Kaip užblokuoti konkrečius tinklo protokolus ir prievadus naudojant IPSec

Suvestinė

Interneto protokolo saugos (IPSec) filtravimo taisykles galima naudoti siekiant apsaugoti "Windows 2000", "Windows XP" ir "Windows Server 2003" kompiuterius nuo tinklo atakų, pvz., virusų ir kirminų. Šiame straipsnyje aprašyta, kaip filtruoti tam tikrą protokolą ir prievadų derinį gaunamam ir siunčiamam tinklo srautui. Jame yra veiksmų, ar yra bet kokių IPSec strategijų, kurios šiuo metu priskirtos "Windows" 2000, "Windows XP" arba "Windows Server 2003" kompiuteriui, veiksmai, kaip kurti ir priskirti naują IPSec strategiją, ir veiksmai, skirti anuliuoti ir panaikinti IPSec strategiją.

Daugiau informacijos

IPSec strategijas galima taikyti vietoje arba taikyti domeno nariui kaip šio domeno grupės strategijų dalį. Vietinio IPSec strategijų gali būti statinis (išliekantis paleidus iš naujo) arba dinaminis (nepastovus). Statinis IPSec strategijos yra parašyta vietiniame registre ir išlieka paleidus operacinę sistemą iš naujo. Dinaminis IPSec strategijos nėra visam laikui parašyta registre ir pašalinamos, jei iš naujo veikia operacinė sistema arba IPSec strategijos agento tarnyba. Svarbu. Šiame straipsnyje pateikiama informacija apie registro redagavimą naudojant Ipsecpol. exe. Prieš pradėdami redaguoti registrą, įsitikinkite, kad suprantate, kaip ją atkurti, jei kyla problemų. Informacijos, kaip kurti atsargines kopijas, atkurti ir redaguoti registrą, rasite spustelėję toliau nurodytą straipsnio numerį ir peržiūrėkite straipsnį "Microsoft" žinių bazėje:

"Microsoft Windows" registro aprašas   Pastaba IPSec filtrų taisyklės gali sukelti tinklo programų prarasti duomenis ir nereaguoti į tinklo užklausas, įskaitant vartotojų autentifikavimo nepakankamumą. Naudokite IPSec filtro taisykles kaip gynybinę priemonę, kuri yra paskutinė išeitis, ir tik tada, kai aiškiai suvokiu, kokį poveikį turi jūsų aplinkai blokuojantis konkretus prievadas. Jei IPSec strategija, kurią sukūrėte naudodami šiame straipsnyje išvardytus veiksmus, yra nepageidautinų efektų tinklo programose, skaitykite šio straipsnio skyriuje "anuliuoti ir naikinti IPSec strategiją" instrukcijas, kaip nedelsiant išjungti ir panaikinti strategiją.

Nustatymas, ar priskirtas IPSec strategija

"Windows Server 2003" kompiuteriuose

Prieš kurdami arba priskirdami naujas IPSec strategijas "Windows Server" 2003 kompiuteryje, nustatykite, ar IPSec strategijos taikomos iš vietinio registro arba per grupės strategijos objektą (GPO). Norėdami tai atlikti, vykdykite toliau nurodytus veiksmus.

  1. Įdiekite "Netdiag. exe" iš "Windows Server" 2003 kompaktinio disko, paleisdami "Suptools. msi" aplanke palaikymas \ įrankiai.

  2. Atidarykite komandinę eilutę ir nustatykite darbinį aplanką į C:\Program Files\Support Tools.

  3. Vykdykite šią komandą, kad patikrintumėte, ar nėra jau priskirtos esamos IPSec strategijos:

    "" Netdiag ""/Test: IPsec Jei nepriskirta jokia strategija, galite gauti šį pranešimą:

    IP saugos testas. . . . . . . . . : Perduota IPSec strategijos tarnyba yra aktyvi, bet jokia strategija nepriskirta.

Kompiuteriuose su "Windows XP"

Prieš kurdami arba priskirdami naujas IPSec strategijas kompiuteryje, kuriame įdiegta "Windows XP", nustatykite, ar IPSec strategijos taikomos iš vietinio registro arba GPO. Norėdami tai atlikti, vykdykite toliau nurodytus veiksmus.

  1. Įdiekite "Netdiag. exe" iš "Windows XP" kompaktinio disko, paleisdami setup. exe aplanke palaikymas \ įrankiai.

  2. Atidarykite komandinę eilutę ir nustatykite darbinį aplanką į C:\Program Files\Support Tools.

  3. Vykdykite šią komandą, kad patikrintumėte, ar nėra jau priskirtos esamos IPSec strategijos:

    "" Netdiag ""/Test: IPsec Jei nepriskirta jokia strategija, galite gauti šį pranešimą:

    IP saugos testas. . . . . . . . . : Perduota IPSec strategijos tarnyba yra aktyvi, bet jokia strategija nepriskirta.

"Windows" 2000 kompiuteriuose

Prieš kurdami arba priskirdami naujas IPSec strategijas "Windows" 2000 pagrįstam kompiuteriui, nustatykite, ar IPSec strategijos taikomos iš vietinio registro arba GPO. Norėdami tai atlikti, vykdykite toliau nurodytus veiksmus.

  1. Įdiekite "Netdiag. exe" iš "Windows" 2000 kompaktinio disko, paleisdami setup. exe aplanke palaikymas \ įrankiai.

  2. Atidarykite komandinę eilutę ir nustatykite darbinį aplanką į C:\Program Files\Support Tools.

  3. Vykdykite šią komandą, kad patikrintumėte, ar nėra jau priskirtos esamos IPSec strategijos:

    "" Netdiag ""/Test: IPsec Jei nepriskirta jokia strategija, galite gauti šį pranešimą:

    IP saugos testas. . . . . . . . . : Perduota IPSec strategijos tarnyba yra aktyvi, bet jokia strategija nepriskirta.

Statinio strategijos kūrimas eismui blokuoti

"Windows Server 2003" ir "Windows XP" kompiuteriuose

Sistemose, kuriose nėra įgalintos vietos apibrėžtos IPSec strategijos, sukurkite naują vietinę statinę strategiją, kad užblokuotumėte srautą, nukreipiantį į konkretų protokolą, ir konkretų prievadą "Windows Server" 2003 ir "Windows XP" kompiuteriuose. Norėdami tai atlikti, vykdykite toliau nurodytus veiksmus.

  1. Patikrinkite, ar IPSec strategijos agento tarnyba įgalinta ir paleidžiama tarnybų MMC pridėtiniame įrankyje.

  2. Įdiekite IPSeccmd. exe. IPSeccmd. exe yra "Windows XP" 2 pakeitimų paketo (SP2) palaikymo įrankiai dalis. Pastaba "IPSeccmd. exe" veiks "Windows XP" ir "Windows Server" 2003 operacinėse sistemose, bet įrankis pasiekiamas tik iš "Windows XP" SP2 palaikymo įrankių paketo. Daugiau informacijos apie "Windows XP" 2 pakeitimų paketo palaikymo įrankių atsisiuntimą ir diegimą rasite spustelėję toliau nurodytą straipsnio numerį ir peržiūrėkite straipsnį "Microsoft" žinių bazėje:

    "Windows XP" 2 pakeitimų paketo palaikymo įrankiai  

  3. Atidarykite komandinę eilutę ir nustatykite darbinį aplanką į aplanką, kuriame įdiegėte "Windows XP" 2 pakeitimų paketo palaikymo įrankius. Pastaba Numatytasis "Windows XP" SP2 palaikymo įrankių aplankas yra C:\Program Files\Support Tools.

  4. Norėdami sukurti naują vietinio IPSec strategiją ir filtravimo taisyklę, kuri taikoma tinklo srautui iš bet kurio IP adreso į "Windows Server" 2003 arba "Windows XP" kompiuterio, kurį konfigūruojate, IP adresą, naudokite šią komandą. Pastaba Šioje komandoje protokolas ir portnumber yra kintamieji.

    IPSeccmd. exe-w REG-p "blokuoti protokoląportnumber Filter"-r "bloko gavimo protokoloportnumber taisyklė"-f * = 0:portnumber:Protocol -n blokas – x Pavyzdžiui, Norėdami blokuoti tinklo srautą iš bet kurio IP adreso ir šaltinio prievado į paskirties prievadą UDP 1434 "Windows Server 2003" arba "Windows XP" kompiuteryje, įveskite toliau nurodytą reikšmę. Šios strategijos pakanka norint apsaugoti kompiuterius, kurie veikia "Microsoft SQL Server" 2000 iš "Slammer" širdys.

    IPSeccmd. exe-w REG-p "Block UDP 1434 Filter"-r "bloko Inbound UDP 1434 taisyklė"-f * = 0:1434: UDP-n BLOCK-x Toliau pateiktas pavyzdys blokuoja įeinantįjį prieigą prie "TCP Port 80", bet vis tiek leidžia siuntimo TCP 80 prieigą. Šios strategijos pakanka norint apsaugoti kompiuterius, kurie "Microsoft" interneto informacijos tarnybų (IIS) "5,0" naudoja "Code Red" širdys ir "Nimda" širdys.

    IPSeccmd. exe-w REG-p "blokuoti TCP 80 Filter"-r "blokuoti gautiną TCP 80 taisyklę"-f * = 0:80: TCP-n BLOCK-x Pastaba -X perjungtuvas priskiria strategiją iškart. Jei įvedate šią komandą, "blokuoti UDP 1434 Filter" strategija yra nepriskirta ir priskiriamas "blokuoti TCP 80 filtrą". Norėdami įtraukti strategiją, bet nepriskirti strategijos, įveskite komandą be -x jungiklio pabaigoje.

  5. Norėdami įtraukti papildomą filtravimo taisyklę į esamą "Block UDP 1434 Filter" strategiją, blokuojančią tinklo srautą, kuris yra iš jūsų "Windows Server 2003" arba "Windows XP" kompiuterio į bet kurį IP adresą, naudokite šią komandą. Pastaba Šioje komandoje protokolo ir Portnumber yra kintamieji:

    IPSeccmd. exe-w REG-p "blokuoti protokoląportnumberFilter"-r "bloko siuntimo protokoloportnumber taisyklė"-f * 0 =:portnumber:protokolo -n blokas Pavyzdžiui, Norėdami užblokuoti visus tinklo srautus, kurie kilę iš jūsų "Windows Server" "2003" arba "Windows XP" kompiuteryje, kuris nukreiptas į UDP 1434, įveskite toliau nurodytą. Šios strategijos pakanka, kad būtų išvengta kompiuterio, kuriame veikia "SQL Server" 2000, išbarstyti "Slammer" širdys.

    IPSeccmd. exe-w REG-p "blokuoti UDP 1434 Filter"-r "blokuoti išeinančius UDP 1434 taisyklę"-f 0 = *: 1434: UDP-n BLOCK Pastaba Naudodami šią komandą galite įtraukti tiek filtravimo taisyklių į norimą strategiją. Pavyzdžiui, galite naudoti šią komandą Norėdami užblokuoti kelis prievadus naudodami tą pačią strategiją.

  6. 5 veiksmo strategija dabar bus įgyvendinta ir išliks kaskart, kai kompiuteris bus paleistas iš naujo. Tačiau, jei vėlesne domeno "IPSec" strategija yra priskirta kompiuteriui, ši vietinė politika bus pervardojama ir nebebus taikoma. Norėdami patikrinti, ar sėkmingai priskyrimą savo filtravimo taisyklę, nustatykite darbinį aplanką į C:\Program Files\Support Tools komandinėje eilutėje, tada įveskite šią komandą:

    "" Netdiag ""/Test: IPsec/derinti Jei į gaunamų ir išeinančio srauto taisykles priskiriami šie pavyzdžiai, gausite šį pranešimą:

    IP saugos testas. . . . . . . . . : Praėjo vietinio IPSec strategijos aktyvus: "blokuoti UDP 1434 Filter" IP saugos strategijos kelias: SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy {D239C599-F945-47A3-A4E3-B37BC12826B9} Yra 2 filtrai Nėra vardo Filtro ID: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592} Strategijos ID: {509492EA-1214-4F50-BF43-9CAC2B538518} Src addr: 0.0.0.0 src kaukė: 0.0.0.0 Dest addr: 192.168.1.1 dest Mask: 255.255.255.255 Tunelio addr: 0.0.0.0 src prievadas: 0 dest Port: 1434 Protokolas: 17 TunnelFilter: ne Vėliavėlės: gaunamas blokas Nėra vardo Filtro ID: {9B4144A6-774F-4AE5-B23A-51331E67BAB2} Strategijos ID: {2DEB01BD-9830-4067-B58A-AADFC8659BE5} Src addr: 192.168.1.1 src Mask: 255.255.255.255 Dest addr: 0.0.0.0 dest Mask: 0.0.0.0 Tunelio addr: 0.0.0.0 src prievadas: 0 dest Port: 1434 Protokolas: 17 TunnelFilter: ne Vėliavėlės: siuntimo blokas Pastaba IP adresai ir grafinė vartotojo sąsaja (GUID) numeriai skirsis pagal jūsų "Windows Server" 2003 arba "Windows XP" kompiuteryje.

"Windows" 2000 kompiuteriuose

Jei sistemos nėra vietoje apibrėžtos IPSec strategijos, atlikite toliau nurodytus veiksmus, kad sukurtumėte naują vietinę statinę strategiją, skirtą blokuoti srautą, nukreipiantį į konkretų protokolą ir prievadą "Windows" 2000 kompiuteryje, kuriame nėra priskirtos esamos IPSec strategijos:

  1. Patikrinkite, ar IPSec strategijos agento tarnyba įgalinta ir paleidžiama tarnybų MMC pridėtiniame įrankyje.

  2. Atidarykite komandinę eilutę ir nustatykite darbinį aplanką į aplanką, kuriame įdiegėte Ipsecpol. exe. Pastaba Numatytasis Ipsecpol. exe aplankas yra C:\Program Files\Resource kit.

