Microsoft hesabıyla oturum açın
Oturum açın veya hesap oluşturun.
Merhaba,
Farklı bir hesap seçin.
Birden çok hesabınız var
Oturum açmak istediğiniz hesabı seçin.

™zet

Bu makalede, RPC'nin belirli bir dinamik bağlantı noktası aralığını kullanacak biçimde nasıl yapılandırılacağı ve Internet Protokolü güvenliği (IPsec) ilkesi kullanılarak bu aralıktaki bağlantı noktalarının güvenliğinin nasıl sağlanacağı anlatılmaktadır. Varsayılan olarak RPC, TCP uç noktası üzerinde dinleme yapması gereken RPC uygulamalarına bağlantı noktaları atarken geçici bağlantı noktası aralığındaki (1024-5000) bağlantı noktalarını kullanır. Bu davranış, ağ yöneticilerinin bu bağlantı noktalarına erişimi sınırlamalarını zorlaştırabilir. Bu makalede, RPC uygulamalarının kullanabileceği bağlantı noktası sayısını azaltma yolları ve kayıt defteri tabanlı IPsec ilkesini kullanarak bu bağlantı noktalarına erişimin nasıl sınırlandırılacağı anlatılmaktadır.

Bu makaledeki adımlar bilgisayarın yeniden başlatılmasını gerektiren bilgisayar genelindeki değişiklikler içerdiğinden, bu değişikliklerin sonucu olarak ortaya çıkabilecek olası uygulama uyumluluğu sorunlarını belirlemek için, bu adımların tümünün önce üretim içermeyen ortamlarda gerçekleştirilmesi gerekir.

Daha fazla bilgi

RPC bağlantı noktalarına erişimin konumunu değiştirmek, erişimi azaltmak ve sınırlandırmak için tamamlanması gereken birkaç yapılandırma görevi vardır.

İlk olarak, RPC dinamik bağlantı noktası aralığının bir güvenlik duvarı veya IPsec ilkesi kullanılarak engellenmesi daha kolay ve böylece yönetilmesi daha zahmetsiz olan daha küçük bir bağlantı noktası aralığıyla sınırlanması gerekir. Varsayılan olarak RPC, hangi bağlantı noktasını dinleyeceğini belirtmeyen uç noktalara 1024-5000 aralığındaki bağlantı noktalarını dinamik olarak ayırır.

NotBu makalede, geçici bağlantı noktalarının tükenmesinden kaçınmak ve RPC uç noktalarının kullandığı bağlantı noktalarının sayısını 3.976'dan 20'ye azaltmak için 5001-5021 bağlantı noktası aralığı kullanılmaktadır.

Daha sonra, bu bağlantı noktası aralığına erişimi, ağ üzerindeki tüm ana bilgisayarlara erişimi reddedecek biçimde sınırlandırmak için bir IPsec ilkesi oluşturulmalıdır.

Son olarak, belirli IP adreslerinin veya ağdaki alt ağların engellenmiş RPC bağlantı noktalarına erişmesini sağlayacak ve tüm diğerlerini dışlayacak biçimde IPsec ilkesi güncelleştirilebilir.

RPC dinamik bağlantı noktası aralığını yeniden yapılandırma görevine başlamak için RPC Configuration Tool'u (RPCCfg.exe) karşıdan yükleyin ve yeniden yapılandırılacak iş istasyonuna veya sunucuya kopyalayın. Bunu yapmak için, aşağıdaki Microsoft Web sitesini ziyaret edin:

http://www.microsoft.com/downloads/details.aspx?FamilyID=0f9cde2f-8632-4da8-ae70-645e1ddaf369&DisplayLang=enIPsec ilkesi oluşturmakla ilgili sonraki görevleri gerçekleştirmek için, Internet Protokolü Güvenlik İlkeleri Aracı'nı (Ipsecpol.exe) karşıdan yükleyin ve yeniden yapılandırılacak iş istasyonuna veya sunucuya kopyalayın. Bunu yapmak için, aşağıdaki Microsoft Web sitesini ziyaret edin:

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361Not Microsoft Windows XP veya Windows işletim sisteminin sonraki bir sürümü için IPsec ilkesi oluşturmak amacıyla Ipseccmd.exe aracını kullanın. Ipseccmd.exe, Windows XP destek araçlarının bir parçasıdır. IPseccmd.exe aracının sözdizimi ve kullanımı Ipsecpol.exe'nin sözdizimi ve kullanımıyla aynıdır. Windows XP destek araçları hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:

838079 Windows XP Service Pack 2 Destek Araçları

RPCCfg.exe aracını kullanarak RPC dinamik bağlantı noktası aralığını yeniden konumlandırma ve küçültme

RPCCfg.exe aracını kullanarak RPC dinamik bağlantı noktası aralığını yeniden konumlandırmak ve küçültmek için aşağıdaki adımları izleyin:

  1. RPCCfg.exe aracını yapılandırılacak sunucuya kopyalayın.

  2. Komut isteminde, rpccfg.exe -pe 5001-5021 -d 0 yazın.
    Not Bu aralıktaki bağlantı noktalarının diğer uygulamalar tarafından kullanılmak üzere ayrılmaları pek mümkün olmadığından, RPC uç noktalarının kullanımı için bu bağlantı noktası aralığı önerilir. Varsayılan olarak RPC, uç noktalara bağlantı noktaları ayırmak için 1024-5000 bağlantı noktası aralığını kullanır. Ancak, bu aralıktaki bağlantı noktaları aynı zamanda Windows işletim sistemi tarafından tüm Windows yuva uygulamalarına da dinamik olarak ayrılır ve uzak sistemlere birçok bağlantılar kuran terminal sunucular ve orta katman sunucuları gibi yoğun olarak kullanılan sunucular üzerinde tükenebilir.

    Örneğin, Internet Explorer bağlantı noktası 80 üzerinden bir Web sunucusuyla bağlantı kurduğunda, sunucunun yanıtını 1024-5000 aralığındaki bir bağlantı noktası üzerinden dinler. Diğer uzak sunucularla bağlantı kuran bir orta katman COM sunucusu da bu aralıktaki bir bağlantı noktasını o çağrıya gelen yanıt için kullanır. RPC'nin kendi uç noktaları için kullandığı bağlantı noktalarının aralığını 5001 bağlantı noktası aralığına taşımak, bu bağlantı noktalarının diğer uygulamalar tarafından kullanılma olasılığını azaltır.
    Windows işletim sistemlerinde geçici bağlantı noktası kullanımı hakkında daha fazla bilgi için, aşağıdaki Microsoft Web sitelerini ziyaret edin.

Etkilenen ana bilgisayarda güvenlik açığından etkilenen bağlantı noktalarına erişimi engellemek için IPsec veya güvenlik duvarı ilkesi kullanma

Aşağıdaki bölümdeki komutlarda, yüzde (%) işaretleri arasında görünen her metnin, IPsec ilkesini oluşturan kişi tarafından girilmesi gereken komut içindeki metni göstermesi amaçlanmıştır. Örneğin, "%IPSECTOOL%" metninin geçtiği yerlerde, ilkeyi oluşturan kişinin metni şöyle değiştirmesi gerekir:

  • Windows 2000 için, "%IPSECTOOL%" yerine "ipsecpol.exe" yazın.

  • Windows XP veya Windows'un sonraki bir sürümü için, "%IPSECTOOL%" yerine "ipseccmd.exe" yazın.

Bağlantı noktalarını engellemek için IPsec'i kullanma hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:

813878 IPsec kullanılarak belirli ağ protokolleri ve bağlantı noktaları nasıl engellenir (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir)

RPC Uç Noktası Eşleştiricisi'ne erişimi tüm IP adresleri için engelleme

Tüm IP adreslerinin RPC Uç Noktası Eşleştiricisi'ne erişimini engellemek için aşağıdaki sözdizimini kullanın.

Not Windows XP'de sonraki işletim sistemlerinde, Ipseccmd.exe aracını kullanın. Windows 2000'de, Ipsecpol.exe (Windows 2000) aracını kullanın. 

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

Not Bu komutta "%IPSECTOOL%" yazmayın. "%IPSECTOOL%" ifadesi, komutun özelleştirilmesi gereken kısmını gösterir. Örneğin, Windows 2000'de, TCP 135'e gelen tüm erişimleri engellemek için, Ipsecpol.exe aracını içeren dizinin içindeyken aşağıdaki komutu yazın:

ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

Windows XP veya sonraki işletim sistemlerinde, TCP 135'e gelen tüm erişimleri engellemek için, Ipseccmd.exe aracını içeren dizinin içindeyken aşağıdaki komutu yazın:

ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

RPC dinamik bağlantı noktası aralığına erişimi tüm IP adresleri için engelleme

Tüm IP adreslerinin RPC dinamik bağlantı noktası aralığına erişimini engellemek için aşağıdaki sözdizimini kullanın.

