RPC kasutada teatud portide konfigureerimine ja kuidas neid Porte, kasutades IPsec turvalisuse tagamiseks

Kokkuvõte

Selles artiklis kirjeldatakse konfigureerimine RPC kasutada teatud dünaamiline port vahemikus ja turvalisuse tagamiseks vahemiku Porte, kasutades Internet Protocol security (IPsec) poliitika kohta. Vaikimisi kasutab RPC pordid ajutised port vahemikus (1024-5000) määrab pordid RPC rakendusi, millel on TCP lõpp kuulama. Selline käitumine võib seada piirates need pordid keeruline võrguadministraatoritele. Selles artiklis kirjeldatakse, kuidas vähendada RPC rakendused saadaval portide arvust, ja kuidas neid Porte registripõhised IPsec rühmapoliitika abil juurdepääsu piiramiseks.

Kuna käesoleva artikli juhised hõlmavad arvutit hõlmavat muudatusi, mis nõuavad arvuti taaskäivitamist, tuleks teha esmalt neid samme tootmisega mitteseotud keskkondades tuvastada mis tahes rakenduste ühilduvusega seotud probleeme, mis võib ilmneda juhul, kui need muudatused.

Lisateabe saamiseks

On mitu konfiguratsiooni ülesanded, mis tuleb läbida, et paigutada ning vähendada juurdepääsu piiramiseks portidele.

Kõigepealt RPC dünaamiline port vahemikus peaks olema piiratud väiksemateks, paremini hallatavaks port vahemikus, mis on lihtsam Blokeeri tulemüür või IPsec poliitika abil. Vaikimisi RPC dünaamiliselt jaotab Porte vahemikus 1024 kuni 5000 ei määra pordi, kuhu soovite kuulata lõpp-punktide jaoks.

Märkus
See artikkel kasutab porti vahemikus 5001 5021. See vähendab Porte, mis on saadaval RPC lõpp-punktide 3,976 20. Portide arv oli valitud suvaliselt ja ei ole soovituse hulga Porte, mis on vajalik iga konkreetse süsteem.




Järgmiseks tuleb luua IPsec poliitika selle pordi vahemik juurdepääsust hosts võrgu juurdepääsu piiramiseks.

Lõpuks IPsec poliitika saab värskendada, et anda teatud IP-aadresside või alamvõrku juurdepääs blokeeritud portidele ja jätta kõik teised.

Edaspidi konfigureerimist RPC dünaamiline port vahemikus käivitamiseks lae RPC konfigureerimise tööriist (RPCCfg.exe) ja kopeerige see tööjaam või server, mis on ümber konfigureerima. Selleks külastage järgmist Microsofti veebisaiti:

http://www.microsoft.com/downloads/details.aspx?FamilyID=0f9cde2f-8632-4da8-ae70-645e1ddaf369&DisplayLang=enIPsec poliitika luua järgmiste toimingute sooritamiseks Internet Protocol Security poliitika tööriista (Ipsecpol.exe) alla ja kopeerige see tööjaam või server, mis on ümber konfigureerima. Selleks külastage järgmist Microsofti veebisaiti:

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361Märkus. Microsoft Windows XP või uuem Windowsi operatsioonisüsteem IPsec poliitika loomiseks kasutage Ipseccmd.exe. IPseccmd.exe on osa Windows XP tugitööriistad. Süntaks ja IPseccmd.exe kasutamine on sama süntaksit ja Ipsecpol.exe kasutamine. Windows XP tugitööriistad kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:

838079 Windows XP Service Pack 2 tugitööriistad

Paigutada ja vähendada RPC dünaamiline port vahemikus RPCCfg.exe abil

Paigutada ja vähendada RPC dünaamiline port vahemikus RPCCfg.exe abil, toimige järgmiselt.

  1. Server, mis on konfigureeritud RPCCfg.exe kopeerimine

  2. Tippige käsureale käsk rpccfg.exe-pe 5001-5021 - d 0.
    Märkus. Selle pordi vahemik on soovitatav kasutada RPC lõpp-punktid, kuna pordid selles vahemikus ei ole tõenäoline, et teiste rakenduste kasutamiseks eraldatud. Vaikimisi kasutab RPC port vahemikus 1024 kuni 5000 jaotamiseks pordid lõpp-punktide jaoks. Siiski pordid see vahemik on ka dünaamiliselt eraldatud kasutamiseks Windowsi operatsioonisüsteemi kõik Windows sockets rakendused ja saab ammendatud tugevalt kasutatud serverid nagu terminaliserveri ja Kesk-astme serverid serveri süsteemides palju väljamineva kõnesid.

