Pierakstīties, izmantojot Microsoft
Pierakstīties vai izveidot kontu
Sveicināti!
Atlasīt citu kontu.
Jums ir vairāki konti
Izvēlieties kontu, ar kuru vēlaties pierakstīties.

Kopsavilkums

Šajā rakstā ir izklāstīts, kā konfigurēt izsaukumu RPC, kas jāizmanto dinamiskā noteiktu portu virkni un kā aizsargāt porti šajā apgabalā, izmantojot interneta protokola drošība (IPsec) politiku. Pēc noklusējuma izmanto RPC porti izplatītā portu diapazonu (1024-5000) piešķirot RPC programmām, ko klausīties galapunktā TCP portu. Šāda situācija var veikt ierobežotu piekļuvi šiem portiem izaicinājumu tīkla administratoriem. Šajā rakstā ir izklāstīts, kā samazināt pieejami lietojumprogrammām RPC portu skaits un to, kā ierobežot piekļuvi šiem portiem, izmantojot reģistra IPsec politikas.

Šajā rakstā aprakstītās darbības ietver datora līmeņa izmaiņas, kas nepieciešams restartēt datoru, jo šīs darbības ir jāveic vispirms nonproduction vidē, lai noteiktu lietojumprogrammu saderības problēmas, kas var rasties tādēļ, ka šīs izmaiņas.

Papildinformācija

Pastāv vairākas konfigurācijas uzdevumus, kas jāveic pārvietot, samazināt un ierobežot piekļuvi RPC portus.

Pirmkārt, jābūt tikai mazāka, pārvaldāmam portu diapazonu, kurā ir vieglāk bloķēt, izmantojot ugunsmūri vai IPsec politikas RPC dinamisku portu diapazonu. Pēc noklusējuma RPC dinamiski piešķir portu diapazonā no 1024 līdz 5000 galapunktu nevar norādīt portu, kas klausās.

Piezīme
Šajā rakstā izmanto portu virkni 5001 līdz 5021. Tādējādi samazinās pieejami RPC galapunktu no 20 3,976 portu skaits. Portu skaits izvēlēts patvaļīgi un nav nepieciešami jebkuru konkrētu sistēmu portu skaits ieteikumu.




Pēc tam jāveido ierobežot piekļuvi liegtu piekļuvi visiem resursdatoriem tīkla portu diapazona IPsec politika.

Visbeidzot, IPsec politika var atjaunināt sniegt noteiktas IP adreses vai tīkla apakštīkli piekļuves bloķēto RPC portus un visiem pārējiem.

Lai startētu uzdevumu drošas RPC dinamisku portu diapazonu, lejupielādēt RPC konfigurācijas rīks (RPCCfg.exe) un pēc tam kopējiet to darbstacijā vai serverī, kurā ir konfigurēts. Lai to izdarītu, apmeklējiet šo Microsoft Web vietu:

http://www.microsoft.com/downloads/details.aspx?FamilyID=0f9cde2f-8632-4da8-ae70-645e1ddaf369&DisplayLang=enVeikt turpmākos uzdevumus IPsec politikas izveides, lejupielādējiet interneta protokola drošības politikas rīku (Ipsecpol.exe) un pēc tam kopējiet to darbstacijā vai serverī, kurā tiek konfigurēts. Lai to izdarītu, apmeklējiet šo Microsoft Web vietu:

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361Piezīme. Lai izveidotu IPsec politika sistēmai Microsoft Windows XP vai jaunāka operētājsistēmas Windows versiju, izmantojiet Ipseccmd.exe. Ipseccmd.exe ir daļa no Windows XP atbalsta rīki. Sintakse un IPseccmd.exe ir tāds pats kā sintakse un Ipsecpol.exe. Papildinformāciju par Windows XP atbalsta rīki, noklikšķiniet uz šī raksta numura un lasiet Microsoft zināšanu bāzes rakstu:

838079 Windows XP Service Pack 2 atbalsta rīku

Pārvietot un samazināt dinamisku portu diapazonu RPC, izmantojot RPCCfg.exe

Pārvietot un samazināt dinamisku portu diapazonu RPC, izmantojot RPCCfg.exe, rīkojieties šādi:

  1. Kopējiet RPCCfg.exe serverī, kurā ir jābūt konfigurētai

  2. Komandu uzvednē ierakstiet rpccfg.exe-EP 5001-5021 - d 0.
    Piezīme. Šo portu diapazonu ir ieteicams izmantot RPC galapunktu, jo porti šajā diapazonā nav iespējams sadalīt izmantošanai citās programmās. Pēc noklusējuma RPC izmanto portu virkni 1024 līdz 5000 piešķiršanu portu uz galapunktu. Tomēr portu diapazonā arī dinamiski piešķir lietošanai operētājsistēmas Windows visas Windows sockets lietojumprogrammas un var būt izsmelts stipri izmanto termināļa serveriem un daudz izejošie zvani uz attālās sistēmas vidējā līmeņa serveru serveros.

    Piemēram, ja Internet Explorer izveido savienojumu ar Web serveri portā 80, to klausās portu diapazonā 1024 5000 atbilde no servera. Vidējā līmeņa COM serverī, kurā ir izejošie zvani uz citiem attālos serveros arī izmanto portu diapazonā ienākošo atbildi uz šo zvanu. RPC 5001 portu diapazonu tā galapunktu izmanto portu virkni pārceļot samazinās iespēju, ka šie porti būs izmanto citas lietojumprogrammas.
    Lai iegūtu papildinformāciju par īslaicīgu portu noteikšanai Windows operētājsistēmās, apmeklējiet šādas Microsoft Web vietas.

Bloķējot piekļuvi aizsargāti portus attiecīgā resursdatorā IPsec vai ugunsmūra politikas izmantošana

Nākamajā sadaļā aprakstītās komandas, tekstu, kas parādās starp % pazīmes ir paredzēta, lai attēlotu tekstu komandu, jānorāda persona, kas rada IPsec politika. Piemēram, parādās teksts "IPSECTOOL %", kur politika izveidotājs būtu aizstāt tekstu šādi:

  • Sistēmā Windows 2000, aizstājiet "IPSECTOOL %" ar "ipsecpol.exe".

  • Windows XP vai jaunāka Windows versija, aizstājiet "IPSECTOOL %" ar "ipseccmd.exe".

Papildinformāciju par to, kā izmantot IPsec bloku portus, noklikšķiniet uz šī raksta numura un lasiet Microsoft zināšanu bāzes rakstu:

Kā bloķēt konkrētu tīkla protokolu un portu, izmantojot IPSec 813878

Bloķēt piekļuvi RPC galapunkta kartētāja visas IP adreses

Bloķējot piekļuvi RPC galapunkta kartētāja visas IP adreses, izmantojiet tālāk norādīto sintaksi.

Piezīme. Sistēmā Windows XP un jaunākās operētājsistēmās, izmantojiet Ipseccmd.exe. Sistēmā Windows 2000 izmantot Ipsecpol.exe (Windows 2000).

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

Piezīme. Šajā komandā nerakstiet "IPSECTOOL %". Komandu, kas ir pielāgots daļa ir paredzēta "IPSECTOOL %". Piemēram, Windows 2000, ierakstiet šādu komandu no Ipsecpol.exe bloķēt visu ienākošo TCP 135 piekļuvi direktorija:

ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

Sistēmā Windows XP un jaunākās operētājsistēmās, ierakstiet šādu komandu no Ipseccmd.exe bloķēt visu ienākošo TCP 135 piekļuvi direktorija:

ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

Bloķēt piekļuvi visas IP adreses RPC dinamisku portu diapazons

Bloķējot piekļuvi RPC dinamisku portu diapazona visas IP adreses, izmantojiet tālāk norādīto sintaksi.

Piezīme. Sistēmā Windows XP un jaunākās operētājsistēmās, izmantojiet Ipseccmd.exe. Sistēmā Windows 2000 izmantot Ipsecpol.exe (Windows 2000).

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP %PORT% Rule" -f *=0:%PORT%:TCP -n BLOCK

Piezīme. Nerakstiet "IPSECTOOL %" vai "porta %" šajā komandā. "IPSECTOOL %" un "PORTU %" paredzētas veido komandu, kas ir pielāgots. Sistēmā Windows 2000 hosts bloķēt visu ienākošo TCP 5001 piekļuvi, piemēram, ierakstiet šādu komandu:

ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK

Bloķēt visus ienākošos piekļuvi TCP 5001, sistēmā Windows XP resursdatoru un jaunākās Windows operētājsistēmās hosts ierakstiet šādu komandu:

ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK

Atkārtojiet šīs komandas katra RPC portu, kas ir bloķēti, mainot porta numuru, kas norādīts šajā komandā. Porti ir bloķēti ir 5001 5021 diapazonā.

Piezīme. Neaizmirstiet mainīt porta numuru kārtulas nosaukums (slēdzi - r ) un filtra ( -f slēdzis).

Nav obligāti: Piešķirt piekļuvi RPC galapunkta kartētāja par konkrētu apakštīkli nepieciešamības piekļuve

Ja ir jāsniedz konkrētu apakštīkli piekļuvi tikai RPC portus, ir vispirms sniegt šie apakštīkli piekļuves RPC galapunkta kartētāja, tiek bloķētas iepriekš. RPC galapunkta kartētāja sniegt konkrētu apakštīkla piekļuvi, izmantojiet šādu komandu:

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP 135 from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:135:TCP -n PASS

Piezīme. Šajā komandā lietojiet šādus paziņojumus:

  • "IPSECTOOL %" nozīmē izmantot komandu. Šī komanda ir "ipsecpol.exe" vai "ipseccmd.exe". Kura komanda tiek izmantota atkarīgs pēc operētājsistēmas konfigurējat.

  • Attālais IP apakštīkla, kuram vēlaties piešķirt piekļuvi, 10.1.1.0 apzīmē "APAKŠTĪKLS %".

  • "Maska %" apzīmē izmantošanai, piemēram, 255.255.255.0 apakštīkla masku.

    Piemēram, komandu ļauj visiem resursdatoriem no 10.1.1.0/255.255.255.0 apakštīkla pievienot TCP 135 portam. Citām hosts būs sakari liedza noklusējuma bloķēšanas kārtulu, kas tika izveidots pirms šo portu.

    %IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 135 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:135:TCP -n PASS

Papildu: Piešķirt piekļuvi jaunu RPC dinamisku portu diapazonu par konkrētu apakštīkli nepieciešamības piekļuve

Katram apakštīklam, tika piešķirta piekļuve RPC galapunkta kartētāja iepriekš arī jāpiešķir piekļuve visu jauno RPC dinamisku portu diapazonu (5001 5021) portus.

Iespējojot apakštīklos, lai panāktu RPC galapunkta kartētāja, bet nav dinamisku portu diapazonu, programmas var pārstāt reaģēt vai citas problēmas var rasties.

Šo komandu piekļūt konkrētu apakštīkla portu jaunajā RPC dinamisku portu diapazonā:

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP %PORT% from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:%PORT%:TCP -n PASS

Piezīme. Šajā komandā lietojiet šādus paziņojumus:

  • "IPSECTOOL %" nozīmē izmantot komandu. Šī komanda ir "ipsecpol.exe" vai "ipseccmd.exe". Kura komanda tiek izmantota atkarīgs pēc operētājsistēmas konfigurējat.

  • "Porta %" apzīmē portu dinamisku portu diapazonu, lai sniegtu piekļuvi.

  • Attālais IP apakštīkla, kuram vēlaties piešķirt piekļuvi, 10.1.1.0 apzīmē "APAKŠTĪKLS %".

  • "Maska %" apzīmē izmantošanai, piemēram, 255.255.255.0 apakštīkla masku.

    Piemēram, komandu ļauj visiem resursdatoriem no 10.1.1.0/255.255.255.0 apakštīkla pieslēgties TCP 5001 porta. Citām hosts būs sakari liedza noklusējuma bloķēšanas kārtulu, kas tika izveidots pirms šo portu.

    %IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 5001 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:5001:TCP -n PASS

Piezīme. Šī komanda jāatkārto katrai apakštīkla un portu jaunajā RPC dinamisku portu diapazonā.

Piešķirt IPsec politika

Piezīme. Šīs sadaļas komandas stājas spēkā nekavējoties.

Pēc tam, kad izveidojat bloķēšanas kārtulas un papildu atļaut kārtulas konfigurēts RPC portus, piešķirtu politiku, izmantojot šādu komandu:

%IPSECTOOL% -w REG -p "Block RPC Ports" –x

Piezīme. Lai nekavējoties anulējiet politiku, izmantojiet šādu komandu:

%IPSECTOOL% -w REG -p "Block RPC Ports" –y

Piezīme. Lai dzēstu politiku no reģistra, izmantojiet šādu komandu:

%IPSECTOOL% -w REG -p "Block RPC Ports" -o

Resursdatora izmaiņas stātos spēkā, ir jārestartē.

Piezīmes

  • RPC konfigurācijas izmaiņas, ir jārestartē.

  • IPsec politikas izmaiņas stājas spēkā nekavējoties un nav jārestartē.

Pēc restartēšanas darbstacijas vai servera jebkurā RPC interfeisus, kas izmanto ncacn_ip_tcp protokola secība un nenorāda konkrētu TCP portu, kuru piesaistīt būs iedalīti no šī diapazona RPC runtime startējot RPC serveris portu.

Piezīme. Serveris, iespējams, būs nepieciešams vairāk nekā 20 TCP portu. Var izmantot komandu rpcdump.exe galapunktu RPC, kas saistītas ar TCP portu skaita un palielināt šo numuru, ja jums ir. Lai saņemtu papildinformāciju par RPC Dump rīku, apmeklējiet šo Microsoft Web vietu:

http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd

Facebook LinkedIn E-pasts

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Atklāt Kopiena

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Microsoft 365 abonementa priekšrocības

Microsoft 365 apmācība

Microsoft drošība

Pieejamības centrs

Kopienas palīdz uzdot jautājumus un atbildēt uz tiem, sniegt atsauksmes, kā arī saņemt informāciju no ekspertiem ar bagātīgām zināšanām.

Jautājiet Microsoft kopienai

Microsoft Tech kopiena

Programmas Windows Insider dalībnieki

Programmas Microsoft 365 Insider dalībnieki

Vai šī informācija bija noderīga?

Cik lielā mērā esat apmierināts ar valodas kvalitāti?
Kas ietekmēja jūsu pieredzi?
Nospiežot Iesniegt, jūsu atsauksmes tiks izmantotas Microsoft produktu un pakalpojumu uzlabošanai. Jūsu IT administrators varēs vākt šos datus. Paziņojums par konfidencialitāti.

Paldies par jūsu atsauksmēm!

×