Jelenleg nem kapcsolódik az internethez. Várakozás a kapcsolat helyreállítására

A távoli eljáráshívás (RPC) szolgáltatás konfigurálása adott portok használatára és ezen portok biztonságossá tétele az IPsec használatával

A Windows XP támogatása megszűnt

A Microsoft 2014. április 8-án megszüntette a Windows XP terméktámogatását. Ez a változás kihatással van a szoftverfrissítésekre és a biztonsági beállításokra. Megtudhatja, hogy ez milyen következményekkel jár és hogyan tarthatja fenn rendszere védelmét.

2015. július 14-én véget ért a Windows Server 2003 támogatása

2015. július 14-én a Microsoft megszüntette a Windows Server 2003 támogatását. Ez a változás kihatással van a szoftverfrissítésekre és a biztonsági beállításokra. Megtudhatja, hogy ez milyen következményekkel jár és hogyan tarthatja fenn rendszere védelmét.

Összefoglaló
A jelen cikk az RPC szolgáltatás meghatározott dinamikus porttartomány használatára történő beállítását, valamint az adott tartományban található portok IP-biztonsági (IPsec) házirend segítségével való biztonságossá tételét ismerteti. Alapértelmezés szerint az RPC szolgáltatás az időszakos porttartományba (1024-5000) tartozó portokat használja, amikor portokat oszt ki a TCP-végpontokat figyelő RPC-alkalmazásoknak. Ez a működési mód a hálózati rendszergazdák számára megnehezítheti az ezen portokhoz való hozzáférés korlátozását. Ez a cikk néhány módszert mutat be az RPC-alkalmazások számára elérhető portok számának csökkentésére, illetve a portokhoz való hozzáférés korlátozására beállításjegyzéken (korábbi nevén rendszerleíró adatbázis) alapuló IPsec-házirend segítségével.

Mivel a jelen cikkben ismertetett lépések olyan rendszerszintű módosításokat tartalmaznak, melyek esetén újra kell indítani a számítógépet, az összes itt leírt műveletet először tesztelési környezetben kell elvégezni annak érdekében, hogy a változtatások által esetleg előidézett alkalmazáskompatibilitási problémák felszínre kerüljenek.
További információ
Az RPC-portok áthelyezéséhez, számuk csökkentéséhez és elérésük korlátozásához számos beállítási feladatot kell végrehajtani.

Mindenekelőtt az RPC dinamikus porttartományát kisebb, könnyebben kezelhető porttartományra kell módosítani, hogy egyszerűbb legyen a tűzfal vagy IPsec-házirend segítségével történő blokkolás. Az RPC szolgáltatás alapértelmezés szerint az 1024-5000 közötti tartományból rendel portokat azon végpontokhoz, melyeknél nincs meghatározva a figyelt port.

Megjegyzés: A jelen cikk az 5001-5021-es porttartomány alkalmazását javasolja az időszakos portok – melyek felügyelete kimeríti az erőforrásokat – használatának elkerülése érdekében, így az RPC-végpontok számára rendelkezésre álló portok száma 3976-ról 20-ra csökkenthető.

Ezt követően IPsec-házirendet kell létrehozni a porttartományhoz való hozzáférés korlátozására, amely letiltja a hálózat összes állomásának elérését.

Végül pedig módosíthatja az IPsec-házirendet oly módon, hogy bizonyos IP-címek vagy a hálózat egyes alhálózatai számára engedélyezze a blokkolt RPC-portokhoz való hozzáférést, míg az összes többit kizárja a hozzáférésből.

Az RPC szolgáltatás dinamikus porttartományának átállításához először is töltse le az RPC konfigurációs eszközt (RPC Configuration Tool, RPCCfg.exe), és másolja azt az újrakonfigurálni kívánt munkaállomásra vagy kiszolgálóra. Ehhez keresse fel a Microsoft webhelyének alábbi oldalát:Az ezt követő feladatok, azaz az IPsec-házirend létrehozása érdekében töltse le az IP-biztonsági házirendek konfigurálására szolgáló Internet Protocol Security Policies Tool eszközt (Ipsecpol.exe), és másolja azt az újrakonfigurálni kívánt munkaállomásra vagy kiszolgálóra. Ehhez keresse fel a Microsoft webhelyének alábbi oldalát:Megjegyzés: Microsoft Windows XP vagy annál újabb verziójú Windows operációs rendszer esetén használja az Ipseccmd.exe eszközt, amely a Windows XP támogatási eszközeinek része. Az IPseccmd.exe és az Ipsecpol.exe eszköz szintaxisa és használata megegyezik. A Windows XP támogatási eszközeiről további információt a Microsoft tudásbázis következő cikkében talál a cikk számára kattintva:
838079 Támogatási eszközök a Windows XP Service Pack 2 rendszerhez

