Accedi con Microsoft
Accedi o crea un account.
Salve,
Seleziona un altro account.
Hai più account
Scegli l'account con cui vuoi accedere.

Sommario

In questo articolo viene illustrato come configurare RPC per l'utilizzo di un intervallo specifico di porte dinamiche e come proteggere le porte comprese in tale intervallo mediante un criterio di protezione del protocollo Internet (IPsec). Per impostazione predefinita, quando vengono assegnate porte ad applicazioni RPC affinché rimangano in attesa su un endpoint TCP vengono utilizzate le porte incluse nell'intervallo di porte effimere (1024-5000). Questo comportamento può rendere problematica la limitazione dell'accesso a queste porte da parte degli amministratori di rete. In questo articolo viene illustrato come ridurre il numero di porte disponibili alle applicazioni RPC e come limitare l'accesso a queste porte utilizzando un criterio IPsec basato sul Registro di sistema.

Poiché i passaggi descritti in questo articolo implicano modifiche a livello di computer che richiedono il riavvio del computer stesso, è consigliabile eseguire tali passaggi prima in un ambiente non destinato alla produzione per identificare eventuali problemi di compatibilità tra applicazioni causati da queste modifiche.

Informazioni

Per spostare, ridurre e limitare l'accesso alle porte RPC, è necessario completare varie attività di configurazione.

Innanzitutto, l'intervallo di porte dinamiche RPC deve essere limitato a un intervallo di porte più ridotto e più gestibile che possa essere bloccato con maggiore facilità mediante un firewall o un criterio IPsec. Per impostazione predefinita, per RPC vengono automaticamente allocate le porte comprese nell'intervallo 1024-5000 per gli endpoint per cui non è specificata una porta di attesa.

NotaIn questo articolo viene utilizzato l'intervallo di porte compreso tra 5001 e 5021 per evitare l'esaurimento delle porte effimere e ridurre il numero di porte disponibili agli endpoint RPC da 3.976 a 20.

Successivamente, è necessario creare un criterio IPsec per limitare l'accesso a questo intervallo di porte in modo da negare l'accesso a tutti gli host nella rete.

Infine, è possibile aggiornare il criterio IPsec per fornire a determinati indirizzi IP o a determinate subnet di rete l'accesso alle porte RPC bloccate ed escludere tutti gli altri indirizzi o subnet.

Per avviare l'attività di riconfigurazione dell'intervallo di porte dinamiche RPC, scaricare lo strumento di configurazione RPC (RPCCfg.exe) e copiarlo nella workstation o nel server da riconfigurare. A tale scopo, visitare il seguente sito Web Microsoft:

http://www.microsoft.com/downloads/details.aspx?FamilyID=0f9cde2f-8632-4da8-ae70-645e1ddaf369&DisplayLang=en (l'installazione è in inglese). Per eseguire le attività successive per la creazione di un criterio IPsec, scaricare lo strumento dei criteri di protezione del protocollo Internet (Ipsecpol.exe) e copiarlo nella workstation o nel server da riconfigurare. A tale scopo, visitare il seguente sito Web Microsoft:

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361Nota Per creare un criterio IPsec per Microsoft Windows XP o per una versione successiva del sistema operativo Windows, utilizzare Ipseccmd.exe. Ipseccmd.exe fa parte degli strumenti di supporto di Windows XP. La sintassi e l'utilizzo di IPseccmd.exe sono analoghi alla sintassi e all'utilizzo di Ipsecpol.exe. Per ulteriori informazioni sugli strumenti di supporto di Windows XP, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:

838079 Strumenti di supporto di Windows XP Service Pack 2

Spostare e ridurre l'intervallo di porte dinamiche di RPC mediante RPCCfg.exe

Per spostare e ridurre l'intervallo di porte dinamiche RPC mediante RPCCfg.exe, eseguire i passaggi seguenti:

  1. Copiare RPCCfg.exe nel server da configurare

  2. Al prompt dei comandi digitare rpccfg.exe -pe 5001-5021 -d 0.
    Nota Questo intervallo di porte è consigliato per l'utilizzo da parte degli endpoint RPC poiché le porte incluse in questo intervallo non vengono in genere allocate per l'utilizzo da parte di altre applicazioni. Per impostazione predefinita, per RPC viene utilizzato l'intervallo di porte compreso tra 1024 e 5000 per l'allocazione delle porte per gli endpoint. Tuttavia, le porte incluse in questo intervallo vengono inoltre allocate in modo dinamico per l'utilizzo da parte del sistema operativo Windows per tutte le applicazioni socket Windows e possono esaurirsi in server sottoposti a intenso utilizzo quali Terminal Server e server di livello intermedio da cui vengono eseguite molte chiamate in uscita a sistemi remoti.

    Ad esempio, quando in Internet Explorer viene contattato un server Web sulla porta 80, la risposta del server viene attesa su una porta compresa nell'intervallo 1024-5000. Anche in un server COM di livello intermedio da cui vengono effettuate chiamate in uscita ad altri server remoti viene utilizzata una porta compresa in questo intervallo per le risposte in arrivo a tali chiamate. Spostando l'intervallo di porte utilizzate da RPC per gli endpoint all'intervallo di porte 5001 si ridurrà la possibilità che queste porte vengano utilizzate da altre applicazioni.
    Per ulteriori informazioni sull'utilizzo di porte effimere nei sistemi operativi Windows, visitare i seguenti siti Web Microsoft.

Utilizzare un criterio IPsec o firewall per bloccare l'accesso alle porte vulnerabili sull'host interessato

Nella sezione seguente relativa ai comandi, il testo compreso tra il segno di percentuale (%) rappresenta il testo del comando che deve essere immesso dall'utente che crea il criterio IPsec. Ad esempio, ogni ricorrenza del testo "%IPSECTOOL%" dovrà essere modificata come indicato di seguito:

  • Per Windows 2000, sostituire "%IPSECTOOL%" con "ipsecpol.exe".

  • Per Windows XP o per una versione successiva di Windows, sostituire "%IPSECTOOL%" con "ipseccmd.exe".

Per ulteriori informazioni sull'utilizzo di IPsec per bloccare le porte, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:

813878 Blocco di specifici protocolli di rete e porte utilizzando IPSec

Bloccare l'accesso al mapping degli endpoint RPC per tutti gli indirizzi IP

Per bloccare l'accesso al mapping degli endpoint RPC per tutti gli indirizzi IP, utilizzare la seguente sintassi.

Nota In Windows XP e nei sistemi operativi successivi, utilizzare Ipseccmd.exe. In Windows 2000, utilizzare Ipsecpol.exe (Windows 2000). 

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

Nota Non digitare "%IPSECTOOL%" in questo comando. "%IPSECTOOL%" rappresenta la parte di comando che è necessario personalizzare. Ad esempio, per bloccare tutti gli accessi in ingresso sulla porta TCP 135, digitare il comando riportato di seguito da una directory che contiene il file Ipsecpol.exe negli host Windows 2000 :

ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

Ad esempio, per bloccare tutti gli accessi in ingresso sulla porta TCP 135, digitare il comando riportato di seguito da una directory che contiene il file Ipseccmd.exe negli host Windows XP e successivi:

ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

Bloccare l'accesso all'intervallo dinamico di porte RPC per tutti gli indirizzi IP

Per bloccare l'accesso all'intervallo dinamico di porte RPC, attenersi alla sintassi seguente.

Nota In Windows XP e nei sistemi operativi successivi, utilizzare Ipseccmd.exe. In Windows 2000, utilizzare Ipsecpol.exe (Windows 2000). 

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP %PORT% Rule" -f *=0:%PORT%:TCP -n BLOCK

Nota Non digitare "%IPSECTOOL%"o "%PORT%" in questo comando. "%IPSECTOOL%" e "%PORT%" rappresentano le parti del comando che è necessario personalizzare. Ad esempio, per bloccare tutti gli accessi in ingresso sulla porta TCP 5001, digitare il comando riportato di seguito negli host Windows 2000 :

ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK

Per bloccare tutti gli accessi in ingresso sulla porta TCP 5001, digitare il comando seguente su host Windows XP e versioni successive:

ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK

Ripetere il comando per ciascuna porta RPC da bloccare modificando il numero di porta elencato nel comando. Le porte da bloccare sono incluse nell'intervallo 5001-5021.

Nota Non dimenticare di modificare il numero di porta nel nome della regola (opzione -r) e nel filtro (opzione -f).

Facoltativo: fornire l'accesso al mapping degli endpoint RPC per subnet specifiche se è richiesto l'accesso

Se occorre fornire a subnet specifiche l'accesso alle porte RPC con limitazioni, è necessario innanzitutto fornire a tali subnet l'accesso al mapping degli endpoint RPC precedentemente bloccato. Per assegnare a una subnet specifica l'accesso al mapping endpoint RPC, utilizzare il comando riportato di seguito:

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP 135 from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:135:TCP -n PASS

Nota In questo comando, si applicano le seguenti istruzioni:

  • "%IPSECTOOL%" rappresenta il comando da utilizzare. Questo comando può essere "ipsecpol.exe" o "ipseccmd.exe." Il comando utilizzato dipende dal sistema operativo che si configura.