Not Windows XP'de sonraki işletim sistemlerinde, Ipseccmd.exe aracını kullanın. Windows 2000'de, Ipsecpol.exe (Windows 2000) aracını kullanın. 

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP %PORT% Rule" -f *=0:%PORT%:TCP -n BLOCK

Not Bu komutta "%IPSECTOOL%" veya "%PORT%" yazmayın. "%IPSECTOOL%" ve "%PORT%" ifadeleri, komutun özelleştirilmesi gereken kısımlarını gösterir. Örneğin, TCP 5001'e gelen tüm erişimleri engellemek için Windows 2000 ana bilgisayarlarında aşağıdaki komutu yazın:

ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK

TCP 5001'e gelen tüm erişimleri engellemek için, Windows XP ana bilgisayarlarında ve Windows işletim sistemlerinin sonraki sürümlerini çalıştıran ana bilgisayarlarda aşağıdaki komutu yazın:

ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK

Bu komutta listelenen bağlantı noktası numarasını değiştirerek, engellenmesi gereken her RPC bağlantı noktası için bu komutu yineleyin. Engellenmesi gereken bağlantı noktaları 5001-5021 aralığındadır.

Not Bağlantı noktası numarasını kural adında (-r anahtarı) ve filtrede (-f anahtarı) değiştirmeyi unutmayın.

İsteğe bağlı: Erişim gerekiyorsa, bazı alt ağlara RPC Uç Noktası Eşleştiricisi'ne erişim izni verme

Bazı alt ağlara sınırlanmış RPC bağlantı noktalarına erişim izni vermeniz gerekiyorsa, ilk olarak bu alt ağlara daha önce engellediğiniz RPC Uç Noktası Eşleştiricisi'ne erişim izni vermelisiniz. Belirli bir alt ağa RPC Uç Noktası Eşleştiricisi'ne erişim izni vermek için aşağıdaki komutu kullanın:

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP 135 from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:135:TCP -n PASS

Not Bu komutta, aşağıdaki ifadeler geçerlidir:

  • "%IPSECTOOL%" kullanılacak komutu temsil eder. Bu, "ipsecpol.exe" veya "ipseccmd.exe" komutudur. Hangi komutun kullanılacağı, hangi işletim sistemini yapılandırdığınıza bağlıdır.

  • "%SUBNET%" ifadesi, erişim vermek istediğiniz uzak IP alt ağını (örneğin, 10.1.1.0) gösterir.

  • "%MASK%" ifadesi, kullanılacak alt ağ maskesini (örneğin, 255.255.255.0) gösterir.

    Örneğin, aşağıdaki komut, 10.1.1.0/255.255.255.0 alt ağındaki tüm ana bilgisayarların TCP 135 bağlantı noktasına bağlanmalarına olanak verir. Tüm diğer ana bilgisayarların bağlantıları, bu bağlantı için daha önce oluşturulmuş olan varsayılan engelleme kuralı tarafından reddedilir.

    %IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 135 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:135:TCP -n PASS

İsteğe bağlı: Erişim gerekiyorsa, bazı alt ağlara yeni RPC dinamik bağlantı noktası aralığına erişim izni verme

Daha önce RPC Uç Noktası Eşleştiricisi'ne erişim izni verilmiş her alt ağa, aynı zamanda yeni RPC dinamik bağlantı noktası aralığındaki (5001-5021) tüm bağlantı noktalarına erişim izni verilmelidir.

Alt ağların RPC Uç Noktası Eşleştiricisi'ne erişmelerine izin verip dinamik bağlantı noktası aralığını engellerseniz, uygulama yanıt vermeyebilir veya başka sorunlarla karşılaşabilirsiniz.

Aşağıdaki komut, belirli bir alt ağa yeni RPC dinamik bağlantı noktası aralığındaki bir bağlantı noktasına erişim izni verir:

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP %PORT% from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:%PORT%:TCP -n PASS

Not Bu komutta, aşağıdaki ifadeler geçerlidir:

  • "%IPSECTOOL%" kullanılacak komutu temsil eder. Bu, "ipsecpol.exe" veya "ipseccmd.exe" komutudur. Hangi komutun kullanılacağı, hangi işletim sistemini yapılandırdığınıza bağlıdır.

  • "%PORT%" ifadesi, dinamik bağlantı noktası aralığındaki erişim verilecek bağlantı noktasını gösterir.

  • "%SUBNET%" ifadesi, erişim vermek istediğiniz uzak IP alt ağını (örneğin, 10.1.1.0) gösterir.

  • "%MASK%" ifadesi kullanılacak alt ağ maskesini (örneğin, 255.255.255.0) gösterir.

    Örneğin, aşağıdaki komut, 10.1.1.0/255.255.255.0 alt ağındaki tüm ana bilgisayarların TCP 5001 bağlantı noktasına bağlanmalarına olanak verir. Tüm diğer ana bilgisayarların bağlantıları, bu bağlantı için daha önce oluşturulmuş olan varsayılan engelleme kuralı tarafından reddedilir.

    %IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 5001 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:5001:TCP -n PASS

Not Bu komut, yeni RPC dinamik bağlantı noktası aralığındaki her alt ağ ve bağlantı noktası için yinelenmelidir.

IPsec ilkesini atama

Not Bu bölümdeki komutlar hemen etkinleşir.

Yapılandırılmış RPC bağlantı noktaları için tüm engelleme kurallarını ve tüm isteğe bağlı izin verme kurallarını oluşturduktan sonra, aşağıdaki komutu kullanarak ilkeyi atayın:

%IPSECTOOL% -w REG -p "Block RPC Ports" –x

Not İlke atamasını hemen kaldırmak için, aşağıdaki komutu kullanın:

%IPSECTOOL% -w REG -p "Block RPC Ports" –y

Not İlkeyi kayıt defterinden silmek için, aşağıdaki komutu kullanın:

%IPSECTOOL% -w REG -p "Block RPC Ports" -o

Değişikliklerin etkinleşmesi için ana bilgisayarı yeniden başlatmalısınız.

Notlar

  • RPC yapılandırma değişiklikleri yeniden başlatma gerektirir.

  • IPsec ilke değişiklikleri hemen etkinleşir ve yeniden başlatma gerektirmez.

İş istasyonu veya sunucu yeniden başlatıldıktan sonra, ncacn_ip_tcp protokol sırasını kullanan ve bağlanacak belirli bir TCP bağlantı noktası belirtmeyen her RPC arabirimine, RPC sunucusu açıldığında RPC çalışma zamanı tarafından bu aralık içinden bir bağlantı noktası ayrılır.

Not Sunucu 20'nin üzerinde TCP bağlantı noktası gerektirebilir. Bir TCP bağlantı noktasına bağlanmış RPC uç noktalarının sayısını saymak ve zorunlu kalındığında bu sayıyı artırmak için, rpcdump.exe komutunu kullanabilirsiniz. RPC Dökümü aracını edinme hakkında daha fazla bilgi için, aşağıdaki Microsoft Web sitesini ziyaret edin:

http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd

Facebook LinkedIn E-posta

Daha fazla yardıma mı ihtiyacınız var?

Daha fazla seçenek mi istiyorsunuz?

Keşfedin Topluluk

Abonelik avantajlarını keşfedin, eğitim kurslarına göz atın, cihazınızın güvenliğini nasıl sağlayacağınızı öğrenin ve daha fazlasını yapın.

Microsoft 365 abonelik avantajları

Microsoft 365 eğitimi

Microsoft güvenliği

Erişilebilirlik merkezi

Topluluklar, soru sormanıza ve soruları yanıtlamanıza, geri bildirimde bulunmanıza ve zengin bilgiye sahip uzmanlardan bilgi almanıza yardımcı olur.

Microsoft Topluluğu'na sorun

Microsoft Tech Topluluğu

Windows Insider'lar

Microsoft 365 Insider'lar

Bu bilgi yararlı oldu mu?

Dil kalitesinden ne kadar memnunsunuz?
Deneyiminizi ne etkiledi?
Gönder’e bastığınızda, geri bildiriminiz Microsoft ürün ve hizmetlerini geliştirmek için kullanılır. BT yöneticiniz bu verileri toplayabilecek. Gizlilik Bildirimi.

Geri bildiriminiz için teşekkürler!

×