Αυτή η συμπεριφορά μπορεί να περιορίσει την πρόσβαση σε αυτές τις θύρες, αποτελώντας πρόκληση για τους διαχειριστές δικτύου. Αυτό το άρθρο περιγράφει τρόπους για τη μείωση του αριθμού των θυρών που είναι διαθέσιμες σε εφαρμογές RPC καθώς και τον τρόπο περιορισμού της πρόσβασης σε αυτές τις θύρες χρησιμοποιώντας μια πολιτική IPsec που βασίζεται στο μητρώο.

Επειδή τα βήματα αυτού του άρθρου περιλαμβάνουν αλλαγές σε όλον τον υπολογιστή που απαιτούν την επανεκκίνησή του, όλα αυτά τα βήματα πρέπει να εκτελεστούν πρώτα σε μη παραγωγικά περιβάλλοντα ώστε να εντοπιστούν οποιαδήποτε ζητήματα συμβατότητας εφαρμογών τα οποία ενδέχεται να προκύψουν ως αποτέλεσμα αυτών των αλλαγών.

Περισσότερες πληροφορίες

Υπάρχουν πολλές εργασίες ρύθμισης παραμέτρων που πρέπει να ολοκληρωθούν για να γίνει αλλαγή θέσης, μείωση και περιορισμός της πρόσβασης σε θύρες RPC.

Πρώτον, το εύρος δυναμικής θύρας RPC πρέπει να γίνει μικρότερο και πιο εύκολα διαχειρίσιμο διευκολύνοντας έτσι τον αποκλεισμό του με τη χρήση ενός τείχους προστασίας ή μια πολιτικής IPsec. Από προεπιλογή, το RPC εκχωρεί δυναμικά θύρες στο εύρος 1024 έως 5000 για απολήξεις που δεν καθορίζουν μια θύρα ακρόασης.

Σημείωση Αυτό το άρθρο χρησιμοποιεί το εύρος θύρας 5001 έως 5021 για να αποφύγει την εξάντληση των προσωρινών θυρών και να μειώσει τον αριθμό των θυρών που είναι διαθέσιμες για απολήξεις RPC από 3,976 έως 20.

Στη συνέχεια, πρέπει να δημιουργηθεί μια πολιτική IPsec για να περιορίσει την πρόσβαση σε αυτό το εύρος θύρας με σκοπό την απαγόρευση της πρόσβασης σε όλους τους κεντρικούς υπολογιστές του δικτύου.

Τέλος, η πολιτική IPsec μπορεί να ενημερωθεί ώστε να παραχωρεί πρόσβαση για συγκεκριμένες διευθύνσεις IP ή υποδίκτυα στις αποκλεισμένες θύρες RPC και να εξαιρεί όλες τις υπόλοιπες.

Για να ξεκινήσετε την εργασία επαναρύθμισης των παραμέτρων του εύρους δυναμικής θύρας RPC, κάντε λήψη του Εργαλείου ρύθμισης παραμέτρων RPC (Configuration Tool - RPCCfg.exe) και, στη συνέχεια, να το αντιγράψετε στο σταθμό εργασίας ή το διακομιστή που πρόκειται να επαναρυθμιστεί. Για να το κάνετε αυτό, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
http://www.microsoft.com/downloads/details.aspx?FamilyID=0f9cde2f-8632-4da8-ae70-645e1ddaf369&DisplayLang=en
Για να εκτελέσετε τις επόμενες εργασίες δημιουργίας μιας πολιτικής IPsec, κάντε λήψη του εργαλείου Ipsecpol.exe (Internet Protocol Security Policies Tool) και, στη συνέχεια, αντιγράψτε το στο σταθμό εργασίας ή το διακομιστή που πρόκειται να επαναρυθμιστεί. Για να το κάνετε αυτό, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361
Σημείωση Για να δημιουργήσετε μια πολιτική IPsec για τα Microsoft Windows XP ή για μια νεότερη έκδοση του λειτουργικού συστήματος των Windows, χρησιμοποιήστε το Ipseccmd.exe. Το Ipseccmd.exe αποτελεί μέρος των εργαλείων υποστήριξης των Windows XP. Η σύνταξη και η χρήση του IPseccmd.exe είναι ίδιες με τη σύνταξη και τη χρήση του Ipsecpol.exe. Για περισσότερες πληροφορίες σχετικά με τα εργαλεία υποστήριξης των Windows XP, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
838079 Εργαλεία υποστήριξης για το Windows XP Service Pack 2

