RPC configureren voor het gebruik van bepaalde poorten en deze poorten helpen beveiligen met behulp van IPsec

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 908472 - Bekijk de producten waarop dit artikel van toepassing is.
Alles uitklappen | Alles samenvouwen

Samenvatting

In dit artikel wordt beschreven hoe u RPC zodanig kunt configureren dat gebruik wordt gemaakt van een specifiek dynamisch poortbereik en hoe u de poorten in dat bereik kunt helpen beveiligen via een IPsec-beleid (Internet Protocol security). Standaard maakt RPC gebruik van poorten in het tijdelijke poortbereik (1024-5000) bij het toewijzen van poorten aan RPC-toepassingen die moeten luisteren op een TCP-eindpunt. Dit gedrag kan het moeilijk maken voor netwerkbeheerders om de toegang tot deze poorten te beperken. In dit artikel worden manieren beschreven om het aantal poorten dat beschikbaar is voor RPC-toepassingen te verminderen en wordt aangegeven hoe de toegang tot deze poorten kan worden beperkt via een op het register gebaseerd IPsec-beleid.

Omdat de stappen in dit artikel resulteren in wijzigingen die voor de hele computer gelden en die het opnieuw opstarten van de computer noodzakelijk maken, kunnen deze stappen het beste eerst in een niet-productieomgeving worden uitgevoerd om compatibiliteitsproblemen tussen programma's op te sporen die kunnen ontstaan ten gevolge van deze wijzigingen.

Meer informatie

Er moeten meerdere configuratietaken worden uitgevoerd om RPC-poorten te verplaatsen, het aantal RPC-poorten terug te brengen en de toegang tot RPC-poorten te beperken.

Als eerste moet het dynamisch bereik voor RPC-poorten worden beperkt tot een kleiner, beter beheersbaar poortbereik dat gemakkelijker kan worden geblokkeerd met behulp van een firewall of IPsec-beleid. Standaard worden in RPC dynamisch poorten toegewezen in het bereik tussen 1024 en 5000 voor eindpunten waarbij geen poort wordt gespecificeerd waarop moet worden geluisterd.

Opmerking In dit artikel wordt gebruikgemaakt van het poortbereik van 5001 tot 5021 om te voorkomen dat alle tijdelijke poorten in beslag worden genomen en om het beschikbare aantal poorten voor RPC-eindpunten terug te brengen van 3976 tot 20.

Vervolgens moet een IPsec-beleid worden opgezet om de toegang tot dit poortbereik te beperken, zodat het niet mogelijk is toegang te verkrijgen tot de hosts in het netwerk.

Tot slot kan het IPsec-beleid zodanig worden bijgewerkt dat bepaalde IP-adressen of netwerksubnetten toegang kunnen krijgen tot de geblokkeerde RPC-poorten en alle overige poorten worden uitgesloten.

U start het opnieuw configureren van het dynamisch bereik van RPC-poorten door het RPC-configuratieprogramma (RPCCfg.exe) te downloaden en te kopiëren naar het werkstation dat of de server die opnieuw wordt geconfigureerd. Ga hiervoor naar de volgende Microsoft-website:
http://www.microsoft.com/downloads/details.aspx?FamilyID=0f9cde2f-8632-4da8-ae70-645e1ddaf369&DisplayLang=en
U kunt de daaropvolgende taken voor het opzetten van een IPsec-beleid uitvoeren door het hulpprogramma voor het maken van een IPsec-beleid (Ipsecpol.exe) te downloaden en te kopiëren naar het werkstation dat of de server die opnieuw wordt geconfigureerd. Ga hiervoor naar de volgende Microsoft-website:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361
Opmerking Als u een IPsec-beleid wilt maken voor Microsoft Windows XP of voor een latere versie van het Windows-besturingssyteem, gebruikt u Ipseccmd.exe. Ipseccmd.exe maakt deel uit van de ondersteuningsprogramma's voor Windows XP. De syntaxis en het gebruik van IPseccmd.exe zijn gelijk aan de syntaxis en het gebruik van Ipsecpol.exe. Klik op het volgende artikelnummer in de Microsoft Knowledge Base voor meer informatie over de ondersteuningsprogramma's voor Windows XP:
838079 Ondersteuningsprogramma's van Windows XP Service Pack 2

Het dynamisch bereik van RPC-poorten verplaatsen en verkleinen met behulp van RPCCfg.exe

Ga als volgt te werk om het dynamisch bereik van RPC-poorten te verplaats en verkleinen met behulp van RPCCfg.exe:
  1. RPCCfg.exe kopiëren naar de server die moet worden geconfigureerd
  2. Typ rpccfg.exe -pe 5001-5021 -d 0 bij de opdrachtprompt.
    Opmerking Dit poortbereik wordt aanbevolen voor gebruik door RPC-eindpunten omdat de kans klein is dat poorten in dit bereik worden toegewezen voor gebruik door andere toepassingen. Standaard wordt in RPC het poortbereik van 1024 tot 5000 gebruikt voor het toewijzen van poorten voor eindpunten. Poorten in dit bereik worden echter tevens toegewezen voor gebruik door het Windows-besturingssysteem voor alle Windows Sockets-toepassingen en de kans bestaat dat zij niet langer beschikbaar zijn op intensief gebruikte servers, zoals terminalservers en servers uit de middenlaag die veel uitgaande aanroepen uitvoeren naar externe systemen.

    Als bijvoorbeeld Internet Explorer verbinding maakt met een webserver via poort 80, luistert het programma op een poort in het bereik tussen 1024 en 5000 naar de reactie van de server. Ook een COM-server uit de middenlaag die uitgaande aanroepen uitvoert naar andere externe servers gebruikt een poort in dit bereik voor de binnenkomende reactie op die aanroep. Door het bereik van poorten die RPC gebruikt voor zijn eindpunten te verplaatsen naar het poortbereik vanaf 5001, wordt de kans kleiner dat deze poorten worden gebruikt door andere toepassingen.
    Ga naar de volgende websites van Microsoft voor meer informatie over tijdelijk poortgebruik in Windows-besturingssystemen.

Een IPsec- of firewall-beleid toepassen om toegang tot kwetsbare poorten op de desbetreffende host te blokkeren

In de opdrachten in de volgende sectie staat tekst tussen procenttekens (%) voor tekst in de opdracht die moet worden uitgevoerd door degene die het IPsec-beleid maakt. Als bijvoorbeeld de tekst "%IPSECTOOL%" wordt weergegeven, moet degene die het beleid maakt dit als volgt vervangen:
  • Voor Windows 2000: vervang "%IPSECTOOL%" door "ipsecpol.exe".
  • Voor Windows XP of een latere versie van Windows: vervang "%IPSECTOOL%" door "ipseccmd.exe".
Klik voor meer informatie over het gebruik van IPsec voor het blokkeren van poorten op het volgende artikelnummer in de Microsoft Knowledge Base:
813878 Specifieke netwerkprotocollen en -poorten blokkeren met behulp van IPSec (Het Engels)

Toegang tot RPC Endpoint Mapper blokkeren voor alle IP-adressen

Gebruik de volgende syntaxis om de toegang tot RPC Endpoint Mapper te blokkeren voor alle IP-adressen:

Opmerking Gebruik Ipseccmd.exe voor Windows XP en alle latere besturingssystemen en gebruik Ipsecpol.exe voor Windows 2000.
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK
Opmerking Typ niet "%IPSECTOOL%" in deze opdracht. "%IPSECTOOL%" staat voor een deel van de opdracht dat moet worden aangepast. Voor Windows 2000 typt u bijvoorbeeld de volgende opdracht vanuit een directory die Ipsecpol.exe bevat om de toegang tot TCP 135 te blokkeren voor alle binnenkomend verkeer:
ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK
Voor Windows XP en voor nieuwere besturingssystemen typt u de volgende opdracht vanuit een directory die lpseccmd.exe bevat om de toegang tot TCP 135 te blokkeren voor alle binnenkomend verkeer:
ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

De toegang tot het dynamisch bereik van RPC-poorten blokkeren voor alle IP-adressen

Gebruik de volgende syntaxis om de toegang tot het dynamisch bereik van RPC-poorten te blokkeren voor alle IP-adressen.

Opmerking Gebruik Ipseccmd.exe voor Windows XP en alle latere besturingssystemen en gebruik Ipsecpol.exe voor Windows 2000.
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP %PORT% Rule" -f *=0:%PORT%:TCP -n BLOCK
Opmerking Typ niet "%IPSECTOOL%" or "%PORT%" in deze opdracht. "%IPSECTOOL%" en "%PORT%" staan voor delen van de opdracht die moeten worden aangepast. Typ bijvoorbeeld de volgende opdracht voor Windows 2000-hosts om de toegang tot TCP 5001 te blokkeren voor alle binnenkomend verkeer:
ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK
Als u de toegang tot TCP 5001 wilt blokkeren voor alle binnenkomend verkeer, typt u de volgende opdracht voor Windows XP-hosts en hosts die werken met latere Windows-besturingssystemen:
ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK
Herhaal deze opdracht voor elke RPC-poort die moet worden geblokkeerd door het poortnummer te wijzigen dat wordt aangegeven in deze opdracht. Poorten in het bereik tussen 5001 en 5021 moeten worden geblokkeerd.

Opmerking Vergeet niet het poortnummer te wijzigen in de regelnaam (de schakeloptie -r) en in het filter (de schakeloptie -f).

Optioneel: Geef specifieke subnetten toegang tot RPC Endpoint Mapper als dat nodig is

Als u specifieke subnetten toegang moet bieden tot de RPC-poorten met beperkte toegang, moet u deze subnetten eerst toegang verlenen tot RPC Endpoint Mapper, die u eerder hebt geblokkeerd. Gebruik de volgende opdracht om een specifiek subnet toegang te bieden tot RPC Endpoint Mapper:
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP 135 from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:135:TCP -n PASS
Opmerking In deze opdracht geldt het volgende:
  • "%IPSECTOOL%" staat voor de opdracht die moet worden gebruikt. Dit kan "ipsecpol.exe" of "ipseccmd.exe" zijn. Welke opdracht wordt gebruikt, is afhankelijk van welk besturingssysteem u configureert.
  • "%SUBNET%" staat voor het externe IP-subnet waarvoor u toegang wilt bieden, bijvoorbeeld 10.1.1.0.
  • "%MASK%" staat voor het subnetmasker dat moet worden gebruikt, bijvoorbeeld 255.255.255.0.

    Met behulp van de volgende opdracht worden bijvoorbeeld alle hosts uit het subnet van 10.1.1.0 tot 255.255.255.0 in staat gesteld verbinding te maken met poort TCP 135. De toegang van alle overige hosts zal worden geblokkeerd via de standaardblokkeringsregel die eerder voor deze poort is ingesteld.
    %IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 135 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:135:TCP -n PASS

Optioneel: Geef specifieke subnetten toegang tot het nieuwe dynamische bereik van RPC-poorten als dat nodig is

Elk subnet dat eerder toegang is verleend tot RPC Endpoint Mapper moet tevens toegang krijgen voor alle poorten in het nieuwe dynamische bereik van RPC-poorten (5001-5021).

Als u subnetten wel toegang biedt tot RPC Endpoint Mapper maar niet tot het dynamisch poortbereik, reageert de toepassing mogelijk niet langer of krijgt u wellicht te maken met andere problemen.

Met de volgende opdracht kunt u een specifiek subnet toegang bieden tot een poort in het nieuwe dynamisch bereik van RPC-poorten:
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP %PORT% from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:%PORT%:TCP -n PASS
Opmerking In deze opdracht geldt het volgende:
  • "%IPSECTOOL%" staat voor de opdracht die moet worden gebruikt. Dit kan "ipsecpol.exe" of "ipseccmd.exe" zijn. Welke opdracht wordt gebruikt, is afhankelijk van welk besturingssysteem u configureert.
  • "%PORT%" staat voor de poort in het dynamisch poortbereik waartoe toegang wordt geboden.
  • "%SUBNET%" staat voor het externe IP-subnet waarvoor u toegang wilt bieden, bijvoorbeeld 10.1.1.0.
  • " %MASK%" staat voor het subnetmasker dat moet worden gebruikt, bijvoorbeeld 255.255.255.0.

    Met behulp van de volgende opdracht worden bijvoorbeeld alle hosts uit het subnet van 10.1.1.0 tot 255.255.255.0 in staat gesteld verbinding te maken met poort TCP 5001. De toegang van alle overige hosts zal worden geblokkeerd via de standaardblokkeringsregel die eerder voor deze poort is ingesteld.
    %IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 5001 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:5001:TCP -n PASS
Opmerking Deze opdracht moet worden herhaald voor elk subnet en elke poort in het nieuwe dynamische bereik voor RC-poorten.

Het IPsec-beleid toewijzen

Opmerking De opdrachten in deze sectie worden onmiddellijk doorgevoerd.

Nadat u alle blokkeringsregels en alle optionele toelatingsregels voor de geconfigureerde RPC-poorten hebt gemaakt, wijst u het beleid toe met behulp van de volgende opdracht:
%IPSECTOOL% -w REG -p "Block RPC Ports" ?x
Opmerking U kunt de toewijzing van het beleid onmiddellijk ongedaan maken met de volgende opdracht:
%IPSECTOOL% -w REG -p "Block RPC Ports" ?y
Opmerking U kunt het beleid uit het register verwijderen met de volgende opdracht:
%IPSECTOOL% -w REG -p "Block RPC Ports" -o
U moet de host opnieuw opstarten om deze wijzigingen te activeren.

Opmerkingen
  • De wijzigingen in de RPC-configuratie vereisen een herstart.
  • De wijzigingen in het IPsec-beleid worden onmiddellijk van kracht en vereisen geen herstart.
Nadat het werkstation of de server opnieuw is opgestart, wordt aan alle RPC-interfaces waarvoor de protocolreeks ncacn_ip_tcp wordt gebruikt en waarvoor geen specifieke TCP-poort is opgegeven voor binding, door de RPC-runtime een poort uit dit bereik toegewezen bij het opstarten van de RPC-server.

Opmerking De server heeft mogelijk meer dan 20 TCP-poorten nodig. U kunt de opdracht rpcdump.exe gebruiken om het aantal RPC-eindpunten te tellen dat aan een TCP-poort is gebonden en om zo nodig dit aantal te verhogen. Als u wilt weten hoe u in het bezit kunt komen van het hulpprogramma RPC Dump, gaat u naar de volgende Microsoft-website:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd

Eigenschappen

Artikel ID: 908472 - Laatste beoordeling: vrijdag 6 november 2009 - Wijziging: 6.0
De informatie in dit artikel is van toepassing op:
  • Microsoft Windows Server 2003 Service Pack 1 op de volgende platformen
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows 2000 Server SP4 op de volgende platformen
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows® 2000 Server
  • Microsoft Windows XP Home Edition SP2
  • Microsoft Windows XP Media Center Edition 2005
  • Microsoft Windows XP Professional SP2
  • Microsoft Windows XP Tablet PC Edition 2005
Trefwoorden: 
kbinfo KB908472

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com