Összefoglaló

A jelen cikk az RPC szolgáltatás meghatározott dinamikus porttartomány használatára történő beállítását, valamint az adott tartományban található portok IP-biztonsági (IPsec) házirend segítségével való biztonságossá tételét ismerteti. Alapértelmezés szerint az RPC szolgáltatás az időszakos porttartományba (1024-5000) tartozó portokat használja, amikor portokat oszt ki a TCP-végpontokat figyelő RPC-alkalmazásoknak. Ez a működési mód a hálózati rendszergazdák számára megnehezítheti az ezen portokhoz való hozzáférés korlátozását. Ez a cikk néhány módszert mutat be az RPC-alkalmazások számára elérhető portok számának csökkentésére, illetve a portokhoz való hozzáférés korlátozására beállításjegyzéken (korábbi nevén rendszerleíró adatbázis) alapuló IPsec-házirend segítségével.Mivel a jelen cikkben ismertetett lépések olyan rendszerszintű módosításokat tartalmaznak, melyek esetén újra kell indítani a számítógépet, az összes itt leírt műveletet először tesztelési környezetben kell elvégezni annak érdekében, hogy a változtatások által esetleg előidézett alkalmazáskompatibilitási problémák felszínre kerüljenek.

További információ

Az RPC-portok áthelyezéséhez, számuk csökkentéséhez és elérésük korlátozásához számos beállítási feladatot kell végrehajtani.Mindenekelőtt az RPC dinamikus porttartományát kisebb, könnyebben kezelhető porttartományra kell módosítani, hogy egyszerűbb legyen a tűzfal vagy IPsec-házirend segítségével történő blokkolás. Az RPC szolgáltatás alapértelmezés szerint az 1024-5000 közötti tartományból rendel portokat azon végpontokhoz, melyeknél nincs meghatározva a figyelt port.Megjegyzés:A jelen cikk az 5001-5021-es porttartomány alkalmazását javasolja az időszakos portok – melyek felügyelete kimeríti az erőforrásokat – használatának elkerülése érdekében, így az RPC-végpontok számára rendelkezésre álló portok száma 3976-ról 20-ra csökkenthető.Ezt követően IPsec-házirendet kell létrehozni a porttartományhoz való hozzáférés korlátozására, amely letiltja a hálózat összes állomásának elérését.Végül pedig módosíthatja az IPsec-házirendet oly módon, hogy bizonyos IP-címek vagy a hálózat egyes alhálózatai számára engedélyezze a blokkolt RPC-portokhoz való hozzáférést, míg az összes többit kizárja a hozzáférésből.Az RPC szolgáltatás dinamikus porttartományának átállításához először is töltse le az RPC konfigurációs eszközt (RPC Configuration Tool, RPCCfg.exe), és másolja azt az újrakonfigurálni kívánt munkaállomásra vagy kiszolgálóra. Ehhez keresse fel a Microsoft webhelyének alábbi oldalát:

http://www.microsoft.com/downloads/details.aspx?FamilyID=0f9cde2f-8632-4da8-ae70-645e1ddaf369&DisplayLang=enAz ezt követő feladatok, azaz az IPsec-házirend létrehozása érdekében töltse le az IP-biztonsági házirendek konfigurálására szolgáló Internet Protocol Security Policies Tool eszközt (Ipsecpol.exe), és másolja azt az újrakonfigurálni kívánt munkaállomásra vagy kiszolgálóra. Ehhez keresse fel a Microsoft webhelyének alábbi oldalát:

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361Megjegyzés: Microsoft Windows XP vagy annál újabb verziójú Windows operációs rendszer esetén használja az Ipseccmd.exe eszközt, amely a Windows XP támogatási eszközeinek része. Az IPseccmd.exe és az Ipsecpol.exe eszköz szintaxisa és használata megegyezik. A Windows XP támogatási eszközeiről további információt a Microsoft tudásbázis következő cikkében talál a cikk számára kattintva:

838079 Támogatási eszközök a Windows XP Service Pack 2 rendszerhez

Az RPC dinamikus porttartományának áthelyezése és csökkentése az RPCCfg.exe eszközzel

Az RPC szolgáltatás dinamikus porttartományának az RPCCfg.exe eszköz segítségével történő áthelyezéséhez és csökkentéséhez hajtsa végre az alábbi lépéseket:

