Αυτήν τη στιγμή είστε εκτός σύνδεσης, σε αναμονή για επανασύνδεση στο Internet

Καταργούνται οι προεπιλεγμένων εξαιρέσεων IPSec στα Windows Server 2003

Η υποστήριξη για τα Windows Server 2003 έληξε στις 14 Ιουλίου 2015

Η υποστήριξη της Microsoft για τα Windows Server 2003 έληξε στις 14 Ιουλίου 2015. Αυτή η αλλαγή επηρέασε τις ενημερώσεις λογισμικού και τις επιλογές ασφαλείας σας. Μάθετε τι σημαίνει αυτό για εσάς και το πώς θα προστατευτείτε.

ΣΗΜΑΝΤΙΚΟ: Αυτό το άρθρο είναι προϊόν λογισμικού μηχανικής μετάφρασης της Microsoft και όχι ανθρώπινης μετάφρασης. Η Microsoft σάς προσφέρει άρθρα που είναι προϊόντα ανθρώπινης αλλά και μηχανικής μετάφρασης έτσι ώστε να έχετε πρόσβαση σε όλα τα άρθρα της Γνωσιακής Βάσης μας στη δική σας γλώσσα. Ωστόσο, ένα άρθρο που έχει προκύψει από μηχανική μετάφραση δεν είναι πάντα άριστης ποιότητας. Ενδέχεται να περιέχει λεξιλογικά, συντακτικά ή γραμματικά λάθη, όπως ακριβώς τα λάθη που θα έκανε ένας μη φυσικός ομιλητής επιχειρώντας να μιλήσει τη γλώσσα σας. Η Microsoft δεν φέρει καμία ευθύνη για τυχόν ανακρίβειες, σφάλματα ή ζημίες που προκύψουν λόγω τυχόν παρερμηνειών στη μετάφραση του περιεχομένου ή χρήσης του από τους πελάτες της. Επίσης, η Microsoft πραγματοποιεί συχνά ενημερώσεις στο λογισμικό μηχανικής μετάφρασης.

Η αγγλική έκδοση αυτού του άρθρου είναι η ακόλουθη:810207
Σημαντικό: Αυτό το άρθρο περιέχει πληροφορίες σχετικά με την τροποποίηση του μητρώου. Πριν να τροποποιήσετε το μητρώο, βεβαιωθείτε ότι έχετε δημιουργήσει αντίγραφα ασφαλείας και ότι γνωρίζετε τον τρόπο επαναφοράς του μητρώου, σε περίπτωση που προκύψει κάποιο θέμα. Για πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας, επαναφοράς και επεξεργασίας του μητρώου, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft (Knowledge Base):
256986Περιγραφή του μητρώου των Microsoft Windows
Περίληψη
Η δυνατότητα ασφαλείας πρωτοκόλλου Internet (IPsec) στον Windows Server 2003 δεν έχει σχεδιαστεί ως ένα ολοκληρωμένο κεντρικού υπολογιστή με τείχος προστασίας. Σχεδιάστηκε για να παρέχουν βασική άδεια και να αποκλείσετε το φιλτράρισμα πακέτων δικτύου χρησιμοποιώντας πληροφορίες διεύθυνσης, πρωτοκόλλου και θύρας. Επίσης σχεδιάστηκε ως ένα εργαλείο διαχείρισης ασφαλείας IP για να βελτιώσετε την ασφάλεια των επικοινωνιών, έτσι ώστε να γίνεται αντιληπτή από τα προγράμματα. Εξαιτίας αυτού, παρέχει την κυκλοφορία φιλτραρίσματος που είναι απαραίτητες για τη διαπραγμάτευση ασφαλείας για την κατάσταση λειτουργίας μεταφοράς IPsec ή IPsec λειτουργία σήραγγας, κυρίως για περιβάλλοντα intranet, όπου ήταν διαθέσιμες από την υπηρεσία του Kerberos υπολογιστή αξιοπιστίας ή συγκεκριμένες διαδρομές μέσω του Internet, όπου μπορούν να χρησιμοποιηθούν τα ψηφιακά πιστοποιητικά υποδομή δημόσιων κλειδιών (PKI).