    Näiteks, kui Internet Explorer loob ühenduse pordi 80 veebiserver, see kuulamispordi port vahemikus 1024-5000 serverist vastust. Kesk-astme COM server helistab teiste kaugserverites kasutab porti selles vahemikus ka mus kutsuvad sissetuleva vastata. Teisaldamine mitut porti, RPC kasutab oma lõpp 5001 port vahemikus vähendab võimalust, et need pordid kasutavad muud rakendused.
    Windowsi opsüsteemid ajutised pordi kasutamise kohta lisateabe saamiseks külastage järgmisi Microsofti veebisaite.

IPsec või tulemüüri poliitika abil blokeerida juurdepääsu mõjutatud haavatavad pordid

Järgmises jaotises kirjeldatud käskude vahel % märke kuvatavat teksti eesmärk on kajastada teksti käsk, mis tuleb sisestada looja IPsec poliitika. Näiteks, kui kuvatakse tekst "IPSECTOOL %" looja poliitika tuleks asendada teksti järgmiselt:

  • Windows 2000, asendada "% IPSECTOOL %" ja "ipsecpol.exe."

  • Windows XP või Windowsi uuemat versiooni, asendab "% IPSECTOOL %" ja "ipseccmd.exe."

IPsec abil Blokeeri portide kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:

813878 kuidas blokeerida teatud võrgu protokollid ja pordid, kasutades IPSec

Block juurdepääsu RPC lõpp-punkti Mapper kõik IP-aadressid

Kõik IP-aadressid RPC lõpp-punkti Mapper juurdepääsu blokeerimiseks kasutage järgmist süntaksit.

Märkus. Windows XP-s ja uuemates operatsioonisüsteemides kasutada Ipseccmd.exe. Windows 2000, kasutage Ipsecpol.exe (Windows 2000).

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

Märkus. Tippige see käsk "IPSECTOOL %". "IPSECTOOL %" on ette nähtud käsu, mis on kohandatud osa. Windows 2000, tippige järgmine käsk: kataloog, mis sisaldab Ipsecpol.exe blokeerida kõik sissetulevad ligipääsu TCP 135:

ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

Windows XP-s ja uuemates operatsioonisüsteemides tippige järgmine käsk: kataloog, mis sisaldab Ipseccmd.exe blokeerida kõik sissetulevad ligipääsu TCP 135:

ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

Block juurdepääsu RPC dünaamiline port vahemikus kõik IP-aadressid

Kõik IP-aadressid RPC dünaamiline port vahemikus juurdepääsu blokeerimiseks kasutage järgmist süntaksit.

Märkus. Windows XP-s ja uuemates operatsioonisüsteemides kasutada Ipseccmd.exe. Windows 2000, kasutage Ipsecpol.exe (Windows 2000).

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP %PORT% Rule" -f *=0:%PORT%:TCP -n BLOCK

Märkus. Tippige "IPSECTOOL %" või "PORT %" selle käsu. "IPSECTOOL %" ja "PORT %" on mõeldud esindavad käsu, mis on kohandatud osad. Näiteks tippige järgmine käsk Windows 2000 hosts blokeerida kõik sissetulevad ligipääsu TCP 5001:

ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK

Blokeeri kõik sissetulevad juurdepääsu TCP 5001, tippige järgmine käsk ja hosts uuema Windowsi operatsioonisüsteemi Windows XP hosts:

ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK

Korrake seda käsku iga RPC port, mida tuleb muuta pordi number, mis on loetletud selle käsu blokeeritud. Porte, mis tuleb blokeeritud on vahemikus 5001 5021.

Märkus. Ärge unustage, et muuta selle pordi numbrit reegli nimi (kommutaator - r ) ja filter ( -f lüliti).

Valikuline: Juurdepääsu RPC lõpp-punkti Mapper jaoks kindla alamvõrgud juurdepääsu vajadusel

Kui teatud alamvõrgud juurdepääs tuleb anda piiratud portidele, peate esmalt andma nende alamvõrgud juurdepääsu RPC lõpp-punkti Mapper, mis varem blokeeritud. Konkreetse alamvõrgu juurdepääsu anda RPC lõpp-punkti Mapper, kasutage järgmist käsku:

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP 135 from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:135:TCP -n PASS

Märkus. Selles käsus kehtivad järgmised avaldised:

  • "IPSECTOOL %" tähistab käsu abil. See käsk on "ipsecpol.exe" või "ipseccmd.exe." Millise käsu kasutatakse sõltub sellest, millist süsteemi korral on konfigureerimine.

