วิธีการกำหนดค่า RPC จะใช้พอร์ตที่แน่นอนและวิธีการที่ช่วยรักษาความปลอดภัยพอร์ตเหล่านั้น โดยใช้ IPsec

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 908472 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

สรุป

บทความนี้อธิบายวิธีการกำหนดค่า RPC จะใช้ช่วงพอร์ตแบบไดนามิกเฉพาะและวิธีการที่ช่วยรักษาความปลอดภัยพอร์ตในช่วงนั้น โดยใช้นโยบายการรักษาความปลอดภัย (IPsec) มีโพรโทคอลอินเทอร์เน็ต โดยค่าเริ่มต้น RPC ใช้พอร์ตในช่วงพอร์ต ephemeral (1024-5000) เมื่อกำหนดพอร์ต RPC โปรแกรมประยุกต์ที่มีการฟังบนปลายทางของ TCP แบบ ลักษณะการทำงานนี้สามารถทำการเข้าถึง restricting พอร์ตเหล่านี้ challenging สำหรับผู้ดูแลเครือข่าย บทความนี้อธิบายวิธีการลดจำนวนพอร์ตต่าง ๆ ที่พร้อมใช้งานโปรแกรมประยุกต์ RPC และวิธีการจำกัดการเข้าถึงพอร์ตเหล่านี้ โดยใช้นโยบาย IPsec ที่ขึ้นอยู่กับรีจิสทรี

เนื่องจากขั้นตอนในบทความนี้เกี่ยวข้องกับการเปลี่ยนแปลงทั้งคอมพิวเตอร์ที่ต้องการให้คอมพิวเตอร์สามารถเริ่มระบบใหม่ ขั้นตอนเหล่านี้ทั้งหมดควรทำก่อนในสภาพแวดล้อม nonproduction เพื่อระบุปัญหาความเข้ากันได้ของโปรแกรมประยุกต์ต่าง ๆ ที่อาจเกิดขึ้นเป็นผลลัพธ์ของการเปลี่ยนแปลงเหล่านี้

ข้อมูลเพิ่มเติม

มีการตั้งค่าคอนฟิกงานหลายที่ต้องเป็นเสร็จสิ้นการย้าย ลด และจำกัดการเข้าถึงพอร์ต RPC

แรก ช่วงพอร์ตแบบไดนามิกของ RPC ควรจะถูกจำกัดไปยังช่วงพอร์ตที่มีขนาดเล็ก manageable มากกว่าที่จะบล็อกได้ง่ายขึ้น โดยใช้ไฟร์วอลล์หรือนโยบาย IPsec จัดตามค่าเริ่มต้น RPC แบบไดนามิกสรรพอร์ตในช่วงของ 1024 เพื่อ 5000 สำหรับปลายทางที่ไม่ได้ระบุพอร์ตที่จะฟัง

หมายเหตุ:บทความนี้ใช้ช่วงพอร์ต 5021 5001 เพื่อหลีกเลี่ยงการ exhausting ephemeral พอร์ต และ เพื่อลดจำนวนพอร์ตต่าง ๆ ที่พร้อมใช้งานไปยังปลายทางของ RPC จาก 3,976 ถึง 20

ขั้นตอนถัดไป ต้องสร้างนโยบาย IPsec ที่เพื่อจำกัดการเข้าถึงช่วงพอร์ตนี้เพื่อปฏิเสธการเข้าถึงโฮสต์ทั้งหมดบนเครือข่าย

และสุดท้าย นโยบาย IPsec ที่สามารถปรับปรุงการกำหนดค่าที่แน่นอน ip แอดเดรสของคุณ หรือเครือข่ายย่อยของเครือข่ายเข้า กับพอร์ต RPC ถูกบล็อค และแยกอื่น ๆ ทั้งหมด

