כיצד להגדיר את RPC לשימוש ביציאות מסוימות וכיצד לסייע באבטחת יציאות אלה באמצעות פרוטוקול אבטחת אינטרנט (IPsec)?

תרגומי מאמרים תרגומי מאמרים
Article ID: 908472 - View products that this article applies to.
הרחב הכל | כווץ הכל

תקציר

מאמר זה מתאר כיצד להגדיר את RPC לשימוש בטווח דינאמי מסוים של יציאות וכיצד לסייע באבטחת היציאות שבטווח זה באמצעות מדיניות של אבטחת פרוטוקול אינטרנט (IPSec). כברירת מחדל, RPC עושה שימוש בטווח של יציאות ארעיות (1024 עד 5000) כאשר הוא מקצה יציאות ליישומי RPC שעליהם להאזין בנקודת קצה של TCP. עקב אופן פעולה זה, הגבלת הגישה ליציאות אלה עשויה להוות אתגר עבור מנהלי רשת. מאמר זה דן בדרכים להקטין את מספר היציאות הזמינות ליישומי RPC ובשאלה כיצד להגביל את הגישה ליציאות אלה באמצעות מדיניות אבטחת פרוטוקל אינטרנט (IPsec) מבוססת על הרישום.

השלבים המתוארים במאמר זה כרוכים בשינויים הדורשים הפעלה מחדש של המחשב. משום כך יש לבצעם תחילה בסביבה לא פעילה במטרה לזהות בעיות תאימות בין יישומים העלולות להתרחש כתוצאה משינויים אלה.

מידע נוסף

כדי למקם מחדש יציאות RPC, להקטין את מספרן ולהגביל את הגישה אליהן, יש לבצע תחילה מספר משימות הגדרה.

תחילה יש להגביל את הטווח הדינאמי של היציאות לטווח קטן וקל יותר לניהול, שהוא קל יותר לחסימה באמצעות חומת אש או באמצעות מדיניות אבטחת פרוטוקול אינטרנט (IPsec). כברירת מחדל, RPC מקצה באופן דינאמי יציאות בטווח שבין 1024 לבין 5000 עבור נקודות קצה שאינן מציינות יציאת האזנה.

שים לב מאמר זה עושה שימוש בטווח היציאות שבין 5001 לבין 5021 כדי להימנע מלכלות יציאות ארעיות וכדי להקטין את מספר היציאות הזמינות לנקודות קצה של RPC מ-3,976 ל-20.

לאחר מכן יש ליצור מדיניות אבטחת פרוטוקול אינטרנט (IPsec) כדי להגביל את הגישה לטווח יציאות זה במטרה למנוע גישה לכל המחשבים המארחים ברשת.

לבסוף, ניתן לעדכן את מדיניות אבטחת פרוטוקול האינטרנט (IPsec) כדי להעניק לכתובות IP מסוימות או לרשתות משנה גישה ליציאות ה-RPC החסומות, ובו בזמן למנוע גישה זו מכל האחרות.

כדי להתחיל במשימת ההגדרה של הטווח הדינאמי של יציאות ה-RPC, הורד מן האינטרנט את כלי ההגדרה של RPC (הקובץ RPCCfg.exe) ולאחר מכן העתק אותו לתחנת העבודה או לשרת שיוגדר מחדש. לשם כך, בקר באתר האינטרנט הבא של Microsoft:
http://www.microsoft.com/downloads/details.aspx?FamilyID=0f9cde2f-8632-4da8-ae70-645e1ddaf369&DisplayLang=en
כדי לבצע את המשימות הבאות של יצירת מדיניות אבטחת פרוטוקול אינטרנט (IPsec), הורד את הכלי Internet Protocol Security Policies (הקובץ Ipsecpol.exe) ולאחר מכן העתק אותו לתחנת העבודה או לשרת שיוגדר מחדש. לשם כך, בקר באתר האינטרנט הבא של Microsoft:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361
שים לב כדי ליצור מדיניות אבטחת פרוטוקול אינטרנט (IPsec) עבור מערכת ההפעלה Microsoft Windows XP או עבור גירסה מאוחרת יותר של מערכת ההפעלה Windows, השתמש בקובץ Ipseccmd.exe, המהווה חלק מכלי התמיכה של מערכת Windows XP. התחביר והשימוש בקובץ Ipseccmd.exe זהים לאלה של הקובץ Ipsecpol.exe. לקבלת מידע נוסף על כלי התמיכה של מערכת Windows XP, לחץ על מספר המאמר שלהלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
838079 כלי התמיכה של מערכת Windows XP Service Pack 2 (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)

