A távoli eljáráshívás (RPC) szolgáltatás konfigurálása adott portok használatára és ezen portok biztonságossá tétele az IPsec használatával

A cikk fordítása A cikk fordítása
Cikk azonosítója: 908472 - A cikkben érintett termékek listájának megtekintése.
Az összes kibontása | Az összes összecsukása

Összefoglaló

A jelen cikk az RPC szolgáltatás meghatározott dinamikus porttartomány használatára történő beállítását, valamint az adott tartományban található portok IP-biztonsági (IPsec) házirend segítségével való biztonságossá tételét ismerteti. Alapértelmezés szerint az RPC szolgáltatás az időszakos porttartományba (1024-5000) tartozó portokat használja, amikor portokat oszt ki a TCP-végpontokat figyelő RPC-alkalmazásoknak. Ez a működési mód a hálózati rendszergazdák számára megnehezítheti az ezen portokhoz való hozzáférés korlátozását. Ez a cikk néhány módszert mutat be az RPC-alkalmazások számára elérhető portok számának csökkentésére, illetve a portokhoz való hozzáférés korlátozására beállításjegyzéken (korábbi nevén rendszerleíró adatbázis) alapuló IPsec-házirend segítségével.

Mivel a jelen cikkben ismertetett lépések olyan rendszerszintű módosításokat tartalmaznak, melyek esetén újra kell indítani a számítógépet, az összes itt leírt műveletet először tesztelési környezetben kell elvégezni annak érdekében, hogy a változtatások által esetleg előidézett alkalmazáskompatibilitási problémák felszínre kerüljenek.

További információ

Az RPC-portok áthelyezéséhez, számuk csökkentéséhez és elérésük korlátozásához számos beállítási feladatot kell végrehajtani.

Mindenekelőtt az RPC dinamikus porttartományát kisebb, könnyebben kezelhető porttartományra kell módosítani, hogy egyszerűbb legyen a tűzfal vagy IPsec-házirend segítségével történő blokkolás. Az RPC szolgáltatás alapértelmezés szerint az 1024-5000 közötti tartományból rendel portokat azon végpontokhoz, melyeknél nincs meghatározva a figyelt port.

Megjegyzés: A jelen cikk az 5001-5021-es porttartomány alkalmazását javasolja az időszakos portok – melyek felügyelete kimeríti az erőforrásokat – használatának elkerülése érdekében, így az RPC-végpontok számára rendelkezésre álló portok száma 3976-ról 20-ra csökkenthető.

Ezt követően IPsec-házirendet kell létrehozni a porttartományhoz való hozzáférés korlátozására, amely letiltja a hálózat összes állomásának elérését.

Végül pedig módosíthatja az IPsec-házirendet oly módon, hogy bizonyos IP-címek vagy a hálózat egyes alhálózatai számára engedélyezze a blokkolt RPC-portokhoz való hozzáférést, míg az összes többit kizárja a hozzáférésből.

Az RPC szolgáltatás dinamikus porttartományának átállításához először is töltse le az RPC konfigurációs eszközt (RPC Configuration Tool, RPCCfg.exe), és másolja azt az újrakonfigurálni kívánt munkaállomásra vagy kiszolgálóra. Ehhez keresse fel a Microsoft webhelyének alábbi oldalát:
http://www.microsoft.com/downloads/details.aspx?FamilyID=0f9cde2f-8632-4da8-ae70-645e1ddaf369&DisplayLang=en
Az ezt követő feladatok, azaz az IPsec-házirend létrehozása érdekében töltse le az IP-biztonsági házirendek konfigurálására szolgáló Internet Protocol Security Policies Tool eszközt (Ipsecpol.exe), és másolja azt az újrakonfigurálni kívánt munkaállomásra vagy kiszolgálóra. Ehhez keresse fel a Microsoft webhelyének alábbi oldalát:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361
Megjegyzés: Microsoft Windows XP vagy annál újabb verziójú Windows operációs rendszer esetén használja az Ipseccmd.exe eszközt, amely a Windows XP támogatási eszközeinek része. Az IPseccmd.exe és az Ipsecpol.exe eszköz szintaxisa és használata megegyezik. A Windows XP támogatási eszközeiről további információt a Microsoft tudásbázis következő cikkében talál a cikk számára kattintva:
838079 Támogatási eszközök a Windows XP Service Pack 2 rendszerhez

Az RPC dinamikus porttartományának áthelyezése és csökkentése az RPCCfg.exe eszközzel

