Ringkasan
Artikel ini menjelaskan cara mengkonfigurasi RPC menggunakan kisaran port khusus dinamis dan cara membantu mengamankan Port dalam kisaran yang menggunakan protokol Internet security (IPsec) kebijakan. Secara asali, RPC menggunakan port dalam kisaran sementara port (1024-5000) saat ini menetapkan Port RPC aplikasi yang harus mendengarkan di akhir TCP. Perilaku ini dapat membatasi akses ke port ini menantang bagi administrator jaringan. Artikel ini membahas cara untuk mengurangi jumlah port yang tersedia untuk RPC aplikasi dan cara membatasi akses ke port ini dengan menggunakan kebijakan IPsec berbasis registri.
Karena langkah-langkah dalam artikel ini melibatkan perubahan seluruh komputer yang memerlukan komputer direstart, langkah-langkah ini harus dilakukan terlebih dahulu di lingkungan nonproduction untuk mengidentifikasi masalah kompatibilitas aplikasi apa pun yang mungkin terjadi akibat dari perubahan ini.Informasi lebih lanjut
Ada banyak tugas konfigurasi yang harus diselesaikan untuk memindahkan, mengurangi dan membatasi akses ke Port RPC.
Pertama, kisaran dinamis port RPC seharusnya dibatasi pada port yang lebih kecil dan lebih mudah ditangani kisaran yang lebih mudah untuk memblokir menggunakan firewall atau kebijakan IPsec. Secara default, RPC dinamis mengalokasikan Port dalam kisaran 1024 5000 untuk akhir yang tidak menetapkan port yang mendengarkan. Catatan Artikel ini menggunakan berbagai port 5001 5021. Hal ini mengurangi jumlah port yang tersedia untuk RPC akhir dari 3,976 20. Nomor port dipilih sembarangan dan bukan rekomendasi untuk nomor port yang diperlukan untuk setiap sistem tertentu. Selanjutnya, kebijakan IPsec harus dibuat untuk membatasi akses ke kisaran port untuk menolak akses ke semua host di jaringan. Akhirnya, kebijakan IPsec dapat diperbarui untuk memberikan alamat IP tertentu atau subnet jaringan akses ke Port RPC diblokir dan untuk mengecualikan semua orang lain. Untuk memulai tugas konfigurasi ulang RPC dinamis port kisaran, download RPC alat konfigurasi (RPCCfg.exe), dan kemudian salin ke workstation atau server yang akan dikonfigurasi ulang. Untuk melakukannya, kunjungi situs Web Microsoft berikut ini:http://www.microsoft.com/downloads/details.aspx?FamilyID=0f9cde2f-8632-4da8-ae70-645e1ddaf369&DisplayLang=enUntuk melakukan tugas-tugas berikutnya untuk membuat kebijakan IPsec, men-download alat kebijakan keamanan protokol Internet (Ipsecpol.exe), dan kemudian salin ke workstation atau server yang akan dikonfigurasi ulang. Untuk melakukannya, kunjungi situs Web Microsoft berikut ini:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361Catatan Untuk membuat kebijakan IPsec untuk Microsoft Windows XP atau versi sistem operasi Windows, gunakan Ipseccmd.exe. Ipseccmd.exe adalah bagian dari alat dukungan Windows XP. Sintaks dan penggunaan IPseccmd.exe yang sama dengan sintaks dan penggunaan Ipsecpol.exe. Untuk informasi selengkapnya tentang alat dukungan Windows XP, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
838079 Windows XP Service Pack 2 alat dukungan
Pindah dan mengurangi rentang dinamis port RPC menggunakan RPCCfg.exe
Untuk memindahkan dan mengurangi rentang dinamis port RPC menggunakan RPCCfg.exe, ikuti langkah-langkah berikut:
-
Salin RPCCfg.exe ke server yang dikonfigurasi
-
Pada prompt perintah, ketik rpccfg.exe-pe 5001-5021 - d 0.
