RPC:n määrittäminen käyttämään tiettyjä portteja ja kyseisten porttien suojaaminen IPSecin avulla

RPC-porttien uudelleenmäärittämiseen sekä niiden määrän vähentämiseen ja käytön rajoittamiseen liittyy useita määritystehtäviä.

Ensin dynaaminen RPC-porttialuetta on pienennettävä niin, että se on helpommin hallittavissa oleva alue, joka on helpompi estää palomuurin tai IPSec-käytännön avulla. Oletusarvon mukaan RCP määrittää dynaamisesti portit alueella 1024 - 5000 päätepisteille, jotka eivät määritä tarkkailtavaa porttia.

Huomautus Tässä artikkelissa käytetään porttialuetta 5001 - 5021, jotta lyhytaikaisia portteja ei käytetä liian montaa ja jotta RPC-päätepisteiden käytettävissä olevien porttien määrä vähenee 3 977 portista 21 porttiin.

Tämä jälkeen on luotava IPSec-käytäntö, joka rajoittaa porttialueen käyttämistä niin, että kaikkien verkon isäntäkoneiden käyttö estetään.

Lopuksi IPSec-käytäntö voidaan päivittää sallimaan tiettyjen IP-osoitteiden tai verkon aliverkkojen käyttää estettyjä RPC-portteja ja estämään kaikkia muita käyttämästä niitä.

Jotta voit aloittaa dynaamisen RPC-porttialueen uudelleenmäärittämisen, lataa RPC Configuration Tool -työkalu (RPCCfg.exe) ja kopioi se sitten työasemaan tai palvelimeen, joka määritetään uudelleen. Voit tehdä tämän käymällä seuraavassa Microsoftin WWW-sivustossa:Jotta voit tehdä seuraavat IPSec-käytännön luomisen tehtävät, lataa Internet Protocol Security Policies Tool -työkalu (Ipsecpol.exe) ja kopioi se sitten työasemaan tai palvelimeen, joka määritetään uudelleen. Voit tehdä tämän käymällä seuraavassa Microsoftin WWW-sivustossa:Huomautus Voit luoda IPSec-käytännön Microsoft Windows XP:lle tai uudemmalle Windows-käyttöjärjestelmälle käyttämällä Ipseccmd.exe-ohjelmaa. Ipseccmd.exe sisältyy Windows XP:n tukityökaluihin. Ipseccmd.exe-ohjelman syntaksi ja käyttö ovat samat kuin Ipsecpol.exe-ohjelmalla. Saat lisätietoja Windows XP:n tukityökaluista napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

Dynaamisen RPC-porttialueen uudelleenmäärittäminen ja porttien määrän vähentäminen RPCCfg.exe-ohjelman avulla

Voit uudelleenmäärittää dynaamisen RPC-porttialueen ja vähentää porttien määrää RPCCfg.exe-ohjelman avulla seuraavasti:

1. Kopioi RPCCfg.exe määritettävään palvelimeen.
2. Kirjoita komentokehotteeseen rpccfg.exe -pe 5001-5021 -d 0.
   Huomautus RPC-päätepisteille suositellaan tätä porttialuetta, koska tämän alueen portteja ei todennäköisesti määritetä muiden sovellusten käytettäviksi. Oletusarvon mukaan RPC käyttää porttialuetta 1024 - 5000 porttien määrittämiseen päätepisteille. Myös Windows-käyttöjärjestelmä määrittää tämän alueen portteja dynaamisesti kaikille Windows-vastakesovelluksille, joten portit saattavat loppua kuormitetuissa palvelimissa, kuten päätepalvelimissa ja keskimmäisen tason palvelimissa, jotka tekevät useita lähteviä kutsuja etäjärjestelmille.
   
   Kun esimerkiksi Internet Explorer ottaa yhteyttä WWW-palvelimeen käyttäen porttia 80, se tarkkailee palvelimen vastausta välillä 1024 - 5000 olevassa portissa. Myös lähteviä kutsuja muihin etäpalvelimiin tekevä keskimmäisen tason COM-palvelin käyttää tällä alueella olevaa porttia kyseisen kutsun saapuvaan vastaukseen. RPC:n päätepisteisiin käyttämän porttialueen siirtäminen portista 5001 alkavaan alueeseen pienentää mahdollisuutta, että muut sovellukset käyttäisivät näitä portteja.
   Saat lisätietoja Windows-käyttöjärjestelmien lyhytaikaisten porttien käyttämisestä seuraavista Microsoftin WWW-sivustoista.
   • Windows 2000:
     http://technet.microsoft.com/fi-fi/library/bb726981.aspx

