Les exemptions par défaut IPSec sont supprimées dans Windows Server 2003

IMPORTANT: cet article contient des informations sur la modification du Registre. Avant de modifier le Registre, veillez à le sauvegarder et assurez-vous que vous comprenez comment restaurer le Registre si un problème survient. Pour plus d’informations sur la façon de sauvegarder, restaurer et modifier le Registre, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
256986 description du Registre Microsoft Windows

Résumé

La fonctionnalité de sécurité du protocole Internet (IPsec) dans Windows Server 2003 n’a pas été conçue comme un pare-feu hôte complet. Il a été conçu pour fournir la base d’autorisation et de bloquer le filtrage à l’aide des informations d’adresse, de protocole et de port dans les paquets réseau. IPsec a également été conçu comme un outil d’administration pour améliorer la sécurité des communications de façon transparente aux programmes. De ce fait, il fournit le filtrage du trafic qui est nécessaire pour négocier la sécurité pour le mode de transport IPsec ou le mode tunnel IPsec, principalement dans des environnements intranet où l’approbation des ordinateurs est disponible à partir du service Kerberos ou pour des chemins d’accès spécifiques sur Internet, où les certificats numériques d’infrastructure à clé publique (PKI) peuvent être utilisés.

Les exemptions par défaut pour les filtres de stratégie IPsec sont documentées dans le Microsoft Windows 2000 et l’aide de Microsoft Windows XP. Ces filtres permettent de Internet Key Exchange (IKE) et Kerberos de la fonction. Les filtres également rendre possible pour le réseau Service(QoS) de qualité pour être signalé (RSVP) lorsque le trafic de données est sécurisé par IPsec et le trafic qu’IPsec ne peut pas sécuriser comme le trafic de diffusion et de multidiffusion.

Pour plus d’informations sur ces filtres, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

253169 trafic pouvant être sécurisé par IPSec

Plus d'informations

Avertissement: l’utilisation incorrecte de l’Éditeur du Registre peut générer des problèmes sérieux pouvant vous obliger à réinstaller votre système d’exploitation. Microsoft ne peut garantir que les problèmes résultant d’une utilisation incorrecte de l’Éditeur du Registre puissent être résolus. Utilisez l'éditeur de Registre à vos risques et périls.
Comme IPsec plus en plus utilisée pour le filtrage de paquets hôte-pare-feu de base, en particulier dans les scénarios exposées à Internet, l’effet de ces exemptions par défaut n’a pas été totalement compris. Pour cette raison, certains administrateurs IPsec peuvent créer des stratégies qui pense être sécurisé, mais qui ne sont pas sécurisent contre les attaques entrantes qui utilisent les exemptions par défaut de IPsec.

Pour ces raisons, Microsoft a supprimé la plupart des exemptions par défaut dans Windows Server 2003. Cela peut nécessiter des modifications de la stratégie IPsec pour Windows Server 2003 pour les scénarios de déploiement IPsec lorsque vous utilisez IKE pour négocier la sécurité et la protection IPsec pour le trafic de protocole de couche supérieure.

Suppression des exemptions par défaut de Windows

Par défaut, Windows Server 2003, supprime toutes les exemptions par défaut, à l’exception de l’exemption IKE. Les modifications apportées à la conception de la stratégie IPsec existante peuvent être requises avant de pouvoir utiliser la stratégie sur Windows Server 2003.

Les administrateurs doivent démarrer pour que ces modifications pour tous les déploiements d’IPsec nouveaux et existants de planification à l’aide de NoDefaultExempt = 1 sur leurs ordinateurs Windows 2000 et Windows XP. Le NoDefaultExempt = 1 clé de Registre est pris en charge dans Windows Server 2003 afin de permettre aux administrateurs de restaurer le comportement antérieur d’exemption par défaut pour la compatibilité descendante avec les conceptions de stratégie IPsec antérieures et la compatibilité des programmes. Au cours de la mise à niveau vers Windows Server 2003, la valeur d’un NoDefaultExempt = 1 paramètre de clé de Registre est conservé.

