RPC:n määrittäminen käyttämään tiettyjä portteja ja kyseisten porttien suojaaminen IPSecin avulla

Artikkeleiden käännökset Artikkeleiden käännökset
Artikkelin tunnus: 908472 - Näytä tuotteet, joita tämä artikkeli koskee.
Laajenna kaikki | Kutista kaikki

Yhteenveto

Tässä artikkelissa kerrotaan, miten RPC määritetään käyttämään tiettyä dynaamista porttialuetta ja miten kyseisen alueen portit suojataan IPSec (Internet Protocol Security) -käytännön avulla. Oletusarvon mukaan RPC käyttää lyhytaikaisten porttien porttialuetta (1024 - 5000) määrittäessään portteja sellaisille RPC-sovelluksille, jotka joutuvat tarkkailemaan TCP-päätepistettä. Tämä saattaa tehdä näiden porttien käytön rajoittamisesta haastavaa verkonvalvojille. Tässä artikkelissa käsitellään tapoja vähentää RPC-sovellusten käytettävissä olevien porttien määrää ja rajoittaa näiden porttien käyttämistä rekisteripohjaisen IPSec-käytännön avulla.

Koska tässä artikkelissa kuvattuihin vaiheisiin liittyy koko tietokoneeseen vaikuttavia muutoksia, jotka edellyttävät tietokoneen käynnistämisen uudelleen, kaikki nämä toimet on ensin tehtävä muussa kuin tuotantoympäristössä, jotta muutosten mahdollisesti aiheuttamat sovellusten yhteensopivuusongelmat voidaan tunnistaa.

Enemmän tietoa

RPC-porttien uudelleenmäärittämiseen sekä niiden määrän vähentämiseen ja käytön rajoittamiseen liittyy useita määritystehtäviä.

Ensin dynaaminen RPC-porttialuetta on pienennettävä niin, että se on helpommin hallittavissa oleva alue, joka on helpompi estää palomuurin tai IPSec-käytännön avulla. Oletusarvon mukaan RCP määrittää dynaamisesti portit alueella 1024 - 5000 päätepisteille, jotka eivät määritä tarkkailtavaa porttia.

Huomautus Tässä artikkelissa käytetään porttialuetta 5001 - 5021, jotta lyhytaikaisia portteja ei käytetä liian montaa ja jotta RPC-päätepisteiden käytettävissä olevien porttien määrä vähenee 3 977 portista 21 porttiin.

Tämä jälkeen on luotava IPSec-käytäntö, joka rajoittaa porttialueen käyttämistä niin, että kaikkien verkon isäntäkoneiden käyttö estetään.

Lopuksi IPSec-käytäntö voidaan päivittää sallimaan tiettyjen IP-osoitteiden tai verkon aliverkkojen käyttää estettyjä RPC-portteja ja estämään kaikkia muita käyttämästä niitä.

Jotta voit aloittaa dynaamisen RPC-porttialueen uudelleenmäärittämisen, lataa RPC Configuration Tool -työkalu (RPCCfg.exe) ja kopioi se sitten työasemaan tai palvelimeen, joka määritetään uudelleen. Voit tehdä tämän käymällä seuraavassa Microsoftin WWW-sivustossa:
http://www.microsoft.com/downloads/details.aspx?FamilyID=0f9cde2f-8632-4da8-ae70-645e1ddaf369&DisplayLang=en
Jotta voit tehdä seuraavat IPSec-käytännön luomisen tehtävät, lataa Internet Protocol Security Policies Tool -työkalu (Ipsecpol.exe) ja kopioi se sitten työasemaan tai palvelimeen, joka määritetään uudelleen. Voit tehdä tämän käymällä seuraavassa Microsoftin WWW-sivustossa:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361
Huomautus Voit luoda IPSec-käytännön Microsoft Windows XP:lle tai uudemmalle Windows-käyttöjärjestelmälle käyttämällä Ipseccmd.exe-ohjelmaa. Ipseccmd.exe sisältyy Windows XP:n tukityökaluihin. Ipseccmd.exe-ohjelman syntaksi ja käyttö ovat samat kuin Ipsecpol.exe-ohjelmalla. Saat lisätietoja Windows XP:n tukityökaluista napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
838079 Windows XP Service Pack 2 -tukityökalut

Dynaamisen RPC-porttialueen uudelleenmäärittäminen ja porttien määrän vähentäminen RPCCfg.exe-ohjelman avulla

Voit uudelleenmäärittää dynaamisen RPC-porttialueen ja vähentää porttien määrää RPCCfg.exe-ohjelman avulla seuraavasti:
  1. Kopioi RPCCfg.exe määritettävään palvelimeen.
  2. Kirjoita komentokehotteeseen rpccfg.exe -pe 5001-5021 -d 0.
    Huomautus RPC-päätepisteille suositellaan tätä porttialuetta, koska tämän alueen portteja ei todennäköisesti määritetä muiden sovellusten käytettäviksi. Oletusarvon mukaan RPC käyttää porttialuetta 1024 - 5000 porttien määrittämiseen päätepisteille. Myös Windows-käyttöjärjestelmä määrittää tämän alueen portteja dynaamisesti kaikille Windows-vastakesovelluksille, joten portit saattavat loppua kuormitetuissa palvelimissa, kuten päätepalvelimissa ja keskimmäisen tason palvelimissa, jotka tekevät useita lähteviä kutsuja etäjärjestelmille.

    Kun esimerkiksi Internet Explorer ottaa yhteyttä WWW-palvelimeen käyttäen porttia 80, se tarkkailee palvelimen vastausta välillä 1024 - 5000 olevassa portissa. Myös lähteviä kutsuja muihin etäpalvelimiin tekevä keskimmäisen tason COM-palvelin käyttää tällä alueella olevaa porttia kyseisen kutsun saapuvaan vastaukseen. RPC:n päätepisteisiin käyttämän porttialueen siirtäminen portista 5001 alkavaan alueeseen pienentää mahdollisuutta, että muut sovellukset käyttäisivät näitä portteja.
    Saat lisätietoja Windows-käyttöjärjestelmien lyhytaikaisten porttien käyttämisestä seuraavista Microsoftin WWW-sivustoista.

Isännän haavoittuvien porttien käytön estäminen IPSec- tai palomuurikäytännön avulla

Seuraavan osan komennoissa prosenttimerkkien (%) välissä oleva paikkamerkkiteksti on tarkoitettu ilmaisemaan tekstiä, joka IPSec-käytännön luovan henkilön on kirjoitettava komennossa. Kun paikkamerkkiteksti on esimerkiksi "%IPSECTOOL%", käytännön luovan henkilön on korvattava kyseinen teksti seuraavasti:
  • Windows 2000:ssa "%IPSECTOOL%" tekstillä "ipsecpol.exe".
  • Windows XP:ssä ja uudemmissa Windows-versioissa "%IPSECTOOL%" tekstillä "ipseccmd.exe".
Saat lisätietoja porttien estämisestä IPSecin avulla napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
813878 Tiettyjen verkkoprotokollien ja porttien käytön estäminen IPSec-suojauksen avulla (tämä artikkeli saattaa olla englanninkielinen)

RPC-päätepistekartoituksen käytön estäminen kaikilta IP-osoitteilta

Voit estää RPC-päätepistekartoituksen käytön kaikilta IP-osoitteilta seuraavasti.