Az RPC dinamikus porttartományának áthelyezése és csökkentése az RPCCfg.exe eszközzel

Az RPC szolgáltatás dinamikus porttartományának az RPCCfg.exe eszköz segítségével történő áthelyezéséhez és csökkentéséhez hajtsa végre az alábbi lépéseket:
  1. Másolja az RPCCfg.exe fájlt a konfigurálandó kiszolgálóra
  2. Írja be a parancssorba az rpccfg.exe -pe 5001-5021 -d 0 parancsot.
    Megjegyzés: Azért ajánlott ezen porttartomány használata az RPC-végpontok számára, mert kicsi a valószínűsége, hogy ezek a portok más alkalmazásokhoz legyenek rendelve. Alapértelmezés szerint az RPC szolgáltatás az 1024-5000 porttartományból rendel portokat a végpontokhoz. Az ezen tartományban található portokat azonban a Windows operációs rendszer dinamikusan hozzárendelheti bármely, Windows szoftvercsatornákat használó alkalmazáshoz, így a kiszolgáló erős terhelésekor – például olyan terminálkiszolgálóknál és középső szintű kiszolgálóknál, melyek számos, távoli rendszerekbe irányuló kimenő hívást hajtanak végre – előfordulhat, hogy a portok elfogynak.

    Így például amikor az Internet Explorer program a 80-as porton kapcsolódik egy webkiszolgálóhoz, akkor egy, az 1024-5000-es tartományba tartozó porton várja a kiszolgáló válaszát. A más, távoli rendszerekbe irányuló kimenő hívásokat végző középső szintű COM-kiszolgálók szintén ebbe a tartományba eső porton várják a hívásokra érkező válaszokat. Az RPC szolgáltatás által a végpontokhoz rendelt porttartomány áthelyezése az 5001-el kezdődő tartományba csökkenti annak esélyét, hogy az adott portot más alkalmazás is használja.
    A Windows operációs rendszerek által használt időszakos portokkal kapcsolatban a Microsoft következő (angol nyelvű) webhelyein talál további információt:

Az érintett állomás sebezhető portjaihoz való hozzáférés letiltása IPsec-házirend vagy tűzfalházirend segítségével

Az alábbiakban szereplő parancsokban a százalékjelek (%) közé tett szövegrészek helyén a tényleges értékeket az IPsec-házirend létrehozójának kell megadnia. Az „%IPSECTOOL%” szöveg esetében például a házirendet készítő személynek a következőképpen kell behelyettesítenie a szöveget:
  • Windows 2000 rendszer esetén az „%IPSECTOOL%” szöveget helyettesítse az „ipsecpol.exe” szöveggel.
  • Windows XP vagy újabb Windows rendszer esetén az „%IPSECTOOL%” szöveget az „ipseccmd.exe” szöveggel kell helyettesítenie.
További információt a portok iPsec használatával történő blokkolásáról a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
813878 Hálózati protokollok és portok blokkolása az IPSec használatával (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Az RPC végpontleképző elérésének blokkolása minden IP-cím esetén

Az RPC végpontleképző szolgáltatáshoz való hozzáférés az összes IP-cím számára való letiltásához a következő parancsot kell beírni:

Megjegyzés: Windows XP vagy újabb operációs rendszerben használja az Ipseccmd.exe programot. Windows 2000 esetén használja az Ipsecpol.exe (Windows 2000 verzió) eszközt.
%IPSECTOOL% -w REG -p "RPC-portok blokkolása" -r "Szabály a 135-ös TCP-porton bejövő adatforgalom blokkolására" -f *=0:135:TCP -n BLOCK
Megjegyzés: Ebben a parancsban ne írja be az „%IPSECTOOL%” szöveget. Az „%IPSECTOOL%” szövegrész a parancs testreszabandó részét jelöli. Így például Windows 2000 rendszerben az összes, a 135-ös TCP-porton bejövő adatforgalom blokkolásához az alábbi parancsot kell kiadnia egy olyan könyvtárból, mely tartalmazza az Ipsecpol.exe fájlt:
ipsecpol.exe -w REG -p "RPC-portok blokkolása" -r "Szabály a 135-ös TCP-porton bejövő adatforgalom blokkolására" -f *=0:135:TCP -n BLOCK
Windows XP vagy újabb rendszerben az összes, a 135-ös TCP-porton bejövő adatforgalom blokkolásához az alábbi parancsot kell kiadnia egy olyan könyvtárból, mely tartalmazza az Ipseccmd.exe fájlt:
Ipseccmd.exe -w REG -p "RPC-portok blokkolása" -r "Szabály a 135-ös TCP-porton bejövő adatforgalom blokkolására" -f *=0:135:TCP -n BLOCK

Az RPC dinamikus porttartományához való hozzáférés blokkolása minden IP-cím esetén

Amennyiben az összes IP-cím számára blokkolni szeretné az RPC dinamikus porttartományának elérését, használja az alábbi szintaxist:

Megjegyzés: Windows XP vagy újabb operációs rendszerben használja az Ipseccmd.exe programot. Windows 2000 esetén használja az Ipsecpol.exe (Windows 2000 verzió) eszközt.
%IPSECTOOL% -w REG -p "RPC-portok blokkolása" -r "A TCP %PORT% porton bejövő adatforgalom blokkolására szolgáló szabály" -f *=0:%PORT%:TCP -n BLOCK
Megjegyzés: Ebben a parancsban ne írja be az „%IPSECTOOL%”, illetve a „%PORT%” szöveget. Az „%IPSECTOOL%” és a „%PORT%” szövegrészek a parancs testreszabandó részeit jelölik. Így például Windows 2000 rendszerben az összes, az 5001-es TCP-porton bejövő adatforgalom blokkolásához az alábbi parancsot kell kiadnia:
ipsecpol.exe -w REG -p "RPC-portok blokkolása" -r "Szabály az 5001-es TCP-porton bejövő adatforgalom blokkolására" -f *=0:5001:TCP -n BLOCK
A TCP 5001 portra irányuló minden bejövő adatforgalom letiltásához Windows XP vagy újabb verziójú Windows operációs rendszert futtató állomásokon adja ki a következő parancsot:
Ipseccmd.exe -w REG -p "RPC-portok blokkolása" -r "Szabály az 5001-es TCP-porton bejövő adatforgalom blokkolására" -f *=0:5001:TCP -n BLOCK
Hajtsa végre ezt a parancsot minden blokkolandó RPC-port esetében, a parancsban a megfelelő portszámot használva. A letiltandó portok az 5001-5021-es tartományba esnek.

Megjegyzés: Ne felejtse el módosítani a portszámot a szabály nevében (-r kapcsoló) és a szűrőben (-f kapcsoló).

Nem kötelező: Hozzáférés megadása az RPC végpontleképzőhöz adott alhálózatokra vonatkozóan, ha szükséges

Ha bizonyos alhálózatok számára engedélyeznie kell a korlátozott RPC-portok elérését, először hozzáférést kell adnia ezen alhálózatoknak az előző lépésekben letiltott RPC végpontleképzőhöz. Adott alhálózat az RPC végpontleképzőhöz való hozzáférésének engedélyezéséhez a következő parancsot használja:
%IPSECTOOL% -w REG -p "RPC-portok blokkolása" -r "%SUBNET% alhálózatról a 135-ös TCP-porton érkező adatforgalom engedélyezésére vonatkozó szabály" -f %SUBNET%/%MASK%=0:135:TCP -n PASS
Megjegyzés: A parancs használatára vonatkozó utasítások:
  • Az „%IPSECTOOL%” helyőrző a használandó parancs nevének helyét jelzi. A parancs neve vagy „ipsecpol.exe” , vagy „ipseccmd.exe” attól függően, hogy milyen operációs rendszer fut az éppen konfigurált számítógépen.
  • A „%SUBNET%” azon távoli IP-alhálózatot jelöli, melynek hozzáférést szeretne adni. Példa: 10.1.1.0.
  • A „%MASK%” a használandó alhálózati maszk (például 255.255.255.0) helyét mutatja a parancsban.

    Az alábbi parancs például a 10.1.1.0/255.255.255.0 című alhálózat összes állomása számára engedélyezi a 135-ös TCP-porthoz való kapcsolódást. A korábbi lépésekben létrehozott alapértelmezett blokkolási szabály minden más állomás csatlakozási kérelmét megtagadja.
    %IPSECTOOL% -w REG -p "RPC-portok blokkolása" -r "A 10.1.1.0 című alhálózatról a 135-ös TCP-porton érkező adatforgalom engedélyezésére vonatkozó szabály" -f 10.1.1.0/255.255.255.0=0:135:TCP -n PASS

Nem kötelező: Hozzáférés megadása az új dinamikus RPC-porttartományra vonatkozóan adott alhálózatok számára szükség esetén

Azon alhálózatoknak, melyeknek az előző lépésekben engedélyezte az RPC végpontleképző elérését, hozzáférést kell adnia az új dinamikus RPC-porttartományban (5001-5021) lévő portokhoz is.

