Jelenleg nem kapcsolódik az internethez. Várakozás a kapcsolat helyreállítására

A távoli eljáráshívás (RPC) szolgáltatás konfigurálása adott portok használatára és ezen portok biztonságossá tétele az IPsec használatával

A Windows XP támogatása megszűnt

A Microsoft 2014. április 8-án megszüntette a Windows XP terméktámogatását. Ez a változás kihatással van a szoftverfrissítésekre és a biztonsági beállításokra. Megtudhatja, hogy ez milyen következményekkel jár és hogyan tarthatja fenn rendszere védelmét.

2015. július 14-én véget ért a Windows Server 2003 támogatása

2015. július 14-én a Microsoft megszüntette a Windows Server 2003 támogatását. Ez a változás kihatással van a szoftverfrissítésekre és a biztonsági beállításokra. Megtudhatja, hogy ez milyen következményekkel jár és hogyan tarthatja fenn rendszere védelmét.

Összefoglaló
A jelen cikk az RPC szolgáltatás meghatározott dinamikus porttartomány használatára történő beállítását, valamint az adott tartományban található portok IP-biztonsági (IPsec) házirend segítségével való biztonságossá tételét ismerteti. Alapértelmezés szerint az RPC szolgáltatás az időszakos porttartományba (1024-5000) tartozó portokat használja, amikor portokat oszt ki a TCP-végpontokat figyelő RPC-alkalmazásoknak. Ez a működési mód a hálózati rendszergazdák számára megnehezítheti az ezen portokhoz való hozzáférés korlátozását. Ez a cikk néhány módszert mutat be az RPC-alkalmazások számára elérhető portok számának csökkentésére, illetve a portokhoz való hozzáférés korlátozására beállításjegyzéken (korábbi nevén rendszerleíró adatbázis) alapuló IPsec-házirend segítségével.

Mivel a jelen cikkben ismertetett lépések olyan rendszerszintű módosításokat tartalmaznak, melyek esetén újra kell indítani a számítógépet, az összes itt leírt műveletet először tesztelési környezetben kell elvégezni annak érdekében, hogy a változtatások által esetleg előidézett alkalmazáskompatibilitási problémák felszínre kerüljenek.
További információ
Az RPC-portok áthelyezéséhez, számuk csökkentéséhez és elérésük korlátozásához számos beállítási feladatot kell végrehajtani.

Mindenekelőtt az RPC dinamikus porttartományát kisebb, könnyebben kezelhető porttartományra kell módosítani, hogy egyszerűbb legyen a tűzfal vagy IPsec-házirend segítségével történő blokkolás. Az RPC szolgáltatás alapértelmezés szerint az 1024-5000 közötti tartományból rendel portokat azon végpontokhoz, melyeknél nincs meghatározva a figyelt port.

Megjegyzés: A jelen cikk az 5001-5021-es porttartomány alkalmazását javasolja az időszakos portok – melyek felügyelete kimeríti az erőforrásokat – használatának elkerülése érdekében, így az RPC-végpontok számára rendelkezésre álló portok száma 3976-ról 20-ra csökkenthető.

Ezt követően IPsec-házirendet kell létrehozni a porttartományhoz való hozzáférés korlátozására, amely letiltja a hálózat összes állomásának elérését.

Végül pedig módosíthatja az IPsec-házirendet oly módon, hogy bizonyos IP-címek vagy a hálózat egyes alhálózatai számára engedélyezze a blokkolt RPC-portokhoz való hozzáférést, míg az összes többit kizárja a hozzáférésből.

Az RPC szolgáltatás dinamikus porttartományának átállításához először is töltse le az RPC konfigurációs eszközt (RPC Configuration Tool, RPCCfg.exe), és másolja azt az újrakonfigurálni kívánt munkaállomásra vagy kiszolgálóra. Ehhez keresse fel a Microsoft webhelyének alábbi oldalát:Az ezt követő feladatok, azaz az IPsec-házirend létrehozása érdekében töltse le az IP-biztonsági házirendek konfigurálására szolgáló Internet Protocol Security Policies Tool eszközt (Ipsecpol.exe), és másolja azt az újrakonfigurálni kívánt munkaállomásra vagy kiszolgálóra. Ehhez keresse fel a Microsoft webhelyének alábbi oldalát:Megjegyzés: Microsoft Windows XP vagy annál újabb verziójú Windows operációs rendszer esetén használja az Ipseccmd.exe eszközt, amely a Windows XP támogatási eszközeinek része. Az IPseccmd.exe és az Ipsecpol.exe eszköz szintaxisa és használata megegyezik. A Windows XP támogatási eszközeiről további információt a Microsoft tudásbázis következő cikkében talál a cikk számára kattintva:
838079 Támogatási eszközök a Windows XP Service Pack 2 rendszerhez