Huomautus Käytä Windows XP:ssä ja uudemmissa käyttöjärjestelmissä Ipseccmd.exe-ohjelmaa. Käytä Windows 2000:ssa Ipsecpol.exe-ohjelmaa (Windows 2000).
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK
Huomautus Älä kirjoita tekstiä "%IPSECTOOL%" tässä komennossa. Paikkamerkki "%IPSECTOOL%" on tarkoitettu ilmaisemaan mukautettavaa komennon osaa. Kirjoita esimerkiksi Windows 2000:ssa seuraava komento Ipsecpol.exe-ohjelman sisältävässä kansiossa, kun haluat estää TCP-portin 135 kaiken saapuvan tietoliikenteen:
ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK
Kirjoita Windows XP:ssä ja uudemmissa käyttöjärjestelmissä seuraava komento Ipseccmd.exe-ohjelman sisältävässä kansiossa, kun haluat estää TCP-portin 135 kaiken saapuvan tietoliikenteen:
ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

Dynaamisen RPC-porttialueen käytön estäminen kaikilta IP-osoitteilta

Voit estää dynaamisen RPC-porttialueen käytön kaikilta IP-osoitteilta seuraavasti.

Huomautus Käytä Windows XP:ssä ja uudemmissa käyttöjärjestelmissä Ipseccmd.exe-ohjelmaa. Käytä Windows 2000:ssa Ipsecpol.exe-ohjelmaa (Windows 2000).
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP %PORT% Rule" -f *=0:%PORT%:TCP -n BLOCK
Huomautus Älä kirjoita tekstiä "%IPSECTOOL%" tai "%PORT%" tässä komennossa. Paikkamerkki "%IPSECTOOL%" tai "%PORT%" on tarkoitettu ilmaisemaan mukautettavaa komennon osaa. Kirjoita esimerkiksi seuraava komento Windows 2000 -isäntäkoneissa, kun haluat estää TCP-portin 5001 kaiken saapuvan tietoliikenteen:
ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK
Kun haluat estää TCP-portin 5001 kaiken saapuvan tietoliikenteen, kirjoita seuraava komento Windows XP -isäntäkoneissa ja uudempien Windows-käyttöjärjestelmien isäntäkoneissa:
ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK
Toista tämä komento kunkin estettävän RPC-portin kohdalla niin, että muutat komennossa olevaa portin numeroa. Estettävät portit ovat alueella 5001 - 5021.

Huomautus Älä unohda muuttaa portin numeroa säännön nimessä (valitsin -r) ja suodattimessa (valitsin -f).

Valinnainen: RPC-päätepistekartoituksen käytön salliminen tietyille aliverkoille tarvittaessa

Jos sinun on annettava tietyille aliverkoille oikeus käyttää rajoitettuja RPC-portteja, sinun on ensin annettava näille aliverkoille oikeus käyttää aiemmin estämääsi RPC-päätepistekartoitusta. Voit antaa tietyn aliverkon käyttää RPC-päätepistekartoitusta seuraavan komennon avulla:
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP 135 from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:135:TCP -n PASS
Huomautus Tätä komentoa koskevat seuraavat seikat:
  • "%IPSECTOOL%" on käytettävän komennon paikkamerkki. Tämä komento on joko Ipsecpol.exe tai Ipseccmd.exe. Käytettävä komento määrittyy määritettävän käyttöjärjestelmän mukaan.
  • "%SUBNET%" on sen etä-IP-aliverkon paikkamerkki, jolle haluat sallia käytön (esimerkiksi 10.1.1.0).
  • "%MASK%" on käytettävän aliverkon peitteen paikkamerkki (esimerkiksi 255.255.255.0).

    Esimerkiksi seuraava komento antaa kaikkien aliverkon 10.1.1.0/255.255.255.0 isäntäkoneiden muodostaa yhteyden TCP-porttiin 135. Tälle portille aiemmin luotu oletusestosääntö estää kaikkien muiden isäntäkoneiden yhteydet.
    %IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 135 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:135:TCP -n PASS

Valinnainen: Uuden dynaamisen RPC-porttialueen käytön salliminen tietyille aliverkoille tarvittaessa

Kullekin aliverkolle, jolle aiemmin sallittiin RPC-päätepistekartoituksen käyttö, tulee myös sallia kaikkien uuden dynaamisen RPC-porttialueen (5001 - 5021) porttien käyttö.