Amennyiben engedélyezi az alhálózatok számára az RPC végpontleképző elérését, a dinamikus porttartományét azonban nem, az alkalmazás lefagyhat vagy más problémák léphetnek fel.

A következő parancs engedélyezi egy adott alhálózat részére az új dinamikus RPC-porttartomány valamely portjának elérését:
%IPSECTOOL% -w REG -p "RPC-portok blokkolása" -r "%SUBNET% alhálózatról TCP %PORT% porton érkező adatforgalom engedélyezésére vonatkozó szabály" -f %SUBNET%/%MASK%=0:%PORT%:TCP -n PASS
Megjegyzés: A parancs használatára vonatkozó utasítások:
  • Az „%IPSECTOOL%” helyőrző a használandó parancs nevének helyét jelzi. A parancs neve vagy „ipsecpol.exe” , vagy „ipseccmd.exe” attól függően, hogy milyen operációs rendszer fut az éppen konfigurált számítógépen.
  • A „%PORT%” a dinamikus porttartomány azon portja, amelyhez hozzáférést kíván adni.
  • A „%SUBNET%” azon távoli IP-alhálózatot jelöli, melynek hozzáférést szeretne adni. Példa: 10.1.1.0.
  • " A „%MASK%” a használandó alhálózati maszk (például 255.255.255.0) helyét mutatja a parancsban.

    Az alábbi parancs például a 10.1.1.0/255.255.255.0 című alhálózat összes állomása számára engedélyezi a 5001-ös TCP-porthoz való kapcsolódást. A korábbi lépésekben létrehozott alapértelmezett blokkolási szabály minden más állomás csatlakozási kérelmét megtagadja.
    %IPSECTOOL% -w REG -p "RPC-portok blokkolása" -r "A 10.1.1.0 című alhálózatról a 5001-ös TCP-porton érkező adatforgalom engedélyezésére vonatkozó szabály" -f 10.1.1.0/255.255.255.0=0:5001:TCP -n PASS
Megjegyzés: Ezt a parancsot minden engedélyezni kívánt alhálózatra és az új dinamikus RPC-porttartományba eső összes engedélyezni kívánt portra vonatkozóan ki kell adnia.

Az IPsec-házirend hozzárendelése

Megjegyzés: Az ebben a szakaszban szereplő parancsok azonnal életbe lépnek.

A konfigurált RPC-portokra vonatkozó összes blokkolási szabály és választható engedélyezési szabály létrehozása után a következő paranccsal léptesse érvénybe a házirendet:
%IPSECTOOL% -w REG -p "RPC-portok blokkolása" –x
Megjegyzés: A következő parancs hatására a házirend hozzárendelése azonnal megszűnik:
%IPSECTOOL% -w REG -p "RPC-portok blokkolása" –y
Megjegyzés: A következő parancs hatására a házirend törlődik a beállításjegyzékből:
%IPSECTOOL% -w REG -p "RPC-portok blokkolása" –o
A módosítások életbe léptetéséhez újra kell indítania az állomást.

Megjegyzések
  • Az RPC-konfiguráció változtatásai a rendszer újraindítását igénylik.
  • Az IPsec-házirendek módosításai azonnal érvénybe lépnek, és nem követelik meg a számítógép újraindítását.
A munkaállomás vagy kiszolgáló újraindítását követően azok az ncacn_ip_tcp protokollsorrendet használó RPC-felületekhez, melyek nem adnak meg meghatározott TCP-portot, amelyhez kötődnének, az RPC szolgáltatás az RPC-kiszolgáló indulásakor ebből a tartományból rendel hozzá portot.

Megjegyzés: A kiszolgáló húsznál több TPC-portot is igényelhet. A TCP-porthoz kötött RPC-végpontok számának lekérdezéséhez és szükség esetén növeléséhez az rpcdump.exe parancsot használhatja. Az RPC Dump eszköz beszerzéséről a Microsoft következő webhelyén talál további információt:
Tulajdonságok

Cikkazonosító: 908472 - Utolsó ellenőrzés: 11/06/2009 20:39:00 - Verziószám: 6.0

Microsoft Windows Server 2003 Service Pack 1, Microsoft Windows 2000 Server SP4, Microsoft Windows XP Home Edition SP2, Microsoft Windows XP Media Center Edition 2005, Microsoft Windows XP Professional SP2, Microsoft Windows XP Tablet PC Edition 2005

  • kbinfo KB908472
Visszajelzés
>