Pour plus d’informations sur les exemptions par défaut pour les ordinateurs fonctionnant sous Windows 2000 et Windows XP, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

811832 les exemptions par défaut IPSec peuvent être utilisées pour contourner la protection IPsec dans certains scénarios

Remarque Consultez cet article (811832) avant d’utiliser la clé de Registre pour activer à nouveau les exemptions par défaut.

Également, consultez la section « Spécification par défaut Exemptions pour le filtrage IPSec » dans le kit de déploiement de IPsec de Windows Server 2003 pour plus d’informations. Pour obtenir le Kit de déploiement Microsoft Windows 2003 Server, visitez le site Web de Microsoft à l’adresse suivante :Pour modifier le comportement de filtrage pour Windows Server 2003 IPSec par défaut, vous pouvez utiliser la commande Netsh IPSec ou modifier le Registre.

Pour modifier la valeur par défaut de comportement de filtrage à l’aide de la
Commande de Netsh IPSec :
  1. Cliquez sur Démarrer, puis cliquez sur
    Exécuter.
  2. Tapez cmd, puis cliquez sur
    OK.
  3. À l’invite de commandes, tapez netsh ipsec dynamic valeur config ipsecexempt ={0 | 1 | 2 | 3}, puis appuyez sur ENTRÉE.
L’utilisation de {0 | 1 | 2 | 3} dans cette commande, représente toutes les options disponibles pour cette commande. Vous ne pouvez utiliser qu’une seule valeur. Selon les exemptions souhaitées, vous pouvez utiliser, spécifiez la valeur sous la forme :
  • Une valeur de 0 spécifie que la multidiffusion, de diffusion, le trafic ISAKMP, Kerberos et RSVP est exempté de filtrage IPSec. Il s’agit d’un comportement pour Windows 2000 et Windows XP de filtrage par défaut. Utilisez ce paramètre uniquement si nécessaire pour assurer la compatibilité avec une stratégie IPsec existante ou le comportement de Windows 2000 et Windows XP.
  • Une valeur de 1 indique que le trafic Kerberos et RSVP n’est pas exempté de filtrage IPSec, mais le trafic ISAKMP, de diffusion et de multidiffusion sont exemptés.
  • Une valeur de 2 indique que le trafic de diffusion et de multidiffusion ne sont pas exemptés de filtrage IPSec, mais le trafic ISAKMP, Kerberos et RSVP sont exemptés.
  • Une valeur de 3 indique que seul le trafic ISAKMP est exempté de filtrage IPSec. Ceci est le comportement de filtrage pour Windows Server 2003 par défaut.
Si vous modifiez la valeur de ce paramètre, vous devez redémarrer l’ordinateur pour que la nouvelle valeur soit prise en compte. Pour modifier le comportement de filtrage en utilisant le Registre par défaut :
  1. Cliquez sur Démarrer, puis cliquez sur
    Exécuter.
  2. Tapez Regedit, puis cliquez sur
    OK.
  3. Cliquez sur la clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC
    Remarque : Si vous utilisez Windows Server 2008, cliquez sur la clé de Registre suivante :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
  4. Droit d’IPSEC, pointez sur
    De Nouveau, puis cliquez sur Valeur DWORD.
  5. Nom de cette nouvelle entrée
    NoDefaultExempt.
  6. Attribuez à cette entrée une valeur comprise entre 0 et 3.
  7. Redémarrez votre ordinateur.
Les comportements de filtrage pour chaque valeur sont équivalentes à celles qui sont indiquées pour le ipsecexempt de configuration valeur netsh ipsec dynamic = x commande.

Impact de l’exemption IKE

L’effet de l’exemption IKE est la même que pour Windows 2000 et Windows XP. Toutefois, Windows Server 2003 fournit améliorée de prévention DoS d’attaques par submersion.

Pour plus d’informations sur l’exemption IKE pour Windows 2000 et Windows XP, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
811832 les Exemptions par défaut IPSec peuvent être utilisées pour contourner la Protection IPsec dans certains scénarios

Effet de l’exemption de Kerberos

Si NoDefaultExempt est définie sur 0 ou 2 pour restaurer l’exemption, l’effet de l’exemption de Kerberos est la même que celle décrite pour Windows 2000 et Windows XP.