Αλλαγή θέσης και μείωση του εύρους δυναμικής θύρας RPC χρησιμοποιώντας το RPCCfg.exe

Για να αλλάξετε τη θέση και να μειώσετε το εύρος δυναμικής θύρας RPC χρησιμοποιώντας το RPCCfg.exe, ακολουθήστε τα εξής βήματα:
  1. Αντιγράψτε το RPCCfg.exe στο διακομιστή που πρόκειται να ρυθμιστεί
  2. Στη γραμμή εντολών, πληκτρολογήστε rpccfg.exe -pe 5001-5021 -d 0.
    Σημείωση Αυτό το εύρος θύρας συνιστάται να χρησιμοποιείται από απολήξεις RPC επειδή οι θύρες αυτού του εύρους δεν είναι πιθανό να διατεθούν προς χρήση από άλλες εφαρμογές. Από προεπιλογή, το RPC χρησιμοποιεί το εύρος θύρας 1024 έως 5000 για την εκχώρηση θυρών για απολήξεις. Ωστόσο, οι θύρες αυτού του εύρους εκχωρούνται επίσης δυναμικά για να χρησιμοποιηθούν από το λειτουργικό σύστημα των Windows για όλες τις εφαρμογές υποδοχών των Windows και μπορεί να εξαντληθούν σε διακομιστές που χρησιμοποιούνται σε μεγάλο βαθμό, όπως οι διακομιστές τερματικού και οι διακομιστές μεσαίας στοιβάδας, οι οποίοι πραγματοποιούν πολλές εξερχόμενες κλήσεις σε απομακρυσμένα συστήματα.

    Για παράδειγμα, όταν ο Internet Explorer επικοινωνεί με ένα διακομιστή Web στη θύρα 80, κάνει ακρόαση σε μια θύρα του εύρους 1024-5000 για να λάβει απόκριση από το διακομιστή. Ένας διακομιστής COM μεσαίας στοιβάδας που πραγματοποιεί εξερχόμενες κλήσεις σε άλλους απομακρυσμένους διακομιστές χρησιμοποιεί επίσης μια θύρα αυτού του εύρους για τις εισερχόμενες απαντήσεις σε αυτήν την κλήση. Η μετακίνηση του εύρους θυρών που χρησιμοποιεί το RPC για τις απολήξεις του στο εύρος θύρας 5001 θα μειώσει την πιθανότητα χρήσης αυτών των θυρών από άλλες εφαρμογές.
    Για περισσότερες πληροφορίες σχετικά με τη χρήση προσωρινών θυρών στα λειτουργικά συστήματα των Windows, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web.

Χρήση μιας πολιτικής IPsec ή τείχους προστασίας για τον αποκλεισμό της πρόσβασης σε ευάλωτες θύρες του κεντρικού υπολογιστή που επηρεάζεται

Στις εντολές της ακόλουθης ενότητας, οποιοδήποτε κείμενο εμφανίζεται μεταξύ των συμβόλων επί τοις εκατό (%) προορίζεται να αντιπροσωπεύσει κείμενο της εντολής, το οποίο πρέπει να καταχωρηθεί από το άτομο που δημιουργεί την πολιτική IPsec. Για παράδειγμα, όταν εμφανιστεί το κείμενο "%IPSECTOOL%", το πρόσωπο που δημιουργεί την πολιτική πρέπει να αντικαταστήσει αυτό το κείμενο ως εξής:
  • Στα Windows 2000, αντικαταστήστε το "%IPSECTOOL%" με το "ipsecpol.exe."
  • Στα Windows XP η σε νεότερες εκδόσεις των Windows, αντικαταστήστε το "%IPSECTOOL%" με το "ipseccmd.exe."
Για περισσότερες πληροφορίες σχετικά με τον τρόπο χρήσης του IPsec για τον αποκλεισμό θυρών, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
813878 Τρόπος αποκλεισμού συγκεκριμένων πρωτοκόλλων και θυρών του δικτύου, με τη χρήση της ρύθμισης ασφαλείας IPSec (US)

Αποκλεισμός της πρόσβασης στον πίνακα αντιστοίχισης απολήξεων RPC (RPC Endpoint Mapper) για όλες τις διευθύνσεις IP

Για να αποκλείσετε την πρόσβαση στον πίνακα αντιστοίχισης απολήξεων RPC (RPC Endpoint Mapper) για όλες τις διευθύνσεις IP, χρησιμοποιήστε την ακόλουθη σύνταξη.

Σημείωση Στα Windows XP και σε νεότερα λειτουργικά συστήματα, χρησιμοποιήστε το Ipseccmd.exe. Στα Windows 2000, χρησιμοποιήστε το Ipsecpol.exe (Windows 2000).
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK
Σημείωση Μην πληκτρολογείτε το "%IPSECTOOL%" σε αυτήν την εντολή. Το "%IPSECTOOL%" προορίζεται να αντιπροσωπεύσει το τμήμα της εντολής που πρέπει να προσαρμοστεί. Τια παράδειγμα, στα Windows 2000, πληκτρολογήστε την ακόλουθη εντολή από έναν κατάλογο που περιέχει το Ipsecpol.exe για να αποκλείσετε όλη την εισερχόμενη πρόσβαση στη θύρα TCP 135:
ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK
Στα Windows XP και σε νεότερα λειτουργικά συστήματα, πληκτρολογήστε την ακόλουθη εντολή από έναν κατάλογο που περιέχει το Ipseccmd.exe για να αποκλείσετε όλη την εισερχόμενη πρόσβαση στη θύρα TCP 135:
ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

Αποκλεισμός της πρόσβασης στο εύρος δυναμικής θύρας RPC για όλες τις διευθύνσεις IP

Για να αποκλείσετε την πρόσβαση στο εύρος δυναμικής θύρας RPC για όλες τις διευθύνσεις IP, χρησιμοποιήστε την ακόλουθη σύνταξη.

Σημείωση Στα Windows XP και σε νεότερα λειτουργικά συστήματα, χρησιμοποιήστε το Ipseccmd.exe. Στα Windows 2000, χρησιμοποιήστε το Ipsecpol.exe (Windows 2000).
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP %PORT% Rule" -f *=0:%PORT%:TCP -n BLOCK
Σημείωση Μην πληκτρολογείτε τα "%IPSECTOOL%" ή "%PORT%" σε αυτήν την εντολή. Το "%IPSECTOOL%" κα το "%PORT%" προορίζονται να αντιπροσωπεύσουν τα τμήματα της εντολής που πρέπει να προσαρμοστούν. Για παράδειγμα, πληκτρολογήστε την ακόλουθη εντολή σε κεντρικούς υπολογιστές με Windows 2000 για να αποκλείσετε όλη την εισερχόμενη πρόσβαση στη θύρα TCP 5001:
ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK
Για να αποκλείσετε όλη την εισερχόμενη πρόσβαση στη θύρα TCP 5001, πληκτρολογήστε την ακόλουθη εντολή σε κεντρικούς υπολογιστές με Windows XP και σε κεντρικούς υπολογιστές με νεότερα λειτουργικά συστήματα των Windows:
ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK
Επαναλάβετε αυτήν την εντολή για κάθε θύρα RPC που πρέπει να αποκλειστεί αλλάζοντας τον αριθμό θύρας που παρατίθεται σε αυτήν την εντολή. Οι θύρες που πρέπει να αποκλειστούν βρίσκονται στο εύρος 5001-5021.

Σημείωση Μην ξεχνάτε να αλλάξετε τον αριθμό θύρας στο όνομα του κανόνα (το διακόπτη -r) και στο φίλτρο (το διακόπτη -f).

Προαιρετικό: Παραχώρηση πρόσβασης στον πίνακα αντιστοίχισης απολήξεων RPC (RPC Endpoint Mapper) για συγκεκριμένα υποδίκτυα όταν υπάρχει ανάγκη για πρόσβαση

Εάν πρέπει να παραχωρήσετε δικαίωμα πρόσβασης σε συγκεκριμένα υποδίκτυα στις περιορισμένες θύρες RPC, πρέπει πρώτα να παραχωρήσετε αυτό το δικαίωμα πρόσβασης σε υποδίκτυα στον πίνακα αντιστοίχισης απολήξεων RPC (RPC Endpoint Mapper) που έχετε αποκλείσει προηγουμένως. Για να παραχωρήσετε σε ένα συγκεκριμένο υποδίκτυο πρόσβαση στο Πρόγραμμα αντιστοίχισης τελικών σημείων RPC, χρησιμοποιήστε την ακόλουθη εντολή:
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP 135 from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:135:TCP -n PASS
Σημείωση Σε αυτήν την εντολή, ισχύουν οι ακόλουθες προτάσεις:
  • Το "%IPSECTOOL%" αντιπροσωπεύει την εντολή που πρόκειται να χρησιμοποιηθεί. Αυτή η εντολή είναι "ipsecpol.exe" ή "ipseccmd.exe." Η εντολή που θα χρησιμοποιηθεί εξαρτάται από το λειτουργικό σύστημα που ρυθμίζετε.
  • Το "%SUBNET%" αντιπροσωπεύει το απομακρυσμένο υποδίκτυο IP στο οποίο θέλετε να παραχωρήσετε πρόσβαση, για παράδειγμα, 10.1.1.0.
  • Το "%MASK%" αντιπροσωπεύει τη μάσκα υποδικτύου που πρόκειται να χρησιμοποιηθεί, για παράδειγμα, 255.255.255.0.

    Για παράδειγμα, η ακόλουθη εντολή δίνει σε όλους τους κεντρικούς υπολογιστές του υποδικτύου 10.1.1.0/255.255.255.0 τη δυνατότητα σύνδεσης στη θύρα TCP 135. Όλοι οι υπόλοιποι κεντρικοί υπολογιστές έχουν τις συνδέσεις τους αποκλεισμένες από τον προεπιλεγμένο κανόνα δρομολόγησης που δημιουργήθηκε νωρίτερα για αυτήν την θύρα.
    %IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 135 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:135:TCP -n PASS

Προαιρετικό: Παραχωρεί πρόσβαση στο νέο εύρος δυναμικής θύρας RPC για συγκεκριμένα υποδίκτυα, αν είναι απαραίτητη η πρόσβαση

Κάθε υποδίκτυο στο οποίο παραχωρήθηκε νωρίτερα πρόσβαση στον πίνακα αντιστοίχησης απολήξεων RPC (RPC Endpoint Mapper) πρέπει επίσης να παραχωρηθεί πρόσβαση σε όλες τις θύρες του νέου εύρους δυναμικής θύρας RPC (5001-5021).

Εάν δώσετε στα υποδίκτυα τη δυνατότητα πρόσβασης στον πίνακα αντιστοίχησης απολήξεων RPC (RPC Endpoint Mapper) αλλά όχι στο εύρος δυναμικής θύρας, η εφαρμογή ενδέχεται να σταματήσει να ανταποκρίνεται ή ενδέχεται να αντιμετωπίσετε άλλα προβλήματα.

Η ακόλουθη εντολή παραχωρεί συγκεκριμένα δικαιώματα πρόσβασης υποδικτύου σε μια θύρα του νέου εύρους δυναμικής θύρας RPC:
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP %PORT% from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:%PORT%:TCP -n PASS
Σημείωση Σε αυτήν την εντολή, ισχύουν οι ακόλουθες προτάσεις:
  • Το "%IPSECTOOL%" αντιπροσωπεύει την εντολή που πρόκειται να χρησιμοποιηθεί. Αυτή η εντολή είναι "ipsecpol.exe" ή "ipseccmd.exe." Η εντολή που θα χρησιμοποιηθεί εξαρτάται από το λειτουργικό σύστημα που ρυθμίζετε.
  • Το "%PORT%" αντιπροσωπεύει τη θύρα του εύρους δυναμικής θύρας στην οποία πρόκειται να παραχωρηθεί πρόσβαση.
  • Το "%SUBNET%" αντιπροσωπεύει το απομακρυσμένο υποδίκτυο IP στο οποίο θέλετε να παραχωρήσετε πρόσβαση, για παράδειγμα, 10.1.1.0.
  • " Το %MASK%" αντιπροσωπεύει τη μάσκα υποδικτύου που πρόκειται να χρησιμοποιηθεί, για παράδειγμα, 255.255.255.0.

    Για παράδειγμα, η ακόλουθη εντολή δίνει σε όλους τους κεντρικούς υπολογιστές του υποδικτύου 10.1.1.0/255.255.255.0 τη δυνατότητα σύνδεσης στη θύρα TCP 5001. Όλοι οι υπόλοιποι κεντρικοί υπολογιστές έχουν τις συνδέσεις τους αποκλεισμένες από τον προεπιλεγμένο κανόνα δρομολόγησης που δημιουργήθηκε νωρίτερα για αυτήν την θύρα.
    %IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 5001 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:5001:TCP -n PASS
Σημείωση Αυτή η εντολή πρέπει να επαναληφθεί για κάθε υποδίκτυο και θύρα του νέου εύρους δυναμικής θύρας RPC.

Εκχώρηση της πολιτικής IPsec

Σημείωση Οι εντολές αυτής της ενότητας ισχύουν αμέσως.

Μετά τη δημιουργία όλων των κανόνων αποκλεισμού και όλων των προαιρετικών κανόνων αποδοχής για τις ρυθμισμένες θύρες RPC, εκχωρείστε την πολιτική χρησιμοποιώντας την ακόλουθη εντολή:
%IPSECTOOL% -w REG -p "Block RPC Ports" –x
Σημείωση Για να αναιρέσετε αμέσως την εκχώρηση της πολιτικής, χρησιμοποιήστε την ακόλουθη εντολή:
%IPSECTOOL% -w REG -p "Block RPC Ports" –y
Σημείωση Για να διαγράψετε την πολιτική από το μητρώο, χρησιμοποιήστε την ακόλουθη εντολή:
%IPSECTOOL% -w REG -p "Block RPC Ports" -o
Πρέπει να κάνετε επανεκκίνηση του κεντρικού υπολογιστή για να εφαρμοστούν αυτές οι αλλαγές.

Σημειώσεις
  • Οι αλλαγές στη ρύθμιση παραμέτρων του RPC απαιτούν επανεκκίνηση.
  • Οι αλλαγές της πολιτικής IPsec ισχύουν αμέσως και δεν απαιτούν επανεκκίνηση.
Μετά την επανεκκίνηση του σταθμού εργασίας ή του διακομιστή, σε όλες οι διασυνδέσεις RPC που χρησιμοποιούν την ακολουθία πρωτοκόλλου ncacn_ip_tcp και δεν καθορίζουν μια συγκεκριμένη θύρα TCP στην οποία θα γίνει σύνδεση, θα εκχωρηθεί μια θύρα από αυτό το εύρος από το χρόνο εκτέλεσης RPC κατά την εκκίνηση του διακομιστή RPC.

Σημείωση Ο διακομιστής ενδέχεται να απαιτεί περισσότερες από 20 θύρες TCP. Μπορείτε να χρησιμοποιήσετε την εντολή rpcdump.exe για να μετρήσετε τον αριθμό των απολήξεων RPC που είναι συνδεδεμένες με μια θύρα TCP και να αυξήσετε αυτόν τον αριθμό, αν χρειάζεται. Για περισσότερες πληροφορίες σχετικά με τον τρόπο απόκτησης του εργαλείου RPC Dump, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd

Ιδιότητες

Αναγν. άρθρου: 908472 - Τελευταία αναθεώρηση: Παρασκευή, 6 Νοεμβρίου 2009 - Αναθεώρηση: 6.0
Οι πληροφορίες σε αυτό το άρθρο ισχύουν για:
  • Microsoft Windows Server 2003 Service Pack 1 στις ακόλουθες πλατφόρμες
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows 2000 Server SP4 στις ακόλουθες πλατφόρμες
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
  • Microsoft Windows XP Home Edition SP2
  • Microsoft Windows XP Media Center Edition 2005
  • Microsoft Windows XP Professional SP2
  • Microsoft Windows XP Tablet PC Edition 2005
Λέξεις-κλειδιά: 
kbinfo KB908472

Αποστολή σχολίων

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com