Logga in

Select the product you need help with

Konfigurera RPC s� att vissa portar anv�nds och skydda dessa portar med hj�lp av IPsec

Artikel-id: 908472 - Visa produkter som artikeln g�ller.

Sammanfattning

I denna artikel beskrivs hur du konfigurerar RPC s� att ett visst dynamiskt portintervall anv�nds och hur du skyddar portarna i intervallet med en IPsec-princip (Internet Protocol Security). I RPC anv�nds som standard portar i det tillf�lliga intervallet (1�024?5�000) f�r tilldelning av portar till RPC-program som lyssnar p� en TCP-slutpunkt. Detta g�r att det kan vara sv�rt f�r n�tverksadministrat�rer att begr�nsa �tkomst till portarna. I denna artikel beskrivs olika s�tt att minska antalet tillg�ngliga portar f�r RPC-program och hur de kan skyddas med hj�lp av en registerbaserad IPsec-princip.

Metoderna i artikeln inneb�r �ndringar i hela systemet och kr�ver att datorn startas om. D�rf�r b�r de testas f�rst i en avskild milj� s� att eventuella problem med programkompatibilitet kan identifieras.

Mer Information

Begr�nsningen, flyttningen och minskningen av �tkomsten till RPC-portar kr�ver flera konfigurations�ndringar.

Du ska b�rja med att minska intervallet f�r dynamiska RPC-portar till en omfattning som �r enklare att blockera med en brandv�gg eller IPsec-princip. I RPC tilldelas som standard portar i intervallet 1�024 till 5�000 f�r slutpunkter d�r ingen s�rskild port anges f�r lyssningen.

Obs! I denna artikel anv�nds portintervallet 5�001 till 5�021 f�r att undvika brist p� portar och antalet portar som �r tillg�ngliga f�r RPC-slutpunkter minskas fr�n 3�976 till 20.

Sedan ska du skapa en IPsec-princip som begr�nsar �tkomsten till portintervallet s� att ingen av v�rdarna i n�tverket kan ansluta till portarna.

Till sist kan du uppdatera IPsec-principen s� att endast vissa IP-adresser eller undern�t kan ansluta till de blockerade RPC-portarna.

B�rja med att h�mta RPC-konfigurationsverktyget (RPCCfg.exe) och kopiera det till den arbetsstation eller server som ska konfigureras om. Verktyget finns att h�mta p� f�ljande Microsoft-webbplats:

http://www.microsoft.com/downloads/details.aspx?FamilyID=0f9cde2f-8632-4da8-ae70-645e1ddaf369&DisplayLang=en

(http://www.microsoft.com/downloads/details.aspx?FamilyID=0f9cde2f-8632-4da8-ae70-645e1ddaf369&DisplayLang=en)

H�mta ocks� IPsec-principverktyget (Ipsecpol.exe) som du beh�ver f�r att kunna skapa en IPsec-princip, och kopiera det till arbetsstationen eller servern som ska konfigureras om. Verktyget finns att h�mta p� f�ljande Microsoft-webbplats:

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361

(http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361)

Obs! Anv�nd Ipseccmd.exe om du beh�ver skapa en IPsec-princip f�r Microsoft Windows XP eller senare versioner av Windows-operativsystemet. Ipseccmd.exe ing�r i supportverktygen f�r Windows XP. IPseccmd.exe har samma syntax och anv�nds p� samma s�tt som Ipsecpol.exe. Om du vill veta mer om supportverktygen f�r Windows XP klickar du p� f�ljande artikelnummer och l�ser artikeln i Microsoft Knowledge Base:

838079

(http://support.microsoft.com/kb/838079/ )

Supportverktyg f�r Windows XP Service Pack 2

Flytta och minska det dynamiska RPC-portintervallet med hj�lp av RPCCfg.exe

G�r s� h�r f�r att flytta och minska det dynamiska RPC-portintervallet med hj�lp av RPCCfg.exe:

Kopiera RPCCfg.exe till servern som ska konfigureras.
Skriv rpccfg.exe -pe 5001-5021 -d 0 p� kommandoraden.
Obs! Detta portintervall rekommenderas f�r RPC-slutpunkter eftersom portarna i intervallet sannolikt inte anv�nds i andra program. I RPC anv�nds som standard intervallet 1�024 till 5�000 f�r tilldelning av portar f�r slutpunkter. Portarna i intervallet tilldelas emellertid �ven dynamiskt f�r anv�ndning i Windows och f�r alla Windows-socketprogram, vilket g�r att det kan uppst� brist p� portar p� servrar med stor belastning, t.ex. terminalservrar och servrar p� mellanniv� d�r m�nga utg�ende anrop g�rs till fj�rrsystem.