Pour plus d’informations sur l’exonération de Kerberos pour Windows 2000 et Windows XP, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

811832 les Exemptions par défaut IPSec peuvent être utilisées pour contourner la Protection IPsec dans certains scénarios

Effet de l’exemption de RSVP

Si NoDefaultExempt est définie sur 0 ou 2 pour restaurer l’exemption, les risques d’exemptions RSVP sont limitée à des implémentations de RSVP tiers qui peuvent être installées. Par défaut, Windows Server 2003 n’inclut pas le service QoS RSVP. L’option – R a été retirée l’utilitaire Pathping afin qu’il ne gère pas le protocole RSVP.

Effet de diffusion et de multidiffusion des exemptions

Si NoDefaultExempt a la valeur 0 ou 1 pour restaurer l’exemption, l’effet de diffusion et de multidiffusion des exemptions est la même que celle décrite pour Windows 2000 et Windows XP. Toutefois, Windows Server 2003 IPsec prend en charge le filtrage du trafic de diffusion et de multidiffusion. Une conception de stratégie IPsec peut avoir des filtres qui seront filtrés par sortant diffusion ou de multidiffusion, par exemple, un filtre avec une adresse source de « Mon adresse IP » et « N’importe quelle adresse IP », une adresse de destination. Les stratégies IPsec doivent être testées en laboratoire et d’opération pour confirmer l’effet d’une conception de stratégie existant sur ce trafic. Le trafic de diffusion et de multidiffusion peut être bloqué de façon limitée à l’aide d’un filtre IPsec avec une adresse source et de destination « N’importe quelle adresse IP ». Le Kit de ressources techniques Microsoft Windows Server 2003 contient plus d’informations.

Pour plus d’informations sur la diffusion et de multidiffusion des exemptions pour Windows 2000 et Windows XP, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :
811832 les Exemptions par défaut IPSec peuvent être utilisées pour contourner la Protection IPsec dans certains scénarios

Les programmes qui peuvent recevoir le trafic de diffusion ?

Windows Server 2003 prend en charge une option de socket pour désactiver explicitement la réception du trafic de diffusion des programmes, mais il n’y a aucun changement dans le comportement par défaut que les programmes qui sont à l’écoute sur les ports UDP reçoivent le trafic de diffusion.

Les programmes peuvent recevoir du trafic multidiffusion ?

Dans Windows Server 2003, programmes toujours doivent inscrire explicitement avec la pile TCP/IP de recevoir les types de trafic multidiffusion entrant et le trafic peut être ignoré si le groupe de multidiffusion est annulé.

Utilisation d’IPsec avec le pare-feu de connexion Internet

Que dans Windows XP, les pare-feu de connexion Internet et les capacités de filtrage IPsec peuvent être combinés pour créer des comportements de filtrage avancées. Ceci est particulièrement utile, où IPsec doit statiquement autoriser certain le trafic sortant à Internet tels que HTTP, DNS ou SMTP. Cela rend possible pour le pare-feu Windows fournir un filtrage avec état du trafic sortant qui autorise de IPsec.

Références

Pour plus d’informations sur l’effet des exemptions de sécurité IP par défaut, cliquez sur le numéro ci-dessous pour afficher l’article correspondant dans la Base de connaissances Microsoft :

811832 les exemptions par défaut IPsec peuvent être utilisées pour contourner la protection IPsec dans certains scénarios pour Windows 2000 et Windows XP

Pour plus d’informations sur les instructions de filtrage et de déploiement d’IPsec dans Windows Server 2003, consultez le chapitre de déploiement d’IPsec dans le Kit de déploiement Microsoft Windows 2003 Server. Pour ce faire, visitez le site Web de Microsoft à l’adresse suivante :
Propriétés

ID d'article : 810207 - Dernière mise à jour : 27 janv. 2017 - Révision : 1

Commentaires