Az RPC dinamikus porttartományának áthelyezése és csökkentése az RPCCfg.exe eszközzel

Az RPC szolgáltatás dinamikus porttartományának az RPCCfg.exe eszköz segítségével történő áthelyezéséhez és csökkentéséhez hajtsa végre az alábbi lépéseket:
  1. Másolja az RPCCfg.exe fájlt a konfigurálandó kiszolgálóra
  2. Írja be a parancssorba az rpccfg.exe -pe 5001-5021 -d 0 parancsot.
    Megjegyzés: Azért ajánlott ezen porttartomány használata az RPC-végpontok számára, mert kicsi a valószínűsége, hogy ezek a portok más alkalmazásokhoz legyenek rendelve. Alapértelmezés szerint az RPC szolgáltatás az 1024-5000 porttartományból rendel portokat a végpontokhoz. Az ezen tartományban található portokat azonban a Windows operációs rendszer dinamikusan hozzárendelheti bármely, Windows szoftvercsatornákat használó alkalmazáshoz, így a kiszolgáló erős terhelésekor – például olyan terminálkiszolgálóknál és középső szintű kiszolgálóknál, melyek számos, távoli rendszerekbe irányuló kimenő hívást hajtanak végre – előfordulhat, hogy a portok elfogynak.

    Így például amikor az Internet Explorer program a 80-as porton kapcsolódik egy webkiszolgálóhoz, akkor egy, az 1024-5000-es tartományba tartozó porton várja a kiszolgáló válaszát. A más, távoli rendszerekbe irányuló kimenő hívásokat végző középső szintű COM-kiszolgálók szintén ebbe a tartományba eső porton várják a hívásokra érkező válaszokat. Az RPC szolgáltatás által a végpontokhoz rendelt porttartomány áthelyezése az 5001-el kezdődő tartományba csökkenti annak esélyét, hogy az adott portot más alkalmazás is használja.
    A Windows operációs rendszerek által használt időszakos portokkal kapcsolatban a Microsoft következő (angol nyelvű) webhelyein talál további információt:

Az érintett állomás sebezhető portjaihoz való hozzáférés letiltása IPsec-házirend vagy tűzfalházirend segítségével

Az alábbiakban szereplő parancsokban a százalékjelek (%) közé tett szövegrészek helyén a tényleges értékeket az IPsec-házirend létrehozójának kell megadnia. Az „%IPSECTOOL%” szöveg esetében például a házirendet készítő személynek a következőképpen kell behelyettesítenie a szöveget:
  • Windows 2000 rendszer esetén az „%IPSECTOOL%” szöveget helyettesítse az „ipsecpol.exe” szöveggel.
  • Windows XP vagy újabb Windows rendszer esetén az „%IPSECTOOL%” szöveget az „ipseccmd.exe” szöveggel kell helyettesítenie.
További információt a portok iPsec használatával történő blokkolásáról a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
813878 Hálózati protokollok és portok blokkolása az IPSec használatával (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Az RPC végpontleképző elérésének blokkolása minden IP-cím esetén

Az RPC végpontleképző szolgáltatáshoz való hozzáférés az összes IP-cím számára való letiltásához a következő parancsot kell beírni:

Megjegyzés: Windows XP vagy újabb operációs rendszerben használja az Ipseccmd.exe programot. Windows 2000 esetén használja az Ipsecpol.exe (Windows 2000 verzió) eszközt.
%IPSECTOOL% -w REG -p "RPC-portok blokkolása" -r "Szabály a 135-ös TCP-porton bejövő adatforgalom blokkolására" -f *=0:135:TCP -n BLOCK
Megjegyzés: Ebben a parancsban ne írja be az „%IPSECTOOL%” szöveget. Az „%IPSECTOOL%” szövegrész a parancs testreszabandó részét jelöli. Így például Windows 2000 rendszerben az összes, a 135-ös TCP-porton bejövő adatforgalom blokkolásához az alábbi parancsot kell kiadnia egy olyan könyvtárból, mely tartalmazza az Ipsecpol.exe fájlt:
ipsecpol.exe -w REG -p "RPC-portok blokkolása" -r "Szabály a 135-ös TCP-porton bejövő adatforgalom blokkolására" -f *=0:135:TCP -n BLOCK
Windows XP vagy újabb rendszerben az összes, a 135-ös TCP-porton bejövő adatforgalom blokkolásához az alábbi parancsot kell kiadnia egy olyan könyvtárból, mely tartalmazza az Ipseccmd.exe fájlt:
Ipseccmd.exe -w REG -p "RPC-portok blokkolása" -r "Szabály a 135-ös TCP-porton bejövő adatforgalom blokkolására" -f *=0:135:TCP -n BLOCK

Az RPC dinamikus porttartományához való hozzáférés blokkolása minden IP-cím esetén

Amennyiben az összes IP-cím számára blokkolni szeretné az RPC dinamikus porttartományának elérését, használja az alábbi szintaxist:

Megjegyzés: Windows XP vagy újabb operációs rendszerben használja az Ipseccmd.exe programot. Windows 2000 esetén használja az Ipsecpol.exe (Windows 2000 verzió) eszközt.
%IPSECTOOL% -w REG -p "RPC-portok blokkolása" -r "A TCP %PORT% porton bejövő adatforgalom blokkolására szolgáló szabály" -f *=0:%PORT%:TCP -n BLOCK
Megjegyzés: Ebben a parancsban ne írja be az „%IPSECTOOL%”, illetve a „%PORT%” szöveget. Az „%IPSECTOOL%” és a „%PORT%” szövegrészek a parancs testreszabandó részeit jelölik. Így például Windows 2000 rendszerben az összes, az 5001-es TCP-porton bejövő adatforgalom blokkolásához az alábbi parancsot kell kiadnia:
ipsecpol.exe -w REG -p "RPC-portok blokkolása" -r "Szabály az 5001-es TCP-porton bejövő adatforgalom blokkolására" -f *=0:5001:TCP -n BLOCK
A TCP 5001 portra irányuló minden bejövő adatforgalom letiltásához Windows XP vagy újabb verziójú Windows operációs rendszert futtató állomásokon adja ki a következő parancsot:
Ipseccmd.exe -w REG -p "RPC-portok blokkolása" -r "Szabály az 5001-es TCP-porton bejövő adatforgalom blokkolására" -f *=0:5001:TCP -n BLOCK
Hajtsa végre ezt a parancsot minden blokkolandó RPC-port esetében, a parancsban a megfelelő portszámot használva. A letiltandó portok az 5001-5021-es tartományba esnek.

Megjegyzés: Ne felejtse el módosítani a portszámot a szabály nevében (-r kapcsoló) és a szűrőben (-f kapcsoló).

Nem kötelező: Hozzáférés megadása az RPC végpontleképzőhöz adott alhálózatokra vonatkozóan, ha szükséges

Ha bizonyos alhálózatok számára engedélyeznie kell a korlátozott RPC-portok elérését, először hozzáférést kell adnia ezen alhálózatoknak az előző lépésekben letiltott RPC végpontleképzőhöz. Adott alhálózat az RPC végpontleképzőhöz való hozzáférésének engedélyezéséhez a következő parancsot használja:
%IPSECTOOL% -w REG -p "RPC-portok blokkolása" -r "%SUBNET% alhálózatról a 135-ös TCP-porton érkező adatforgalom engedélyezésére vonatkozó szabály" -f %SUBNET%/%MASK%=0:135:TCP -n PASS
Megjegyzés: A parancs használatára vonatkozó utasítások:
  • Az „%IPSECTOOL%” helyőrző a használandó parancs nevének helyét jelzi. A parancs neve vagy „ipsecpol.exe” , vagy „ipseccmd.exe” attól függően, hogy milyen operációs rendszer fut az éppen konfigurált számítógépen.
  • A „%SUBNET%” azon távoli IP-alhálózatot jelöli, melynek hozzáférést szeretne adni. Példa: 10.1.1.0.
  • A „%MASK%” a használandó alhálózati maszk (például 255.255.255.0) helyét mutatja a parancsban.

    Az alábbi parancs például a 10.1.1.0/255.255.255.0 című alhálózat összes állomása számára engedélyezi a 135-ös TCP-porthoz való kapcsolódást. A korábbi lépésekben létrehozott alapértelmezett blokkolási szabály minden más állomás csatlakozási kérelmét megtagadja.
    %IPSECTOOL% -w REG -p "RPC-portok blokkolása" -r "A 10.1.1.0 című alhálózatról a 135-ös TCP-porton érkező adatforgalom engedélyezésére vonatkozó szabály" -f 10.1.1.0/255.255.255.0=0:135:TCP -n PASS

Nem kötelező: Hozzáférés megadása az új dinamikus RPC-porttartományra vonatkozóan adott alhálózatok számára szükség esetén

Azon alhálózatoknak, melyeknek az előző lépésekben engedélyezte az RPC végpontleképző elérését, hozzáférést kell adnia az új dinamikus RPC-porttartományban (5001-5021) lévő portokhoz is.

