Specifieke netwerkprotocollen en-poorten blokkeren met behulp van IPSec

Samenvatting

IPSec-regels filteren op basis van IP-beveiliging (IPSec) kan worden gebruikt om Windows 2000-, Windows XP-en Windows Server 2003-computers te beschermen tegen netwerkaanvallen tegen bedreigingen zoals virussen en wormen. In dit artikel wordt beschreven hoe u een combinatie van protocol en poort kunt filteren op inkomende en uitgaande netwerkverkeer. Het bevat stappen voor het maken en verwijderen van IPSec-beleidsregels die momenteel zijn toegewezen aan een computer met Windows 2000, Windows XP of Windows Server 2003 en stappen voor het intrekken en verwijderen van een IPSec-beleid.

Meer informatie

IPSec-beleidsregels kunnen lokaal worden toegepast of worden toegepast op een lid van een domein als onderdeel van het groepsbeleid van dit domein. Lokale IPSec-beleidsregels kunnen statisch (permanent na herstart) of dynamisch (vluchtig) zijn. Statische IPSec-beleidsregels worden weggeschreven naar het lokale register en blijven na de start van het besturingssysteem bewaard. Dynamische IPSec-beleidsregels worden niet permanent in het register opgenomen en worden verwijderd als het besturingssysteem of de IPSec Policy Agent-service opnieuw wordt gestart. Belangrijk Dit artikel bevat informatie over het bewerken van het register met Ipsecpol. exe. Voordat u het register bewerkt, moet u weten hoe u het kunt herstellen als er een probleem optreedt. Voor informatie over het maken van een back-up van het register en het herstellen ervan, klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

Beschrijving van het Microsoft Windows-register   Opmerking IPSec-filterregels kunnen ertoe leiden dat netwerkprogramma's gegevens verliezen en niet meer reageren op netwerkaanvragen, waaronder fout bij het verifiëren van gebruikers. Gebruik IPSec-filterregels als een verdedigings maatregel van de laatste redmiddel en alleen na een duidelijk inzicht in de invloed die bepaalde poorten blokkeren in uw omgeving. Als een IPSec-beleid dat u maakt met behulp van de stappen in dit artikel ongewenste gevolgen heeft voor uw netwerkprogramma's, raadpleegt u de sectie ' een IPSec-beleid intrekken en verwijderen ' verderop in dit artikel voor instructies over het direct uitschakelen en verwijderen van het beleid.

Bepalen of een IPSec-beleid is toegewezen

Computers met Windows Server 2003

Voordat u nieuw IPSec-beleidsregels maakt en toewijst aan een computer met Windows Server 2003, bepaalt u of er IPSec-beleidsregels worden toegepast vanuit het lokale register of via een groepsbeleidobject. Ga hiervoor als volgt te werk:

  1. Installeer Netdiag. exe vanaf de Windows Server 2003-CD door Suptools. msi uit te voeren vanuit de map Support\Tools.

  2. Open een opdrachtprompt en stel de werkmap in op C:\Program Files\Support Tools.

  3. Voer de volgende opdracht uit om te controleren of er al een bestaand IPSec-beleid aan de computer is toegewezen:

    netdiag/test: IPSec Als er geen beleid wordt toegewezen, wordt het volgende bericht weergegeven:

    Beveiligings test voor IP. . . . . . . . . : Het doorgegeven IPSec-beleids service is actief, maar er wordt geen beleid toegewezen.

Windows XP-computers

Voordat u nieuw IPSec-beleidsregels maakt of toewijst aan een computer met Windows XP, moet u bepalen of er IPSec-beleidsregels worden toegepast vanuit het lokale register of via een groepsbeleidsobject. Ga hiervoor als volgt te werk:

  1. Installeer Netdiag. exe vanaf de Windows XP-CD door Setup. exe uit te voeren vanuit de map Support\Tools.

  2. Open een opdrachtprompt en stel de werkmap in op C:\Program Files\Support Tools.

  3. Voer de volgende opdracht uit om te controleren of er al een bestaand IPSec-beleid aan de computer is toegewezen:

    netdiag/test: IPSec Als er geen beleid wordt toegewezen, wordt het volgende bericht weergegeven:

    Beveiligings test voor IP. . . . . . . . . : Het doorgegeven IPSec-beleids service is actief, maar er wordt geen beleid toegewezen.