Το προεπιλεγμένων εξαιρέσεων για τα φίλτρα πολιτικής IPsec τεκμηριώνονται στα Microsoft Windows 2000 και στη Βοήθεια για το Microsoft Windows XP. Αυτά τα φίλτρα δίνουν τη δυνατότητα ανταλλαγής κλειδιών Internet (IKE) και το πρωτόκολλο Kerberos για συνάρτηση. Τα φίλτρα επίσης δίνουν τη δυνατότητα στο δίκτυο ποιότητας της Service(QoS) να σηματοδοτηθεί (RSVP) όταν είναι ασφαλής η κυκλοφορία δεδομένων από την IPsec και για την κυκλοφορία ασφαλείας IP που δεν είναι δυνατό να ασφαλίσετε όπως κυκλοφορία πολλαπλής διανομής και ευρείας μετάδοσης.

Για πρόσθετες πληροφορίες σχετικά με αυτά τα φίλτρα, κάντε κλικ στον αριθμό του άρθρου παρακάτω για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
253169Η κίνηση που να--και δεν είναι δυνατό να--να διασφαλίζονται με IPSec
Περισσότερες πληροφορίες
ΠΡΟΣΟΧΗ: Εάν χρησιμοποιείτε σωστά τον Επεξεργαστή μητρώου, μπορεί να προκαλέσετε σοβαρά προβλήματα, τα οποία ίσως απαιτήσουν την επανεγκατάσταση του λειτουργικού σας συστήματος. Η Microsoft δεν μπορεί να εγγυηθεί ότι τα θέματα που προκύπτουν από την εσφαλμένη χρήση του Επεξεργαστή Μητρώου (Registry Editor) είναι δυνατό να επιλυθούν. Χρησιμοποιήστε τον Επεξεργαστή Μητρώου (Registry Editor) με δική σας ευθύνη.Καθώς IPsec χρησιμοποιείται όλο και περισσότερο για κεντρικό τείχους προστασίας βασικών φιλτραρίσματος πακέτων, ιδιαίτερα σε σενάρια που εκτίθενται από το Internet, το αποτέλεσμα αυτών των προεπιλεγμένων εξαιρέσεων έχει δεν έχει πλήρως κατανοητή. Εξαιτίας αυτού, κάποιοι διαχειριστές IPsec μπορούν να δημιουργήσουν πολιτικές που τους πιστεύετε ότι είναι ασφαλής, αλλά είναι ασφαλής δεν εναντίον εισερχόμενου επιθέσεων που χρησιμοποιούν την προεπιλογή εξαιρέσεων IPsec.

Για τους λόγους αυτούς, Microsoft κατάργησε τις περισσότερες από τις εξαιρέσεις προεπιλογή στον Windows Server 2003. Αυτό ενδέχεται να απαιτήσει αλλαγές πολιτικής ασφαλείας IP για τον Windows Server 2003 για σενάρια ανάπτυξης IPsec όπου χρησιμοποιείτε IKE να διαπραγματευτεί την ασφάλεια και προστασία IPsec για την κυκλοφορία του πρωτοκόλλου του άνω επιπέδου.

Κατάργηση των προεπιλεγμένων εξαιρέσεων των Windows

Από προεπιλογή, τα Windows Server 2003, καταργεί όλων των προεπιλεγμένων εξαιρέσεων, εκτός από για την εξαίρεση IKE. Αλλαγές σε υπάρχοντα σχέδια πολιτικής ασφαλείας IP μπορεί να απαιτείται για να χρησιμοποιήσετε την πολιτική στον Windows Server 2003.