  • "% ALAMVÕRGU" tähistab serveri IP alamvõrk, mille soovite juurdepääsu, näiteks 10.1.1.0.

  • "MASK %" tähistab alamvõrgu mask 255.255.255.0 näiteks kasutada.

    Näiteks järgmine käsk võimaldab kõik 10.1.1.0/255.255.255.0 alamvõrgu port TCP 135-ühenduse loomiseks hosts. Kõik muud hosts on nende ühenduste block vaikereegel, mis on loodud varem selle pordi jaoks keelatud.

    %IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 135 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:135:TCP -n PASS

Valikuline: Anda juurdepääs uus RPC dünaamiline port vahemikus teatud alamvõrgud juurdepääsu vajadusel

Iga alamvõrgu, mis anti juurdepääs eespool RPC lõpp-punkti Mapper tuleks ka juurdepääsu kõik portidega uue RPC dünaamiline port vahemikus (5001-5021).

Kui lubate alamvõrgud jõuda RPC lõpp-punkti Mapper, kuid mitte dünaamiline port vahemikus, rakendus võib lõpetada reageerimise või muud probleemid võivad ilmneda.

Järgmine käsk annab konkreetse alamvõrgu juurdepääsu pordi uue RPC dünaamiline port vahemikus:

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP %PORT% from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:%PORT%:TCP -n PASS

Märkus. Selles käsus kehtivad järgmised avaldised:

  • "IPSECTOOL %" tähistab käsu abil. See käsk on "ipsecpol.exe" või "ipseccmd.exe." Millise käsu kasutatakse sõltub sellest, millist süsteemi korral on konfigureerimine.

  • "PORT %" tähistab port, millele juurdepääsu dünaamiline port vahemikus.

  • "% ALAMVÕRGU" tähistab serveri IP alamvõrk soovite juurdepääsu, näiteks 10.1.1.0.

  • "MASK %" tähistab alamvõrgu mask 255.255.255.0 näiteks kasutada.

    Näiteks järgmine käsk võimaldab kõik 10.1.1.0/255.255.255.0 alamvõrgu ühendamine port TCP 5001 hosts. Kõik muud hosts on nende ühenduste block vaikereegel, mis on loodud varem selle pordi jaoks keelatud.

    %IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 5001 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:5001:TCP -n PASS

Märkus. See käsk tuleb korrata iga alamvõrgu ja port uue RPC dünaamiline port vahemikus.

IPsec poliitika määramine

Märkus. Selles jaotises jõustuvad kohe.

Pärast seda, kui loote block reegleid ja kõik valikulised võimaldavad reeglid konfigureeritud RPC pordid, määrata poliitika, kasutades järgmist käsku:

%IPSECTOOL% -w REG -p "Block RPC Ports" –x

Märkus. Eemalda määrang kohe poliitika, kasutage järgmist käsku:

%IPSECTOOL% -w REG -p "Block RPC Ports" –y

Märkus. Poliitika registrist kustutamiseks kasutage järgmist käsku:

%IPSECTOOL% -w REG -p "Block RPC Ports" -o

Hosti muudatuste jõustamiseks tuleb taaskäivitada.

Märkused

  • RPC konfiguratsioonimuudatuste tegemisel nõuda arvuti taaskäivitamist.

  • IPsec poliitika muutused jõustuvad kohe ja nõuda arvuti taaskäivitamist.

Pärast taaskäivitamist tööjaama või serveri RPC liidesed, mis ncacn_ip_tcp protokolli abil ning ei määra konkreetse TCP-port, millega siduda on eraldatud see vahemik RPC Runtime RPC serveri käivitamisel pordi.

Märkus. Server võib nõuda rohkem kui 20 TCP-pordid. Rpcdump.exe saab käsu RPC lõpp-punktid, mis on seotud TCP-port arvu ja suurendada seda arvu, kui peate. RPC Dump tööriista kohta lisateabe saamiseks külastage järgmist Microsofti veebisaiti:

http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd

Kas vajate veel abi?

Täiendage oma oskusi
Tutvuge koolitusmaterjalidega
Kasutage uusi funktsioone enne teisi
Liitu Microsofti Insideri programmis osalejad

Kas sellest teabest oli abi?

Täname tagasiside eest!

Täname tagasiside eest! Tundub, et võiksime teid kokku viia ühega meie Office'i tugiagentidest, kes aitab teil probleemi lahendada.

×