     (http://technet.microsoft.com/fi-fi/library/bb726981.aspx)
   • Windows Server 2003:
     http://technet.microsoft.com/fi-fi/library/cc758746(WS.10).aspx

     (http://technet.microsoft.com/fi-fi/library/cc758746(WS.10).aspx)

Isännän haavoittuvien porttien käytön estäminen IPSec- tai palomuurikäytännön avulla

Seuraavan osan komennoissa prosenttimerkkien (%) välissä oleva paikkamerkkiteksti on tarkoitettu ilmaisemaan tekstiä, joka IPSec-käytännön luovan henkilön on kirjoitettava komennossa. Kun paikkamerkkiteksti on esimerkiksi "%IPSECTOOL%", käytännön luovan henkilön on korvattava kyseinen teksti seuraavasti:

• Windows 2000:ssa "%IPSECTOOL%" tekstillä "ipsecpol.exe".
• Windows XP:ssä ja uudemmissa Windows-versioissa "%IPSECTOOL%" tekstillä "ipseccmd.exe".

Saat lisätietoja porttien estämisestä IPSecin avulla napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

RPC-päätepistekartoituksen käytön estäminen kaikilta IP-osoitteilta

Voit estää RPC-päätepistekartoituksen käytön kaikilta IP-osoitteilta seuraavasti.

Huomautus Käytä Windows XP:ssä ja uudemmissa käyttöjärjestelmissä Ipseccmd.exe-ohjelmaa. Käytä Windows 2000:ssa Ipsecpol.exe-ohjelmaa (Windows 2000). Huomautus Älä kirjoita tekstiä "%IPSECTOOL%" tässä komennossa. Paikkamerkki "%IPSECTOOL%" on tarkoitettu ilmaisemaan mukautettavaa komennon osaa. Kirjoita esimerkiksi Windows 2000:ssa seuraava komento Ipsecpol.exe-ohjelman sisältävässä kansiossa, kun haluat estää TCP-portin 135 kaiken saapuvan tietoliikenteen:Kirjoita Windows XP:ssä ja uudemmissa käyttöjärjestelmissä seuraava komento Ipseccmd.exe-ohjelman sisältävässä kansiossa, kun haluat estää TCP-portin 135 kaiken saapuvan tietoliikenteen:

Dynaamisen RPC-porttialueen käytön estäminen kaikilta IP-osoitteilta

Voit estää dynaamisen RPC-porttialueen käytön kaikilta IP-osoitteilta seuraavasti.

Huomautus Käytä Windows XP:ssä ja uudemmissa käyttöjärjestelmissä Ipseccmd.exe-ohjelmaa. Käytä Windows 2000:ssa Ipsecpol.exe-ohjelmaa (Windows 2000). Huomautus Älä kirjoita tekstiä "%IPSECTOOL%" tai "%PORT%" tässä komennossa. Paikkamerkki "%IPSECTOOL%" tai "%PORT%" on tarkoitettu ilmaisemaan mukautettavaa komennon osaa. Kirjoita esimerkiksi seuraava komento Windows 2000 -isäntäkoneissa, kun haluat estää TCP-portin 5001 kaiken saapuvan tietoliikenteen:Kun haluat estää TCP-portin 5001 kaiken saapuvan tietoliikenteen, kirjoita seuraava komento Windows XP -isäntäkoneissa ja uudempien Windows-käyttöjärjestelmien isäntäkoneissa: Toista tämä komento kunkin estettävän RPC-portin kohdalla niin, että muutat komennossa olevaa portin numeroa. Estettävät portit ovat alueella 5001 - 5021.

Huomautus Älä unohda muuttaa portin numeroa säännön nimessä (valitsin -r) ja suodattimessa (valitsin -f).