מיקום מחדש וצמצום טווח היציאות הדינאמי של RPC באמצעות הכלי RPCCfg.exe

כדי למקם מחדש ולצמצם את טווח היציאות הדינאמי של RPC באמצעות הכלי RPCCfg.exe, בצע את השלבים הבאים:
  1. העתק את RPCCfg.exe לשרת שאת תצורתו יש להגדיר.
  2. בשורת הפקודה, הקלד rpccfg.exe -pe 5001-5021 -d 0.
    שים לב טווח יציאות זה מומלץ לשימוש על-ידי נקודות קצה של RPC כיוון שאין זה סביר שיציאות בטווח זה יוקצו לשימושם של יישומים אחרים. כברירת מחדל, RPC עושה שימוש בטווח היציאות שבין 1024 לבין 5000 להקצאת יציאות עבור נקודות קצה. עם זאת, יציאות בטווח זה מוקצות לשימוש גם באופן דינאמי על-ידי מערכת ההפעלה Windows עבור כל יישומי ה-sockets של Windows, והן עשויות להתכלות בשרתים בהם נעשה שימוש אינטנסיבי, כגון שרתי מסוף ושרתי ,תווך ביניים (middle-tier) המבצעים קריאות יוצאות רבות למערכות מרוחקות.

    לדוגמה: כאשר Internet Explorer יוצר קשר עם שרת אינטרנט ביציאה 80, הוא מאזין לתגובת השרת ביציאה הנמצאת בטווח 1024-5000. שרת תווך ביניים (middle-tier) מסוג COM המבצע קריאות יוצאות לשרתים מרוחקים אחרים, משתמש גם הוא ביציאה מטווח זה עבור התשובה החוזרת מאותה קריאה. העברת טווח היציאות, בהן RPC עושה שימוש עבור נקודות קצה, אל טווח היציאות 5001 ואילך יקטין את הסיכוי שיישומים אחרים ישתמשו ביציאות אלה.
    לקבלת מידע נוסף על שימוש חולף ביציאות במערכות הפעלה Windows, בקר באתרי האינטרנט הבאים של Microsoft.

שימוש במדיניות אבטחת פרוטוקול אינטרנט (IPsec) או במדיניות חומת אש לחסימת הגישה ליציאות הפגיעות בשרת המארח המושפע מן הבעיה

בפקודות שבפיסקה הבאה, טקסט המופיע בין תווי אחוזים (%) מייצג טקסט אותו חייב להזין לפקודה היוצר של מדיניות אבטחת פרוטוקול האינטרנט (IPsec). לדוגמה: בכל מקום בו מופיע הטקסט "%IPSECTOOL%", על יוצר מדיניות אבטחת פרוטוקול אינטרנט (IPsec) להחליפו כלהלן:
  • עבור Windows 2000, החלף את "%IPSECTOOL%" ב-"ipsecpol.exe."
  • עבור Windows XP או גירסה מאוחרת יותר של Windows, החלף את "%IPSECTOOL%" ב-"ipseccmd.exe."
לקבלת מידע נוסף על אופן השימוש במדיניות אבטחת פרוטוקול אינטרנט (IPsec) לחסימת יציאות, לחץ על מספר המאמר להלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
813878 כיצד לחסום פרוטוקולי רשת ויציאות ספציפיים באמצעות מדיניות אבטחת פרוטוקול אינטרנט (IPsec) (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)

חסום גישה לממפה נקודות קצה של RPC לכל כתובות IP

כדי לחסום גישה לממפה נקודות קצה של RPC לכל כתובות IP, השתמש בתחביר הבא:

שים לב במערכת Windows XP ובמערכות הפעלה חדשות יותר, השתמש ביישום Ipseccmd.exe. במערכת Windows 2000 השתמש ביישום Ipsecpol.exe ?(Windows 2000)
?%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK
שים לב אין להקליד "%IPSECTOOL%" בפקודה זו. הביטוי "%IPSECTOOL%" מיועד לייצג את חלק הפקודה אותו יש להתאים אישית. לדוגמה, במערכת Windows 2000 הקלד את הפקודה הבאה מספריה המכילה את היישום Ipsecpol.exe כדי לחסום כל גישה פנימה אל TCP 135.
ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK
במערכת Windows XP ובמערכות הפעלה חדשות יותר, הקלד את הפקודה הבאה מספרייה המכילה את היישום Ipseccmd.exe כדי לחסום כל התנועה הנכנסת אל TCP 135.
ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

חסום גישה לממפה נקודות קצה של RPC לכל כתובות IP

כדי לחסום גישה לממפה נקודות קצה של RPC לכל כתובות IP, השתמש בתחביר הבא:

שים לב במערכת Windows XP ובמערכות הפעלה חדשות יותר, השתמש ביישום Ipseccmd.exe. במערכת Windows 2000 השתמש ביישום Ipsecpol.exe (?Windows 2000)
?%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP %PORT% Rule" -f *=0:%PORT%:TCP -n BLOCK
שים לב אין להקליד "%IPSECTOOL%" או "%PORT%" בפקודה זו. הביטוי "%IPSECTOOL%" או הביטוי "%PORT%" מיועד לייצג את חלק הפקודה אותו יש להתאים אישית. לדוגמה, במחשבים מארחים עם מערכת Windows 2000 הקלד את הפקודה הבאה כדי לחסום כל תנועה פנימה אל TCP 135.
ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK
כדי לחסום כל תנועה פנימה אל TCP 5001 במחשבים מארחים המופעלים באמצעות מערכת Windows XP או מערכת חדשה יותר, הקלד את הפקודה הבאה:
ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK
חזור על פקודה זו עבור כל יציאת RPC אותה יש לחסום באמצעות שינוי מספר היציאה בפקודה. יציאות אותן יש לחסום נמצאות בטווח 5001-5021.

שים לב אל תשכח לשנות את מספר היציאה בשם הכלל (מתג ?-r) ובמסנן (מתג ?-f).

אופציונלי: הענק גישה לממפה נקודות קצה של RPC לרשתות משנה ספציפיות, אם הגישה נחוצה

אם יש צורך בהענקת גישה לרשתות משנה ספציפיות ליציאות RPC מוגבלות, עליך להעניק את הגישה לרשתות משנה אלה קודם כל לממפה נקודות קצה של RPC שאותו חסמת קודם לכן. כדי להעניק לרשת משנה מסוימת גישה לממפה נקודות הקצה של RPC, השתמש בפקודה הבאה:
?%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP 135 from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:135:TCP -n PASS
שים לב בפקודה זו חלים המשפטים הבאים:
  • הביטוי "%IPSECTOOL%" מייצג את הפקודה בה יש להשתמש. הפקודה היא "ipsecpol.exe" או "ipseccmd.exe", לפי מערכת ההפעלה אותה מגדירים.
  • הביטוי "%SUBNET%" מייצג את כתובת ה-IP של רשת המשנה לה ברצונך להעניק גישה, לדוגמה 10.1.1.0.
  • הביטוי "%MASK%" מייצג את מסיכת רשת המשנה בה יש להשתמש, לדוגמה 255.255.255.0.

    לדוגמה: הפקודה הבאה מאפשרת לכל המחשבים המארחים מרשת המשנה 10.1.1.0/255.255.255.0 להתחבר ליציאה TCP 135. ההתחברויות של כל יתר המחשבים המארחים יידחו על-ידי כלל ברירת המחדל של חסימה שנוצר קודם לכן עבור יציאה זו.
    ?%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 135 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:135:TCP -n PASS

אופציונלי: הענק גישה לממפה נקודות קצה של RPC לרשתות משנה ספציפיות, אם הגישה נחוצה.

