Como restringir ligações SSTP para um endereço IP específico no Windows Server 2008

Traduções de Artigos Traduções de Artigos
Artigo: 947028 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

INTRODUÇÃO

Seguro Protocolo SSTP (Socket Tunneling Protocol ()) é um novo tipo de túnel de rede privada virtual (VPN) que está disponível na função de encaminhamento e serviços de acesso remoto no Windows Server 2008. O SSTP também está disponível para utilização no Windows Vista Service Pack 1 (SP1). SSTP utiliza o protocolo HTTPS através da porta TCP (Transmission Control Protocol) 443 para transmitir o tráfego através de firewalls e proxies podem bloquear o PPTP (Point-to-Point Tunneling Protocol) e Layer 2 Tunneling Protocol (L2TP) da Web / tráfego de IPsec. O SSTP permite para pacotes de protocolo ponto a ponto (PPP, Point-to-Point Protocol) encapsulado através do canal seguro (SSL) do protocolo HTTPS. Isto permite que uma ligação VPN seja estabelecida mais facilmente através de um firewall ou um dispositivo NAT (Network Address TRANSLATION). Além disso, assim, para uma ligação VPN seja estabelecida através de um dispositivo proxy HTTP. O SSTP fornece um mecanismo para encapsular PPP tráfego através do canal SSL do protocolo HTTPS.

Por predefinição, SSTP está configurado para escutar em todas as interfaces. Por exemplo, SSTP está configurado para escutar 0.0.0.0 do IPv4 ou:: / 0 para IPv6. Por predefinição, o encaminhamento e serviços de acesso remoto permite para ligações VPN enviados através de endereços de IPv4 e IPv6 todos os que estão disponíveis no computador. Além disso, encaminhamento e serviços de acesso remoto sempre define o certificado de computador, também conhecido como o certificado de máquina, para HTTP.sys. HTTP.sys é o componente de escuta HTTPS num computador baseado no Windows Server 2008 que executar o encaminhamento e serviços de acesso remoto em conjunto com 0.0.0.0:PortNum e [:]: PortNum.

Este artigo descreve como um administrador pode bloquear ligações SSTP a partir de endereços IPv4 ou IPv6 IP específicos ou de interfaces específicas.

Mais Informação

Para bloquear ligações SSTP a partir de endereços IPv4 ou IPv6 IP específicos ou de interfaces específicas, utilize um dos seguintes métodos.

Método 1: Configurar o filtro de pacote adequado

  1. Inicie o snap-in MMC de acesso remoto e encaminhamento. Para o fazer, clique em Iniciar , aponte para Ferramentas administrativas e, em seguida, clique em Encaminhamento e acesso remoto .
  2. Expanda IPv4 e, em seguida, clique em Geral . É apresentada a lista de interfaces disponíveis.
  3. Clique duas vezes a interface para a VPN clientes estabelecerem ligação.
  4. Clique em filtros de entrada .
  5. Clique em Novo e, em seguida, clique para seleccionar a caixa de verificação rede de destino .
  6. Na caixa endereço , escreva o endereço de destino.
  7. Na caixa máscara de sub-rede , escreva a máscara de sub-rede de destino.
  8. Na lista de protocolo , clique em TCP .
  9. Na caixa porta de origem , escreva 443 . Ou, escreva o número da porta SSTP se difere 443.
  10. Na caixa porta de destino , escreva 443 . Ou, escreva o número da porta SSTP se difere 443.

Método 2: Configurar o certificado para um endereço IP específico: porta para a escuta HTTP

Nota Para executar os seguintes comandos, tem de abrir a linha de comandos utilizando permissões elevadas. Para o fazer, clique em Iniciar , clique com o botão direito do rato em linha de comandos e, em seguida, clique em Executar como administrador .
  1. Eliminar o certificado de HTTP.sys. Para o fazer, escreva os seguintes comandos na linha de comandos, onde 443 é o número da porta SSTP:
    netsh http eliminar sslcert ipport = 0.0.0.0:443
    netsh http eliminar sslcert ipport = [:]: 443
  2. Adicione o novo certificado para HTTP.sys. Para o fazer, escreva os seguintes comandos na linha de comandos:
    netsh http adicionar sslcert ipport = IPv4 address for the HTTP listener: 443 certhash = o appid xxx = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = MY
    netsh http adicionar sslcert ipport = IPv6 address for the HTTP listener: 443 certhash = o appid xxx = {ba195980-cd49-458b-9e23-c84ee0adcd75} certstorename = MY

    Nota Nestes comandos, xxx é um marcador para o hash de certificado SHA1 do certificado novo.
  3. Na linha de comandos, escreva o seguinte comando e, em seguida, prima ENTER para configurar o valor de subchave do registo Sha256CertificateHash para o serviço SSTP:
    reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SstpSvc\Parameters /v SHA256CertificateHash /t REG_BINARY /d Sha256 hash value for the IIS Web server certificate /f

    Nota Se não conseguir localizar o hash de certificado SHA256 do certificado de computador, concluir passos à e para configurar um valor para a subchave do registo Sha256CertificateHash.
    1. Reinicie o serviço Encaminhamento e acesso remoto.
    2. Configure qualquer valor binário de 32 bytes como um valor temporário para a chave de registo Sha256CertificateHash a localização do registo mencionada no passo 3. Esta chave de registo tem de ser do tipo REG_BINARY.
    3. Num computador diferente, crie uma ligação VPN que seja baseado em SSTP onde o destino de VPN é o nome do anfitrião do servidor de acesso remoto e encaminhamento.
    4. Efectuar a ligação VPN. A ligação falhará. Abra o Visualizador de eventos no computador cliente e, em seguida, localize o seguinte evento:
      Cryptographic binding failed for the client connection. The reason is client and the server have mismatched certificate hashes configured. SHA1 Certificate Hash: HashValue SHA256 Certificate Hash: HashValue
      `
    5. Anote o valor de hash do certificado SHA256 no evento no computador cliente e, em seguida, utilizar este valor para a chave de registo Sha256CertificateHash no servidor de encaminhamento e acesso remoto.
  4. Reinicie o servidor de encaminhamento e acesso remoto. HTTP.sys está agora definido para escutar uma endereço IP específica: porta. Ligações de HTTPS são ignoradas a partir de outras endereços IP: portas.

Propriedades

Artigo: 947028 - Última revisão: 29 de maio de 2008 - Revisão: 1.0
A informação contida neste artigo aplica-se a:
  • Windows Server 2008 Datacenter without Hyper-V
  • Windows Server 2008 Enterprise without Hyper-V
  • Windows Server 2008 for Itanium-Based Systems
  • Windows Server 2008 Standard without Hyper-V
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
Palavras-chave: 
kbmt kbexpertiseadvanced kbhowto kbinfo KB947028 KbMtpt
Tradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática? erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 947028

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com