  • "%SUBNET%" rappresenta la subnet IP remota a cui si desidera fornire l'accesso, ad esempio 10.1.1.0.

  • "%MASK%" rappresenta la subnet mask da utilizzare, ad esempio 255.255.255.0.

    Ad esempio, il seguente comando consente a tutti gli host della subnet 10.1.1.0/255.255.255.0 di connettersi alla porta TCP 135. Le connessioni di tutti gli altri host verranno negate dalla regola di blocco predefinita creata in precedenza per questa porta.

    %IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 135 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:135:TCP -n PASS

Facoltativo: fornire l'accesso al nuovo intervallo di porte dinamiche RPC per subnet specifiche se è richiesto l'accesso

A ogni subnet a cui è stato fornito l'accesso al mapping degli endpoint RPC è anche necessario fornire l'accesso a tutte le porte comprese nel nuovo intervallo di porte dinamiche RPC (5001-5021).

Se si consente alle subnet di accedere al mapping degli endpoint RPC, ma non all'intervallo di porte dinamiche, è possibile che l'applicazione si blocchi o che si verifichino altri problemi.

Il seguente comando fornisce a una subnet specifica l'accesso a una porta compresa nel nuovo intervallo di porte dinamiche RPC:

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP %PORT% from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:%PORT%:TCP -n PASS

Nota In questo comando, si applicano le seguenti istruzioni:

  • "%IPSECTOOL%" rappresenta il comando da utilizzare. Questo comando può essere "ipsecpol.exe" o "ipseccmd.exe." Il comando utilizzato dipende dal sistema operativo che si configura.

  • "%PORT%" rappresenta la porta compresa nell'intervallo di porte dinamiche a cui fornire l'accesso.

  • "%SUBNET%" rappresenta la subnet IP remota a cui si desidera fornire l'accesso, ad esempio 10.1.1.0.

  • ""%MASK%" rappresenta la subnet mask da utilizzare, ad esempio 255.255.255.0.

    Ad esempio, il seguente comando consente a tutti gli host della subnet 10.1.1.0/255.255.255.0 di connettersi alla porta TCP 5001. Le connessioni di tutti gli altri host verranno negate dalla regola di blocco predefinita creata in precedenza per questa porta.

    %IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 5001 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:5001:TCP -n PASS

Nota Questo comando deve essere ripetuto per ogni subnet e per ogni porta compresa nel nuovo intervallo di porte dinamiche RPC.

Assegnare il criterio IPsec

Nota I comandi riportati in questa sezione hanno effetto immediato.

Dopo aver creato tutte le regole per bloccare il traffico e tutte le regole facoltative per consentire il traffico sulle porte RPC configurate, assegnare il criterio mediante il comando seguente:

%IPSECTOOL% -w REG -p "Block RPC Ports" –x

Nota Per annullare immediatamente l'assegnazione del criterio, utilizzare il comando riportato di seguito:

%IPSECTOOL% -w REG -p "Block RPC Ports" –y

Nota Per eliminare il criterio dal Registro di sistema, utilizzare il comando riportato di seguito:

%IPSECTOOL% -w REG -p "Block RPC Ports" -o

È necessario riavviare il computer per rendere effettive le modifiche.

Note

  • Le modifiche della configurazione RPC richiedono il riavvio del sistema.

  • Le modifiche del criterio IPsec hanno effetto immediato e non richiedono il riavvio del sistema.

Dopo aver riavviato la workstation o il server, all'avvio del server RPC nel runtime RPC verrà allocata una porta compresa in questo intervallo per le interfacce RPC che utilizzano la sequenza di protocollo ncacn_ip_tcp e che non specificano una porta TCP a cui effettuare l'associazione.

Nota Il server può richiedere più di 20 porte TCP. È possibile utilizzare il comando rpcdump.exe per contare il numero di endpoint RPC associati a una porta TCP e aumentare questo numero se necessario. Per ulteriori informazioni su come ottenere lo strumento RPC Dump, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):

http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd

Facebook LinkedIn Posta elettronica

Serve aiuto?

Vuoi altre opzioni?

Individua Community

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Vantaggi dell'abbonamento a Microsoft 365

Formazione su Microsoft 365

Microsoft Security

Centro accessibilità

Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.

Chiedi alla community Microsoft

Microsoft Tech Community

Partecipanti al Programma Windows Insider

Partecipanti al Programma Insider di Microsoft 365

Queste informazioni sono risultate utili?

Come valuti la qualità della lingua?
Cosa ha influito sulla tua esperienza?
Premendo Inviare, il tuo feedback verrà usato per migliorare i prodotti e i servizi Microsoft. L'amministratore IT potrà raccogliere questi dati. Informativa sulla privacy.

Grazie per il feedback!

×