N�r till exempel Internet Explorer kontaktar en webbserver p� 80, lyssnar programmet efter svar fr�n servern p� en port i intervallet 1�024?5�000. Portar i detta intervall anv�nds �ven f�r svar p� COM-servrar p� mellanniv� d�r utg�ende anrop g�rs till fj�rrservrar. Du kan minska risken f�r att dessa portar anv�nds av andra program genom att flytta intervallet till 5�001.
Det finns mer information om hur tillf�lliga portar anv�nds i Windows p� f�ljande Microsoft-webbplatser.
- F�r Windows 2000:
  http://technet.microsoft.com/sv-se/library/bb726981.aspx
  (http://technet.microsoft.com/sv-se/library/bb726981.aspx)
- F�r Windows Server 2003:
  http://technet.microsoft.com/sv-se/library/cc758746(WS.10).aspx
  (http://technet.microsoft.com/sv-se/library/cc758746(WS.10).aspx)

Anv�nda en IPsec- eller brandv�ggsprincip f�r att blockera �tkomst till de s�rbara portarna p� v�rden

I kommandona i n�sta avsnitt representerar all text mellan procentteckenen (%) text i kommandot som m�ste anges av den person som skapar IPsec-principen. Till exempel ska "%IPSECTOOL%" ers�ttas med f�ljande:

F�r Windows 2000 ska "%IPSECTOOL%" ers�ttas med "ipsecpol.exe."
F�r Windows XP och senare versioner av Windows ska "%IPSECTOOL%" ers�ttas med "ipseccmd.exe."

Om du vill veta mer om hur du anv�nder IPsec f�r att blockera portar klickar du p� artikelnumret nedan och l�ser artikeln i Microsoft Knowledge Base:

813878

(http://support.microsoft.com/kb/813878/ )

Blockera vissa n�tverksprotokoll och portar med hj�lp av IPSec (L�nken kan leda till en webbplats som �r helt eller delvis p� engelska)

Blockera �tkomst till RPC-slutpunktsmapparen f�r alla IP-adresser

Anv�nd f�ljande syntax f�r att blockera RPC-slutpunktsmapparen f�r alla IP-adresser.

Obs! Du ska anv�nda Ipseccmd.exe f�r Windows XP och senare och Ipsecpol.exe f�r Windows 2000.

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

Obs! Skriv inte "%IPSECTOOL%" i detta kommando. "%IPSECTOOL%" motsvarar den del av kommandot som ska anpassas. Om du anv�nder Windows 2000 ska du t�ex skriva f�ljande kommando i en katalog som inneh�ller Ipsecpol.exe om du vill blockera �tkomsten till TCP 135:

ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

Om du anv�nder Windows XP eller senare ska du t�ex skriva f�ljande kommando i en katalog som inneh�ller Ipseccmd.exe om du vill blockera �tkomsten till TCP 135:

ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

Blockera �tkomst till det dynamiska RPC-portintervallet f�r alla IP-adresser

Anv�nd f�ljande syntax f�r att blockera det dynamiska RPC-portintervallet f�r alla IP-adresser.

Obs! Du ska anv�nda Ipseccmd.exe f�r Windows XP och senare och Ipsecpol.exe f�r Windows 2000.

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP %PORT% Rule" -f *=0:%PORT%:TCP -n BLOCK

Obs! Skriv inte "%IPSECTOOL%" eller "%PORT%" i detta kommando. "%IPSECTOOL%" och "%PORT%" motsvarar de delar av kommandot som ska anpassas. Om du anv�nder Windows 2000 ska du t�ex skriva f�ljande kommando om du vill blockera inkommande �tkomst till TCP 5001:

ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK

Om du anv�nder Windows XP eller senare ska du skriva f�ljande kommando f�r att blockera inkommande �tkomst till TCP 5001:

ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK

Upprepa kommandot f�r alla RPC-portar som m�ste blockeras genom att �ndra portnumret. De portar som m�ste blockeras finns i intervallet 5001?5021.

Obs! Gl�m inte att �ndra portnumret i regelnamnet (v�xeln -r) och i filtret (v�xeln -f).

Valfritt: Ge �tkomst till RPC-slutpunktsmapparen f�r s�rskilda undern�t om det beh�vs

Om du beh�ver ge s�rskilda undern�t �tkomst till de begr�nsade RPC-portarna m�ste du ge undern�ten �tkomst till RPC-slutpunktsmapparen som du tidigare blockerade. Anv�nd f�ljande kommando om du vill ge ett s�rskilt undern�t �tkomst till RPC-slutpunktsmapparen:

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP 135 from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:135:TCP -n PASS

Obs! F�ljande g�ller i detta kommando:

"%IPSECTOOL%" motsvarar kommandot som ska anv�ndas. Detta kommando �r antingen "ipsecpol.exe" eller "ipseccmd.exe", beroende p� vilket operativsystem du konfigurerar.
"%SUBNET%" motsvarar fj�rrundern�tet som ska f� �tkomst, t�ex 10.1.1.0.
"%MASK%" motsvarar n�tmasken som ska anv�ndas, t�ex 255.255.255.0.

F�ljande kommando ger t�ex �tkomst till TCP 135 f�r alla v�rdar i undern�tet 10.1.1.0/255.255.255.0. Alla andra v�rdar nekas �tkomst med hj�lp av blockeringsregeln som skapades tidigare.
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 135 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:135:TCP -n PASS

Valfritt: Ge �tkomst till det nya dynamiska RPC-portintervallet f�r s�rskilda undern�t om det beh�vs

Varje undern�t som tidigare gavs �tkomst till RPC-slutpunktsmapparen b�r �ven ges �tkomst till alla portar i det nya dynamiska RPC-portintervallet (5001?5021).

Program kan sluta svara eller s� kan det uppst� andra problem om du bara beviljar �tkomst till RPC-slutpunktsmapparen och inte till portintervallet.

F�ljande kommando ger ett s�rskilt undern�t �tkomst till en port i det nya dynamiska RPC-portintervallet:

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP %PORT% from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:%PORT%:TCP -n PASS

Obs! F�ljande g�ller i detta kommando:

"%IPSECTOOL%" motsvarar kommandot som ska anv�ndas. Detta kommando �r antingen "ipsecpol.exe" eller "ipseccmd.exe", beroende p� vilket operativsystem du konfigurerar.
"%PORT%" motsvarar den port i intervallet som ska �ppnas.
"%SUBNET%" motsvarar fj�rrundern�tet som ska f� �tkomst, t�ex 10.1.1.0.
" %MASK%" motsvarar n�tmasken som ska anv�ndas, t�ex 255.255.255.0.

F�ljande kommande ger t�ex �tkomst till TCP 5001 f�r alla v�rdar i undern�tet 10.1.1.0/255.255.255.0. Alla andra v�rdar nekas �tkomst med hj�lp av blockeringsregeln som skapades tidigare.
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 5001 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:5001:TCP -n PASS

Obs! Du ska upprepa detta kommando f�r alla undern�t och portar i det nya intervallet.

Tilldela IPsec-principen

Obs! �ndringarna genomf�rs omedelbart med alla kommandon i detta avsnitt.

N�r du har skapat alla blockeringsregler och valfria regler f�r �ppning av portar ska du tilldela principen med f�ljande kommando:

%IPSECTOOL% -w REG -p "Block RPC Ports" ?x

Obs! Anv�nd f�ljande kommando om du vill inaktivera principen direkt:

%IPSECTOOL% -w REG -p "Block RPC Ports" ?x

Obs! Anv�nd f�ljande kommando om du vill ta bort principen ur registret:

%IPSECTOOL% -w REG -p "Block RPC Ports" -o

Du m�ste starta om v�rden f�r att �ndringarna ska b�rja g�lla.

Obs!

�ndringarna i RPC-konfigurationen kr�ver omstart av datorn.
�ndringarna i IPsec-principen b�rjar g�lla omedelbart och kr�ver ingen omstart.

N�r arbetsstationen eller servern startar om, tilldelas alla RPC-gr�nssnitt d�r protokollsekvensen ncacn_ip_tcp anv�nds och som inte har n�gon s�rskild TCP-port f�r bindning, en port i detta intervall av RPC-k�rtidsbiblioteket n�r RPC-servern startas.

Obs! Det kan kr�vas fler �n 20 TCP-portar p� servern. Du kan anv�nda kommandot rpcdump.exe f�r att r�kna antalet RPC-slutpunkter som �r bundna till en TCP-port och f�r att �ka antalet om s� kr�vs. Mer information om hur du h�mtar RPC Dump-verktyget finns p� f�ljande Microsoft-webbplats:

http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd

(http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd)