Καταργούνται προεπιλεγμένων εξαιρέσεων IPSec στα Windows Server 2003

ΣΗΜΑΝΤΙΚΟ: αυτό το άρθρο περιέχει πληροφορίες σχετικά με την τροποποίηση του μητρώου. Πριν να τροποποιήσετε το μητρώο, φροντίστε να δημιουργήσετε αντίγραφα ασφαλείας και να βεβαιωθείτε ότι γνωρίζετε τον τρόπο επαναφοράς του μητρώου εάν παρουσιαστεί κάποιο πρόβλημα. Για πληροφορίες σχετικά με τη δημιουργία αντιγράφων ασφαλείας, επαναφοράς και επεξεργασίας του μητρώου, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
256986 περιγραφή του μητρώου των Microsoft Windows

Σύνοψη

Η δυνατότητα ασφαλείας πρωτοκόλλου Internet (IPsec) στον Windows Server 2003 δεν έχει σχεδιαστεί ως ένα ολοκληρωμένο κεντρικού υπολογιστή με τείχος προστασίας. Σχεδιάστηκε για να παρέχει βασικές άδεια και μπλοκ φιλτράρισμα χρησιμοποιώντας πληροφορίες διεύθυνσης, πρωτοκόλλου και θύρας σε πακέτα δικτύου. IPsec επίσης σχεδιάστηκε ως ένα εργαλείο διαχείρισης για τη βελτίωση της ασφάλειας των επικοινωνιών, έτσι ώστε να γίνεται αντιληπτή από τα προγράμματα. Για το λόγο αυτό, παρέχει κυκλοφορία φιλτραρίσματος που είναι απαραίτητες για τη διαπραγμάτευση ασφαλείας για την κατάσταση λειτουργίας μεταφοράς IPsec ή η λειτουργία σήραγγας IPsec, κυρίως για περιβάλλοντα intranet όπου μηχάνημα αξιοπιστίας ήταν διαθέσιμες από την υπηρεσία του Kerberos ή για συγκεκριμένες διαδρομές στο Internet όπου μπορούν να χρησιμοποιηθούν τα ψηφιακά πιστοποιητικά υποδομή δημόσιων κλειδιών (PKI).

Το προεπιλεγμένων εξαιρέσεων για φίλτρα πολιτικής IPsec τεκμηριώνονται στα Microsoft Windows 2000 και στη Βοήθεια για το Microsoft Windows XP. Αυτά τα φίλτρα δίνουν τη δυνατότητα ανταλλαγής κλειδιών Internet (IKE) και Kerberos σε συνάρτηση. Τα φίλτρα και να είναι εφικτό για το δίκτυο ποιότητας της Service(QoS) να σηματοδοτηθεί (RSVP), όταν η κυκλοφορία δεδομένων είναι ασφαλής από την IPsec, καθώς και για την κυκλοφορία που IPsec δεν είναι ασφαλή όπως κυκλοφορία πολλαπλής διανομής και ευρείας μετάδοσης.

Για πρόσθετες πληροφορίες σχετικά με αυτά τα φίλτρα, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

253169 η κυκλοφορία που μπορεί να--και δεν είναι δυνατό να--να προστατεύεται από την IPSec

Περισσότερες πληροφορίες

ΠΡΟΕΙΔΟΠΟΊΗΣΗ: η εσφαλμένη χρήση του επεξεργαστή μητρώου ενδέχεται να προκαλέσει σοβαρά προβλήματα, τα οποία ίσως απαιτήσουν να εγκαταστήσετε ξανά το λειτουργικό σας σύστημα. Η Microsoft δεν μπορεί να εγγυηθεί ότι μπορείτε να λύσετε τα προβλήματα που προκύπτουν από την εσφαλμένη χρήση του επεξεργαστή μητρώου. Χρησιμοποιήστε τον Επεξεργαστή μητρώου με δική σας ευθύνη.
Καθώς IPsec χρησιμοποιείται όλο και περισσότερο για κεντρικού υπολογιστή τείχος προστασίας βασικού φιλτραρίσματος πακέτων, ιδιαίτερα σε σενάρια που εκτίθενται στο Internet, το αποτέλεσμα αυτών των προεπιλεγμένων εξαιρέσεων έχει δεν έχει πλήρως κατανοητή. Για το λόγο αυτό, κάποιοι διαχειριστές IPsec μπορούν να δημιουργήσουν IPsec πολιτικές που πιστεύουν, για να είναι ασφαλής, αλλά είναι ασφαλής δεν εναντίον εισερχόμενου επιθέσεων που χρησιμοποιούν την προεπιλογή εξαιρέσεις.

Για τους λόγους αυτούς, η Microsoft έχει καταργήσει τις περισσότερες από τις εξαιρέσεις προεπιλογή στον Windows Server 2003. Αυτό ενδέχεται να απαιτήσει αλλαγές της πολιτικής IPsec για τον Windows Server 2003 για σενάρια ανάπτυξης IPsec όπου χρησιμοποιείτε IKE να διαπραγματευτεί την ασφάλεια και προστασία IPsec για την κυκλοφορία δεδομένων με πρωτόκολλο ανώτερων επιπέδων.

Κατάργηση των προεπιλεγμένων εξαιρέσεων των Windows

Από προεπιλογή, το Windows Server 2003, καταργεί όλα προεπιλεγμένων εξαιρέσεων, εκτός από την απαλλαγή IKE. Αλλαγές σε υπάρχοντα σχέδια πολιτικής ασφαλείας IP μπορεί να απαιτείται για να χρησιμοποιήσετε την πολιτική στον Windows Server 2003.

Οι διαχειριστές θα πρέπει να ξεκινήσει σχεδιασμό για αυτές τις αλλαγές για όλες τις αναπτύξεις υφιστάμενων και νέων IPsec χρησιμοποιώντας NoDefaultExempt = 1 για τους υπολογιστές με Windows 2000 και με τα Windows XP. Το NoDefaultExempt = 1 κλειδί μητρώου υποστηρίζεται στον Windows Server 2003 για να δίνουν τη δυνατότητα στους διαχειριστές να επαναφέρετε την προηγούμενη προεπιλεγμένη συμπεριφορά απαλλαγή για συμβατότητα με παλαιότερες σχέδια πολιτικής IPsec και πρόγραμμα συμβατότητας. Κατά την αναβάθμιση σε Windows Server 2003, η τιμή μιας υπάρχουσας NoDefaultExempt = 1 διατηρείται η ρύθμιση κλειδιού μητρώου.

Για πρόσθετες πληροφορίες σχετικά με το προεπιλεγμένων εξαιρέσεων για υπολογιστές των Windows 2000 και Windows XP, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

811832 προεπιλεγμένων εξαιρέσεων IPSec μπορεί να χρησιμοποιηθεί για την παράκαμψη της προστασίας IPsec σε ορισμένα σενάρια

Σημείωση Εξετάστε αυτό το άρθρο (811832), πριν να χρησιμοποιήσετε το κλειδί μητρώου για να ενεργοποιήσετε ξανά το προεπιλεγμένων εξαιρέσεων.

Δείτε επίσης την ενότητα "Καθορισμός προεπιλεγμένη εξαιρέσεις για την IPSec φιλτραρίσματος" στο κιτ ανάπτυξης IPsec του Windows Server 2003 για περισσότερες πληροφορίες. Για να αποκτήσετε το Κιτ ανάπτυξης Microsoft Windows 2003 Server, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:Για να τροποποιήσετε την προεπιλεγμένη συμπεριφορά το φιλτράρισμα για IPSec του Windows Server 2003, μπορείτε να χρησιμοποιήσετε την εντολή Netsh IPSec ή να τροποποιήσετε το μητρώο.

Για να τροποποιήσετε την προεπιλεγμένη συμπεριφορά το φιλτράρισμα χρησιμοποιώντας το
Εντολή Netsh IPSec :
  1. Κάντε κλικ στο κουμπί Έναρξηκαι στη συνέχεια κάντε κλικ στο κουμπί
    Εκτέλεση.
  2. Πληκτρολογήστε cmdκαι στη συνέχεια κάντε κλικ στο κουμπί
    OK.
  3. Στη γραμμή εντολών, πληκτρολογήστε netsh ipsec dynamic Ορισμός τιμής εξαίρεση ασφαλείας IP config ={0 | 1 | 2 | 3}, και στη συνέχεια πιέστε το πλήκτρο ENTER.
Η χρήση των {0 | 1 | 2 | 3} σε αυτήν την εντολή, αντιπροσωπεύει όλες τις διαθέσιμες επιλογές για αυτήν την εντολή. Μπορείτε να χρησιμοποιήσετε μόνο μία τιμή. Ανάλογα με τις εξαιρέσεις που θέλετε να χρησιμοποιήσετε, καθορίστε την τιμή ως:
  • Η τιμή 0 καθορίζει ότι πολλαπλής διανομής, εκπομπής, RSVP, Kerberos και ISAKMP κυκλοφορίας εξαιρούνται από φίλτρα IPSec. Αυτή είναι η προεπιλεγμένη φιλτράρισμα συμπεριφορά στα Windows 2000 και Windows XP. Χρησιμοποιήστε αυτήν τη ρύθμιση μόνο αν έχετε για συμβατότητα με μια υπάρχουσα πολιτική IPsec ή τη συμπεριφορά των Windows 2000 και Windows XP.
  • Η τιμή 1 καθορίζει ότι η κυκλοφορία Kerberos και RSVP δεν εξαιρούνται από φίλτρα IPSec, αλλά πολλαπλής διανομής, εκπομπής και κυκλοφορία ISAKMP εξαιρούνται.
  • Η τιμή 2 Καθορίζει ότι η κυκλοφορία πολλαπλής διανομής και ευρείας μετάδοσης δεν εξαιρούνται από φίλτρα IPSec, αλλά απαλλάσσονται κυκλοφορία RSVP, Kerberos και ISAKMP.
  • Η τιμή 3 Καθορίζει ότι μόνο η κυκλοφορία ISAKMP εξαιρείται από το φιλτράρισμα IPSec. Αυτή είναι η προεπιλεγμένη συμπεριφορά το φιλτράρισμα για τον Windows Server 2003.
Εάν αλλάξετε την τιμή για αυτήν τη ρύθμιση, πρέπει να επανεκκινήσετε τον υπολογιστή σας για να τεθεί σε ισχύ η νέα τιμή. Για να τροποποιήσετε την προεπιλεγμένη συμπεριφορά το φιλτράρισμα χρησιμοποιώντας το μητρώο:
  1. Κάντε κλικ στο κουμπί Έναρξηκαι στη συνέχεια κάντε κλικ στο κουμπί
    Εκτέλεση.
  2. Πληκτρολογήστε Regeditκαι, στη συνέχεια, κάντε κλικ στο κουμπί
    OK.
  3. Κάντε κλικ στο ακόλουθο κλειδί μητρώου:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC
    Σημείωση Εάν χρησιμοποιείτε Windows Server 2008, κάντε κλικ στο ακόλουθο κλειδί μητρώου:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
  4. Κάντε δεξιό κλικ IPSEC, μεταβείτε στην επιλογή
    Δημιουργίακαι, στη συνέχεια, κάντε κλικ στην επιλογή Τιμή DWORD.
  5. Το όνομα αυτής της νέας καταχώρησης
    NoDefaultExempt.
  6. Αντιστοίχιση σε αυτήν την εγγραφή οποιαδήποτε τιμή από 0 έως 3.
  7. Επανεκκινήστε τον υπολογιστή σας.
Οι συμπεριφορές φιλτραρίσματος για κάθε τιμή είναι ισοδύναμες με εκείνες που σημειώθηκαν για το netsh ipsec dynamic Ορισμός τιμής εξαίρεση ασφαλείας IP config = x εντολή.

Επιπτώσεις της απαλλαγής IKE

Το αποτέλεσμα της απαλλαγής IKE είναι η ίδια με αυτήν των Windows 2000 και Windows XP. Ωστόσο, το Windows Server 2003 παρέχει βελτιωμένη αποφυγής DoS σε κατάκλυση επιθέσεις.

Για πρόσθετες πληροφορίες σχετικά με την απαλλαγή IKE για τα Windows 2000 και Windows XP, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
811832 οι προεπιλεγμένες εξαιρέσεις IPSec μπορούν να χρησιμοποιηθούν για την παράκαμψη της προστασίας IPsec σε ορισμένα σενάρια

Επίδραση του Kerberos απαλλαγή

Εάν NoDefaultExempt έχει οριστεί σε 0 ή 2 για να επαναφέρετε την απαλλαγή, το αποτέλεσμα της απαλλαγής Kerberos είναι ίδιες με τις περιγραφόμενες στα Windows 2000 και Windows XP.

Για περισσότερες πληροφορίες σχετικά με το Kerberos απαλλαγή για τα Windows 2000 και Windows XP, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

811832 οι προεπιλεγμένες εξαιρέσεις IPSec μπορούν να χρησιμοποιηθούν για την παράκαμψη της προστασίας IPsec σε ορισμένα σενάρια

Εφέ RSVP απαλλαγής

Εάν η NoDefaultExempt έχει οριστεί σε 0 ή 2 για την επαναφορά της απαλλαγής, ο κίνδυνος απαλλαγή RSVP περιορίζεται σε υλοποιήσεις RSVP τρίτων κατασκευαστών που μπορεί να εγκατασταθεί. Από προεπιλογή, ο Windows Server 2003 δεν περιλαμβάνει την υπηρεσία QoS RSVP. Η επιλογή -R έχει καταργηθεί από το βοηθητικό πρόγραμμα Pathping, έτσι δεν υποστηρίζει το πρωτόκολλο RSVP.

Αποτέλεσμα της μετάδοσης και πολλαπλής διανομής εξαιρέσεων

Εάν η NoDefaultExempt έχει οριστεί σε 0 ή 1 για να επαναφέρετε την απαλλαγή, το αποτέλεσμα της μετάδοσης και πολλαπλής διανομής εξαιρέσεων είναι ίδιες με τις περιγραφόμενες στα Windows 2000 και Windows XP. Ωστόσο, η IPsec του Windows Server 2003 υποστηρίζουν φιλτράρουν κυκλοφορία ευρείας μετάδοσης και πολλαπλής διανομής. Μια σχεδίαση πολιτικής IPsec μπορεί να έχει φίλτρα που θα συμφωνεί με το εξερχόμενο μετάδοσης ή πολλαπλής διανομής, όπως ένα φίλτρο με προέλευση διεύθυνση "Δική μου διεύθυνση IP" και μια διεύθυνση προορισμού του "Κάθε διεύθυνση IP". Οι πολιτικές IPsec πρέπει να δοκιμάζονται στο εργαστήριο και σε λειτουργία για να επιβεβαιώσετε το αποτέλεσμα μια υπάρχουσα πολιτική σχεδίασης σε αυτήν την κυκλοφορία. Κυκλοφορία ευρείας μετάδοσης και πολλαπλής διανομής, μπορούν να αποκλειστούν σε περιορισμένο βαθμό, χρησιμοποιώντας ένα φίλτρο IPsec με διεύθυνση προέλευσης και προορισμού των "Κάθε διεύθυνση IP". Το Microsoft Windows Server 2003 Resource Kit περιέχει περισσότερες πληροφορίες.

Για πρόσθετες πληροφορίες σχετικά με μετάδοσης και πολλαπλής διανομής εξαιρέσεων για τα Windows 2000 και Windows XP, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
811832 οι προεπιλεγμένες εξαιρέσεις IPSec μπορούν να χρησιμοποιηθούν για την παράκαμψη της προστασίας IPsec σε ορισμένα σενάρια

Ποια προγράμματα μπορεί να λάβει κυκλοφορία ευρείας μετάδοσης;

Τα Windows Server 2003 υποστηρίζει μια επιλογή υποδοχή για προγράμματα για να απενεργοποιήσετε ρητά την παραλαβή του κυκλοφορία ευρείας μετάδοσης, αλλά δεν υπάρχει αλλαγή στην προεπιλεγμένη συμπεριφορά ότι τα προγράμματα που εκτελούν ακρόαση στις θύρες UDP λαμβάνουν κυκλοφορία ευρείας μετάδοσης.

Ποια προγράμματα μπορεί να λαμβάνει κυκλοφορία πολλαπλής διανομής;

Στον Windows Server 2003, προγράμματα εξακολουθούν να πρέπει ρητά καταχώρηση TCPIP στοίβα για να λάβετε τους τύπους εισερχόμενης κυκλοφορίας multicast και κυκλοφορία ενδέχεται να απορριφθούν αν έχει καταχωρηθεί την ομάδα πολλαπλής διανομής.

Χρήση της IPsec με το τείχος προστασίας σύνδεσης στο Internet

Με τα Windows XP, το ICF και η IPsec δυνατότητες φιλτραρίσματος μπορούν να συνδυαστούν για να δημιουργήσετε σύνθετες συμπεριφορές φιλτραρίσματος. Αυτό είναι ιδιαίτερα χρήσιμη όπου IPsec πρέπει να στατικά επιτρέψει ορισμένες εξερχόμενης κυκλοφορίας στο Internet όπως HTTP ή DNS ή SMTP. Αυτό καθιστά δυνατή την ICF για την παροχή της κατάστασης φιλτραρίσματος για την εξερχόμενη κυκλοφορία, η οποία επιτρέπει την IPsec.

Αναφορές

Για πρόσθετες πληροφορίες σχετικά με τα αποτελέσματα των προεπιλεγμένων εξαιρέσεων ασφαλείας IP, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

811832 προεπιλεγμένων εξαιρέσεων IPsec μπορεί να χρησιμοποιηθεί για την παράκαμψη της προστασίας IPsec σε ορισμένα σενάρια για τα Windows 2000 και Windows XP

Για περισσότερες πληροφορίες σχετικά με το φιλτράρισμα και την ανάπτυξη καθοδήγηση για την ασφάλεια IPsec στα Windows Server 2003, ανατρέξτε στο κεφάλαιο ανάπτυξης IPsec στο κιτ ανάπτυξης των Microsoft Windows 2003 Server. Για να το κάνετε αυτό, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:
Ιδιότητες

Αναγνωριστικό άρθρου: 810207 - Τελευταία αναθεώρηση: 17 Ιαν 2017 - Αναθεώρηση: 1

Σχόλια