  1. Másolja az RPCCfg.exe fájlt a konfigurálandó kiszolgálóra

  2. Írja be a parancssorba az rpccfg.exe -pe 5001-5021 -d 0 parancsot.Megjegyzés: Azért ajánlott ezen porttartomány használata az RPC-végpontok számára, mert kicsi a valószínűsége, hogy ezek a portok más alkalmazásokhoz legyenek rendelve. Alapértelmezés szerint az RPC szolgáltatás az 1024-5000 porttartományból rendel portokat a végpontokhoz. Az ezen tartományban található portokat azonban a Windows operációs rendszer dinamikusan hozzárendelheti bármely, Windows szoftvercsatornákat használó alkalmazáshoz, így a kiszolgáló erős terhelésekor – például olyan terminálkiszolgálóknál és középső szintű kiszolgálóknál, melyek számos, távoli rendszerekbe irányuló kimenő hívást hajtanak végre – előfordulhat, hogy a portok elfogynak.Így például amikor az Internet Explorer program a 80-as porton kapcsolódik egy webkiszolgálóhoz, akkor egy, az 1024-5000-es tartományba tartozó porton várja a kiszolgáló válaszát. A más, távoli rendszerekbe irányuló kimenő hívásokat végző középső szintű COM-kiszolgálók szintén ebbe a tartományba eső porton várják a hívásokra érkező válaszokat. Az RPC szolgáltatás által a végpontokhoz rendelt porttartomány áthelyezése az 5001-el kezdődő tartományba csökkenti annak esélyét, hogy az adott portot más alkalmazás is használja.A Windows operációs rendszerek által használt időszakos portokkal kapcsolatban a Microsoft következő (angol nyelvű) webhelyein talál további információt:

Az érintett állomás sebezhető portjaihoz való hozzáférés letiltása IPsec-házirend vagy tűzfalházirend segítségével

Az alábbiakban szereplő parancsokban a százalékjelek (%) közé tett szövegrészek helyén a tényleges értékeket az IPsec-házirend létrehozójának kell megadnia. Az „%IPSECTOOL%” szöveg esetében például a házirendet készítő személynek a következőképpen kell behelyettesítenie a szöveget:

  • Windows 2000 rendszer esetén az „%IPSECTOOL%” szöveget helyettesítse az „ipsecpol.exe” szöveggel.

  • Windows XP vagy újabb Windows rendszer esetén az „%IPSECTOOL%” szöveget az „ipseccmd.exe” szöveggel kell helyettesítenie.

További információt a portok iPsec használatával történő blokkolásáról a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:

813878 Hálózati protokollok és portok blokkolása az IPSec használatával (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)

Az RPC végpontleképző elérésének blokkolása minden IP-cím esetén

Az RPC végpontleképző szolgáltatáshoz való hozzáférés az összes IP-cím számára való letiltásához a következő parancsot kell beírni: Megjegyzés: Windows XP vagy újabb operációs rendszerben használja az Ipseccmd.exe programot. Windows 2000 esetén használja az Ipsecpol.exe (Windows 2000 verzió) eszközt.

%IPSECTOOL% -w REG -p "RPC-portok blokkolása" -r "Szabály a 135-ös TCP-porton bejövő adatforgalom blokkolására" -f *=0:135:TCP -n BLOCK

Megjegyzés: Ebben a parancsban ne írja be az „%IPSECTOOL%” szöveget. Az „%IPSECTOOL%” szövegrész a parancs testreszabandó részét jelöli. Így például Windows 2000 rendszerben az összes, a 135-ös TCP-porton bejövő adatforgalom blokkolásához az alábbi parancsot kell kiadnia egy olyan könyvtárból, mely tartalmazza az Ipsecpol.exe fájlt:

ipsecpol.exe -w REG -p "RPC-portok blokkolása" -r "Szabály a 135-ös TCP-porton bejövő adatforgalom blokkolására" -f *=0:135:TCP -n BLOCK

Windows XP vagy újabb rendszerben az összes, a 135-ös TCP-porton bejövő adatforgalom blokkolásához az alábbi parancsot kell kiadnia egy olyan könyvtárból, mely tartalmazza az Ipseccmd.exe fájlt:

Ipseccmd.exe -w REG -p "RPC-portok blokkolása" -r "Szabály a 135-ös TCP-porton bejövő adatforgalom blokkolására" -f *=0:135:TCP -n BLOCK

Az RPC dinamikus porttartományához való hozzáférés blokkolása minden IP-cím esetén

Amennyiben az összes IP-cím számára blokkolni szeretné az RPC dinamikus porttartományának elérését, használja az alábbi szintaxist:Megjegyzés: Windows XP vagy újabb operációs rendszerben használja az Ipseccmd.exe programot. Windows 2000 esetén használja az Ipsecpol.exe (Windows 2000 verzió) eszközt.

%IPSECTOOL% -w REG -p "RPC-portok blokkolása" -r "A TCP %PORT% porton bejövő adatforgalom blokkolására szolgáló szabály" -f *=0:%PORT%:TCP -n BLOCK

Megjegyzés: Ebben a parancsban ne írja be az „%IPSECTOOL%”, illetve a „%PORT%” szöveget. Az „%IPSECTOOL%” és a „%PORT%” szövegrészek a parancs testreszabandó részeit jelölik. Így például Windows 2000 rendszerben az összes, az 5001-es TCP-porton bejövő adatforgalom blokkolásához az alábbi parancsot kell kiadnia:

ipsecpol.exe -w REG -p "RPC-portok blokkolása" -r "Szabály az 5001-es TCP-porton bejövő adatforgalom blokkolására" -f *=0:5001:TCP -n BLOCK

A TCP 5001 portra irányuló minden bejövő adatforgalom letiltásához Windows XP vagy újabb verziójú Windows operációs rendszert futtató állomásokon adja ki a következő parancsot:

Ipseccmd.exe -w REG -p "RPC-portok blokkolása" -r "Szabály az 5001-es TCP-porton bejövő adatforgalom blokkolására" -f *=0:5001:TCP -n BLOCK

Hajtsa végre ezt a parancsot minden blokkolandó RPC-port esetében, a parancsban a megfelelő portszámot használva. A letiltandó portok az 5001-5021-es tartományba esnek.Megjegyzés: Ne felejtse el módosítani a portszámot a szabály nevében (-r kapcsoló) és a szűrőben (-f kapcsoló).

Nem kötelező: Hozzáférés megadása az RPC végpontleképzőhöz adott alhálózatokra vonatkozóan, ha szükséges

Ha bizonyos alhálózatok számára engedélyeznie kell a korlátozott RPC-portok elérését, először hozzáférést kell adnia ezen alhálózatoknak az előző lépésekben letiltott RPC végpontleképzőhöz. Adott alhálózat az RPC végpontleképzőhöz való hozzáférésének engedélyezéséhez a következő parancsot használja:

%IPSECTOOL% -w REG -p "RPC-portok blokkolása" -r "%SUBNET% alhálózatról a 135-ös TCP-porton érkező adatforgalom engedélyezésére vonatkozó szabály" -f %SUBNET%/%MASK%=0:135:TCP -n PASS

Megjegyzés: A parancs használatára vonatkozó utasítások:

  • Az „%IPSECTOOL%” helyőrző a használandó parancs nevének helyét jelzi. A parancs neve vagy „ipsecpol.exe” , vagy „ipseccmd.exe” attól függően, hogy milyen operációs rendszer fut az éppen konfigurált számítógépen.

  • A „%SUBNET%” azon távoli IP-alhálózatot jelöli, melynek hozzáférést szeretne adni. Példa: 10.1.1.0.

  • A „%MASK%” a használandó alhálózati maszk (például 255.255.255.0) helyét mutatja a parancsban.Az alábbi parancs például a 10.1.1.0/255.255.255.0 című alhálózat összes állomása számára engedélyezi a 135-ös TCP-porthoz való kapcsolódást. A korábbi lépésekben létrehozott alapértelmezett blokkolási szabály minden más állomás csatlakozási kérelmét megtagadja.

    %IPSECTOOL% -w REG -p "RPC-portok blokkolása" -r "A 10.1.1.0 című alhálózatról a 135-ös TCP-porton érkező adatforgalom engedélyezésére vonatkozó szabály" -f 10.1.1.0/255.255.255.0=0:135:TCP -n PASS

Nem kötelező: Hozzáférés megadása az új dinamikus RPC-porttartományra vonatkozóan adott alhálózatok számára szükség esetén

Azon alhálózatoknak, melyeknek az előző lépésekben engedélyezte az RPC végpontleképző elérését, hozzáférést kell adnia az új dinamikus RPC-porttartományban (5001-5021) lévő portokhoz is.Amennyiben engedélyezi az alhálózatok számára az RPC végpontleképző elérését, a dinamikus porttartományét azonban nem, az alkalmazás lefagyhat vagy más problémák léphetnek fel.A következő parancs engedélyezi egy adott alhálózat részére az új dinamikus RPC-porttartomány valamely portjának elérését:

%IPSECTOOL% -w REG -p "RPC-portok blokkolása" -r "%SUBNET% alhálózatról TCP %PORT% porton érkező adatforgalom engedélyezésére vonatkozó szabály" -f %SUBNET%/%MASK%=0:%PORT%:TCP -n PASS

Megjegyzés: A parancs használatára vonatkozó utasítások:

  • Az „%IPSECTOOL%” helyőrző a használandó parancs nevének helyét jelzi. A parancs neve vagy „ipsecpol.exe” , vagy „ipseccmd.exe” attól függően, hogy milyen operációs rendszer fut az éppen konfigurált számítógépen.

  • A „%PORT%” a dinamikus porttartomány azon portja, amelyhez hozzáférést kíván adni.

  • A „%SUBNET%” azon távoli IP-alhálózatot jelöli, melynek hozzáférést szeretne adni. Példa: 10.1.1.0.

  • "A „%MASK%” a használandó alhálózati maszk (például 255.255.255.0) helyét mutatja a parancsban.Az alábbi parancs például a 10.1.1.0/255.255.255.0 című alhálózat összes állomása számára engedélyezi a 5001-ös TCP-porthoz való kapcsolódást. A korábbi lépésekben létrehozott alapértelmezett blokkolási szabály minden más állomás csatlakozási kérelmét megtagadja.

    %IPSECTOOL% -w REG -p "RPC-portok blokkolása" -r "A 10.1.1.0 című alhálózatról a 5001-ös TCP-porton érkező adatforgalom engedélyezésére vonatkozó szabály" -f 10.1.1.0/255.255.255.0=0:5001:TCP -n PASS

Megjegyzés: Ezt a parancsot minden engedélyezni kívánt alhálózatra és az új dinamikus RPC-porttartományba eső összes engedélyezni kívánt portra vonatkozóan ki kell adnia.

Az IPsec-házirend hozzárendelése

Megjegyzés: Az ebben a szakaszban szereplő parancsok azonnal életbe lépnek.A konfigurált RPC-portokra vonatkozó összes blokkolási szabály és választható engedélyezési szabály létrehozása után a következő paranccsal léptesse érvénybe a házirendet:

%IPSECTOOL% -w REG -p "RPC-portok blokkolása" –x

Megjegyzés: A következő parancs hatására a házirend hozzárendelése azonnal megszűnik:

%IPSECTOOL% -w REG -p "RPC-portok blokkolása" –y

Megjegyzés: A következő parancs hatására a házirend törlődik a beállításjegyzékből:

%IPSECTOOL% -w REG -p "RPC-portok blokkolása" –o

A módosítások életbe léptetéséhez újra kell indítania az állomást.Megjegyzések

  • Az RPC-konfiguráció változtatásai a rendszer újraindítását igénylik.

  • Az IPsec-házirendek módosításai azonnal érvénybe lépnek, és nem követelik meg a számítógép újraindítását.

A munkaállomás vagy kiszolgáló újraindítását követően azok az ncacn_ip_tcp protokollsorrendet használó RPC-felületekhez, melyek nem adnak meg meghatározott TCP-portot, amelyhez kötődnének, az RPC szolgáltatás az RPC-kiszolgáló indulásakor ebből a tartományból rendel hozzá portot.Megjegyzés: A kiszolgáló húsznál több TPC-portot is igényelhet. A TCP-porthoz kötött RPC-végpontok számának lekérdezéséhez és szükség esetén növeléséhez az rpcdump.exe parancsot használhatja. Az RPC Dump eszköz beszerzéséről a Microsoft következő webhelyén talál további információt:

http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd

További segítségre van szüksége?

További lehetőségeket szeretne?

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A közösségek segítségével kérdéseket tehet fel és válaszolhat meg, visszajelzést adhat, és részletes ismeretekkel rendelkező szakértőktől hallhat.