Οι διαχειριστές πρέπει να ξεκινήσουν το σχεδιασμό για αυτές τις αλλαγές για όλες τις αναπτύξεις υπάρχοντα και νέα IPsec χρησιμοποιώντας
NoDefaultExempt = 1
σχετικά με τους υπολογιστές με Windows 2000 και που βασίζεται σε Windows XP. Για να
NoDefaultExempt = 1
το κλειδί μητρώου υποστηρίζεται στον Windows Server 2003 για να δίνουν τη δυνατότητα στους διαχειριστές να επαναφέρετε την προηγούμενη προεπιλεγμένη συμπεριφορά εξαιρέσεων για συμβατότητα με παλαιότερες σχέδια πολιτικής IPsec και συμβατότητας του προγράμματος. Κατά την αναβάθμιση σε Windows Server 2003, η τιμή μιας υπάρχουσας
NoDefaultExempt = 1
ρύθμιση κλειδιού μητρώου διατηρείται.

Για πρόσθετες πληροφορίες σχετικά με την προεπιλογή εξαιρέσεων για υπολογιστές που βασίζονται στα Windows 2000 και τα Windows XP, κάντε κλικ στον αριθμό του άρθρου παρακάτω για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
811832Οι προεπιλεγμένες εξαιρέσεις IPSec μπορούν να χρησιμοποιηθούν για την παράκαμψη της προστασίας IPSec σε ορισμένα σενάρια
ΣΗΜΕΙΩΣΗΕξετάστε αυτό το άρθρο (811832), πριν να χρησιμοποιήσετε το κλειδί μητρώου για να ενεργοποιήσετε ξανά το προεπιλεγμένων εξαιρέσεων.

Δείτε επίσης την ενότητα "Καθορισμός του προεπιλεγμένου εξαιρέσεις για την IPSec φιλτραρίσματος" στο κιτ ανάπτυξης IPsec του Windows Server 2003 για περισσότερες πληροφορίες. Για να αποκτήσετε το κιτ ανάπτυξης Microsoft Windows 2003 Server, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:Για να τροποποιήσετε την προεπιλεγμένη συμπεριφορά το φιλτράρισμα για IPSec του Windows Server 2003, μπορείτε να χρησιμοποιήσετε τοNetsh IPSecη εντολή ή να τροποποιήσετε το μητρώο.

Για να τροποποιήσετε την προεπιλεγμένη συμπεριφορά το φιλτράρισμα με τη χρήση τουNetsh IPSecΕντολή:
  1. Κάντε κλικStart, και στη συνέχεια κάντε κλικ στο κουμπίΕκτέλεση.
  2. TYPECmd, και στη συνέχεια κάντε κλικ στο κουμπίOk.
  3. Στη γραμμή εντολών, πληκτρολογήστεnetsh ipsec dynamic set config ipsecexempt value={ 0 | 1 | 2 | 3}και κατόπιν πατήστε το πλήκτρο ENTER.
The use of{ 0 | 1 | 2 | 3}in this command represents all available options for this command. You can only use one value. Depending on the exemptions you want you to use, specify the value as:
  • A value of 0 specifies that multicast, broadcast, RSVP, Kerberos, and ISAKMP traffic are exempt from IPSec filtering. This is the default filtering behavior for Windows 2000 and Windows XP. Use this setting only if you have to for compatibility with an existing IPsec policy or Windows 2000 and Windows XP behavior.
  • A value of 1 specifies that Kerberos and RSVP traffic are not exempt from IPSec filtering, but multicast, broadcast, and ISAKMP traffic are exempt.
  • A value of 2 specifies that multicast and broadcast traffic are not exempt from IPSec filtering, but RSVP, Kerberos, and ISAKMP traffic are exempt.
  • A value of 3 specifies that only ISAKMP traffic is exempt from IPSec filtering. This is the default filtering behavior for Windows Server 2003.
If you change the value for this setting, you must restart the computer for the new value to take effect. To modify the default filtering behavior by using the registry:
  1. Κάντε κλικStart, και στη συνέχεια κάντε κλικ στο κουμπίΕκτέλεση.
  2. TYPERegedit, και στη συνέχεια κάντε κλικ στο κουμπίOk.
  3. Κάντε κλικ στο ακόλουθο κλειδί μητρώου:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC
    ΣΗΜΕΙΩΣΗIf you are using Windows Server 2008, click the following registry key:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
  4. Κάντε δεξιό κλικ στο στοιχείοIPSEC, τοποθετήστε το δείκτηΝέα, και στη συνέχεια κάντε κλικ στο κουμπίΤιμή DWORD.
  5. Name this new entryNoDefaultExempt.
  6. Assign this entry any value from0through3.
  7. Ξεκινήστε πάλι τον υπολογιστή σας.
The filtering behaviors for each value are equivalent to those that are noted for thenetsh ipsec dynamic set config ipsecexempt value=xΕντολή.

