كيفية تكوين RPC لاستخدام منافذ معينة وكيفية المساعدة على تأمين هذه المنافذ باستخدام IPsec

الخطأ رقم: 6049 (MSRC)

ملخص

توضح هذه المقالة كيفية تكوين RPC لاستخدام نطاق منفذ ديناميكي محدد وكيفية الحفاظ على أمان المنافذ في هذا النطاق باستخدام نهج أمان (IPsec) "بروتوكول إنترنت". بشكل افتراضي، يستخدم RPC المنافذ في نطاق المنافذ المؤقتة (1024 إلى 5000) عندما يقوم بتعيين المنافذ إلى تطبيقات RPC الاستماع إلى نقطة نهاية TCP. هذا يمكن أن يؤدي إلى تقييد الوصول إلى هذه المنافذ تحديا لمسؤولي الشبكات. تتناول هذه المقالة طرق تقليل عدد المنافذ المتوفرة لتطبيقات RPC وكيفية تقييد الوصول إلى هذه المنافذ باستخدام نهج IPsec المستند إلى التسجيل.

لأن الخطوات الموجودة في هذه المقالة يتضمن تغييرات واسعة النطاق على الكمبيوتر التي تتطلب إعادة تشغيل جهاز الكمبيوتر، يجب تنفيذ هذه الخطوات أولاً في البيئات غير المنتجة للتعرف على أية مشكلات توافق التطبيقات التي قد تحدث كنتيجة لهذه التغييرات.

مزيد من المعلومات

هناك العديد من مهام التكوين التي يجب إكمالها لنقل وتخفيض وتقييد الوصول إلى منافذ RPC.

أولاً، يجب أن تكون نطاق منفذ RPC الديناميكي مقيدة إلى نطاق منفذ أصغر، يكون من الأسهل الكتلة باستخدام جدار الحماية أو نهج IPsec. بشكل افتراضي، RPC بشكل حيوي تخصيص المنافذ في النطاق من 1024 إلى 5000 للنقاط النهائية التي لا تحدد منفذ الإصغاء إليه.

ملاحظة:
تستخدم هذه المقالة نطاق المنفذ 135 ب. وهذا يقلل عدد المنافذ المتوفرة لنقاط نهاية RPC من 3,976 إلى 20. عدد المنافذ تم اختيار عشوائي وليست توصية لعدد المنافذ المطلوبة لأي نظام معين.




وبعد ذلك، يجب إنشاء نهج IPsec لتقييد الوصول إلى نطاق المنفذ هذا رفض الوصول إلى كافة الأجهزة المضيفة على شبكة الاتصال.

وأخيراً، يمكن تحديث نهج IPsec لإعطاء بعض عناوين IP أو الشبكات الفرعية الوصول إلى منافذ RPC المحظورة واستبعاد الآخرين.

لبدء مهمة إعادة تكوين في نطاق منفذ RPC الديناميكي، تنزيل "أداة تكوين استدعاء إجراء عن بعد" (RPCCfg.exe)، وقم بنسخها إلى محطة العمل أو إلى الخادم الذي سيتم إعادة تكوينه. للقيام بذلك، قم بزيارة موقع Microsoft التالي على الويب:لتنفيذ المهام التالية لإنشاء نهج IPsec، تحميل "أداة نهج أمان بروتوكول إنترنت" (Ipsecpol.exe)، وقم بنسخها إلى محطة العمل أو إلى الخادم الذي سيتم إعادة تكوينه. للقيام بذلك، قم بزيارة موقع Microsoft التالي على الويب:ملاحظة: لإنشاء نهج IPsec لنظام التشغيل Microsoft Windows XP أو إصدار أحدث من نظام التشغيل Windows، استخدم Ipseccmd.exe. Ipseccmd.exe جزء من أدوات دعم نظام التشغيل Windows XP. بناء الجملة واستخدام IPseccmd.exe هي نفس بناء الجملة واستخدام Ipsecpol.exe. لمزيد من المعلومات حول أدوات دعم نظام التشغيل Windows XP، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