Valinnainen: RPC-päätepistekartoituksen käytön salliminen tietyille aliverkoille tarvittaessa

Jos sinun on annettava tietyille aliverkoille oikeus käyttää rajoitettuja RPC-portteja, sinun on ensin annettava näille aliverkoille oikeus käyttää aiemmin estämääsi RPC-päätepistekartoitusta. Voit antaa tietyn aliverkon käyttää RPC-päätepistekartoitusta seuraavan komennon avulla:Huomautus Tätä komentoa koskevat seuraavat seikat:

• "%IPSECTOOL%" on käytettävän komennon paikkamerkki. Tämä komento on joko Ipsecpol.exe tai Ipseccmd.exe. Käytettävä komento määrittyy määritettävän käyttöjärjestelmän mukaan.
• "%SUBNET%" on sen etä-IP-aliverkon paikkamerkki, jolle haluat sallia käytön (esimerkiksi 10.1.1.0).
• "%MASK%" on käytettävän aliverkon peitteen paikkamerkki (esimerkiksi 255.255.255.0).
  
  Esimerkiksi seuraava komento antaa kaikkien aliverkon 10.1.1.0/255.255.255.0 isäntäkoneiden muodostaa yhteyden TCP-porttiin 135. Tälle portille aiemmin luotu oletusestosääntö estää kaikkien muiden isäntäkoneiden yhteydet.

  %IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 135 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:135:TCP -n PASS

Valinnainen: Uuden dynaamisen RPC-porttialueen käytön salliminen tietyille aliverkoille tarvittaessa

Kullekin aliverkolle, jolle aiemmin sallittiin RPC-päätepistekartoituksen käyttö, tulee myös sallia kaikkien uuden dynaamisen RPC-porttialueen (5001 - 5021) porttien käyttö.

Jos sallit aliverkkojen käyttää RPC-päätepistekartoitusta mutta et dynaamista porttialuetta, sovellus saattaa lopettaa vastaamisen tai saattaa ilmetä muita ongelmia.

Seuraava komento antaa määritetyn aliverkon käyttää uuden dynaamisen RPC-porttialueen porttia: Huomautus Tätä komentoa koskevat seuraavat seikat:

• %IPSECTOOL% on käytettävän komennon paikkamerkki. Tämä komento on joko Ipsecpol.exe tai Ipseccmd.exe. Käytettävä komento määrittyy määritettävän käyttöjärjestelmän mukaan.
• %PORT% on sen dynaamisen porttialueen portin paikkamerkki, jonka käyttö sallitaan.
• %SUBNET% on sen etä-IP-aliverkon paikkamerkki, jolle haluat sallia käytön (esimerkiksi 10.1.1.0).
• " %MASK% on käytettävän aliverkon peitteen paikkamerkki (esimerkiksi 255.255.255.0).
  
  Esimerkiksi seuraava komento antaa kaikkien aliverkon 10.1.1.0/255.255.255.0 isäntäkoneiden muodostaa yhteyden TCP-porttiin 5001. Tälle portille aiemmin luotu oletusestosääntö estää kaikkien muiden isäntäkoneiden yhteydet.

  %IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 5001 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:5001:TCP -n PASS

Huomautus Tämä komento tulee toistaa kullekin uuden dynaamisen RPC-porttialueen aliverkolle ja portille.

IPSec-käytännön määrittäminen

Huomautus Tämän osan komennot vaikuttavat heti.

Kun olet luonut kaikki estosäännöt ja valinnaiset sallimissäännöt määritetyille RPC-porteille, määritä käytäntö seuraavan komennon avulla:Huomautus Voit poistaa käytännön määrityksen heti seuraavalla komennolla:Huomautus Voit poistaa käytännön rekisteristä seuraavalla komennolla:Sinun on käynnistettävä isäntäkone uudelleen, jotta muutokset tulevat voimaan.

Huomautuksia

• RPC-määritysten muutokset edellyttävät uudelleenkäynnistyksen.
• IPSec-käytännön muutokset tulevat voimaan heti, eivätkä ne edellytä uudelleenkäynnistystä.

Kun työasema tai palvelin käynnistetään uudelleen, suorituksenaikainen RPC määrittää kaikille RPC-liittymille, jotka käyttävät protokollajärjestystä ncacn_ip_tcp eivätkä määritä tiettyä sidottavaa TCP-porttia, portin tältä alueelta RPC-palvelimen käynnistyksen yhteydessä.

Huomautus Palvelin saattaa edellyttää yli 20:tä TCP-porttia. Voit laskea TCP-porttiin sidottujen RPC-päätepisteiden määrän rpcdump.exe-komennon avulla ja lisätä määrää tarvittaessa. Lisätietoja RPC Dump -työkalun hankkimisesta on seuraavassa Microsoftin WWW-sivustossa: