Slik konfigurerer du RPC slik at det bruker bestemte porter, og slik sikrer du disse portene ved bruk av IPsec

Artikkeloversettelser Artikkeloversettelser
Artikkel-ID: 908472 - Vis produkter som denne artikkelen gjelder for.
Vis alt | Skjul alt

Sammendrag

Denne artikkelen beskriver hvordan du konfigurerer RPC slik at det bruker et bestemt dynamisk portområde, og hvordan du sikrer portene i dette området ved hjelp av en IPsec-policy (Internet Protocol Security). Standard er at RPC bruker porter i det flyktige portområdet (1024?5000) når det tilordner porter til RPC-programmer som må lytte på et TCP-endepunkt. Denne atferden kan gjøre det vanskelig for nettverksadministratorer å begrense tilgangen til disse portene. Denne artikkelen tar for seg hvordan du kan redusere antall porter som er tilgjengelige for RPC-programmer, og hvordan du begrenser tilgangen til disse portene ved å bruke en registerbasert IPsec-policy.

Fordi fremgangsmåten i denne artikkelen omfatter endringer i datamaskinen som krever at den må startes på nytt, bør trinnene i fremgangsmåten først utføres i ikke-produksjonsmiljøer, slik at det er mulig å identifisere eventuelle programkompatibilitetsproblemer som kan oppstå som følge av endringene.

Mer informasjon

Det er en rekke konfigurasjonsoppgaver som må fullføres for å kunne flytte, redusere og begrense tilgangen til RPC-porter.

Først bør det dynamiske RPC-portområdet begrenses til et mindre, mer håndterlig portområde som er enklere å blokkere ved bruk av en brannmur eller IPsec-policy. Standard er at RPC dynamisk tildeler porter i området 1024 til 5000 for endepunkter som ikke angir hvilken port det skal lyttes på.

Obs!  Denne artikkelen bruker portområdet 5001 til 5021 for å unngå å bruke opp flyktige porter og redusere antall porter som er tilgjengelige for RPC-endepunkter fra 3976 til 20.

Deretter må det opprettes en IPsec-policy for å begrense tilgangen til dette portområdet slik at alle verter i nettverket blir nektet tilgang.

Til slutt kan IPsec-policyen oppdateres slik at den gir bestemte IP-adresser eller delnett tilgang til de blokkerte RPC-portene og nekte tilgang for alle andre.

Når du skal begynne å konfigurere det dynamiske RPC-portområdet, må du laste ned RPC-konfigurasjonsverktøyet (RPCCfg.exe), og deretter kopiere det til arbeidsstasjonen eller serveren som skal konfigureres. Du laster ned fra følgende Microsoft-webområde:
http://www.microsoft.com/downloads/details.aspx?FamilyID=0f9cde2f-8632-4da8-ae70-645e1ddaf369&DisplayLang=en
Når du deretter skal opprette en IPsec-policy, må du laste ned verktøyet for Internet Protocol Security Policies (Ipsecpol.exe), og kopiere det til arbeidsstasjonen eller serveren som skal konfigureres. Gjør dette ved å gå til følgende Microsoft-webområde:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361
Obs!  Hvis du skal opprette en IPsec-policy for Microsoft Windows XP eller en nyere versjon av Windows-operativsystemet, må du bruke Ipseccmd.exe. Ipseccmd.exe inngår i støtteverktøyene for Windows XP. Syntaksen for og bruken av IPseccmd.exe er den samme som for Ipsecpol.exe. Hvis du vil ha mer informasjon om støtteverktøyene for Windows XP, klikker du følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
838079 Støtteverktøy for Windows XP Service Pack 2

Flytte og redusere det dynamiske RPC-portområdet ved hjelp av RPCCfg.exe

Når du skal flytte og redusere det dynamiske RPC-portområdet ved hjelp av RPCCfg.exe, følger du denne fremgangsmåten:
  1. Kopier RPCCfg.exe til serveren som skal konfigureres.
  2. Skriv rpccfg.exe -pe 5001-5021 -d 0 ved ledeteksten.
    Obs!  Dette portområdet anbefales til bruk for RPC-endepunkter fordi portene i dette området sannsynligvis ikke vil bli tilordnet for bruk av andre programmer. Standard er at RPC bruker portområdet 1024 til 5000 for tilordning av porter for endepunkter. Portene i dette området blir imidlertid også dynamisk tilordnet for bruk av Windows-operativsystemet for alle Windows-socketprogrammer og kan bli brukt opp på servere med stor trafikk, slik som terminalservere og servere på det midterste laget som foretar mange utgående oppkallinger til eksterne systemer.