838079 Windows XP الخدمة Pack 2 دعم الأدوات

إعادة تحديد وتقليل في نطاق منفذ RPC الديناميكي باستخدام RPCCfg.exe

نقل وتخفيض في نطاق منفذ RPC الديناميكي باستخدام RPCCfg.exe، اتبع الخطوات التالية:
  1. نسخ RPCCfg.exe إلى الخادم الذي يتم تكوين
  2. في موجه الأوامر، اكتب rpccfg.exe-pe 5001-5021-د 0.
    ملاحظة: نطاق المنفذ هذا يوصي للاستخدام عن طريق نقاط نهاية RPC للمنافذ في هذا النطاق من غير المحتمل أن تخصص لاستخدام تطبيقات أخرى. بشكل افتراضي، يستخدم RPC نطاق المنفذ من 1024 إلى 5000 لتخصيص المنافذ لنقاط النهاية. ومع ذلك، هي أيضا بشكل حيوي المخصصة للاستخدام بنظام تشغيل Windows لكافة إطارات تطبيقات مأخذ توصيل المنافذ في هذا النطاق ويمكن استهلاكها على الخوادم المستخدمة بكثرة مثل ملقمات المحطة الطرفية وملقمات الطبقة المتوسطة التي إجراء العديد من الاستداعاءات الصادرة إلى الأنظمة البعيدة.

    على سبيل المثال، عندما يتصل Internet Explorer ملقم ويب على المنفذ 80، يقوم بالإصغاء منفذ في النطاق من 1024 إلى 5000 لتلقي الاستجابة من الخادم. يستخدم ملقم COM طبقة متوسطة إجراء الاستدعاءات الصادرة للأنظمة البعيدة الأخرى أيضا منفذ في هذا النطاق للرد الوارد على هذا الاستدعاء. نقل النطاق من المنافذ التي تستخدمها RPC لنقاط النهاية إلى نطاق منفذ 5001 إلى تقليل فرصة هذه المنافذ المستخدمة من قبل تطبيقات أخرى.
    لمزيد من المعلومات حول استخدام المنافذ المؤقتة في أنظمة تشغيل Windows، قم بزيارة موقعي Microsoft التاليين على الويب.

استخدام نهج IPsec أو جدار حماية لمنع الوصول إلى المنافذ عرضه على المضيف المتأثرة

في الأوامر الموجودة في المقطع التالي، أي النص الذي يظهر بين علامات النسبة المئوية (%) المقصود لتمثيل النص في الأوامر التي يجب إدخالها من قبل الشخص الذي قام بإنشاء نهج IPsec. على سبيل المثال، أينما يظهر النص "% IPSECTOOL %"، الشخص الذي يقوم بإنشاء النهج يجب استبدال النص كما يلي:
  • لنظام التشغيل Windows 2000، استبدال "% IPSECTOOL %" مع "ipsecpol.exe".
  • لنظام التشغيل Windows XP أو إصدار أحدث من Windows، استبدال "% IPSECTOOL %" مع "ipseccmd.exe."

لمزيد من المعلومات حول كيفية استخدام IPsec لحظر المنافذ، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف ل Microsoft":

813878 كيفية حظر بروتوكولات شبكة الاتصال المحددة والمنافذ باستخدام IPSec

حظر الوصول إلى معين نقطة نهاية RPC لكافة عناوين IP

لحظر الوصول إلى معين نقطة نهاية RPC لكافة عناوين IP، استخدم بناء الجملة التالي.

ملاحظة: في نظام التشغيل Windows XP وأنظمة التشغيل الأحدث، استخدم Ipseccmd.exe. في Windows 2000، استخدم Ipsecpol.exe (Windows 2000).
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK
ملاحظة: لا تكتب "% IPSECTOOL %" في هذا الأمر. الغرض من "% IPSECTOOL %" تهدف إلى عرض الجزء من الأمر الذي يجب تخصيصه. على سبيل المثال، في Windows 2000، اكتب الأمر التالي من دليل الذي يحتوي على Ipsecpol.exe لحظر وصول الوارد إلى TCP 135:
ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK
في نظام التشغيل Windows XP وأنظمة التشغيل الأحدث، اكتب الأمر التالي من دليل الذي يحتوي على Ipseccmd.exe لحظر وصول الوارد إلى TCP 135:
ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

حظر الوصول إلى الوصول نطاق منفذ RPC الديناميكي لكافة عناوين IP

لمنع الوصول إلى نطاق منفذ RPC الديناميكي لكافة عناوين IP، استخدم بناء الجملة التالي.

ملاحظة: في نظام التشغيل Windows XP وأنظمة التشغيل الأحدث، استخدم Ipseccmd.exe. في Windows 2000، استخدم Ipsecpol.exe (Windows 2000).

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP %PORT% Rule" -f *=0:%PORT%:TCP -n BLOCK
ملاحظة: لا تكتب "% IPSECTOOL %" أو "% PORT %" في هذا الأمر. الغرض من "% IPSECTOOL %" و "% PORT %" هو عرض أجزاء من الأمر الذي يجب تخصيصه. على سبيل المثال، اكتب الأمر التالي في مضيفات نظام التشغيل Windows 2000 حظر وصول الوارد إلى TCP 5001:
ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK
لحظر وصول الوارد إلى TCP 5001، اكتب الأمر التالي في مضيفات نظام التشغيل Windows XP وعلى الأجهزة المضيفة لأنظمة تشغيل Windows الأحدث:
ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK
تكرار هذا الأمر لكل منفذ RPC يجب حظره بواسطة تغيير رقم المنفذ التي تم سردها في هذا الأمر. توجد المنافذ التي يجب حظرها في 5001 إلى 5021.

ملاحظة: لا تنس تغيير رقم المنفذ في اسم القاعدة (رمز التبديل -r ) وفي عامل التصفية (رمز التبديل -f ).

اختياري: منح حق الوصول إلى معين نقطة نهاية RPC لشبكات فرعية معينة إذا كان الوصول مطلوباً

إذا كان يجب منح شبكات فرعية معينة حق الوصول إلى منافذ RPC المقيدة، يجب أولاً منح هذه الشبكات الفرعية حق وصول إلى معين نقطة نهاية RPC الذي قمت بحظره مسبقاً. لمنح شبكة فرعية معينة حق وصول إلى معين نقطة نهاية RPC، استخدم الأمر التالي:
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP 135 from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:135:TCP -n PASS
ملاحظة: في هذا الأمر، تطبيق العبارات التالية:
  • يمثل "% IPSECTOOL %" الأمر لاستخدامها. هذا الأمر هو "ipsecpol.exe" أو "ipseccmd.exe." يتم استخدام الأمر الذي يعتمد على نظام التشغيل الذي تقوم بتكوينه.
  • يمثل "% الشبكة الفرعية %" شبكة IP الفرعية البعيدة التي تريد منح حق الوصول، على سبيل المثال، 10.1.1.0.
  • يمثل "% % قناع" قناع الشبكة الفرعية لاستخدام، على سبيل المثال، 255.255.255.0.

    على سبيل المثال، يتيح الأمر التالي كافة المضيفات من الشبكة الفرعية 10.1.1.0/255.255.255.0 للاتصال بمنفذ TCP 135. سيكون كافة المضيفين صلاتهم رفض من قبل قاعدة الحظر الافتراضية التي تم إنشاؤها مسبقاً لهذا المنفذ.
    %IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 135 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:135:TCP -n PASS

اختياري: منح حق الوصول إلى جديدة نطاق منفذ RPC الديناميكي لشبكات فرعية معينة إذا كان الوصول مطلوباً

كل شبكة فرعية تم منحها حق الوصول إلى معين نقطة نهاية RPC مسبقاً كما ينبغي الوصول إلى كافة المنافذ في نطاق المنفذ الديناميكي RPC الجديد (5001-5021).

إذا قمت بتمكين الشبكات الفرعية للوصول إلى معين نقطة نهاية RPC لكن لا نطاق المنفذ الديناميكي، قد يتوقف التطبيق عن الاستجابة، أو قد تواجه مشكلات أخرى.

يمنح الأمر التالي شبكة فرعية معينة حق وصول إلى منفذ في نطاق المنفذ الديناميكي RPC الجديد:
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP %PORT% from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:%PORT%:TCP -n PASS
ملاحظة: في هذا الأمر، تطبيق العبارات التالية:
  • يمثل "% IPSECTOOL %" الأمر لاستخدامها. هذا الأمر هو "ipsecpol.exe" أو "ipseccmd.exe." يتم استخدام الأمر الذي يعتمد على نظام التشغيل الذي تقوم بتكوينه.
  • يمثل "% PORT %" المنفذ في نطاق المنفذ الديناميكي لمنح حق الوصول إليها.
  • يمثل "% الشبكة الفرعية %" شبكة IP الفرعية البعيدة التي تريد منح حق الوصول، على سبيل المثال، 10.1.1.0.
  • يمثل "% % قناع" قناع الشبكة الفرعية لاستخدام، على سبيل المثال، 255.255.255.0.

    على سبيل المثال، يتيح الأمر التالي كافة المضيفات من الشبكة الفرعية 10.1.1.0/255.255.255.0 للاتصال بمنفذ TCP 5001. سيكون كافة المضيفين صلاتهم رفض من قبل قاعدة الحظر الافتراضية التي تم إنشاؤها مسبقاً لهذا المنفذ.
    %IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 5001 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:5001:TCP -n PASS
ملاحظة: يجب تكرار هذا الأمر لكل شبكة فرعية ومنفذ في نطاق منفذ ديناميكي RPC جديد.

تعيين نهج IPsec

ملاحظة: الأوامر الموجودة في هذا المقطع فورا.

بعد إنشاء كافة قواعد الحظر وكافة قواعد السماح لتكوين RPC المنافذ أو بتعيين النهج باستخدام الأمر التالي:
%IPSECTOOL% -w REG -p "Block RPC Ports" –x
ملاحظة: لإلغاء تعيين النهج مباشرة، استخدم الأمر التالي:
%IPSECTOOL% -w REG -p "Block RPC Ports" –y
ملاحظة: لحذف النهج من السجل، استخدم الأمر التالي:
%IPSECTOOL% -w REG -p "Block RPC Ports" -o
يجب إعادة تشغيل المضيف لتصبح التغييرات سارية المفعول.

ملاحظات
  • تغييرات تكوين RPC تتطلب إعادة تشغيل.
  • تغييرات نهج IPsec نافذة المفعول في الحال ولا تتطلب إعادة تشغيل.
بعد إعادة تشغيل محطة العمل أو الملقم، تحتوي أية واجهات RPC تستخدم تسلسل بروتوكول ncacn_ip_tcp ولا تحدد منفذ TCP معين به سيكون منفذ مخصص من هذا النطاق خلال وقت تشغيل RPC عند بدء تشغيل ملقم RPC.

ملاحظة: قد يتطلب الخادم أكثر من 20 من منافذ TCP. يمكنك استخدام الأمر rpcdump.exe لعد نقاط نهاية RPC المرتبطة بمنفذ TCP ولزيادة هذا العدد إذا كان يجب. لمزيد من المعلومات حول كيفية الحصول على أداة تفريغ RPC، قم بزيارة موقع Microsoft التالي على الويب:
خصائص

رقم الموضوع: 908472 - آخر مراجعة: 15‏/01‏/2017 - المراجعة: 2

تعليقات