  3. Norėdami sukurti naują vietinio IPSec strategiją ir filtravimo taisyklę, kuri taikoma tinklo srautui iš bet kurio IP adreso į "Windows" 2000 kompiuterio, kuriame konfigūruojate, IP adresą, naudokite šią komandą, kur Protokolas ir portnumber yra kintamieji:

    ipsecpol-w REG-p "bloko protokoloportnumber Filter"-r "bloko gavimo protokoloportnumber taisyklė"-f * = 0:portnumber:Protocol -n blokas – x Pavyzdžiui, Norėdami užblokuoti tinklo srautą iš bet kurio IP adreso ir šaltinio prievado į paskirties prievadą UDP 1434 "Windows 2000" kompiuteryje, įveskite toliau nurodytą reikšmę. Šios strategijos pakanka norint apsaugoti kompiuterius, kurie veikia "Microsoft SQL Server" 2000 iš "Slammer" širdys.

    ipsecpol-w REG-p "Block UDP 1434 Filter"-r "bloko Inbound UDP 1434 taisyklė"-f * = 0:1434: UDP-n BLOCK-x Toliau pateiktas pavyzdys blokuoja įeinantįjį prieigą prie "TCP Port 80", bet vis tiek leidžia siuntimo TCP 80 prieigą. Šios strategijos pakanka norint apsaugoti kompiuterius, kurie "Microsoft" interneto informacijos tarnybų (IIS) "5,0" naudoja "Code Red" ir "Nimda" kirminus.

    ipsecpol-w REG-p "blokuoti TCP 80 Filter"-r "bloko Inbound TCP 80 taisyklė"-f * = 0:80: TCP-n BLOCK-x Pastaba -X perjungtuvas priskiria strategiją iškart. Jei įvedate šią komandą, "Block UDP 1434 Filter" strategija yra nepriskirta, o "blokuoti TCP 80 filtrą" priskiriamas. Norėdami įtraukti, bet nepripriskirti strategijos, įveskite komandą be -x jungiklio pabaigoje.

  4. Norėdami įtraukti papildomą filtravimo taisyklę į esamą "Block UDP 1434 Filter" strategiją, kuri blokuoja tinklo srautą, sukurtą iš jūsų "Windows" 2000 kompiuterio, į bet kurį IP adresą, naudokite šią komandą, kai protokolas ir Portnumber yra kintamieji:

    ipsecpol-w REG-p "blokuoti protokoląportnumberFilter"-r "blokuoti siuntimo protokoloportnumber taisyklė"-f * 0 =:portnumber:protokolo -n blokas Pavyzdžiui, Norėdami užblokuoti visus tinklo srautus, kurie kilę iš jūsų "Windows" 2000 kompiuterio, kuris nukreiptas į UDP 1434, įveskite toliau nurodytą. Šios strategijos užtenka, kad būtų išvengta kompiuterio, kuriame veikia "SQL Server 2000", išbarstyti "Slammer" širdys.

    ipsecpol-w REG-p "blokuoti UDP 1434 Filter"-r "blokuoti išeinančius UDP 1434 taisyklę"-f 0 = *: 1434: UDP-n blokas Pastaba Naudodami šią komandą galite įtraukti tiek filtravimo taisyklių į norimą strategiją (pvz., Norėdami užblokuoti kelis prievadus naudodami tą pačią strategiją).

  5. 5 veiksmo strategija dabar bus įgyvendinta ir išliks kaskart, kai kompiuteris bus paleistas iš naujo. Tačiau, jei vėlesne domeno "IPSec" strategija yra priskirta kompiuteriui, ši vietinė politika bus pervardojama ir nebebus taikoma. Norėdami patikrinti sėkmingą filtravimo taisyklės užduotį, komandinėje eilutėje nustatykite darbinį aplanką į C:\Program Files\Support Tools ir įveskite šią komandą:

    "" Netdiag ""/Test: IPsec/derinti Jei, kaip ir toliau pateiktuose pavyzdžiuose, yra priskirtos gavimo ir siuntimo srauto strategijos, gausite šį pranešimą:

    IP saugos testas. . . . . . . . . : Praėjo vietinio IPSec strategijos aktyvus: "blokuoti UDP 1434 Filter" IP saugos strategijos kelias: SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy {D239C599-F945-47A3-A4E3-B37BC12826B9} Yra 2 filtrai Nėra vardo Filtro ID: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592} Strategijos ID: {509492EA-1214-4F50-BF43-9CAC2B538518} Src addr: 0.0.0.0 src kaukė: 0.0.0.0 Dest addr: 192.168.1.1 dest Mask: 255.255.255.255 Tunelio addr: 0.0.0.0 src prievadas: 0 dest Port: 1434 Protokolas: 17 TunnelFilter: ne Vėliavėlės: gaunamas blokas Nėra vardo Filtro ID: {9B4144A6-774F-4AE5-B23A-51331E67BAB2} Strategijos ID: {2DEB01BD-9830-4067-B58A-AADFC8659BE5} Src addr: 192.168.1.1 src Mask: 255.255.255.255 Dest addr: 0.0.0.0 dest Mask: 0.0.0.0 Tunelio addr: 0.0.0.0 src prievadas: 0 dest Port: 1434 Protokolas: 17 TunnelFilter: ne Vėliavėlės: siuntimo blokas Pastaba IP adresai ir grafinės vartotojo sąsajos (GUID) numeriai bus kitokie. Jie atspindės jūsų "Windows" 2000 pagrįstą kompiuterį.

Konkretaus protokolo ir prievado bendrosios taisyklės įtraukimas

"Windows Server 2003" ir "Windows XP" kompiuteriuose

Norėdami įtraukti konkretaus protokolo ir prievado, esančio "Windows Server" 2003 "arba" Windows XP "kompiuteryje, kuriame yra esama vietinio priskirto statinio IPSec strategijos, blokavimą, atlikite šiuos veiksmus:

  1. Įdiekite IPSeccmd. exe. IPSeccmd. exe yra "Windows XP" SP2 palaikymo įrankių dalis. Daugiau informacijos apie "Windows XP" 2 pakeitimų paketo palaikymo įrankių atsisiuntimą ir diegimą rasite spustelėję toliau nurodytą straipsnio numerį ir peržiūrėkite straipsnį "Microsoft" žinių bazėje:

    "Windows XP" 2 pakeitimų paketo palaikymo įrankiai  

  2. Identifikuokite šiuo metu priskirtos IPSec strategijos pavadinimą. Norėdami tai padaryti, komandų eilutėje įveskite:

    "" Netdiag ""/Test: IPsec Jei strategija priskiriama, gausite pranešimą, panašų į šį:

    IP saugos testas. . . . . . . . . : Praėjo Vietinio IPSec strategijos aktyvus: ' blokuoti UDP 1434 filtrą '

  3. Jei yra IPSec strategiją, jau priskirtą kompiuteriui (vietinis arba domenas), naudokite šią komandą, kad įtrauktumėte papildomą bloko filtro taisyklę į esamą IPSec strategiją. PastabaŠioje komandoje Existing_IPSec_Policy_NameProtokolasir portnumber yra kintamieji.

    IPSeccmd. exe-p "Existing_IPSec_Policy_Name"-w reg-r "blokas Protokoloportnumber taisyklė "-f * = 0:portnumber:protokolo -n blokas Pavyzdžiui, Norėdami įtraukti filtro taisyklę, kad būtų Blokuota įeinančio prieigos prie TCP prievado 80 į esamą bloko UDP 1434 filtrą, įveskite šią komandą:

    IPSeccmd. exe-p "Block UDP 1434 Filter"-w REG-r "bloko Inbound TCP 80 taisyklė"-f * = 0:80: TCP-n blokas

"Windows" 2000 kompiuteriuose

Norėdami įtraukti konkretaus protokolo ir prievado, esančio "Windows" 2000 kompiuteryje, blokinę taisyklę su esama lokaliai priskirta statine IPSec strategija, atlikite šiuos veiksmus:

  1. Apsilankykite šioje "Microsoft" svetainėje, kad atsisiųstumėte ir įdiegtumėte Ipsecpol. exe:

  2. Identifikuokite šiuo metu priskirtos IPSec strategijos pavadinimą. Norėdami tai padaryti, komandų eilutėje įveskite:

    "" Netdiag ""/Test: IPsec Jei strategija priskiriama, gausite pranešimą, panašų į šį:

    IP saugos testas. . . . . . . . . : Praėjo Vietinio IPSec strategijos aktyvus: ' blokuoti UDP 1434 filtrą '

  3. Jei "IPSec" strategija jau priskirta kompiuteriui (vietiniam arba domenui), naudokite šią komandą, kad įtrauktumėte papildomą bloko filtravimo taisyklę į esamą IPSec strategiją, kur Existing_IPSec_Policy_Name, Protokolasir portnumber yra kintamieji:

    "ipsecpol-p"Existing_IPSec_Policy_Name"-w reg-r" blokas Protokoloportnumber taisyklė "-f * = 0:portnumber:protokolo -n blokas Pavyzdžiui, Norėdami įtraukti filtro taisyklę, kad būtų Blokuota įeinančio prieigos prie TCP prievado 80 į esamą bloko UDP 1434 filtrą, įveskite šią komandą:

    ipsecpol-p "Block UDP 1434 Filter"-w REG-r "bloko Inbound TCP 80 taisyklė"-f * = 0:80: TCP-n blokas

Dinaminio bloko strategijos įtraukimas į konkretų protokolą ir prievadą

"Windows Server" 2003 ir "Windows XP" kompiuteriuose

Galbūt norėsite laikinai užblokuoti prieigą prie konkretaus prievado. Pvz., galbūt norėsite užblokuoti konkretų prievadą, kol įdiegsite karštąją pataisą, arba jei kompiuteris jau yra susietas su domeno IPSec strategija. Norėdami laikinai užblokuoti prieigą prie prievado "Windows Server" 2003 arba "Windows XP" kompiuteryje naudodami IPSec strategiją, atlikite šiuos veiksmus:

  1. Įdiekite IPSeccmd. exe. IPSeccmd. exe yra "Windows XP" 2 pakeitimų paketo palaikymo įrankių dalis. Pastaba "IPSeccmd. exe" veiks "Windows XP" ir "Windows Server" 2003 operacinėse sistemose, bet įrankis pasiekiamas tik iš "Windows XP" SP2 palaikymo įrankių paketo. Daugiau informacijos apie tai, kaip atsisiųsti ir įdiegti "Windows XP" 2 pakeitimų paketo palaikymo įrankius, rasite spustelėję toliau nurodytą straipsnio numerį ir peržiūrėkite straipsnį "Microsoft" žinių bazėje:

    "Windows XP" 2 pakeitimų paketo palaikymo įrankiai  

  2. Norėdami įtraukti dinaminio bloko filtrą, kuris blokuoja visus paketus iš bet kurio IP adreso į jūsų sistemos IP adresą ir tikslinį prievadą, komandų eilutėje įveskite: Pastaba Į šią komandą, protokolas ir Portnumber yra kintamieji.

    IPseccmd. exe-f [* = 0:portnumber:Protocol] Pastaba Ši komanda dinamiškai sukuria bloko filtrą. Strategija lieka priskirta tol, kol veikia IPSec strategijos agento tarnyba. Jei IPSec strategijos agento tarnyba paleidžiama iš naujo arba iš naujo paleisite kompiuterį, ši strategija bus prarasta. Jei norite dinamiškai iš naujo priskirti IPSec filtravimo taisyklę kaskart, kai sistema paleidžiama iš naujo, sukurkite paleisties scenarijų, kad iš naujo pritaikytumėte filtravimo taisyklę. Jei norite visam laikui taikyti šį filtrą, sukonfigūruokite filtrą kaip statišką IPSec strategiją. IPSec strategijos valdymo MMC pridėtinis įrankis pateikia grafinę vartotojo sąsają, skirtą IPSec strategijos konfigūracijai. Jei domenas pagrįstas IPsec strategija jau taikoma, komanda " " Netdiag ""/Test: IPsec/derinti gali Rodyti tik filtro išsamią informaciją, jei komandą vykdo vartotojas, turintis domeno administratoriaus kredencialus.

"Windows" 2000 kompiuteriuose

Galbūt norėsite laikinai užblokuoti konkretų prievadą (pvz., kol bus įdiegta karštoji pataisa arba, jei kompiuteryje jau yra priskirta su domenais pagrįsta IPSec strategija). Norėdami laikinai užblokuoti prieigą prie "Windows" 2000 kompiuterio prievado, naudodami IPSec strategiją, atlikite šiuos veiksmus:

  1. Apsilankykite šioje "Microsoft" svetainėje, kad atsisiųstumėte ir įdiegtumėte Ipsecpol. exe:

  2. Norėdami įtraukti dinaminio bloko filtrą, kuris blokuoja visus paketus iš bet kurio IP adreso į jūsų sistemos IP adresą ir tikslinį prievadą, komandų eilutėje įveskite: Portnumber yra kintamieji:

    ipsecpol-f [* = 0:portnumber:Protocol] Pastaba Ši komanda sukuria bloko filtrą dinamiškai, o strategija liks priskirta tol, kol veikia IPSec strategijos agento tarnyba. Jei IPSec tarnyba paleidžiama iš naujo arba perkrovus kompiuterį, šis parametras bus prarastas. Jei norite dinamiškai iš naujo priskirti IPSec filtravimo taisyklę kaskart, kai sistema paleidžiama iš naujo, sukurkite paleisties scenarijų, kad iš naujo pritaikytumėte filtravimo taisyklę. Jei norite visam laikui taikyti šį filtrą, sukonfigūruokite filtrą kaip statišką IPSec strategiją. IPSec strategijos valdymo MMC pridėtinis įrankis pateikia grafinę vartotojo sąsają, skirtą IPSec strategijos konfigūracijai. Jei domenas pagrįstas IPsec strategija jau taikoma, komanda " " Netdiag ""/Test: IPsec/derinti gali Rodyti tik filtro išsamią informaciją, jei komandą vykdo vartotojas, turintis domeno administratoriaus kredencialus. Atnaujintą "Netdiag. exe" versiją bus galima naudoti "Windows 2000" 4 pakeitimų pakete, kuris leis vietiniams administratoriams Peržiūrėti domeno "IPSec" strategiją.

IPSec filtravimo taisyklės ir grupių strategija

Aplinkoms, kuriose IPSec strategijos priskirtos grupės strategijos parametrui, turite atnaujinti viso domeno strategiją, kad užblokuotumėte konkretų protokolą ir prievadą. Sėkmingai sukonfigūravę grupės strategijos IPSec parametrus, turite įgalinti grupės strategijos parametrų naujinimą visuose "Windows Server" 2003, "Windows XP" ir "Windows 2000" kompiuteriuose domene. Norėdami tai padaryti, naudokite šią komandą:

Secedit/atnaujinimo strategija machine_policy IPSec strategijos keitimas bus aptiktas per vieną iš dviejų skirtingų apklausos intervalų. Naujai priskirtoms IPSec strategijai, taikomai GPO, IPSec strategija bus taikoma klientams per grupės strategijos apklausos intervalo nustatytą laiką arba kai kliento kompiuteryje vykdoma komanda Secedit/atnaujinimo strategija machine_policy . Jei IPSec strategija jau priskirta GPO ir naujus IPSec filtrus arba taisyklės yra įtrauktos į esamą strategiją, komanda Secedit nekeis IPsec atpažinti. Pagal šį scenarijų, esamos GPO pagrindu IPSec strategijos pakeitimai bus aptikti, kad IPSec strategijos savo apklausos intervalą. Šis intervalas nurodytas tos IPSec strategijos skirtuke Bendrasis . Taip pat galite atnaujinti IPSec strategijos parametrus iš naujo paleidę IPSec strategijos agento tarnybą. Jei IPSec tarnyba sustojo arba iš naujo, IPSec apsaugoti ryšiai bus nutrauktas ir užtruks keletą sekundžių atnaujinti. Tai gali sukelti programos ryšių atjungimą, ypač ryšių, kurie aktyviai perkelia dideles duomenų apimtis. Tais atvejais, kai IPSec strategija taikoma tik vietiniame kompiuteryje, jums nereikia iš naujo paleisti tarnybos.

IPSec priskyrimo atšaukimas ir panaikinimas

"Windows Server 2003" ir "Windows XP" kompiuteriuose

  • Kompiuteriai, kuriuose yra vietinė nustatyta statinė strategija

    1. Atidarykite komandinę eilutę ir nustatykite darbinį aplanką į aplanką, kuriame įdiegėte Ipsecpol. exe.

    2. Norėdami panaikinti anksčiau sukurtą filtrą, naudokite šią komandą:

      IPSeccmd. exe-w REG-p "bloko protokoloportnumber Filter" – y Pvz., Norėdami panaikinti "Block UDP 1434" filtrą, kurį sukūrėte anksčiau, naudokite šią komandą:

      IPSeccmd. exe-w REG-p "blokuoti UDP 1434 Filter"-y

    3. Norėdami panaikinti sukurtą filtrą, naudokite šią komandą:

      IPSeccmd. exe-w REG-p "blokuoti protokoląportnumber Filter"-r "bloko protokoloportnumber taisyklė" – o Pavyzdžiui, Norėdami panaikinti "Block UDP 1434 Filter" filtrą ir abi sukurtas taisykles, naudokite šią komandą:

      IPSeccmd. exe-w REG-p "blokuoti UDP 1434 Filter"-r "blokuoti atvykstamąjį UDP 1434 taisyklę"-r "blokuoti išeinančius UDP 1434 taisyklę"-o

  • Kompiuteriai, kuriuose yra vietinė nustatyta dinamiška strategija Dinaminis IPSec strategija yra anuliuojamas, jei IPSec strategijos agento tarnyba sustabdyta naudojant komandą " net stop " strategijos agentas. Norėdami panaikinti konkrečias komandas, naudotas nesustabdžius IPSec strategijos agento tarnybos, atlikite šiuos veiksmus:

    1. Atidarykite komandinę eilutę ir nustatykite darbinį aplanką į aplanką, kuriame įdiegėte "Windows XP" 2 pakeitimų paketo palaikymo įrankius.

    2. Įveskite šią komandą:

      IPSeccmd.exe –u Pastaba Taip pat galite iš naujo paleisti IPSec strategijos agento tarnybą, kad išvalytumėte visas dinamiškai priskirtas strategijas.

"Windows" 2000 kompiuteriuose

  • Kompiuteriai su vietine nustatyta statiška politika

    1. Atidarykite komandinę eilutę ir nustatykite darbinį aplanką į aplanką, kuriame įdiegėte Ipsecpol. exe.

    2. Norėdami panaikinti anksčiau sukurtą filtrą, naudokite šią komandą:

      ipsecpol-w REG-p "bloko protokoloportnumber Filter" – y Pvz., Norėdami panaikinti "Block UDP 1434" filtrą, kurį sukūrėte anksčiau, naudokite šią komandą:

      ipsecpol-w REG-p "blokuoti UDP 1434 Filter"-y

    3. Norėdami panaikinti sukurtą filtrą, naudokite šią komandą:

      ipsecpol-w REG-p "bloko protokoloportnumber Filter"-r "bloko protokoloportnumber taisyklė" – o Pavyzdžiui, Norėdami panaikinti "Block UDP 1434 Filter" filtrą ir abi taisykles, kurias sukūrėte anksčiau, naudokite šią komandą:

      ipsecpol-w REG-p "blokuoti UDP 1434 Filter"-r "blokuoti atvykstamąjį UDP 1434 taisyklę"-r "blokuoti išeinančius UDP 1434 taisyklę"-o

  • Kompiuteriai su vietoje apibrėžta dinamine strategija Dinaminis IPSec strategija bus anuliuojamas, jei bus sustabdyta IPSec strategijos agento tarnyba (naudodami komandą grynasis sustabdyti strategijos agentą ). Tačiau Norėdami panaikinti konkrečias anksčiau naudotas komandas, nestabdydami IPSec strategijos agento tarnybos, atlikite šiuos veiksmus:

    1. Atidarykite komandinę eilutę ir nustatykite darbinį aplanką į aplanką, kuriame įdiegėte Ipsecpol. exe.

    2. Įveskite šią komandą:

      Ipsecpol – u Pastaba Taip pat galite iš naujo paleisti IPSec strategijos agento tarnybą, kad išvalytumėte visas dinamiškai priskirtas strategijas.

Naujos filtro taisyklės taikymas visiems protokolams ir prievadams

Pagal numatytuosius "Microsoft Windows" 2000 ir "Microsoft Windows XP", IPSec atleidžia transliaciją, Multicast, RSVP, IKE ir Kerberos srautą iš visų filtravimo ir autentifikavimo apribojimų. Jei norite gauti papildomos informacijos apie šias išimtis, spustelėkite toliau pateiktą straipsnio numerį ir peržiūrėkite straipsnį "Microsoft" žinių bazėje:

Srautas, kuris gali būti--ir negali būti apsaugotas "IPSec"   Kai IPSec yra naudojama tik leisti ir blokuoti eismą, pašalinkite "Kerberos" ir RSVP protokolų išimtis keisdami registro reikšmę. Norėdami gauti išsamios informacijos apie tai, kaip tai padaryti, spustelėkite toliau pateiktą straipsnio numerį ir peržiūrėkite straipsnį "Microsoft" žinių bazėje:

IPSec neužtikrina "Kerberos" srauto tarp domeno valdiklių   Vykdydami šias instrukcijas, galite padėti apsaugoti UDP 1434 net tais atvejais, kai įsibrovėliai gali nustatyti jų šaltinio prievadą "TCP/UDP 88" Kerberos prievadus. Pašalinus "Kerberos" išimtis, "Kerberos" paketai dabar bus derinami su visais "IPSec" strategijos filtrais. Todėl Kerberos gali būti apsaugota IPSec, blokuojama arba leidžiama. Todėl, jei IPSec filtrai atitinka Kerberos srautą, kuris eina į domeno valdiklio IP adresus, jums gali tekti pakeisti IPSec strategijos dizainą, kad įtrauktumėte naujų filtrų, leidžiančių "Kerberos" srautą prie kiekvieno domeno valdiklio IP adreso (jei nenaudojate IPSec, kad apsaugotumėte visą srautą tarp domeno valdiklių kaip žinių bazės straipsnį 254728).

IPSec filtravimo taisyklių taikymas kompiuteriui paleidus iš naujo

Visos IPSec strategijos priklauso IPSec strategijos agento tarnybai, kuri bus priskirta. Kai kompiuteryje, kuriame veikia "Windows 2000", yra paleisties procesas, IPSec strategijos agento tarnyba nebūtinai yra pirmoji tarnyba, kuri bus paleista. Todėl gali būti trumpas momentas, kai kompiuterio tinklo ryšys yra pažeidžiamas virusų ar kirminų atakų. Ši situacija taikoma tik tuo atveju, jei potencialiai pažeidžiama tarnyba sėkmingai paleista ir yra priimanti ryšius prieš IPSec "Policy Agent" tarnyba visiškai pradėjo ir priskyrė visas strategijas.

Reikia daugiau pagalbos?

Tobulinkite savo įgūdžius
Ieškoti mokymo
Pirmiausia gaukite naujų funkcijų
Prisijungti prie "Microsoft Insider"

Ar ši informacija buvo naudinga?

Dėkojame už jūsų atsiliepimus!

Dėkojame už jūsų atsiliepimą! Panašu, kad gali būti naudinga jus sujungti su vienu iš mūsų „Office“ palaikymo agentų.

×