เมื่อต้องการเริ่มงานของ reconfiguring ช่วงพอร์ตแบบไดนามิก RPC ดาวน์โหลดเครื่องมือการตั้งค่าคอนฟิก RPC (RPCCfg.exe), แล้ว คัดลอกไป ยังเวิร์กสเตชัน หรือเซิร์ฟเวอร์ที่จะถูก reconfigured โดยการไปที่เว็บไซต์ต่อไปนี้ของ Microsoft::
http://www.microsoft.com/downloads/details.aspx?FamilyID=0f9cde2f-8632-4da8-ae70-645e1ddaf369&DisplayLang=en
เมื่อต้องการทำงานในภายหลังการสร้างการเพิ่มนโยบาย IPsec ดาวน์โหลดเครื่องอินเทอร์เน็ตโพรโทคอลการรักษาความปลอดภัยนโยบายมือ (Ipsecpol.exe), แล้ว คัดลอกไป ยังเวิร์กสเตชัน หรือเซิร์ฟเวอร์ที่จะถูก reconfigured โดยการไปที่เว็บไซต์ต่อไปนี้ของ Microsoft::
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361
หมายเหตุ:เมื่อต้องการสร้างนโยบาย IPsec ที่ สำหรับ Microsoft Windows XP หรือระบบปฏิบัติการ Windows รุ่นที่ใหม่กว่า ใช้ Ipseccmd.exe Ipseccmd.exe เป็นส่วนหนึ่งของเครื่องมือสนับสนุนของ Windows XP ไวยากรณ์และการใช้ IPseccmd.exe เป็นเหมือนไวยากรณ์และการใช้ Ipsecpol.exeสำหรับข้อมูลเพิ่มเติมเกี่ยวกับเครื่องมือสนับสนุนของ Windows XP คลิกหมายเลขบทความต่อไปนี้เพื่อดูบทความในฐานความรู้ของ Microsoft:
838079windows XP Service Pack 2 เครื่องสนับสนุนมือ

ย้าย และลดช่วงพอร์ตแบบไดนามิกของ RPC ได้ โดยใช้ RPCCfg.exe

เมื่อต้องการย้าย และลดช่วงพอร์ตแบบไดนามิก RPC โดยใช้ RPCCfg.exe ดำเนินการดังต่อไปนี้:
  1. การคัดลอก RPCCfg.exe ไปยังเซิร์ฟเวอร์ที่จะถูกกำหนดค่า
  2. ที่พรอมต์คำสั่ง พิมพ์:rpccfg.exe - pe 5001 - 5021 -ว 0.
    หมายเหตุ:แนะนำช่วงพอร์ตนี้ให้ใช้ โดยปลายทางของ RPC ได้เนื่องจากพอร์ตในช่วงนี้ไม่น่าจะสามารถจัดสรรสำหรับใช้ โดยโปรแกรมประยุกต์อื่น โดยค่าเริ่มต้น RPC ใช้ช่วงพอร์ต 1024 เพื่อ 5000 สำหรับการปันส่วนพอร์ตสำหรับปลายทาง อย่างไรก็ตาม พอร์ตในช่วงนี้ปันยังแบบไดนามิกส่วนสำหรับใช้ โดยระบบปฏิบัติการ Windows สำหรับ Windows ทั้งหมดโปรแกรมประยุกต์ของซ็อกเก็ต และทำให้หมดบนเซิร์ฟเวอร์ที่ใช้ heavily เช่นเทอร์มินอลเซิร์ฟเวอร์และเซิร์ฟเวอร์ระดับกลางซึ่งทำให้สายโทรออกมากกับระบบระยะไกล

    ตัวอย่างเช่น เมื่อ Internet Explorer ติดเว็บเซิร์ฟเวอร์บนพอร์ต 80 จะรอบนพอร์ตในช่วง 1024 5000 การตอบสนองจากเซิร์ฟเวอร์ A middle-tier COM server that makes outgoing calls to other remote servers also uses a port in this range for the incoming reply to that call. Moving the range of ports that RPC uses for its endpoints to the 5001 port range will reduce the chance that these ports will be used by other applications.
    For more information about ephemeral port usage in Windows operating systems, visit the following Microsoft Web sites.

Use an IPsec or firewall policy to block access to the vulnerable ports on the affected host

In the commands in the following section, any text that appears between percent (%) signs is intended to represent text in the command that must be entered by the person who creates the IPsec policy. For example, wherever the text "%IPSECTOOL%" appears, the person who creates the policy should substitute that text as follows:
  • For Windows 2000, substitute "%IPSECTOOL%" with "ipsecpol.exe."
  • For Windows XP or a later version of Windows, substitute "%IPSECTOOL%" with "ipseccmd.exe."
For more information about how to use IPsec to block ports, click the following article number to view the article in the Microsoft Knowledge Base:
813878วิธีการที่บล็อกโพรโทคอลเครือข่ายเฉพาะและพอร์ต โดยใช้ IPSec

Block access to the RPC Endpoint Mapper for all IP addresses

To block access to the RPC Endpoint Mapper for all IP addresses, use the following syntax.

หมายเหตุ:On Windows XP and on later operating systems, use Ipseccmd.exe. On Windows 2000, use Ipsecpol.exe (Windows 2000).
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK
หมายเหตุ:Do not type "%IPSECTOOL%" in this command. "%IPSECTOOL%" is intended to represent the part of the command that must be customized. For example, on Windows 2000, type the following command from a directory that contains Ipsecpol.exe to block all incoming access to TCP 135:
ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK
On Windows XP and on later operating systems, type the following command from a directory that contains Ipseccmd.exe to block all incoming access to TCP 135:
ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

Block access to the RPC dynamic port range for all IP addresses

To block access to the RPC dynamic port range for all IP addresses, use the following syntax.

หมายเหตุ:On Windows XP and on later operating systems, use Ipseccmd.exe. On Windows 2000, use Ipsecpol.exe (Windows 2000).
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP %PORT% Rule" -f *=0:%PORT%:TCP -n BLOCK
หมายเหตุ:Do not type "%IPSECTOOL%" or "%PORT%" in this command. "%IPSECTOOL%" and "%PORT%" are intended to represent parts of the command that must be customized. For example, type the following command on Windows 2000 hosts to block all incoming access to TCP 5001:
ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK
To block all incoming access to TCP 5001, type the following command on Windows XP hosts and on hosts of later Windows operating systems:
ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK
Repeat this command for each RPC port that must be blocked by changing the port number that is listed in this command. Ports that must be blocked are in the 5001-5021 range.

หมายเหตุ:Do not forget to change the port number in the rule name (the-rswitch) and in the filter (the-fสวิตช์)

Optional: Give access to the RPC Endpoint Mapper for specific subnets if access is needed

If you must give specific subnets access to the restricted RPC ports, you must first give these subnets access to the RPC Endpoint Mapper that you blocked earlier. To give a specific subnet access to the RPC Endpoint Mapper, use the following command:
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP 135 from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:135:TCP -n PASS
หมายเหตุ:In this command, the following statements apply:
  • "%IPSECTOOL%" represents the command to use. This command is either "ipsecpol.exe" or "ipseccmd.exe." Which command is used depends upon which operating system you are configuring.
  • "%SUBNET%" represents the remote IP subnet to which you want to give access, for example, 10.1.1.0.
  • "%MASK%" represents the subnet mask to use, for example, 255.255.255.0.

    For example, the following command enables all hosts from the 10.1.1.0/255.255.255.0 subnet to connect to port TCP 135. All other hosts will have their connections denied by the default block rule that was created earlier for this port.
    %IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 135 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:135:TCP -n PASS

Optional: Give access to the new RPC dynamic port range for specific subnets if access is needed

Each subnet that was given access to the RPC Endpoint Mapper earlier should also be given access to all the ports in the new RPC dynamic port range (5001-5021).

If you enable subnets to reach the RPC Endpoint Mapper but not the dynamic port range, the application may stop responding, or you may experience other problems.

The following command gives a specific subnet access to a port in the new RPC dynamic port range:
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP %PORT% from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:%PORT%:TCP -n PASS
หมายเหตุ:ในคำสั่งนี้ คำสั่งต่อไปนี้ใช้:
  • "% IPSECTOOL %" หมายถึงคำสั่งเพื่อที่ใช้ คำสั่งนี้คือ "ipsecpol.exe" หรือ "ipseccmd.exe" ใช้คำสั่งใดขึ้นเมื่อระบบปฏิบัติการที่คุณกำลังกำหนดค่า
  • %พอร์ต "%" หมายถึงพอร์ตในช่วงพอร์ตแบบไดนามิกที่การนำเข้า
  • "%เครือข่ายย่อย%" หมายถึงเครือข่ายระยะไกล IP ย่อยที่คุณต้องการนำเข้า ตัวอย่างเช่น 10.1.1.0
  • "%มาสก์%" หมายถึงซับเน็ตมาสก์การใช้ ตัวอย่างเช่น 255.255.255.0

    ตัวอย่างเช่น คำสั่งต่อไปนี้ทำให้โฮสต์ทั้งหมดจากเครือข่ายย่อย 10.1.1.0/255.255.255.0 เชื่อมต่อกับพอร์ต TCP 5001 โฮสต์อื่น ๆ ทั้งหมดจะมีการเชื่อมต่อที่ถูกปฏิเสธ โดยกฎการบล็อกค่าเริ่มต้นที่ถูกสร้างไว้ก่อนหน้านี้สำหรับพอร์ตนี้
    %IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 5001 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:5001:TCP -n PASS
หมายเหตุ:คำสั่งนี้ควรถูกทำซ้ำสำหรับแต่ละเครือข่ายย่อยและพอร์ตในช่วงพอร์ตแบบไดนามิก RPC ใหม่

กำหนดนโยบาย IPsec

หมายเหตุ:คำสั่งในส่วนนี้มีผลทันที

หลังจากที่คุณสร้างกฎการบล็อกทั้งหมด และเลือกทั้งหมดที่ได้ให้กฎสำหรับ RPC ที่ถูกกำหนดค่าพอร์ต กำหนดนโยบายได้ โดยการใช้คำสั่งต่อไปนี้:
%IPSECTOOL% -w REG -p "Block RPC Ports" –x
หมายเหตุ:เมื่อต้องการในทันที unassign นโยบาย ใช้คำสั่งต่อไปนี้:
%IPSECTOOL% -w REG -p "Block RPC Ports" –y
หมายเหตุ:เมื่อต้องการลบนโยบายจากรีจิสทรี ใช้คำสั่งต่อไปนี้:
%IPSECTOOL% -w REG -p "Block RPC Ports" -o
คุณต้องเริ่มต้นการโฮสต์สำหรับการเปลี่ยนแปลงมีผล

หมายเหตุ
  • การเปลี่ยนแปลงการตั้งค่าคอนฟิก RPC จำเป็นต้องมีการเริ่มระบบคอมพิวเตอร์ใหม่
  • การเปลี่ยนแปลงนโยบาย IPsec มีผลทันที และไม่จำเป็นต้องมีการรีสตาร์ท
หลังจากที่เวิร์กสเตชันหรือเซิร์ฟเวอร์รีสตาร์ต อินเทอร์เฟซใด ๆ ของ RPC ที่ใช้ลำดับของโพรโทคอล ncacn_ip_tcp และไม่ได้ระบุเฉพาะพอร์ต TCP ที่ผูก จะมีการปันส่วนจากช่วงนี้ โดยการใช้งานจริง RPC เมื่อเริ่มต้นเซิร์ฟเวอร์ RPC พอร์ต

หมายเหตุ:เซิร์ฟเวอร์อาจจำเป็นต้องใช้พอร์ต TCP มากกว่า 20 คุณสามารถใช้ได้rpcdump.exeคำสั่ง เพื่อนับจำนวน RPC ปลายทางที่ถูกผูกเข้ากับพอร์ต TCP และเพิ่มหมายเลขนี้ถ้าคุณต้องการ สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการขอรับเครื่องมือการถ่ายโอนข้อมูล RPC แวะไปที่เว็บไซต์ต่อไปนี้ของ Microsoft:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd

คุณสมบัติ

หมายเลขบทความ (Article ID): 908472 - รีวิวครั้งสุดท้าย: 16 มกราคม 2554 - Revision: 2.0
ใช้กับ
  • Microsoft Windows Server 2003 Service Pack 1 เมื่อใช้กับ:
    • Microsoft Windows Server 2003 Datacenter Edition
    • Microsoft Windows Server 2003 Enterprise Edition
    • Microsoft Windows Server 2003 Standard Edition
    • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows XP Media Center Edition 2005
Keywords: 
kbinfo kbmt KB908472 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:908472

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com