Jos sallit aliverkkojen käyttää RPC-päätepistekartoitusta mutta et dynaamista porttialuetta, sovellus saattaa lopettaa vastaamisen tai saattaa ilmetä muita ongelmia.

Seuraava komento antaa määritetyn aliverkon käyttää uuden dynaamisen RPC-porttialueen porttia:
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP %PORT% from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:%PORT%:TCP -n PASS
Huomautus Tätä komentoa koskevat seuraavat seikat:
  • %IPSECTOOL% on käytettävän komennon paikkamerkki. Tämä komento on joko Ipsecpol.exe tai Ipseccmd.exe. Käytettävä komento määrittyy määritettävän käyttöjärjestelmän mukaan.
  • %PORT% on sen dynaamisen porttialueen portin paikkamerkki, jonka käyttö sallitaan.
  • %SUBNET% on sen etä-IP-aliverkon paikkamerkki, jolle haluat sallia käytön (esimerkiksi 10.1.1.0).
  • " %MASK% on käytettävän aliverkon peitteen paikkamerkki (esimerkiksi 255.255.255.0).

    Esimerkiksi seuraava komento antaa kaikkien aliverkon 10.1.1.0/255.255.255.0 isäntäkoneiden muodostaa yhteyden TCP-porttiin 5001. Tälle portille aiemmin luotu oletusestosääntö estää kaikkien muiden isäntäkoneiden yhteydet.
    %IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 5001 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:5001:TCP -n PASS
Huomautus Tämä komento tulee toistaa kullekin uuden dynaamisen RPC-porttialueen aliverkolle ja portille.

IPSec-käytännön määrittäminen

Huomautus Tämän osan komennot vaikuttavat heti.

Kun olet luonut kaikki estosäännöt ja valinnaiset sallimissäännöt määritetyille RPC-porteille, määritä käytäntö seuraavan komennon avulla:
%IPSECTOOL% -w REG -p "Block RPC Ports" ?x
Huomautus Voit poistaa käytännön määrityksen heti seuraavalla komennolla:
%IPSECTOOL% -w REG -p "Block RPC Ports" ?y
Huomautus Voit poistaa käytännön rekisteristä seuraavalla komennolla:
%IPSECTOOL% -w REG -p "Block RPC Ports" -o
Sinun on käynnistettävä isäntäkone uudelleen, jotta muutokset tulevat voimaan.

Huomautuksia
  • RPC-määritysten muutokset edellyttävät uudelleenkäynnistyksen.
  • IPSec-käytännön muutokset tulevat voimaan heti, eivätkä ne edellytä uudelleenkäynnistystä.
Kun työasema tai palvelin käynnistetään uudelleen, suorituksenaikainen RPC määrittää kaikille RPC-liittymille, jotka käyttävät protokollajärjestystä ncacn_ip_tcp eivätkä määritä tiettyä sidottavaa TCP-porttia, portin tältä alueelta RPC-palvelimen käynnistyksen yhteydessä.

Huomautus Palvelin saattaa edellyttää yli 20:tä TCP-porttia. Voit laskea TCP-porttiin sidottujen RPC-päätepisteiden määrän rpcdump.exe-komennon avulla ja lisätä määrää tarvittaessa. Lisätietoja RPC Dump -työkalun hankkimisesta on seuraavassa Microsoftin WWW-sivustossa:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd

Ominaisuudet

Artikkelin tunnus: 908472 - Viimeisin tarkistus: 6. marraskuuta 2009 - Versio: 6.0
Artikkelin tiedot koskevat seuraavia tuotteita:
  • Microsoft Windows Server 2003 Service Pack 1 seuraavilla käyttöjärjestelmillä
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows 2000 Server SP4 seuraavilla käyttöjärjestelmillä
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
  • Microsoft Windows XP Home Edition SP2
  • Microsoft Windows XP Media Center Edition 2005
  • Microsoft Windows XP Professional SP2
  • Microsoft Windows XP Tablet PC Edition 2005
Hakusanat: 
kbinfo KB908472

Anna palautetta

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com