    Når Internet Explorer for eksempel kontakter en webserver på port 80, lytter den på en port i området 1024?5000 etter svar fra serveren. En COM-server på det midterste laget som foretar utgående oppkallinger til andre eksterne servere, bruker også en port i dette området for det innkommende svaret på oppkallingen. Når du flytter portområdet som RPC bruker for endepunktene, til portområdet 5001, innskrenker du muligheten for at disse portene vil bli brukt av andre programmer.
    Hvis du vil ha mer informasjon om bruk av flyktige porter i Windows-operativsystemer, kan du gå til følgende Microsoft-webområder.

Bruk en IPsec eller brannmurpolicy for å blokkere tilgang til de sårbare portene på den påvirkede verten

I kommandoene i det følgende avsnittet er all tekst som vises mellom prosent-tegn (%) ment å representere tekst i kommandoen som må angis av personen som oppretter IPsec-policyen. Der for eksempel teksten "%IPSECTOOL%" vises, må den som oppretter policyen, bytte ut teksten på følgende måte:
  • For Windows 2000 bytter du ut "%IPSECTOOL%" med "ipsecpol.exe".
  • For Windows XP eller en senere versjon av Windows, bytter du ut "%IPSECTOOL%" med "ipseccmd.exe".
Hvis du vil ha mer informasjon om hvordan du bruker IPsec for å blokkere porter, klikker du artikkelnummeret nedenfor for å vise artikkelen i Microsoft Knowledge Base.
813878 Slik blokkerer du bestemte nettverksprotokoller og porter ved hjelp av IPSec. (denne artikkelen kan være på engelsk)

Blokkere tilgangen til endepunktsadresseringer for RPC for alle IP-adresser

Hvis du vil blokkere tilgangen til endepunktsadresseringer for RPC for alle IP-adresser, bruker du syntaksen nedenfor.

Obs!  For Windows XP og senere operativsystemer må du bruke Ipseccmd.exe. For Windows 2000 må du bruke Ipsecpol.exe (Windows 2000).
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK
Obs!  Ikke tast "%IPSECTOOL%" i denne kommandoen. "%IPSECTOOL%" er ment å representere den delen av kommandoen som må egendefineres. For Windows 2000 skriver du for eksempel følgende kommando fra en katalog som inneholder Ipsecpol.exe, for å blokkere all innkommende tilgang til TCP 135:
ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK
For Windows 2000 og senere operativsystemer skriver du følgende kommando fra en katalog som inneholder Ipsecpol.exe, for å blokkere all innkommende tilgang til TCP 135:
ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

Blokkere tilgangen til det dynamiske RPC-portområdet for alle IP-adresser

Hvis du vil blokkere tilgangen til det dynamiske RPC-portområdet for alle IP-adresser, bruker du syntaksen nedenfor.

Obs!  For Windows XP og senere operativsystemer må du bruke Ipseccmd.exe. For Windows 2000 må du bruke Ipsecpol.exe (Windows 2000).
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP %PORT% Rule" -f *=0:%PORT%:TCP -n BLOCK
Obs!  Ikke tast "%IPSECTOOL%" eller "%PORT%" i denne kommandoen. "%IPSECTOOL%" og "%PORT%" er ment å representere de delene av kommandoen som må egendefineres. For Windows 2000-verter skriver du for eksempel følgende kommando for å blokkere all innkommende tilgang til TCP 5001:
ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK
Hvis du vil blokkere all innkommende tilgang til TCP 5001, taster du følgende kommando på Windows XP-verter og verter med senere Windows-operativsystemer:
ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK
Gjenta denne kommandoen for hver RPC-port som må blokkeres, ved å endre portnummeret som vises i kommandoen. Porter som må blokkeres, er i området 5001?5021.

Obs!  Husk å endre portnummeret i regelnavnet (bryteren -r) og i filteret (bryteren -f).

Valgfritt: Gi tilgang til endepunktsadressering for RPC til bestemte delnett dersom tilgang er påkrevd

Dersom du må gi bestemte delnett tilgang til begrensede RPC-porter, må du først gi disse delnettene tilgang til endepunktsadresseringen for RPC som du blokkerte tidligere. Bruk kommandoen nedenfor for å gi et bestemt delnett tilgang til endepunktsadresseringen for RPC:
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP 135 from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:135:TCP -n PASS
Obs!  I denne kommandoen gjelder følgende:
  • "%IPSECTOOL%" representerer kommandoen som skal brukes. Denne kommandoen er enten "ipsecpol.exe" eller "ipseccmd.exe." Hvilken kommando som skal brukes, er avhengig av hvilket operativsystem du konfigurerer.
  • "%SUBNET%" representerer det eksterne IP-delnettet som du vil gi tilgang, for eksempel 10.1.1.0.
  • "%MASK%" representerer delnettmasken som skal brukes, for eksempel 255.255.255.0.