Catatan Kisaran port ini dianjurkan untuk digunakan oleh RPC akhir karena Port dalam kisaran ini tidak mungkin akan dialokasikan untuk digunakan oleh aplikasi lainnya. Secara default, RPC menggunakan port kisaran 1024 5000 untuk mengalokasikan Port untuk akhir. Namun, Port dalam kisaran ini juga dinamis dialokasikan untuk digunakan oleh sistem operasi Windows untuk semua Windows soket aplikasi dan dapat habis server sangat digunakan seperti terminal server dan server tingkat menengah yang membuat banyak panggilan keluar ke sistem jarak jauh. Misalnya, saat Internet Explorer menghubungi server Web pada port 80, itu didengarkan port dalam kisaran 1024-5000 respons dari server. Tingkat menengah COM server yang membuat panggilan keluar ke server jauh lainnya juga menggunakan port dalam kisaran ini untuk membalas panggilan yang masuk. Memindahkan kisaran port yang menggunakan RPC untuk ke akhir 5001 port kisaran akan mengurangi kemungkinan bahwa Port ini akan digunakan oleh aplikasi lainnya. Untuk informasi selengkapnya tentang penggunaan port sementara di sistem operasi Windows, kunjungi situs Web Microsoft berikut ini.-
Untuk Windows 2000:
-
Untuk Windows Server 2003:
-
Gunakan Kebijakan IPsec atau firewall untuk memblokir akses ke Port rentan di host yang terpengaruh
Di perintah di bagian berikut ini, teks apa pun yang muncul antara tanda persen (%) dimaksudkan mewakili teks di perintah yang harus dimasukkan oleh orang yang membuat kebijakan IPsec. Misalnya, di mana pun teks "% IPSECTOOL %" muncul, orang yang membuat kebijakan harus mengganti teks sebagai berikut:
-
Untuk Windows 2000, gantilah "% IPSECTOOL %" dengan "ipsecpol.exe."
-
Untuk Windows XP atau versi Windows yang lebih baru, gantilah "% IPSECTOOL %" dengan "ipseccmd.exe."
Untuk informasi selengkapnya tentang cara menggunakan IPsec untuk memblokir Port, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:
813878 cara memblokir Port dan protokol jaringan tertentu dengan menggunakan IPSec
Memblokir akses ke RPC Endpoint pemetaan untuk semua alamat IP
Untuk memblokir akses ke RPC Endpoint pemetaan untuk semua alamat IP, gunakan sintaks berikut ini.
Catatan Di Windows XP dan sistem operasi yang lebih baru, gunakan Ipseccmd.exe. Pada Windows 2000, gunakan Ipsecpol.exe (Windows 2000).%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK
Catatan Jangan mengetik "% IPSECTOOL %" dalam perintah ini. "% IPSECTOOL %" dimaksudkan mewakili bagian perintah yang harus disesuaikan. Misalnya, di Windows 2000, ketik perintah berikut dari direktori yang berisi Ipsecpol.exe untuk memblokir semua akses masuk ke TCP 135:
ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK
Di Windows XP dan sistem operasi yang lebih baru, ketik perintah berikut dari direktori yang berisi Ipseccmd.exe untuk memblokir semua akses masuk ke TCP 135:
ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK
Memblokir akses ke kisaran dinamis port RPC untuk semua alamat IP
Untuk memblokir akses ke kisaran dinamis port RPC untuk semua alamat IP, gunakan sintaks berikut ini.
Catatan Di Windows XP dan sistem operasi yang lebih baru, gunakan Ipseccmd.exe. Pada Windows 2000, gunakan Ipsecpol.exe (Windows 2000).%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP %PORT% Rule" -f *=0:%PORT%:TCP -n BLOCK
Catatan Tidak ketik "IPSECTOOL %" atau "PORT %" perintah ini. "% IPSECTOOL %" dan "PORT %" dimaksudkan mewakili bagian dari perintah yang harus disesuaikan. Sebagai contoh, ketik perintah berikut pada Windows 2000 host untuk memblokir semua akses masuk ke TCP 5001:
ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK
Untuk memblokir semua akses masuk ke TCP 5001, ketik perintah berikut pada Windows XP tuan rumah dan host dari sistem operasi Windows yang lebih baru:
ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK
Ulangi perintah ini untuk setiap RPC port yang harus diblokir dengan mengubah nomor port yang tercantum dalam perintah ini. Port yang harus diblokir berada dalam kisaran 5001 5021.
Catatan Jangan lupa untuk mengubah nomor port pada nama aturan (berganti - r ) dan filter (berganti -f ).Opsional: Memberikan akses ke RPC Endpoint pemetaan untuk subnet tertentu jika akses diperlukan
Jika Anda harus memberikan akses subnet tertentu ke Port RPC terbatas, Anda harus terlebih dahulu memberikan akses subnet tersebut ke pemetaan Endpoint RPC yang Anda diblokir sebelumnya. Untuk memberikan akses khusus subnet RPC Endpoint pemetaan, gunakan perintah berikut ini:
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP 135 from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:135:TCP -n PASS
Catatan Dalam perintah ini, pernyataan berikut ini:
-
"% IPSECTOOL %" mewakili perintah untuk menggunakan. Perintah ini adalah "ipsecpol.exe" atau "ipseccmd.exe." Perintah yang digunakan bergantung pada sistem operasi yang Anda mengkonfigurasi.
