Конфигуриране на RPC да използвате определени портове и как да защитите тези портове с помощта на IPsec

Резюме

Тази статия се описва как да конфигурирате RPC използва порт динамичен диапазон и как да защитите портове в диапазона чрез интернет протокол (IPsec) въпросите. По подразбиране RPC използва портове в диапазона на краткотрайното порт (1024-5000), когато присвоява портове за RPC приложения, които трябва да чуете TCP крайна точка. Това поведение може да ограничаване на достъпа до тези портове трудна за мрежови администратори. Тази статия описва начините за намаляване на броя на портове за RPC приложения и как да ограничите достъпа до тези портове с помощта на системния регистър IPsec политика.

Тъй като в тази статия стъпки включват компютъра цялата промени, които изискват компютърът да се рестартира, тези стъпки трябва да се извършва първо в nonproduction среди, за да идентифицирате проблеми със съвместимостта, които могат да възникнат в резултат на тези промени.

Допълнителна информация

Съществуват много задачи за конфигуриране, които са задължителни за преместване, намаляване и ограничаване на достъпа до портове за RPC.

Първо RPC динамичен порт диапазон трябва да бъде ограничено до по-малки, по-лесно порт диапазон, който е по-лесно да блок с помощта на защитната стена или IPsec политика. По подразбиране RPC динамично разпределя портове в диапазона от 1024 до 5000 за крайни точки, които не зададете порта за слушане.

Забележка
Тази статия използва порт диапазон от 5001 до 5021. Това намалява броя на портовете, които са достъпни за RPC крайни точки от 3,976 до 20. Броят на портовете е избрана произволно и не е препоръка за броя на портовете, които са необходими за всяка конкретна система.




След IPsec политика трябва да бъде създаден да ограничите достъпа до този обхват на портовете да отказва достъп до всички хостове в мрежата.

И накрая правилата на IPsec може да се актуализира да даде определени IP адреси или подмрежи мрежа достъп до блокирани портове за RPC и да изключите всички други.

За стартиране на задачата за преконфигуриране диапазон RPC динамичен портове, изтеглете инструмента за конфигуриране на RPC (RPCCfg.exe) и след това го копирате работна станция или сървър, който ще бъде настроен. За целта посетете следния уеб сайт на Microsoft:

http://www.microsoft.com/downloads/details.aspx?FamilyID=0f9cde2f-8632-4da8-ae70-645e1ddaf369&DisplayLang=enЗа изпълнение на последващите задачи за създаване на правило IPsec, интернет протокол защита правила инструмент (Ipsecpol.exe) и след това го копирате работна станция или сървър, който ще бъде настроен. За целта посетете следния уеб сайт на Microsoft:

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361Забележка: За да създадете IPsec правила за Microsoft Windows XP или по-нова версия на операционната система Windows, използвайте Ipseccmd.exe. Ipseccmd.exe е част от инструментите за поддръжка на Windows XP. Синтаксис и използване на IPseccmd.exe са същите като синтаксиса и употребата на Ipsecpol.exe. За повече информация относно инструментите за поддръжка на Windows XP, щракнете върху следния номер на статия в базата знания на Microsoft:

838079 Windows XP Service Pack 2 подкрепа инструменти

Преместване и намаляване диапазон RPC динамичен портове с помощта на RPCCfg.exe

Преместване и намаляване диапазон RPC динамичен портове с помощта на RPCCfg.exe, изпълнете следните стъпки:

  1. RPCCfg.exe копие на сървъра, който трябва да бъде конфигуриран

  2. В командния ред въведете rpccfg.exe-pe 5001-5021 - d 0.
    Забележка: Този обхват на портовете се препоръчва за използване от RPC крайни точки, защото портове в този обхват не могат да бъдат заделени за използване от други приложения. По подразбиране RPC използва порт диапазон от 1024 до 5000 за разпределяне на портове за крайни точки. Обаче портове в този обхват са също динамично разпределени за използване от операционната система Windows за всички Windows sockets приложения и може да бъде изчерпан силно използват сървъри като терминални сървъри и средата нива, които правят много изходящи повиквания към отдалечени системи.

    Например когато Internet Explorer се свързва с уеб сървър на порт 80, той слуша на порт в диапазона на 1024-5000 за отговор от сървъра. Ниво на средата COM сървър, който прави изходящи повиквания към други отдалечени сървъри и използва порт в този обхват за входящи отговор на този разговор. Преместване на диапазон от портове, използващ RPC за краищата на 5001 порта диапазон ще намали вероятността тези портове ще бъде използван от други приложения.
    За повече информация относно използването на краткотрайното портовете в операционните системи Windows посетете следните уеб сайтове на Microsoft.

Използвайте правилата за IPsec или защитната стена да блокира достъпа до уязвими портовете на засегнатия хост

Команди в следващия раздел текст, който се появява между знаци процент (%) е предназначена да представлява текст в командата, която трябва да бъде въведен от лицето, което създава правилата на IPsec. Например, когато се появява текстът "IPSECTOOL %", лицето, което създава правилата трябва да се замени този текст както следва:

  • Windows 2000 замени "IPSECTOOL %" с "ipsecpol.exe."

  • За Windows XP или по-нова версия на Windows замени "IPSECTOOL %" с "ipseccmd.exe."

За повече информация как да използвате IPsec да блокират портовете щракнете върху следния номер на статия в базата знания на Microsoft:

813878 как да блокирате определени мрежови протоколи и портове с помощта на IPSec

Блокира достъпа до съпоставяне на крайна точка на RPC за IP адреси

За да блокира достъпа до съпоставяне на крайна точка на RPC за IP адреси, използвайте следния синтаксис.

Забележка: В Windows XP и по-нови операционни системи Използвайте Ipseccmd.exe. Windows 2000 Използвайте Ipsecpol.exe (Windows 2000).

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

Забележка: Не въвеждайте "IPSECTOOL %" в тази команда. "IPSECTOOL %" е предназначен да представлява част от командата, която трябва да бъдат персонализирани. Например в Windows 2000, въведете следната команда от директорията, която съдържа Ipsecpol.exe да блокирате всички входящи достъп до TCP 135:

ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

В Windows XP и по-нови операционни системи въведете следната команда от директорията, която съдържа Ipseccmd.exe да блокирате всички входящи достъп до TCP 135:

ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

Блокира достъпа до диапазона на RPC динамичен порт за всички IP адреси

За да блокира достъпа до диапазона на RPC динамичен порт за всички IP адреси, използвайте следния синтаксис.

Забележка: В Windows XP и по-нови операционни системи Използвайте Ipseccmd.exe. Windows 2000 Използвайте Ipsecpol.exe (Windows 2000).

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP %PORT% Rule" -f *=0:%PORT%:TCP -n BLOCK

Забележка: Не въвеждайте "IPSECTOOL %" или "порт" в тази команда. "IPSECTOOL %" и "порт" са предназначени да представляват части на командата, която трябва да бъдат персонализирани. Например въведете следната команда в Windows 2000 хостове да блокирате всички входящи достъп до TCP 5001:

ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK

За да блокирате всички входящи достъп до TCP 5001, въведете следната команда в Windows XP хостове и домакини на по-нови операционни системи Windows:

ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK

Повторете тази команда за всеки RPC порт, който трябва да бъдат блокирани чрез промяна на номера на порта, който е включен в тази команда. Портовете, които трябва да бъдат блокирани са в диапазона 5001 5021.

Забележка: Не забравяйте да промените номера на порта в името на правилото (преминете - r ) и във филтъра ( -f ключ).

По желание: Дават достъп до съпоставяне на крайна точка на RPC за конкретни подмрежи ако е необходим достъп

Ако трябва да дадете конкретни подмрежи достъп до ограничени RPC портовете, първо трябва да дадете достъп до тези подмрежи за съпоставяне на крайна точка RPC, които се блокират по-рано. Да дадете достъп специфичните подмрежа за съпоставяне на крайна точка на RPC, използвайте следната команда:

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP 135 from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:135:TCP -n PASS

Забележка: В тази команда се прилагат следните команди:

  • "IPSECTOOL %" представлява команда, за да използвате. Тази команда е "ipsecpol.exe" или "ipseccmd.exe." Коя команда се използва, зависи от коя операционна система конфигурирате.

  • "% ПОДМРЕЖАТА" представлява отдалечен IP подмрежи в която искате да дадете достъп, например 10.1.1.0.

  • "% Маска" представлява подмрежова маска за използване, например 255.255.255.0.

    Например следната команда позволява всички хостове от 10.1.1.0/255.255.255.0 подмрежа за свързване към порт TCP 135. Всички други хостове ще са техните връзки отказано от правило по подразбиране блок, създаден по-рано за този порт.

    %IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 135 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:135:TCP -n PASS

По желание: Дават достъп до новия диапазон RPC динамичен порт за конкретни подмрежи ако е необходим достъп

Всяка подмрежа, която е получил достъп до съпоставяне на крайна точка на RPC по-рано също трябва да бъде даден достъп до всички портове в новия RPC динамичен порт диапазон (5001-5021).

Ако разрешите подмрежи до съпоставяне на крайна точка на RPC, но не динамични порта диапазон, приложението може да спре да отговаря или имате други проблеми.

Следната команда дава конкретни подмрежата достъп до порт в новия диапазон RPC динамичен порт:

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP %PORT% from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:%PORT%:TCP -n PASS

Забележка: В тази команда се прилагат следните команди:

  • "IPSECTOOL %" представлява команда, за да използвате. Тази команда е "ipsecpol.exe" или "ipseccmd.exe." Коя команда се използва, зависи от коя операционна система конфигурирате.

  • "% PORT %" представлява порта в диапазона на динамичен порт за да дадете достъп.

  • "% ПОДМРЕЖА" представлява отдалечен IP подмрежи в която искате да дадете достъп, например 10.1.1.0.

  • "% Маска" представлява подмрежова маска за използване, например 255.255.255.0.

    Например следната команда позволява всички хостове от 10.1.1.0/255.255.255.0 подмрежа за свързване към порт TCP 5001. Всички други хостове ще са техните връзки отказано от правило по подразбиране блок, създаден по-рано за този порт.

    %IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 5001 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:5001:TCP -n PASS

Забележка: Тази команда се повтаря за всяка подмрежа и порт в новия диапазон RPC динамичен порт.

IPsec правила

Забележка: Командите в този раздел влизат в сила веднага.

След създаване на всички правила за блокиране и незадължителни позволяват правилата конфигурирани RPC портове, предоставяне на правила с помощта на следната команда:

%IPSECTOOL% -w REG -p "Block RPC Ports" –x

Забележка: За незабавно да отмените присвояването правилата, използвайте следната команда:

%IPSECTOOL% -w REG -p "Block RPC Ports" –y

Забележка: За да изтриете правила в системния регистър, използвайте следната команда:

%IPSECTOOL% -w REG -p "Block RPC Ports" -o

Трябва да рестартирате хост за промените да влязат в сила.

Бележки

  • Промени в конфигурацията RPC изисква рестартиране.

  • IPsec политика промените влизат в сила веднага и не изисква рестартиране.

След рестартирането на работна станция или сървър, всички RPC интерфейси, които използват ncacn_ip_tcp протокол поредица и посочва конкретен TCP порт към който да свързва ще има порт, определен от този диапазон от RPC изпълнение при стартиране на RPC сървъра.

Забележка: Може да изисква повече от 20 TCP портове. Можете да използвате командата rpcdump.exe броя на RPC крайни точки, които са свързани с TCP порт и да увеличи този брой, ако е необходимо да. За повече информация как да получите инструмента RPC Dump посетете следния уеб сайт на Microsoft:

http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd

Нуждаете се от още помощ?

Разширете уменията си
Преглед на обучението
Получавайте първи новите функции
Присъединете се към Microsoft приобщени

Беше ли полезна тази информация?

Благодарим ви за обратната връзка!

Благодарим ви за вашата обратна връзка. Изглежда, че ще бъде полезно да ви свържем с един от нашите агенти по поддръжката на Office.

×