    Kommandoen nedenfor gjør det for eksempel mulig for alle verter fra delnettet 10.1.1.0/255.255.255.0 å koble til port TCP 135. Alle andre verter blir nektet tilkobling i henhold til standardregelen for blokkering som ble opprettet for denne porten tidligere.
    %IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 135 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:135:TCP -n PASS

Valgfritt: Gi tilgang til det nye dynamiske RPC-portområdet til bestemte delnett dersom tilgang er påkrevd

Hvert delnett som har fått tilgang til endepunktsadressering for RPC, bør også få tilgang til alle portene i det nye dynamiske RPC-portområdet (5001-5021).

Dersom du gjør det mulig for delnett å ha tilgang til endepunktsadressering for RPC, men ikke det dynamiske portområdet, kan programmet slutte å svare eller det kan oppstå andre problemer.

Følgende kommando gir et bestemt delnett tilgang til en port i det nye dynamiske RPC-portområdet:
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP %PORT% from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:%PORT%:TCP -n PASS
Obs!  I denne kommandoen gjelder følgende:
  • "%IPSECTOOL%" representerer kommandoen som skal brukes. Denne kommandoen er enten "ipsecpol.exe" eller "ipseccmd.exe." Hvilken kommando som skal brukes, er avhengig av hvilket operativsystem du konfigurerer.
  • "%PORT%" representerer porten i det dynamiske portområdet som tilgangen skal gjelde.
  • "%SUBNET%" representerer det eksterne IP-delnettet som du vil gi tilgang, for eksempel 10.1.1.0.
  • " %MASK%" representerer delnettmasken som skal brukes, for eksempel 255.255.255.0.

    Kommandoen nedenfor gjør det for eksempel mulig for alle verter fra delnettet 10.1.1.0/255.255.255.0 å koble til port TCP 5001. Alle andre verter blir nektet tilkobling i henhold til standardregelen for blokkering som ble opprettet for denne porten tidligere.
    %IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 5001 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:5001:TCP -n PASS
Obs!  Denne kommandoen må gjentas for hvert delnett og hver port i det nye dynamiske RPC-portområdet.

Tilordne IPsec-policy

Obs!  Kommandoene i denne delen trer i kraft umiddelbart.

Etter at du har opprettet alle blokkeringsreglene og alle valgfrie tilgangsregler for de konfigurerte RPC-portene, tilordner du policyen ved hjelp av følgende kommando:
%IPSECTOOL% -w REG -p "Block RPC Ports" ?x
Obs!  Bruk følgende kommando hvis du vil oppheve tilordningen av policyen umiddelbart:
%IPSECTOOL% -w REG -p "Block RPC Ports" ?y
Obs!  Bruk følgende kommando hvis du vil slette policyen fra registret:
%IPSECTOOL% -w REG -p "Block RPC Ports" -o
Du må starte verten på nytt for at endringene skal tre i kraft.

Obs! 
  • Endringer i RPC-konfigurasjonen krever en omstart.
  • Endringer i IPsec-policyen trer i kraft umiddelbart og krever ingen omstart.
Etter at du har startet arbeidsstasjonen eller serveren på nytt, vil eventuelle RPC-grensesnitt som bruker protokollsekvensen ncacn_ip_tcp, og som ikke angir noen bestemt TCP-port som de skal bindes til, bli tilordnet en port fra dette området av RPC-runtime når RPC-serveren starter.

Obs!  Serveren kan kreve mer enn 20 TCP-porter. Du kan bruke kommandoen rpcdump.exe for å telle antall RPC-endepunkter som er bundet til en TCP-port, og øke dette antallet hvis det er nødvendig. Hvis du vil ha mer informasjon om hvordan du kan få tak i RPC Dump-verktøyet, kan du gå til følgende Microsoft-webområde:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd

Egenskaper

Artikkel-ID: 908472 - Forrige gjennomgang: 6. november 2009 - Gjennomgang: 6.0
Informasjonen i denne artikkelen gjelder:
  • Microsoft Windows Server 2003 Service Pack 1 på følgende plattformer
    • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
    • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
    • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
    • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows 2000 Server SP4 på følgende plattformer
    • Microsoft Windows 2000 Professional Edition
    • Microsoft Windows 2000 Server
  • Microsoft Windows XP Home Edition SP2
  • Microsoft Windows XP Media Center Edition 2005
  • Microsoft Windows XP Professional SP2
  • Microsoft Windows XP Tablet PC Edition 2005
Nøkkelord: 
kbinfo KB908472

Gi tilbakemelding

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com