-
"SUBNET %" mewakili jauh subnet IP yang ingin Anda beri akses, misalnya, 10.1.1.0.
-
"MASK %" mewakili subnet mask untuk menggunakan, misalnya, 255.255.255.0.
Sebagai contoh, perintah berikut ini memungkinkan semua host dari 10.1.1.0/255.255.255.0 subnet untuk menyambung ke port TCP 135. Semua host akan memiliki koneksi mereka ditolak oleh aturan blok default yang dibuat sebelumnya untuk port ini.%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 135 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:135:TCP -n PASS
Opsional: Memberikan akses ke kisaran dinamis port RPC baru untuk subnet tertentu jika akses diperlukan
Setiap subnet yang diberi akses ke RPC Endpoint pemetaan sebelumnya juga akan diberi akses ke semua Porta di kisaran dinamis port RPC baru (5001-5021).
Jika Anda mengaktifkan subnet untuk mencapai akhir RPC pemetaan tetapi tidak kisaran port dinamis, aplikasi dapat berhenti merespons, atau Anda mungkin mengalami masalah lain. Perintah berikut ini memberikan akses subnet tertentu ke port dalam kisaran RPC dinamis port yang baru:%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP %PORT% from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:%PORT%:TCP -n PASS
Catatan Dalam perintah ini, pernyataan berikut ini:
-
"% IPSECTOOL %" mewakili perintah untuk menggunakan. Perintah ini adalah "ipsecpol.exe" atau "ipseccmd.exe." Perintah yang digunakan bergantung pada sistem operasi yang Anda mengkonfigurasi.
-
"PORT %" mewakili port dalam kisaran dinamis port yang memberikan akses.
-
"SUBNET %" mewakili jauh subnet IP yang ingin Anda beri akses, misalnya, 10.1.1.0.
-
"MASK %" mewakili subnet mask untuk menggunakan, misalnya, 255.255.255.0.
Sebagai contoh, perintah berikut ini memungkinkan semua host dari 10.1.1.0/255.255.255.0 subnet untuk menyambung ke port TCP 5001. Semua host akan memiliki koneksi mereka ditolak oleh aturan blok default yang dibuat sebelumnya untuk port ini.%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 5001 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:5001:TCP -n PASS
Catatan Perintah ini harus mengulangi untuk setiap subnet dan port dalam kisaran RPC dinamis port yang baru.
Tetapkan kebijakan IPsec
Catatan Perintah di bagian ini akan berlaku segera.
Setelah Anda membuat semua blok aturan dan semua opsional memungkinkan aturan dikonfigurasi RPC Port, tetapkan kebijakan dengan menggunakan perintah berikut ini:%IPSECTOOL% -w REG -p "Block RPC Ports" –x
Catatan Untuk segera unassign kebijakan, gunakan perintah berikut ini:
%IPSECTOOL% -w REG -p "Block RPC Ports" –y
Catatan Untuk menghapus kebijakan dari registri, gunakan perintah berikut ini:
%IPSECTOOL% -w REG -p "Block RPC Ports" -o
Anda harus me-restart host agar perubahan diterapkan.
Catatan-
Perubahan konfigurasi RPC memerlukan mulai ulang.
-
Perubahan kebijakan IPsec langsung berlaku dan tidak memerlukan mulai ulang.
Setelah workstation atau server dimulai ulang, antarmuka RPC apa pun yang menggunakan protokol ncacn_ip_tcp urutan dan tidak menetapkan TCP port khusus yang mengikat akan memiliki port yang dialokasikan dari kisaran ini dengan RPC runtime saat RPC server dimulai.
Catatan Server mungkin memerlukan lebih dari 20 port TCP. Anda dapat menggunakan perintah rpcdump.exe untuk menghitung jumlah akhir RPC yang dibatasi ke TCP port dan meningkatkan jumlah ini jika Anda harus. Untuk informasi selengkapnya tentang cara mendapatkan alat RPC Dump, kunjungi situs Web Microsoft berikut ini: