IPSec-Standardausnahmen werden in Windows Server 2003 entfernt.

Wichtig: Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Bevor Sie die Registrierung ändern, müssen Sie sie sichern und sicherstellen, dass Sie wissen, wie die Registrierung wiederhergestellt werden kann, falls ein Problem auftritt. Informationen zum Sichern, wiederherstellen und Bearbeiten der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:
256986 Beschreibung der Microsoft Windows-Registrierung

Zusammenfassung

Internet Protocol Security (IPsec) Feature in Windows Server 2003 wurde nicht als umfassende hostbasierte Firewall konzipiert. Es wurde grundlegende zulassen und blockieren Filtern mit Adresse, Protokoll und Portinformationen in Netzwerkpaketen. Auch wurde als Verwaltungstool IPSec zur Verbesserung der Sicherheit des Datenaustauschs auf eine Weise, die für die Programme transparent ist. Dadurch wird die Filtern von Datenverkehr muss Sicherheitsaushandlung für IPSec-Transportmodus oder IPSec-Tunnelmodus, hauptsächlich für Intranetumgebungen, die Vertrauensstellung aus der Kerberos-Dienst verfügbar war, oder bestimmte Pfade über das Internet, Infrastruktur öffentlicher Schlüssel (PKI) digitale Zertifikate verwendet werden.

Standardausnahmen, IPSec-Richtlinienfilter sind in Microsoft Windows 2000 und Microsoft Windows XP-Hilfe dokumentiert. Diese Filter ermöglichen Internet Key Exchange (IKE) und Kerberos Funktion. Die Filter auch machen es das Netzwerk Qualität des Service(QoS) zu (RSVP) signalisiert, wenn der Datenverkehr durch IPsec und Datenverkehr, IPsec gesichert ist wie Multicast-und Broadcastverkehr sichern kann.

Weitere Informationen über diese Filter klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

253169 Datenverkehr, kann – und nicht – durch IPSec gesichert werden

Weitere Informationen

Warnung: Wenn Sie den Registrierungs-Editor nicht ordnungsgemäß verwenden, können Sie schwerwiegende Probleme verursachen, die möglicherweise eine Neuinstallation des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Sie Probleme beheben können, die durch eine nicht korrekte Nutzung des Registrierungs-Editor verursacht werden können. Verwenden Sie den Registrierungs-Editor auf eigene Gefahr.
IPsec zunehmend verwendet wird, für Host Basisfirewall Paketfilter, insbesondere in Szenarien Internet ausgesetzt wurde aus dieser Standardausnahmen nicht vollständig verstanden. Deshalb können einige Administratoren IPsec IPsec Richtlinien, die ihrer Meinung nach zu sichern, die nicht eingehenden Angriffen sicher, die Standardausnahmen verwenden.

Aus diesen Gründen hat Microsoft die meisten Standardausnahmen in Windows Server 2003 entfernt. Diese benötigen IPSec-Richtlinie ändert für Windows Server 2003 für IPSec-Bereitstellungsszenarien, IKE mit Sicherheit und Schutz für Protokoll der oberen Schicht Datenverkehr IPsec aushandeln.

Entfernen der Standardausnahmen Windows

Standardmäßig wird Windows Server 2003 entfernt alle Standardausnahmen bis auf IKE Ändert vorhandene IPSec-Richtlinie Designs können erforderlich sein, bevor Sie die Richtlinie auf Windows Server 2003 verwenden können.

Administratoren sollten planen diese Änderung für alle vorhandenen und neuen IPSec-Bereitstellung mithilfe von NoDefaultExempt = 1 auf ihrem Windows 2000- und Windows XP-basierten Computer. Die NoDefaultExempt = 1 Registrierungsschlüssel in Windows Server 2003 ermöglichen Administratoren das frühere Standardverhalten Befreiung aus Kompatibilitätsgründen mit früheren IPSec-Richtlinie und Programmkompatibilität unterstützt. Während der Aktualisierung auf Windows Server 2003 der Wert eines vorhandenen NoDefaultExempt = 1 Registrierungsschlüssel beibehalten.

Weitere Informationen zu Standardausnahmen für Windows 2000 und Windows XP-basierten Computer klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

811832 IPSec Default Ausnahmen dienen zum Umgehen von IPSec-Schutz in einigen Szenarios

Hinweis Überprüfen Sie dieser Artikel (811832), bevor Sie den Registrierungsschlüssel Standardausnahmen aktivieren.

Ferner die Angabe Standard Ausnahmen zu IPSec Abschnitt "Filter" im IPSec-Bereitstellung von Windows Server 2003-Kit für Weitere Informationen. Zu Microsoft Windows 2003 Server Deployment Kit finden Sie auf der folgenden Microsoft-Website:Ändern Sie das Filterverhalten für Windows Server 2003-IPSec-Standard können Sie Befehl Netsh IPSec oder die Registrierung ändern.

Zum Ändern der Filterverhalten mithilfe der
Netsh IPSec -Befehl:
  1. Klicken Sie auf Start, und klicken Sie dann auf
    Ausführen.
  2. Geben Sie cmd ein, und klicken Sie dann auf
    OK.
  3. Geben Sie an der Befehlszeile Config Ipsecexempt Netsh Ipsec Dynamic Wert ={0 | 1 | 2 | 3}, und drücken Sie dann die EINGABETASTE.
Die Verwendung von {0 | 1 | 2 | 3} in diesem Befehl repräsentiert alle verfügbare Optionen für diesen Befehl. Sie können nur einen Wert. Je nach Ausnahmen verwenden möchten, geben Sie den Wert als:
  • Der Wert 0 gibt an, dass Multicast broadcast sind Kerberos, RSVP und ISAKMP-Datenverkehr von der IPSec-Filterung ausgenommen. Dies ist die Standardeinstellung für Windows 2000 und Windows XP filtern. Verwenden Sie diese Einstellung nur für die Kompatibilität mit vorhandenen IPSec-Richtlinie oder Windows 2000 und Windows XP Verhalten können.
  • Der Wert 1 gibt an, dass Kerberos und RSVP-Datenverkehr nicht von der IPSec-Filterung ausgenommen, Multicast und Broadcast ISAKMP-Verkehr sind.
  • Der Wert 2 Gibt an, dass multicast und broadcast-Datenverkehr nicht von der IPSec-Filterung ausgenommen, Kerberos, RSVP und ISAKMP-Verkehr sind.
  • Der Wert 3 gibt an, dass nur ISAKMP-Datenverkehr von der IPSec-Filterung ausgenommen. Dies ist die Standardeinstellung Filterverhalten für Windows Server 2003.
Wenn Sie den Wert für diese Einstellung ändern, müssen Sie den Computer für den neuen Wert zu starten. Um das Filterverhalten mithilfe der Registrierung ändern:
  1. Klicken Sie auf Start, und klicken Sie dann auf
    Ausführen.
  2. Geben Sie regedit ein, und klicken Sie dann auf
    OK.
  3. Klicken Sie auf den folgenden Registrierungsschlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC
    Hinweis Wenn Sie Windows Server 2008 verwenden, klicken Sie auf den folgenden Registrierungsschlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
  4. IPSECMaustaste, zeigen Sie auf
    Neu, und klicken Sie dann auf DWORD-Wert.
  5. Nennen Sie diesen neuen Eintrag
    NoDefaultExempt.
  6. Dieser Eintrag einen beliebigen Wert von 0 bis 3zuweisen.
  7. Starten Sie den Computer neu.
Für jeden Wert filtern Verhaltensweisen entsprechen denen für erwähnt die Config Ipsecexempt Netsh Ipsec Dynamic Wert = X Befehl.

Auswirkung der IKE-Ausnahme

Die IKE-Ausnahme bewirkt dasselbe wie für Windows 2000 und Windows XP. Windows Server 2003 bietet jedoch verbesserte DoS Vermeidung gegen Überflutungsangriffe zu schützen.

Weitere Informationen über IKE-Ausnahme für Windows 2000 und Windows XP klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
811832 IPSec Default Ausnahmen dienen zum Umgehen von IPSec-Schutz in einigen Szenarios

Auswirkung der Kerberos-Ausnahme

NoDefaultExempt Freistellung wiederherstellen auf 0 oder 2 festgelegt ist, ist die Auswirkung der Kerberos-Ausnahme identisch für Windows 2000 und Windows XP.

Weitere Informationen zu Kerberos Befreiung für Windows 2000 und Windows XP klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:

811832 IPSec Default Ausnahmen dienen zum Umgehen von IPSec-Schutz in einigen Szenarios

Auswirkung der RSVP-Ausnahme

Wenn NoDefaultExempt Freistellung wiederherstellen auf 0 oder 2 festgelegt ist, besteht RSVP Freistellung auf Drittanbieter-RSVP Implementierungen, die installiert werden können. In der Standardeinstellung umfasst Windows Server 2003 nicht RSVP-Dienst. Die Option -r wurde Pathping-Dienstprogramm entfernt, damit das RSVP-Protokoll nicht unterstützt wird.

Auswirkung der Broadcast- und multicast-Ausnahmen

NoDefaultExempt Freistellung wiederherstellen auf 0 oder 1 festgelegt ist, ist der Effekt von Broadcast- und multicast-Ausnahmen wie für Windows 2000 und Windows XP beschrieben. Windows Server 2003-IPsec unterstützt jedoch Broadcast- und multicast-Datenverkehr gefiltert. Ein IPsec-Richtlinienentwurf möglicherweise Filter, die ausgehenden Broadcast- oder multicast wie einen Filter mit der Quelladresse eine Zieladresse "Beliebige IP-Adresse" und "Eigene IP-Adresse" entsprechen würde. IPSec-Richtlinien sollte getestet werden, und auf die Wirkung der vorhandenen Richtlinienentwurf auf diesen Datenverkehr zu bestätigen. Broadcast- und multicast-Datenverkehr kann eingeschränkt Quell- und Ziel-Adresse "Beliebige IP-Adresse" mit einem IPSec-Filter blockiert werden. Microsoft Windows Server 2003 Resource Kit enthält weitere Informationen.

Weitere Informationen zu Broadcast und multicast Ausnahmen für Windows 2000 und Windows XP klicken Sie auf die folgenden Artikelnummer der Microsoft Knowledge Base:
811832 IPSec Default Ausnahmen dienen zum Umgehen von IPSec-Schutz in einigen Szenarios

Welche Programme können Broadcasts empfangen?

Windows Server 2003 unterstützt Socketoption Programme explizit den Empfang von Broadcasts deaktivieren besteht keine Änderung des Standardverhaltens, Programmen, die UDP-Ports abgehört werden broadcast-Verkehr empfangen.

Welche Programme können Multicastverkehr empfangen?

In Windows Server 2003 Programme müssen noch explizit mit TCP/IP-Stapel eingehende Multicastverkehr Arten registrieren und Datenverkehr kann gelöscht werden, wenn die multicast-Gruppe aufgehoben wird.

Verwenden von IPsec mit der Internetverbindungsfirewall

In Windows XP können ICF und Filterfunktionen IPsec kombiniert werden, um erweiterte Filter Verhalten erstellen. Dies ist besonders nützlich, IPsec statisch bestimmte ausgehenden Datenverkehr mit dem Internet wie HTTP, DNS oder SMTP zulassen muss. Dies ermöglicht es ICF zu statusbehaftete Filterung von ausgehendem Datenverkehr IPsec ermöglicht.

Referenzen

Weitere Informationen über die Auswirkung von IPSec-Standardausnahmen finden Sie im folgenden Artikel der Microsoft Knowledge Base:

811832 IPsec Default Ausnahmen dienen zum Umgehen von IPSec-Schutz in einigen Szenarios für Windows 2000 und Windows XP

Weitere Informationen zu filtern und Bereitstellung Anleitung für IPsec in Windows Server 2003 finden Sie im Kapitel IPSec-Bereitstellung in Microsoft Windows 2003 Server Deployment Kit. Besuchen Sie hierzu die folgende Microsoft-Website:
Eigenschaften

Artikelnummer: 810207 – Letzte Überarbeitung: 16.01.2017 – Revision: 1

Feedback