Windows Server 2003에서 IPSec 기본 면제를 제거 하는

중요:이 문서에서는 레지스트리 수정 방법을 설명 합니다. 레지스트리를 수정 하기 전에 반드시 백업 하 고 문제가 발생할 경우 레지스트리를 복원 하는 방법을 알고 있는지 확인 하십시오. 백업, 복원 및 레지스트리 편집 방법에 대 한 내용은 Microsoft 기술 자료의 다음 문서 번호를 클릭 합니다.
256986 Microsoft Windows 레지스트리 설명

요약

Windows Server 2003의 인터넷 프로토콜 보안 (IPsec) 기능을 완전 한 기능의 호스트 기반 방화벽으로 설계 되지 않았습니다. 기본 허용 제공 하 고 네트워크 패킷의 주소, 프로토콜 및 포트 정보를 사용 하 여 필터링을 차단할 수 있도록 만들어졌습니다. IPsec도 프로그램에 투명 한 방식으로 통신의 보안을 향상 시키는 관리 도구로 설계 되었습니다. 이 때문에 하는 공개 키 인프라 (PKI) 디지털 인증서를 사용할 수 있는 인터넷 보안 IPsec 전송 모드나 IPsec 터널 모드에 대 한, 주로 컴퓨터 신뢰 Kerberos 서비스에서 사용할 수 있던 인트라넷 환경 또는 특정 경로 협상 하는 데 필요한 트래픽 필터링을 제공 합니다.

Microsoft Windows 2000 및 Microsoft Windows XP 도움말에서 설명 하는 IPsec 정책 필터의 기본 면제는. 이러한 필터 수 있도록 인터넷 키 교환 (IKE) 및 Kerberos에 대 한 작동 합니다. 필터 확인 용도로 네트워크 Service(QoS)의 품질을 때 신호를 받는 (RSVP) 데이터 트래픽 보안, ipsec 및 트래픽에 대 한 IPsec을 같은 멀티 캐스트 및 브로드캐스트 트래픽을 보안 할 수 없습니다 또한.

이러한 필터에 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서 번호를 클릭 합니다.

253169 트래픽이 IPSec로 보호 되는 수 없는 할 수 있는

자세한 내용

경고: 레지스트리 편집기를 잘못 사용 하면 운영 체제를 다시 설치 해야 하는 심각한 문제가 발생할 수 있습니다. Microsoft는 레지스트리 편집기를 잘못 사용 하 여 발생 한 문제에 해결을 보장할 수 없습니다. 자신의 위험에 레지스트리 편집기를 사용 합니다.
IPsec 기본 호스트 방화벽 패킷 필터링, 특히 인터넷 노출 시나리오에서에서 사용 되는 점점 더 이러한 기본 면제의 효과 완전히 파악 되지가. 이 인해 일부 IPsec 관리자는 IPsec 기본 면제를 사용 하는 인바운드 공격에 대해 보호 하지 않았지만 안전 하 고 잘못을 하는 정책을 만들 수 있습니다.

이러한 이유로 Microsoft Windows Server 2003에서 기본 면제의 대부분을 제거 했습니다. 보안 및 상위 계층 프로토콜 트래픽에 대 한 IPsec 보호 협상 IKE를 사용 하는 IPsec 배포 시나리오에 대 한 Windows Server 2003 IPsec 정책 변경을 해야 할 수 있습니다이.

Windows 기본 면제 제거

기본적으로 Windows Server 2003 IKE 면제를 제외한 모든 기본 면제를 제거합니다. 정책이 Windows Server 2003에서 사용 하려면 먼저 기존 IPsec 정책 설계 변경 해야 합니다.

관리자가 모든 기존 및 새 IPsec 배포에 대 한 변경 내용을 사용 하 여 계획을 시작 해야 필터 1 = 의 Windows 2000 및 Windows XP 기반 컴퓨터에 있습니다. 필터 1 = 레지스트리 키가 Windows Server 2003 관리자는 IPsec 정책 설계 이전 버전과 호환성 이전 기본 예외 동작을 복원 하 고 호환성 프로그래밍할 수 있도록 지원 합니다. 기존 값을 Windows Server 2003으로 업그레이드 하는 동안 필터 1 = 레지스트리 키 설정이 보존 됩니다.

Windows 2000 및 Windows XP 기반 컴퓨터에 대 한 기본 면제에 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서 번호를 클릭 합니다.

811832 IPSec 기본 면제 일부 시나리오에서 IPsec 보호를 우회 하 여 사용할 수 있습니다.

참고: 이 문서 (811832) 기본 면제를 다시 활성화 하려면 레지스트리 키를 사용 하기 전에 검토 하.

또한 대 한 자세한 내용은 Windows Server 2003 IPsec 배포 키트의 "지정 기본 면제를 IPSec 필터링" 섹션을 검토 합니다. Microsoft Windows 2003 Server 배포 키트를 구하려면 다음 Microsoft 웹 사이트를 방문.Windows Server 2003 IPSec에 대 한 동작을 필터링 기본 수정 하려면 Netsh IPSec 명령을 사용 하 여 하거나 레지스트리를 수정할 수 있습니다.

사용 하 여 동작을 필터링 기본 수정 하는
Netsh IPSec 명령:
  1. 시작을 클릭합니다 하 고을 클릭합니다
    실행합니다.
  2. Cmd를 입력 한 다음
    OK.
  3. 명령 프롬프트에서 입력 netsh ipsec 동적 구성 ipsecexempt 값을 설정할 ={0 | 1 | 2 | 3}를 누른 다음 ENTER 키를 누릅니다.
사용 하 여 {0 | 1 | 2 | 3} 이 명령은이 명령에 대 한 모든 사용 가능한 옵션을 나타냅니다. 한 개의 값만 사용할 수 있습니다. 따라 면제를 사용 하 여 원하는 값을 지정 합니다.
  • 값이 0 이면 해당 멀티 캐스트 브로드캐스트, RSVP, Kerberos 및 ISAKMP 트래픽이 IPSec 필터링에서 제외 됩니다. Windows 2000 및 Windows XP에 대 한 동작을 필터링 기본입니다. 기존 IPsec 정책 또는 동작을 Windows 2000 및 Windows XP와의 호환성을 위해 해야 하는 경우에이 설정을 사용 합니다.
  • 값이 1 Kerberos 및 RSVP 트래픽이 IPSec 필터링에서 제외 되는 멀티 캐스트, 브로드캐스트 및 ISAKMP 트래픽이 면제 됩니다 지정 합니다.
  • 2 지정 멀티 캐스트 및 브로드캐스트 트래픽이 IPSec 필터링에서 제외 되지 않습니다. 하지만 RSVP, Kerberos 및 ISAKMP 트래픽이 면제 됩니다.
  • 3 지정 ISAKMP 트래픽만 IPSec 필터링에서 제외 합니다. Windows Server 2003에 대 한 동작을 필터링 기본입니다.
이 설정 값을 변경 하면 새 값 적용 하려면 컴퓨터를 다시 시작 해야 합니다. 레지스트리를 사용 하 여 동작을 필터링 기본 수정:
  1. 시작을 클릭합니다 하 고을 클릭합니다
    실행합니다.
  2. Regedit를 입력 한 다음
    OK.
  3. 다음 레지스트리 키를 누릅니다.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC
    참고: Windows Server 2008을 사용 하는 경우 다음 레지스트리 키를 누릅니다.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
  4. IPSEC을 마우스 오른쪽 단추로 클릭,
    새로 만들기, DWORD 값을 클릭 하 고.
  5. 이 새 항목의 이름을
    이러한 필터.
  6. 0 - 3에서이 항목 값을 할당 합니다.
  7. 컴퓨터를 다시 시작합니다.
각 값에 대해 필터링 동작에 대 한 언급 되어 있는 사람에 게 동일에서 config ipsecexempt 값을 설정 하는 netsh ipsec 동적 = x 명령.

IKE 면제의 영향

IKE 면제의 효과 Windows 2000 및 Windows XP의 경우와 같습니다. 그러나 Windows Server 2003은 향상 된 DoS 방지에 폭탄 공격.

Windows 2000 및 Windows XP에 대 한 IKE 면제에 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서 번호를 클릭 합니다.
811832 IPSec 기본 면제 일부 시나리오에서 IPsec 보호를 우회 하 여 사용할 수 있습니다.

Kerberos 면제의 영향

이러한 필터 는 면제 복원 0 또는 2 로 설정 되어, Kerberos 면제의 영향 인지 Windows 2000 및 Windows XP 설명한 방법과 동일 합니다.

Windows 2000 및 Windows XP에 대 한 Kerberos 면제에 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서 번호를 클릭 합니다.

811832 IPSec 기본 면제 일부 시나리오에서 IPsec 보호를 우회 하 여 사용할 수 있습니다.

RSVP 면제의 영향

이러한 필터 는 면제 복원 0 또는 2 로 설정 되어, RSVP 면제 위험 설치할 수 있는 타사 RSVP 구현에 제한 됩니다. 기본적으로 Windows Server 2003에서는 QoS RSVP 서비스가 포함 되지 않습니다. RSVP 프로토콜을 지원 하지 않습니다 있도록 Pathping 유틸리티에서 -R 옵션 제거 되었습니다.

브로드캐스트 및 멀티 캐스트 면제의 영향

이러한 필터 는 면제 복원 0 또는 1 로 설정 되어, 브로드캐스트 및 멀티 캐스트 면제의 영향 인지 Windows 2000 및 Windows XP 설명한 방법과 동일 합니다. 하지만 Windows Server 2003 IPsec는 브로드캐스트 및 멀티 캐스트 트래픽의 필터링을 지원 합니다. IPsec 정책 설계는 일치 하 여 아웃 바운드 브로드캐스트나 멀티 "내 IP 주소"와 "모든 IP 주소" 대상 주소가 원본 주소를 사용 하 여 필터와 같은 필터를 가질 수 있습니다. IPsec 정책은 랩에서 및이 트래픽 기존 정책 디자인의 효과 확인 하는 작업에서 테스트 되어야 합니다. 브로드캐스트 및 멀티 캐스트 트래픽은 "모든 IP 주소"의 원본 및 대상 주소를 사용 하 여 IPsec 필터를 사용 하 여 제한 된 방식으로 차단 될 수 있습니다. Microsoft Windows Server 2003 Resource Kit에는 자세한 정보가 들어 있습니다.

브로드캐스트 및 멀티 캐스트 면제 Windows 2000 및 Windows XP에 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서 번호를 클릭 합니다.
811832 IPSec 기본 면제 일부 시나리오에서 IPsec 보호를 우회 하 여 사용할 수 있습니다.

어떤 프로그램이 브로드캐스트 트래픽을 받을 수 있습니까?

Windows Server 2003 소켓 옵션을 명시적으로 브로드캐스트 트래픽이 수신 사용 하지 않도록 프로그램을 지원 하지만 UDP 포트에서 수신 대기 중인 프로그램이 브로드캐스트 트래픽을 수신 하는 기본 동작을 변경 되지 않습니다.

어떤 프로그램 멀티 캐스트 트래픽을 받을 수 있습니까?

Windows Server 2003에서 프로그램은 여전히 인바운드 멀티 캐스트 트래픽 형식의 받을 TCPIP 스택이 등록 명시적으로 해야 하 고 트래픽을 멀티 캐스트 그룹에 등록 하지 않는 경우에 삭제 될 수 있습니다.

IPsec을 사용 하 여 인터넷 연결 방화벽을 사용 하 여

Windows XP와 같이 ICF 및 IPsec 필터링 기능 고급 필터링 동작을 만들려면 결합할 수 있습니다. 이것은 여기서 IPsec 정적으로 허용 해야 특정 아웃 바운드 트래픽와 같은 인터넷 HTTP 또는 DNS 나 SMTP에 대 한 특히 유용 합니다. 이렇게 하면 ICF IPsec 허용 하는 아웃 바운드 트래픽의 상태 저장 필터링을 제공할 수 있습니다.

참조

IP 보안 기본 면제의 효과 대 한 자세한 내용은 Microsoft 기술 자료의 다음 문서 번호를 클릭 합니다.

811832 IPsec 기본 면제 가능 하도록 Windows 2000 및 Windows XP에 대 한 일부 시나리오에서 IPsec 보호를 무시 합니다.

Windows Server 2003에서 ipsec 필터링 및 배포 가이드에 대 한 자세한 내용은 Microsoft Windows 2003 Server 배포 키트의 IPsec 배포 장에서 참조. 이렇게 하려면 다음 Microsoft 웹 사이트를 방문.
속성

문서 ID: 810207 - 마지막 검토: 2017. 2. 7. - 수정: 1

피드백