Az RPC szolgáltatás dinamikus porttartományának az RPCCfg.exe eszköz segítségével történő áthelyezéséhez és csökkentéséhez hajtsa végre az alábbi lépéseket:
  1. Másolja az RPCCfg.exe fájlt a konfigurálandó kiszolgálóra
  2. Írja be a parancssorba az rpccfg.exe -pe 5001-5021 -d 0 parancsot.
    Megjegyzés: Azért ajánlott ezen porttartomány használata az RPC-végpontok számára, mert kicsi a valószínűsége, hogy ezek a portok más alkalmazásokhoz legyenek rendelve. Alapértelmezés szerint az RPC szolgáltatás az 1024-5000 porttartományból rendel portokat a végpontokhoz. Az ezen tartományban található portokat azonban a Windows operációs rendszer dinamikusan hozzárendelheti bármely, Windows szoftvercsatornákat használó alkalmazáshoz, így a kiszolgáló erős terhelésekor – például olyan terminálkiszolgálóknál és középső szintű kiszolgálóknál, melyek számos, távoli rendszerekbe irányuló kimenő hívást hajtanak végre – előfordulhat, hogy a portok elfogynak.

    Így például amikor az Internet Explorer program a 80-as porton kapcsolódik egy webkiszolgálóhoz, akkor egy, az 1024-5000-es tartományba tartozó porton várja a kiszolgáló válaszát. A más, távoli rendszerekbe irányuló kimenő hívásokat végző középső szintű COM-kiszolgálók szintén ebbe a tartományba eső porton várják a hívásokra érkező válaszokat. Az RPC szolgáltatás által a végpontokhoz rendelt porttartomány áthelyezése az 5001-el kezdődő tartományba csökkenti annak esélyét, hogy az adott portot más alkalmazás is használja.
    A Windows operációs rendszerek által használt időszakos portokkal kapcsolatban a Microsoft következő (angol nyelvű) webhelyein talál további információt:

Az érintett állomás sebezhető portjaihoz való hozzáférés letiltása IPsec-házirend vagy tűzfalházirend segítségével

Az alábbiakban szereplő parancsokban a százalékjelek (%) közé tett szövegrészek helyén a tényleges értékeket az IPsec-házirend létrehozójának kell megadnia. Az „%IPSECTOOL%” szöveg esetében például a házirendet készítő személynek a következőképpen kell behelyettesítenie a szöveget:
  • Windows 2000 rendszer esetén az „%IPSECTOOL%” szöveget helyettesítse az „ipsecpol.exe” szöveggel.
  • Windows XP vagy újabb Windows rendszer esetén az „%IPSECTOOL%” szöveget az „ipseccmd.exe” szöveggel kell helyettesítenie.
További információt a portok iPsec használatával történő blokkolásáról a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
813878 Hálózati protokollok és portok blokkolása az IPSec használatával (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Az RPC végpontleképző elérésének blokkolása minden IP-cím esetén

Az RPC végpontleképző szolgáltatáshoz való hozzáférés az összes IP-cím számára való letiltásához a következő parancsot kell beírni:

Megjegyzés: Windows XP vagy újabb operációs rendszerben használja az Ipseccmd.exe programot. Windows 2000 esetén használja az Ipsecpol.exe (Windows 2000 verzió) eszközt.
%IPSECTOOL% -w REG -p "RPC-portok blokkolása" -r "Szabály a 135-ös TCP-porton bejövő adatforgalom blokkolására" -f *=0:135:TCP -n BLOCK
Megjegyzés: Ebben a parancsban ne írja be az „%IPSECTOOL%” szöveget. Az „%IPSECTOOL%” szövegrész a parancs testreszabandó részét jelöli. Így például Windows 2000 rendszerben az összes, a 135-ös TCP-porton bejövő adatforgalom blokkolásához az alábbi parancsot kell kiadnia egy olyan könyvtárból, mely tartalmazza az Ipsecpol.exe fájlt:
ipsecpol.exe -w REG -p "RPC-portok blokkolása" -r "Szabály a 135-ös TCP-porton bejövő adatforgalom blokkolására" -f *=0:135:TCP -n BLOCK
Windows XP vagy újabb rendszerben az összes, a 135-ös TCP-porton bejövő adatforgalom blokkolásához az alábbi parancsot kell kiadnia egy olyan könyvtárból, mely tartalmazza az Ipseccmd.exe fájlt:
Ipseccmd.exe -w REG -p "RPC-portok blokkolása" -r "Szabály a 135-ös TCP-porton bejövő adatforgalom blokkolására" -f *=0:135:TCP -n BLOCK