כל רשת משנה שהייתה לה קודם גישה לממפה נקודות קצה של RPC, תקבל גישה לכל היציאות גם בטווח היציאות הדינאמי החדש של RPC ?(5001-5021)

אם לרשתות משנה מתאפשרת גישה לממפה נקודות הקצה של יציאות RPC אך לא לטווח היציאות הדינאמי, ייתכן שהיישום יפסיק להגיב או שתיתקל בבעיות אחרות.

הפקודה הבאה מעניקה לרשת משנה מסוימת גישה ליציאה בטווח הדינאמי החדש של יציאות RPC:
?%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP %PORT% from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:%PORT%:TCP -n PASS
שים לבבפקודה זו חלים המשפטים הבאים:
  • הביטוי "%IPSECTOOL%" מייצג את הפקודה בה יש להשתמש. הפקודה היא "ipsecpol.exe" או "ipseccmd.exe", לפי מערכת ההפעלה אותה מגדירים.
  • הביטוי "%PORT%" מייצג את היציאה בטווח היציאות הדינאמי לה יש להעניק גישה.
  • הביטוי "%SUBNET%" מייצג את כתובת ה-IP של רשת המשנה לה ברצונך להעניק גישה, לדוגמה 10.1.1.0.
  • " הביטוי %MASK%" מייצג את מסיכת רשת המשנה בה יש להשתמש, לדוגמה 255.255.255.0.

    לדוגמה: הפקודה הבאה מאפשרת לכל המחשבים המארחים מרשת המשנה 10.1.1.0/255.255.255.0 להתחבר ליציאה TCP 5001. ההתחברויות של כל יתר המחשבים המארחים יידחו על-ידי כלל ברירת המחדל של חסימה שנוצר קודם לכן עבור יציאה זו.
    ?%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 5001 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:5001:TCP -n PASS
שים לב יש לחזור על פקודה זו לכל רשת משנה ולכל יציאה בטווח היציאות הדינאמי החדש של RPC.

הקצה את מדיניות ה-IPsec

שים לב הפקודות בפרק זה משפיעות באופן מיידי.

לאחר יצירת כללי החסימה וכל כללי ההיתר האופציונליים עבור יציאות ה-RPC אותן מגדירים, יש להקצות את המדיניות באמצעות הפקודה הבאה:
?%IPSECTOOL% -w REG -p "Block RPC Ports" ?x
שים לב כדי לבטל באופן מיידי את הקצאת המדיניות, השתמש בפקודה הבאה:
?%IPSECTOOL% -w REG -p "Block RPC Ports" ?y
שים לב כדי למחוק את המדיניות מן הרישום, השתמש בפקודה הבאה:
?%IPSECTOOL% -w REG -p "Block RPC Ports" -o
כדי להחיל את השינויים, עליך להפעיל מחדש את המחשב המארח.

הערות
  • שינויי ההגדרות של RPC מצריכים הפעלה מחדש.
  • השינויים במדיניות אבטחת פרוטוקול האינטרנט (IPsec) נכנסים לתוקף באופן מיידי ואינם מצריכים הפעלה מחדש.
לאחר הפעלה מחדש של השרת או של תחנת העבודה, זמן הריצה של RPC יקצה יציאה לכל ממשק RPC המשתמש ברצף הפרוטוקול ncacn_ip_tcp מבלי לציין יציאת TCP ספציפית אליה יש לאגדו.

הערההשרת עשוי להזדקק ליותר מ-20 יציאות TCP. כדי למנות את מספר נקודות הקצה של RPC המאוגדות ליציאת TCP וכדי להגדיל מספר זה אם יש צורך בכך, באפשרותך להשתמש בפקודה rpcdump.exe למידע נוסף על הדרך להשיג את הכלי RPC Dump, בקר באתר הבא של Microsoft:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd

מאפיינים

Article ID: 908472 - Last Review: יום שני 09 נובמבר 2009 - Revision: 6.0
המידע במאמר זה חל על:
  • Microsoft Windows Server 2003 Service Pack 1, הפועל עם:
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows 2000 Server SP4, הפועל עם:
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
  • Microsoft Windows XP Home Edition SP2
  • Microsoft Windows XP Media Center Edition 2005
  • Microsoft Windows XP Professional SP2
  • Microsoft Windows XP Tablet PC Edition 2005
מילות מפתח 
kbinfo KB908472

ספק משוב

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com