Impact of IKE exemption

The effect of the IKE exemption is the same as for Windows 2000 and Windows XP. However, Windows Server 2003 provides improved DoS avoidance to flooding attacks.

For additional information about IKE exemption for Windows 2000 and Windows XP, click the following article number to view the article in the Microsoft Knowledge Base:
811832IPSec Default Exemptions Can Be Used to Bypass IPsec Protection in Some Scenarios

Effect of Kerberos exemption

Εάν,
NoDefaultExempt
έχει οριστεί σε0ή2to restore the exemption, the effect of Kerberos exemption is the same as described for Windows 2000 and Windows XP.

For more information about Kerberos exemption for Windows 2000 and Windows XP, click the following article number to view the article in the Microsoft Knowledge Base:
811832IPSec Default Exemptions Can Be Used to Bypass IPsec Protection in Some Scenarios

Effect of RSVP exemption

Εάν,
NoDefaultExempt
έχει οριστεί σε0ή2Για να επαναφέρετε την εξαίρεση, ο κίνδυνος εξαιρέσεων RSVP περιορίζεται σε υλοποιήσεις RSVP άλλων κατασκευαστών που μπορεί να εγκατασταθεί. Από προεπιλογή, ο Windows Server 2003 δεν περιλαμβάνει την υπηρεσία QoS RSVP. Για να–Rη επιλογή έχει καταργηθεί από το βοηθητικό πρόγραμμα η εντολή Pathping, έτσι δεν υποστηρίζει το πρωτόκολλο RSVP.

Αποτέλεσμα της μετάδοσης και πολλαπλής διανομής εξαιρέσεων

Εάν,
NoDefaultExempt
έχει οριστεί σε0ή1Για να επαναφέρετε την εξαίρεση, το αποτέλεσμα της μετάδοσης και πολλαπλής διανομής εξαιρέσεων είναι το ίδιο όπως περιγράφεται για τα Windows 2000 και Windows XP. Ωστόσο, η IPsec του Windows Server 2003 υποστηρίζουν φιλτράρουν κυκλοφορία ευρείας μετάδοσης και πολλαπλής διανομής. Μια σχεδίαση πολιτικής ασφαλείας IP μπορεί να έχει φίλτρα που θα συμφωνεί με το εξερχόμενο μετάδοσης ή πολλαπλής διανομής, όπως ένα φίλτρο με προέλευση διεύθυνση “ δική μου διεύθυνση IP ” και μια διεύθυνση προορισμού του “ κάθε διεύθυνση IP ”. Πολιτικές ασφαλείας IP, θα πρέπει να ελεγχθούν στο εργαστήριο και σε λειτουργία για να επιβεβαιώσετε την επίδραση από μια υπάρχουσα πολιτική σχεδίασης σε αυτήν την κυκλοφορία. Κυκλοφορία ευρείας μετάδοσης και πολλαπλής διανομής, μπορούν να αποκλειστούν σε περιορισμένο βαθμό, χρησιμοποιώντας ένα φίλτρο ασφαλείας IP με διεύθυνση προέλευσης και προορισμού των “ κάθε διεύθυνση IP ”. Το Microsoft Windows Server 2003 Resource Kit περιέχει περισσότερες πληροφορίες.

