Santrauka

Šiame straipsnyje aprašoma, kaip sukonfigūruoti RPC naudojant konkretų dinaminis prievadų sritis ir kaip apsaugoti prievadus, kad naudojant su interneto protokolo sauga (IPsec) strategija. Pagal numatytuosius nustatymus RPC naudoja prievadus, laikinosios prievadų sritis (1024-5000) kai priskiria RPC programų, kurios turi klausytis galinio punkto TCP prievadus. Taip gali būti apriboti prieigos šie prievadai sudėtingas tinklo administratoriams. Šiame straipsnyje aptariama, kaip sumažinti jų skaičius RPC programėlių ir kaip riboti prieigą prie šių prievadus naudodami registro IPsec strategijos.Dėl to, šiame straipsnyje nurodytas kompiuterių pakeitimus, kuriems reikia iš naujo paleisti kompiuterį, visus šiuos veiksmus turėtų atlikti pirmiausia nonproduction aplinkoje nustatyti programų suderinamumo problemas, kylančias dėl šių keitimų.

Daugiau informacijos

Yra keli sukonfigūruoti taip, kad reikia atlikti norint perkelti, sumažinti ir apriboti prieigą prie RPC prievadai.Pirmiausia RPC dinaminis prievadų sritis turėtų būti apribota mažesnius, lengviau valdomus prievadų sritį, kuri yra lengviau blokas užkardos arba IPsec strategiją. Pagal numatytuosius nustatymus RPC dinamiškai skiriama prievadų intervale nuo 1024 iki 5000 parametrus, kad nėra nurodyta, kuriame klausytis prievadą.Pastaba.Šiame straipsnyje naudoja 5001 iki 5021 prievadų sritį. Taip sumažinamas prievadai, kuriuos galima RPC galiniai punktai iš 3,976 iki 20. Prievadų skaičiaus, pasirinkta nepagrįstai ir nėra prievadus, kurie yra reikalingi bet konkretus sistemos skaičius rekomendacijos.Be to, reikia sukurti IPsec strategiją apriboti prieigą prie šio prievado diapazoną uždrausti prieigą prie visų kompiuterių tinkle.Galiausiai IPsec strategijos gali būti atnaujintas suteikti tam tikrus IP adresus arba potinkliai pasiekti užblokuotą RPC prievadai ir pašalinti visus kitus.Norėdami paleisti užduočių, pakeisti konfigūracijos RPC dinaminis prievadų sritis, atsisiųsti RPC konfigūravimo įrankis (RPCCfg.exe) ir nukopijuokite jį į darbo vietą arba į serverį, kuriame bus konvertuoti. Norėdami tai padaryti, apsilankykite šioje "Microsoft" svetainėje:

http://www.microsoft.com/downloads/details.aspx?FamilyID=0f9cde2f-8632-4da8-ae70-645e1ddaf369&DisplayLang=enAtlikti vykdomų užduočių sukurti IPsec strategiją, interneto protokolo saugos strategijos įrankį (Ipsecpol.exe), ir tada nukopijuokite jį į darbo vietą arba į serverį, kuriame bus konvertuoti. Norėdami tai padaryti, apsilankykite šioje "Microsoft" svetainėje:

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361Pastaba. Norėdami sukurti IPsec strategiją, Microsoft Windows XP arba naujesnės versijos "Windows" operacinės sistemos, naudokite Ipseccmd.exe. IPseccmd.exe yra "Windows XP" palaikymo įrankius. Sintaksė ir naudojimo IPseccmd.exe yra tokie patys kaip sintaksės ir naudojimo Ipsecpol.exe. Jei norite gauti daugiau informacijos apie "Windows XP" palaikymo įrankius, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:

838079 Windows XP 2 pakeitimų paketo palaikymo įrankiai

Perkelti ir sumažinti RPC dinaminis prievadų sritis, naudojant RPCCfg.exe

Norėdami perkelti ir sumažinti RPC dinaminis prievadų sritis, naudojant RPCCfg.exe, atlikite šiuos veiksmus:

  1. Nukopijuokite RPCCfg.exe į serverį, kuris turi būti sukonfigūruotas taip

  2. Į komandų eilutę įrašykite rpccfg.exe-5001-5021 - d 0 pe.Pastaba. Šis prievadų sritis yra rekomenduojama naudoti RPC galiniai punktai dėl to, kad prievadai šiame diapazone nėra gali būti skirta naudoti kitos programos. Pagal numatytuosius nustatymus RPC naudoja prievadą nuo 1024 iki 5000 paskirstymo prievadus, galiniai punktai. Tačiau prievadai šiame diapazone taip pat dinamiškai priskirti naudoti "Windows" operacinės sistemos visų langų jungčių programos ir gali būti išnaudojama daug naudojama serveriuose, pvz., terminalų serverių ir vidutinio lygio serveriai, kurie daug pasirinktais nuotolinio sistemos.Pvz., "Internet Explorer" susisieks su žiniatinklio serveriu prievadą 80, ji ieško prievade 1024 5000 nuo atsakymo iš serverio. Vidutinio lygio COM serverio, kuris leidžia pasirinktais kitų nuotoliniuose serveriuose taip pat naudoja prievadą šiame diapazone gautą atsakymą, kad telefonu. Perėjimas nuo prievadus, kurie RPC naudoja savo galiniai punktai 5001 prievado diapazoną sumažės tikimybė, kad šie prievadai bus naudojamas iš kitų programų.Daugiau informacijos apie laikinosios prievado naudojimo Windows operacinėse sistemose, apsilankykite šioje "Microsoft" žiniatinklio svetainėse.

Naudoti IPsec arba užkardos strategijos blokuoti prieigą prie pažeidžiami jungčių įtakos pagrindinio

Šiame skyriuje komandas, visas tekstas, kuris rodomas tarp procentų (%) požymiai turi reikšti komandą, turi būti įvestas iš asmens, kuris sukuria IPsec strategijos tekstas. Pvz., kad ir kur "% IPSECTOOL %" tekstas, asmens, kuris sukuria politika reikia pakeisti šį tekstą taip:

  • Windows 2000, pakeisti "% IPSECTOOL %" su "ipsecpol.exe."

  • Windows XP arba vėlesne Windows versija, pakeisti "% IPSECTOOL %" su "ipseccmd.exe."

Jei norite gauti daugiau informacijos apie tai, kaip naudoti IPsec blokuoti prievadus, spustelėkite toliau straipsnio numerį ir peržiūrėkite straipsnį Microsoft žinių bazėje:

813878 kaip blokuoti konkrečių tinklo protokolus ir prievadus naudodami IPSec

Blokuoti prieigą prie RPC pabaigos taško visų IP adresų

Kad užblokuotų prieigą prie RPC pabaigos taško visų IP adresų, naudokite tokią sintaksę.Pastaba. "Windows XP" ir naujesnėse operacinėse sistemose, naudokite Ipseccmd.exe. Windows 2000, naudokite Ipsecpol.exe (Windows 2000).

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

Pastaba. Įveskite "% IPSECTOOL %" šioje komandoje. "% IPSECTOOL %" turi reikšti komandą, turite pritaikyti dalis. Pvz., Windows 2000, įrašykite šią komandą iš katalogo, kuriame yra Ipsecpol.exe blokuoti visus gaunamus prieigą prie TCP 135:

ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

"Windows XP" ir naujesnėse operacinėse sistemose, įveskite toliau nurodytą komandą iš katalogo, kuriame yra Ipseccmd.exe blokuoti visus gaunamus prieigą prie TCP 135:

ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

Blokuoti prieigą prie RPC dinaminis prievadų sritis visų IP adresų

Kad užblokuotų prieigą prie RPC dinaminis prievadų sritis visų IP adresų, naudokite tokią sintaksę.Pastaba. "Windows XP" ir naujesnėse operacinėse sistemose, naudokite Ipseccmd.exe. Windows 2000, naudokite Ipsecpol.exe (Windows 2000).

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP %PORT% Rule" -f *=0:%PORT%:TCP -n BLOCK

Pastaba. Įveskite "% IPSECTOOL %" arba "% prievadą %" šioje komandoje. "% IPSECTOOL %" ir "% prievadą %" yra skirti pristatyti komandą, turite pritaikyti dalis. Pvz., Windows 2000 hosts blokuoti visus gaunamus prieigą prie TCP 5001 įveskite šią komandą:

ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK

Blokuoti visus gaunamus prieigą prie TCP 5001, įveskite toliau nurodytą komandą "Windows XP" pagrindinių kompiuterių ir kompiuterių naujesnę Windows operacinių sistemų:

ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK

Kartokite šią komandą, kurie turi būti užblokuoti keisti prievado numerį, kuris nurodytas šioje komandoje RPC uosto. 5001 5021 diapazonas yra prievadus, kurie turi būti blokuojamas.Pastaba. Nepamirškite pakeisti prievado numerį taisyklės pavadinimas ( - r raktas) ir filtras ( -f raktas).

