Configurazione di RPC per l'utilizzo di determinate porte e protezione di tali porte mediante IPsec

Traduzione articoli Traduzione articoli
Identificativo articolo: 908472 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

Sommario

In questo articolo viene illustrato come configurare RPC per l'utilizzo di un intervallo specifico di porte dinamiche e come proteggere le porte comprese in tale intervallo mediante un criterio di protezione del protocollo Internet (IPsec). Per impostazione predefinita, quando vengono assegnate porte ad applicazioni RPC affinché rimangano in attesa su un endpoint TCP vengono utilizzate le porte incluse nell'intervallo di porte effimere (1024-5000). Questo comportamento può rendere problematica la limitazione dell'accesso a queste porte da parte degli amministratori di rete. In questo articolo viene illustrato come ridurre il numero di porte disponibili alle applicazioni RPC e come limitare l'accesso a queste porte utilizzando un criterio IPsec basato sul Registro di sistema.

Poiché i passaggi descritti in questo articolo implicano modifiche a livello di computer che richiedono il riavvio del computer stesso, è consigliabile eseguire tali passaggi prima in un ambiente non destinato alla produzione per identificare eventuali problemi di compatibilità tra applicazioni causati da queste modifiche.

Informazioni

Per spostare, ridurre e limitare l'accesso alle porte RPC, è necessario completare varie attività di configurazione.

Innanzitutto, l'intervallo di porte dinamiche RPC deve essere limitato a un intervallo di porte più ridotto e più gestibile che possa essere bloccato con maggiore facilità mediante un firewall o un criterio IPsec. Per impostazione predefinita, per RPC vengono automaticamente allocate le porte comprese nell'intervallo 1024-5000 per gli endpoint per cui non è specificata una porta di attesa.

Nota In questo articolo viene utilizzato l'intervallo di porte compreso tra 5001 e 5021 per evitare l'esaurimento delle porte effimere e ridurre il numero di porte disponibili agli endpoint RPC da 3.976 a 20.

Successivamente, è necessario creare un criterio IPsec per limitare l'accesso a questo intervallo di porte in modo da negare l'accesso a tutti gli host nella rete.

Infine, è possibile aggiornare il criterio IPsec per fornire a determinati indirizzi IP o a determinate subnet di rete l'accesso alle porte RPC bloccate ed escludere tutti gli altri indirizzi o subnet.

Per avviare l'attività di riconfigurazione dell'intervallo di porte dinamiche RPC, scaricare lo strumento di configurazione RPC (RPCCfg.exe) e copiarlo nella workstation o nel server da riconfigurare. A tale scopo, visitare il seguente sito Web Microsoft:
http://www.microsoft.com/downloads/details.aspx?FamilyID=0f9cde2f-8632-4da8-ae70-645e1ddaf369&DisplayLang=en
(l'installazione è in inglese). Per eseguire le attività successive per la creazione di un criterio IPsec, scaricare lo strumento dei criteri di protezione del protocollo Internet (Ipsecpol.exe) e copiarlo nella workstation o nel server da riconfigurare. A tale scopo, visitare il seguente sito Web Microsoft:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361
Nota Per creare un criterio IPsec per Microsoft Windows XP o per una versione successiva del sistema operativo Windows, utilizzare Ipseccmd.exe. Ipseccmd.exe fa parte degli strumenti di supporto di Windows XP. La sintassi e l'utilizzo di IPseccmd.exe sono analoghi alla sintassi e all'utilizzo di Ipsecpol.exe. Per ulteriori informazioni sugli strumenti di supporto di Windows XP, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
838079 Strumenti di supporto di Windows XP Service Pack 2

Spostare e ridurre l'intervallo di porte dinamiche di RPC mediante RPCCfg.exe

Per spostare e ridurre l'intervallo di porte dinamiche RPC mediante RPCCfg.exe, eseguire i passaggi seguenti:
  1. Copiare RPCCfg.exe nel server da configurare
  2. Al prompt dei comandi digitare rpccfg.exe -pe 5001-5021 -d 0.
    Nota Questo intervallo di porte è consigliato per l'utilizzo da parte degli endpoint RPC poiché le porte incluse in questo intervallo non vengono in genere allocate per l'utilizzo da parte di altre applicazioni. Per impostazione predefinita, per RPC viene utilizzato l'intervallo di porte compreso tra 1024 e 5000 per l'allocazione delle porte per gli endpoint. Tuttavia, le porte incluse in questo intervallo vengono inoltre allocate in modo dinamico per l'utilizzo da parte del sistema operativo Windows per tutte le applicazioni socket Windows e possono esaurirsi in server sottoposti a intenso utilizzo quali Terminal Server e server di livello intermedio da cui vengono eseguite molte chiamate in uscita a sistemi remoti.

    Ad esempio, quando in Internet Explorer viene contattato un server Web sulla porta 80, la risposta del server viene attesa su una porta compresa nell'intervallo 1024-5000. Anche in un server COM di livello intermedio da cui vengono effettuate chiamate in uscita ad altri server remoti viene utilizzata una porta compresa in questo intervallo per le risposte in arrivo a tali chiamate. Spostando l'intervallo di porte utilizzate da RPC per gli endpoint all'intervallo di porte 5001 si ridurrà la possibilità che queste porte vengano utilizzate da altre applicazioni.
    Per ulteriori informazioni sull'utilizzo di porte effimere nei sistemi operativi Windows, visitare i seguenti siti Web Microsoft.

Utilizzare un criterio IPsec o firewall per bloccare l'accesso alle porte vulnerabili sull'host interessato

Nella sezione seguente relativa ai comandi, il testo compreso tra il segno di percentuale (%) rappresenta il testo del comando che deve essere immesso dall'utente che crea il criterio IPsec. Ad esempio, ogni ricorrenza del testo "%IPSECTOOL%" dovrà essere modificata come indicato di seguito:
  • Per Windows 2000, sostituire "%IPSECTOOL%" con "ipsecpol.exe".
  • Per Windows XP o per una versione successiva di Windows, sostituire "%IPSECTOOL%" con "ipseccmd.exe".
Per ulteriori informazioni sull'utilizzo di IPsec per bloccare le porte, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
813878 Blocco di specifici protocolli di rete e porte utilizzando IPSec

Bloccare l'accesso al mapping degli endpoint RPC per tutti gli indirizzi IP

Per bloccare l'accesso al mapping degli endpoint RPC per tutti gli indirizzi IP, utilizzare la seguente sintassi.

Nota In Windows XP e nei sistemi operativi successivi, utilizzare Ipseccmd.exe. In Windows 2000, utilizzare Ipsecpol.exe (Windows 2000).
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK
Nota Non digitare "%IPSECTOOL%" in questo comando. "%IPSECTOOL%" rappresenta la parte di comando che è necessario personalizzare. Ad esempio, per bloccare tutti gli accessi in ingresso sulla porta TCP 135, digitare il comando riportato di seguito da una directory che contiene il file Ipsecpol.exe negli host Windows 2000 :
ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK
Ad esempio, per bloccare tutti gli accessi in ingresso sulla porta TCP 135, digitare il comando riportato di seguito da una directory che contiene il file Ipseccmd.exe negli host Windows XP e successivi:
ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

Bloccare l'accesso all'intervallo dinamico di porte RPC per tutti gli indirizzi IP

Per bloccare l'accesso all'intervallo dinamico di porte RPC, attenersi alla sintassi seguente.

Nota In Windows XP e nei sistemi operativi successivi, utilizzare Ipseccmd.exe. In Windows 2000, utilizzare Ipsecpol.exe (Windows 2000).
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP %PORT% Rule" -f *=0:%PORT%:TCP -n BLOCK
Nota Non digitare "%IPSECTOOL%"o "%PORT%" in questo comando. "%IPSECTOOL%" e "%PORT%" rappresentano le parti del comando che è necessario personalizzare. Ad esempio, per bloccare tutti gli accessi in ingresso sulla porta TCP 5001, digitare il comando riportato di seguito negli host Windows 2000 :
ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK
Per bloccare tutti gli accessi in ingresso sulla porta TCP 5001, digitare il comando seguente su host Windows XP e versioni successive:
ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK
Ripetere il comando per ciascuna porta RPC da bloccare modificando il numero di porta elencato nel comando. Le porte da bloccare sono incluse nell'intervallo 5001-5021.

Nota Non dimenticare di modificare il numero di porta nel nome della regola (opzione -r) e nel filtro (opzione -f).

Facoltativo: fornire l'accesso al mapping degli endpoint RPC per subnet specifiche se è richiesto l'accesso

Se occorre fornire a subnet specifiche l'accesso alle porte RPC con limitazioni, è necessario innanzitutto fornire a tali subnet l'accesso al mapping degli endpoint RPC precedentemente bloccato. Per assegnare a una subnet specifica l'accesso al mapping endpoint RPC, utilizzare il comando riportato di seguito:
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP 135 from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:135:TCP -n PASS
Nota In questo comando, si applicano le seguenti istruzioni:
  • "%IPSECTOOL%" rappresenta il comando da utilizzare. Questo comando può essere "ipsecpol.exe" o "ipseccmd.exe." Il comando utilizzato dipende dal sistema operativo che si configura.
  • "%SUBNET%" rappresenta la subnet IP remota a cui si desidera fornire l'accesso, ad esempio 10.1.1.0.
  • "%MASK%" rappresenta la subnet mask da utilizzare, ad esempio 255.255.255.0.

    Ad esempio, il seguente comando consente a tutti gli host della subnet 10.1.1.0/255.255.255.0 di connettersi alla porta TCP 135. Le connessioni di tutti gli altri host verranno negate dalla regola di blocco predefinita creata in precedenza per questa porta.
    %IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 135 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:135:TCP -n PASS

Facoltativo: fornire l'accesso al nuovo intervallo di porte dinamiche RPC per subnet specifiche se è richiesto l'accesso

A ogni subnet a cui è stato fornito l'accesso al mapping degli endpoint RPC è anche necessario fornire l'accesso a tutte le porte comprese nel nuovo intervallo di porte dinamiche RPC (5001-5021).

Se si consente alle subnet di accedere al mapping degli endpoint RPC, ma non all'intervallo di porte dinamiche, è possibile che l'applicazione si blocchi o che si verifichino altri problemi.

Il seguente comando fornisce a una subnet specifica l'accesso a una porta compresa nel nuovo intervallo di porte dinamiche RPC:
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP %PORT% from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:%PORT%:TCP -n PASS
Nota In questo comando, si applicano le seguenti istruzioni:
  • "%IPSECTOOL%" rappresenta il comando da utilizzare. Questo comando può essere "ipsecpol.exe" o "ipseccmd.exe." Il comando utilizzato dipende dal sistema operativo che si configura.
  • "%PORT%" rappresenta la porta compresa nell'intervallo di porte dinamiche a cui fornire l'accesso.
  • "%SUBNET%" rappresenta la subnet IP remota a cui si desidera fornire l'accesso, ad esempio 10.1.1.0.
  • " "%MASK%" rappresenta la subnet mask da utilizzare, ad esempio 255.255.255.0.

    Ad esempio, il seguente comando consente a tutti gli host della subnet 10.1.1.0/255.255.255.0 di connettersi alla porta TCP 5001. Le connessioni di tutti gli altri host verranno negate dalla regola di blocco predefinita creata in precedenza per questa porta.
    %IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 5001 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:5001:TCP -n PASS
Nota Questo comando deve essere ripetuto per ogni subnet e per ogni porta compresa nel nuovo intervallo di porte dinamiche RPC.

Assegnare il criterio IPsec

Nota I comandi riportati in questa sezione hanno effetto immediato.

Dopo aver creato tutte le regole per bloccare il traffico e tutte le regole facoltative per consentire il traffico sulle porte RPC configurate, assegnare il criterio mediante il comando seguente:
%IPSECTOOL% -w REG -p "Block RPC Ports" ?x
Nota Per annullare immediatamente l'assegnazione del criterio, utilizzare il comando riportato di seguito:
%IPSECTOOL% -w REG -p "Block RPC Ports" ?y
Nota Per eliminare il criterio dal Registro di sistema, utilizzare il comando riportato di seguito:
%IPSECTOOL% -w REG -p "Block RPC Ports" -o
È necessario riavviare il computer per rendere effettive le modifiche.

Note
  • Le modifiche della configurazione RPC richiedono il riavvio del sistema.
  • Le modifiche del criterio IPsec hanno effetto immediato e non richiedono il riavvio del sistema.
Dopo aver riavviato la workstation o il server, all'avvio del server RPC nel runtime RPC verrà allocata una porta compresa in questo intervallo per le interfacce RPC che utilizzano la sequenza di protocollo ncacn_ip_tcp e che non specificano una porta TCP a cui effettuare l'associazione.

Nota Il server può richiedere più di 20 porte TCP. È possibile utilizzare il comando rpcdump.exe per contare il numero di endpoint RPC associati a una porta TCP e aumentare questo numero se necessario. Per ulteriori informazioni su come ottenere lo strumento RPC Dump, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd

Proprietà

Identificativo articolo: 908472 - Ultima modifica: venerdì 6 novembre 2009 - Revisione: 6.0
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows Server 2003 Service Pack 1 alle seguenti piattaforme
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows 2000 Server SP4 alle seguenti piattaforme
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
  • Microsoft Windows XP Home Edition SP2
  • Microsoft Windows XP Media Center Edition 2005
  • Microsoft Windows XP Professional SP2
  • Microsoft Windows XP Tablet PC Edition 2005
Chiavi: 
kbinfo KB908472
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com