Az RPC dinamikus porttartományához való hozzáférés blokkolása minden IP-cím esetén

Amennyiben az összes IP-cím számára blokkolni szeretné az RPC dinamikus porttartományának elérését, használja az alábbi szintaxist:

Megjegyzés: Windows XP vagy újabb operációs rendszerben használja az Ipseccmd.exe programot. Windows 2000 esetén használja az Ipsecpol.exe (Windows 2000 verzió) eszközt.
%IPSECTOOL% -w REG -p "RPC-portok blokkolása" -r "A TCP %PORT% porton bejövő adatforgalom blokkolására szolgáló szabály" -f *=0:%PORT%:TCP -n BLOCK
Megjegyzés: Ebben a parancsban ne írja be az „%IPSECTOOL%”, illetve a „%PORT%” szöveget. Az „%IPSECTOOL%” és a „%PORT%” szövegrészek a parancs testreszabandó részeit jelölik. Így például Windows 2000 rendszerben az összes, az 5001-es TCP-porton bejövő adatforgalom blokkolásához az alábbi parancsot kell kiadnia:
ipsecpol.exe -w REG -p "RPC-portok blokkolása" -r "Szabály az 5001-es TCP-porton bejövő adatforgalom blokkolására" -f *=0:5001:TCP -n BLOCK
A TCP 5001 portra irányuló minden bejövő adatforgalom letiltásához Windows XP vagy újabb verziójú Windows operációs rendszert futtató állomásokon adja ki a következő parancsot:
Ipseccmd.exe -w REG -p "RPC-portok blokkolása" -r "Szabály az 5001-es TCP-porton bejövő adatforgalom blokkolására" -f *=0:5001:TCP -n BLOCK
Hajtsa végre ezt a parancsot minden blokkolandó RPC-port esetében, a parancsban a megfelelő portszámot használva. A letiltandó portok az 5001-5021-es tartományba esnek.

Megjegyzés: Ne felejtse el módosítani a portszámot a szabály nevében (-r kapcsoló) és a szűrőben (-f kapcsoló).

Nem kötelező: Hozzáférés megadása az RPC végpontleképzőhöz adott alhálózatokra vonatkozóan, ha szükséges

Ha bizonyos alhálózatok számára engedélyeznie kell a korlátozott RPC-portok elérését, először hozzáférést kell adnia ezen alhálózatoknak az előző lépésekben letiltott RPC végpontleképzőhöz. Adott alhálózat az RPC végpontleképzőhöz való hozzáférésének engedélyezéséhez a következő parancsot használja:
%IPSECTOOL% -w REG -p "RPC-portok blokkolása" -r "%SUBNET% alhálózatról a 135-ös TCP-porton érkező adatforgalom engedélyezésére vonatkozó szabály" -f %SUBNET%/%MASK%=0:135:TCP -n PASS
Megjegyzés: A parancs használatára vonatkozó utasítások:
  • Az „%IPSECTOOL%” helyőrző a használandó parancs nevének helyét jelzi. A parancs neve vagy „ipsecpol.exe” , vagy „ipseccmd.exe” attól függően, hogy milyen operációs rendszer fut az éppen konfigurált számítógépen.
  • A „%SUBNET%” azon távoli IP-alhálózatot jelöli, melynek hozzáférést szeretne adni. Példa: 10.1.1.0.
  • A „%MASK%” a használandó alhálózati maszk (például 255.255.255.0) helyét mutatja a parancsban.

    Az alábbi parancs például a 10.1.1.0/255.255.255.0 című alhálózat összes állomása számára engedélyezi a 135-ös TCP-porthoz való kapcsolódást. A korábbi lépésekben létrehozott alapértelmezett blokkolási szabály minden más állomás csatlakozási kérelmét megtagadja.
    %IPSECTOOL% -w REG -p "RPC-portok blokkolása" -r "A 10.1.1.0 című alhálózatról a 135-ös TCP-porton érkező adatforgalom engedélyezésére vonatkozó szabály" -f 10.1.1.0/255.255.255.0=0:135:TCP -n PASS

Nem kötelező: Hozzáférés megadása az új dinamikus RPC-porttartományra vonatkozóan adott alhálózatok számára szükség esetén

Azon alhálózatoknak, melyeknek az előző lépésekben engedélyezte az RPC végpontleképző elérését, hozzáférést kell adnia az új dinamikus RPC-porttartományban (5001-5021) lévő portokhoz is.