Για πρόσθετες πληροφορίες σχετικά με μετάδοσης και πολλαπλής διανομής εξαιρέσεων για τα Windows 2000 και Windows XP, κάντε κλικ στον αριθμό του άρθρου παρακάτω για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
811832Οι προεπιλεγμένες εξαιρέσεις IPSec μπορούν να χρησιμοποιηθούν για την παράκαμψη της προστασίας IPSec σε ορισμένα σενάρια

Τα προγράμματα που μπορεί να λάβει κυκλοφορία ευρείας μετάδοσης;

Τα Windows Server 2003 υποστηρίζει μια επιλογή υποδοχή για προγράμματα για να απενεργοποιήσετε ρητά την παραλαβή του κυκλοφορία ευρείας μετάδοσης, αλλά δεν υπάρχει καμία αλλαγή στην προεπιλεγμένη συμπεριφορά ότι τα προγράμματα που εκτελούν ακρόαση στις θύρες UDP λαμβάνουν κυκλοφορία ευρείας μετάδοσης.

Ποια προγράμματα μπορεί να λάβει κυκλοφορία πολλαπλής διανομής;

Στον Windows Server 2003, προγράμματα εξακολουθούν να πρέπει ρητά δηλώσουμε TCPIP στοίβα για να λάβετε τους τύπους εισερχόμενης κυκλοφορίας multicast και κυκλοφορία ενδέχεται να απορριφθούν αν έχει καταχωρηθεί την ομάδα πολλαπλής διανομής.

Χρήση της IPsec με το τείχος προστασίας σύνδεσης στο Internet

Ως στα Windows XP, το ICF και η IPsec δυνατότητες φιλτραρίσματος μπορούν να συνδυαστούν για τη δημιουργία πρόσθετων συμπεριφορές φιλτραρίσματος. Αυτό είναι ιδιαίτερα χρήσιμη όπου IPsec πρέπει να στατικά επιτρέψει ορισμένες εξερχόμενης κυκλοφορίας στο Internet, όπως το HTTP ή DNS ή SMTP. Αυτό καθιστά το ICF για την παροχή της κατάστασης φιλτραρίσματος για την εξερχόμενη κυκλοφορία, η οποία επιτρέπει την IPsec.
Αναφορές
Για πρόσθετες πληροφορίες σχετικά με τα αποτελέσματα των προεπιλεγμένων εξαιρέσεων ασφαλείας IP, κάντε κλικ στον αριθμό του άρθρου παρακάτω για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:
811832Προεπιλεγμένων εξαιρέσεων IPsec μπορεί να χρησιμοποιηθεί για την παράκαμψη της προστασίας IPsec σε ορισμένα σενάρια για τα Windows 2000 και Windows XP
Για περισσότερες πληροφορίες σχετικά με τις οδηγίες το φιλτράρισμα και την ανάπτυξη της IPsec στα Windows Server 2003, ανατρέξτε στο κεφάλαιο ανάπτυξης IPsec με το κιτ ανάπτυξης Microsoft Windows 2003 Server. Για να το κάνετε αυτό, επισκεφθείτε την ακόλουθη τοποθεσία της Microsoft στο Web:

Προειδοποίηση: Αυτό το άρθρο έχει μεταφραστεί αυτόματα

Ιδιότητες

Αναγνωριστικό άρθρου: 810207 - Τελευταία αναθεώρηση: 12/22/2010 06:40:00 - Αναθεώρηση: 2.0

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Windows Small Business Server 2003 Standard Edition

  • kbinfo kbmt KB810207 KbMtel
Σχόλια