Pasirenkama: Suteikti prieigą prie RPC pabaigos taško dėl konkrečių potinkliai prireikus prieiga

Jei turite suteikti konkrečių potinkliai prieigos tik RPC prievadai, pirmiausia turite suteikti šiuos potinkliai prieigos RPC pabaigos taško, galite užblokuoti anksčiau. Kad konkrečios potinklio gauti RPC pabaigos taško, naudokite šią komandą:

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP 135 from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:135:TCP -n PASS

Pastaba. Šioje komandoje, taikykite toliau pateikiamus įrašus:

  • "% IPSECTOOL %" reiškia naudoti komandą. Ši komanda yra "ipsecpol.exe" arba "ipseccmd.exe." Kuri naudojama priklauso nuo operacinę sistemą konfigūruojate.

  • "% POTINKLIO" reiškia nuotolinio IP potinklio norite suteikti prieigą, pvz., 10.1.1.0.

  • "% Šablonas" reiškia naudoti, pvz., 255.255.255.0 potinklio šablonas.Pavyzdžiui, šią komandą leidžia visi kompiuteriai iš 10.1.1.0/255.255.255.0 potinklio prisijungti prie TCP 135 prievadą. Visi kiti kompiuteriai turi savo ryšių numatytąją bloko taisyklę, anksčiau sukurtą šio uosto uždrausta.

    %IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 135 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:135:TCP -n PASS

Pasirenkama: Suteikti prieigą prie naujo RPC dinaminis prievadų sritis dėl konkrečių potinkliai prireikus prieiga

Kiekvieno potinklyje, prie kurio buvo suteikta prieiga prie RPC pabaigos taško anksčiau taip pat reikėtų prieigos prie visų jungčių į naują RPC dinaminis prievadų sritis (5001-5021).Jei įjungsite potinkliai pasiekti RPC pabaigos taško, bet ne dinaminis prievadų sritis, programa gali nustoti reaguoti arba kitų problemų gali kilti.Šią komandą suteikia konkretų potinklio prieigos prie prievado į naują RPC dinaminis prievadų sritis:

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP %PORT% from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:%PORT%:TCP -n PASS

Pastaba. Šioje komandoje, taikykite toliau pateikiamus įrašus:

  • "% IPSECTOOL %" reiškia naudoti komandą. Ši komanda yra "ipsecpol.exe" ar "ipseccmd.exe." Kuri naudojama priklauso nuo operacinę sistemą konfigūruojate.

  • "% PRIEVADO" reiškia yra dinaminis prievadų sritis, su kuriuo norite suteikti prieigą.

  • "% POTINKLIO" reiškia nuotolinio IP potinklio norite suteikti prieigą, pvz., 10.1.1.0.

  • "% Šablonas" reiškia naudoti, pvz., 255.255.255.0 potinklio šablonas.Pavyzdžiui, šią komandą leidžia visi kompiuteriai iš 10.1.1.0/255.255.255.0 potinklio prisijungti prie prievadas TCP 5001. Visi kiti kompiuteriai turi savo ryšių numatytąją bloko taisyklę, anksčiau sukurtą šio uosto uždrausta.

    %IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 5001 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:5001:TCP -n PASS

Pastaba. Šią komandą reikia pakartoti kiekvienai potinklio ir prievadą į naują RPC dinaminis prievadų sritis.

Priskirti IPsec strategijos

Pastaba. Komandos šiame skyriuje įsigalioja iš karto.Kai sukuriate blokuoti taisykles ir visus pasirinktinai leisti taisyklės sukonfigūruoti RPC prievadai, priskirti strategija, naudojant šią komandą:

%IPSECTOOL% -w REG -p "Block RPC Ports" –x

Pastaba. Norėdami iš karto priskyrimą strategija, naudokite šią komandą:

%IPSECTOOL% -w REG -p "Block RPC Ports" –y

Pastaba. Norėdami panaikinti strategijos iš registro, naudokite šią komandą:

%IPSECTOOL% -w REG -p "Block RPC Ports" -o

Turite iš naujo pagrindinio kompiuterio, kad pakeitimai įsigaliotų.Pastabos

  • RPC konfigūravimo pakeitimus reikia paleisti iš naujo.

  • IPsec strategijos pakeitimai pritaikomi iškart ir nereikia paleisti iš naujo.

Paleidus darbo vietos ar serverio iš naujo RPC sąsajų, naudoti ncacn_ip_tcp protokolo seka ir nenurodo tam tikro TCP prievado, prie kurio jungiasi turės uostą priskirti iš šiuo RPC Runtime RPC serveris paleisties metu.Pastaba. Serveris gali reikėti daugiau nei 20 TCP prievadus. Kad RPC taškų, kuris yra susietas su TCP prievadas ir padidinti šį skaičių, jei turite, galite naudoti komandą rpcdump.exe . Jei norite gauti daugiau informacijos apie tai, kaip gauti RPC iškelties įrankį, apsilankykite šioje "Microsoft" svetainėje:

http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.