Amennyiben engedélyezi az alhálózatok számára az RPC végpontleképző elérését, a dinamikus porttartományét azonban nem, az alkalmazás lefagyhat vagy más problémák léphetnek fel.

A következő parancs engedélyezi egy adott alhálózat részére az új dinamikus RPC-porttartomány valamely portjának elérését:
%IPSECTOOL% -w REG -p "RPC-portok blokkolása" -r "%SUBNET% alhálózatról TCP %PORT% porton érkező adatforgalom engedélyezésére vonatkozó szabály" -f %SUBNET%/%MASK%=0:%PORT%:TCP -n PASS
Megjegyzés: A parancs használatára vonatkozó utasítások:
  • Az „%IPSECTOOL%” helyőrző a használandó parancs nevének helyét jelzi. A parancs neve vagy „ipsecpol.exe” , vagy „ipseccmd.exe” attól függően, hogy milyen operációs rendszer fut az éppen konfigurált számítógépen.
  • A „%PORT%” a dinamikus porttartomány azon portja, amelyhez hozzáférést kíván adni.
  • A „%SUBNET%” azon távoli IP-alhálózatot jelöli, melynek hozzáférést szeretne adni. Példa: 10.1.1.0.
  • " A „%MASK%” a használandó alhálózati maszk (például 255.255.255.0) helyét mutatja a parancsban.

    Az alábbi parancs például a 10.1.1.0/255.255.255.0 című alhálózat összes állomása számára engedélyezi a 5001-ös TCP-porthoz való kapcsolódást. A korábbi lépésekben létrehozott alapértelmezett blokkolási szabály minden más állomás csatlakozási kérelmét megtagadja.
    %IPSECTOOL% -w REG -p "RPC-portok blokkolása" -r "A 10.1.1.0 című alhálózatról a 5001-ös TCP-porton érkező adatforgalom engedélyezésére vonatkozó szabály" -f 10.1.1.0/255.255.255.0=0:5001:TCP -n PASS
Megjegyzés: Ezt a parancsot minden engedélyezni kívánt alhálózatra és az új dinamikus RPC-porttartományba eső összes engedélyezni kívánt portra vonatkozóan ki kell adnia.

Az IPsec-házirend hozzárendelése

Megjegyzés: Az ebben a szakaszban szereplő parancsok azonnal életbe lépnek.

A konfigurált RPC-portokra vonatkozó összes blokkolási szabály és választható engedélyezési szabály létrehozása után a következő paranccsal léptesse érvénybe a házirendet:
%IPSECTOOL% -w REG -p "RPC-portok blokkolása" –x
Megjegyzés: A következő parancs hatására a házirend hozzárendelése azonnal megszűnik:
%IPSECTOOL% -w REG -p "RPC-portok blokkolása" –y
Megjegyzés: A következő parancs hatására a házirend törlődik a beállításjegyzékből:
%IPSECTOOL% -w REG -p "RPC-portok blokkolása" –o
A módosítások életbe léptetéséhez újra kell indítania az állomást.

Megjegyzések
  • Az RPC-konfiguráció változtatásai a rendszer újraindítását igénylik.
  • Az IPsec-házirendek módosításai azonnal érvénybe lépnek, és nem követelik meg a számítógép újraindítását.
A munkaállomás vagy kiszolgáló újraindítását követően azok az ncacn_ip_tcp protokollsorrendet használó RPC-felületekhez, melyek nem adnak meg meghatározott TCP-portot, amelyhez kötődnének, az RPC szolgáltatás az RPC-kiszolgáló indulásakor ebből a tartományból rendel hozzá portot.

Megjegyzés: A kiszolgáló húsznál több TPC-portot is igényelhet. A TCP-porthoz kötött RPC-végpontok számának lekérdezéséhez és szükség esetén növeléséhez az rpcdump.exe parancsot használhatja. Az RPC Dump eszköz beszerzéséről a Microsoft következő webhelyén talál további információt:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd

Tulajdonságok

Cikk azonosítója: 908472 - Utolsó ellenőrzés: 2009. november 6. - Verziószám: 6.0
A cikkben található információ a következő(k)re vonatkozik:
  • Microsoft Windows Server 2003 Service Pack 1 a következő platformokon
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows 2000 Server SP4 a következő platformokon
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
  • Microsoft Windows XP Home Edition SP2
  • Microsoft Windows XP Media Center Edition 2005
  • Microsoft Windows XP Professional SP2
  • Microsoft Windows XP Tablet PC Edition 2005
Kulcsszavak: 
kbinfo KB908472
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com