Amennyiben engedélyezi az alhálózatok számára az RPC végpontleképző elérését, a dinamikus porttartományét azonban nem, az alkalmazás lefagyhat vagy más problémák léphetnek fel.

A következő parancs engedélyezi egy adott alhálózat részére az új dinamikus RPC-porttartomány valamely portjának elérését:
%IPSECTOOL% -w REG -p "RPC-portok blokkolása" -r "%SUBNET% alhálózatról TCP %PORT% porton érkező adatforgalom engedélyezésére vonatkozó szabály" -f %SUBNET%/%MASK%=0:%PORT%:TCP -n PASS
Megjegyzés: A parancs használatára vonatkozó utasítások:
  • Az „%IPSECTOOL%” helyőrző a használandó parancs nevének helyét jelzi. A parancs neve vagy „ipsecpol.exe” , vagy „ipseccmd.exe” attól függően, hogy milyen operációs rendszer fut az éppen konfigurált számítógépen.
  • A „%PORT%” a dinamikus porttartomány azon portja, amelyhez hozzáférést kíván adni.
  • A „%SUBNET%” azon távoli IP-alhálózatot jelöli, melynek hozzáférést szeretne adni. Példa: 10.1.1.0.
  • " A „%MASK%” a használandó alhálózati maszk (például 255.255.255.0) helyét mutatja a parancsban.

    Az alábbi parancs például a 10.1.1.0/255.255.255.0 című alhálózat összes állomása számára engedélyezi a 5001-ös TCP-porthoz való kapcsolódást. A korábbi lépésekben létrehozott alapértelmezett blokkolási szabály minden más állomás csatlakozási kérelmét megtagadja.
    %IPSECTOOL% -w REG -p "RPC-portok blokkolása" -r "A 10.1.1.0 című alhálózatról a 5001-ös TCP-porton érkező adatforgalom engedélyezésére vonatkozó szabály" -f 10.1.1.0/255.255.255.0=0:5001:TCP -n PASS
Megjegyzés: Ezt a parancsot minden engedélyezni kívánt alhálózatra és az új dinamikus RPC-porttartományba eső összes engedélyezni kívánt portra vonatkozóan ki kell adnia.

Az IPsec-házirend hozzárendelése

Megjegyzés: Az ebben a szakaszban szereplő parancsok azonnal életbe lépnek.

A konfigurált RPC-portokra vonatkozó összes blokkolási szabály és választható engedélyezési szabály létrehozása után a következő paranccsal léptesse érvénybe a házirendet:
%IPSECTOOL% -w REG -p "RPC-portok blokkolása" –x
Megjegyzés: A következő parancs hatására a házirend hozzárendelése azonnal megszűnik:
%IPSECTOOL% -w REG -p "RPC-portok blokkolása" –y
Megjegyzés: A következő parancs hatására a házirend törlődik a beállításjegyzékből:
%IPSECTOOL% -w REG -p "RPC-portok blokkolása" –o
A módosítások életbe léptetéséhez újra kell indítania az állomást.

Megjegyzések
  • Az RPC-konfiguráció változtatásai a rendszer újraindítását igénylik.
  • Az IPsec-házirendek módosításai azonnal érvénybe lépnek, és nem követelik meg a számítógép újraindítását.
A munkaállomás vagy kiszolgáló újraindítását követően azok az ncacn_ip_tcp protokollsorrendet használó RPC-felületekhez, melyek nem adnak meg meghatározott TCP-portot, amelyhez kötődnének, az RPC szolgáltatás az RPC-kiszolgáló indulásakor ebből a tartományból rendel hozzá portot.

Megjegyzés: A kiszolgáló húsznál több TPC-portot is igényelhet. A TCP-porthoz kötött RPC-végpontok számának lekérdezéséhez és szükség esetén növeléséhez az rpcdump.exe parancsot használhatja. Az RPC Dump eszköz beszerzéséről a Microsoft következő webhelyén talál további információt:
Tulajdonságok

Cikkazonosító: 908472 - Utolsó ellenőrzés: 11/06/2009 20:39:00 - Verziószám: 6.0

  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows 2000 Server SP4
  • Microsoft Windows XP Home Edition SP2
  • Microsoft Windows XP Media Center Edition 2005
  • Microsoft Windows XP Professional SP2
  • Microsoft Windows XP Tablet PC Edition 2005
  • kbinfo KB908472
Visszajelzés
document.write("