Op Windows 2000 gebaseerde computers

Voordat u nieuw IPSec-beleidsregels maakt en toewijst aan een computer met Windows 2000, bepaalt u of er IPSec-beleidsregels worden toegepast vanuit het lokale register of via een groepsbeleidsobject. Ga hiervoor als volgt te werk:

  1. Installeer Netdiag. exe vanaf de Windows 2000-CD door Setup. exe uit te voeren vanuit de map Support\Tools.

  2. Open een opdrachtprompt en stel de werkmap in op C:\Program Files\Support Tools.

  3. Voer de volgende opdracht uit om te controleren of er al een bestaand IPSec-beleid aan de computer is toegewezen:

    netdiag/test: IPSec Als er geen beleid wordt toegewezen, wordt het volgende bericht weergegeven:

    Beveiligings test voor IP. . . . . . . . . : Het doorgegeven IPSec-beleids service is actief, maar er wordt geen beleid toegewezen.

Een statisch beleid maken om verkeer te blokkeren

Computers met Windows Server 2003 en Windows XP

Voor systemen waarop geen lokaal gedefinieerd IPSec-beleid is ingeschakeld, maakt u een nieuw lokaal statisch beleid om verkeer te blokkeren dat wordt doorgestuurd naar een specifiek protocol en een specifieke poort op computers met Windows Server 2003 en Windows XP op basis van Windows XP. Ga hiervoor als volgt te werk:

  1. Controleer of de IPSec-beleids agent-service is ingeschakeld en is gestart in de MMC-module Services.

  2. Installeer IPSeccmd. exe. IPSeccmd. exe maakt deel uit van de ondersteuningsprogramma's voor Windows XP Service Pack 2 (SP2). Opmerking IPSeccmd. exe wordt uitgevoerd onder besturingssystemen Windows XP en Windows Server 2003, maar het hulpprogramma is alleen beschikbaar in het pakket met ondersteuningsprogramma's voor Windows XP SP2. Als u meer informatie wilt over het downloaden en installeren van de ondersteuningsprogramma's voor Windows XP Service Pack 2, klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

    Ondersteuningsprogramma's voor Windows XP Service Pack 2  

  3. Open een opdrachtprompt en stel de werkmap in op de map waarin u de ondersteuningsprogramma's voor Windows XP Service Pack 2 hebt geïnstalleerd. Opmerking De standaardmap voor de ondersteuningsprogramma's voor Windows XP SP2 is C:\Program Files\Support Tools.

  4. Gebruik de volgende opdracht als u een nieuw lokaal IPSec-beleid en een filterregel wilt maken die van toepassing is op netwerkverkeer vanaf elk IP-adres naar het IP-adres van de Windows Server 2003-of Windows XP-computer die u configureert. Opmerking In de volgende opdracht zijn protocol en poort -variabelen variabelen.

    IPSeccmd. exe-w REG-p "blok protocolpoortnummer filter"-r "blok Bound protocol-regel- regel"-f * = 0:poortnummer:protocol -n blok-x Als u bijvoorbeeld netwerkverkeer wilt blokkeren van een IP-adres en een bronpoort naar UDP 1434 op een computer met Windows Server 2003 of Windows XP, typt u het volgende: Dit beleid is voldoende om computers te beschermen waarop Microsoft SQL Server 2000 wordt uitgevoerd vanaf de worm van de Slammer-worm.

    IPSeccmd. exe-w REG-p "Block UDP 1434 filter"-r "Block Bound UDP 1434 regel"-f * = 0:1434: UDP-n blok-x In het volgende voorbeeld wordt inkomende toegang blokkeren voor TCP-poort 80, maar wordt de toegang tot uitgaande TCP 80 wel toegestaan. Dit beleid is voldoende om computers te helpen beschermen waarop Microsoft Internet Information Services (IIS) 5,0 wordt uitgevoerd vanaf de worm ' code Red ' en ' Nimda '.

    IPSeccmd. exe-w REG-p "Blokkeer TCP 80 filter"-r "blokkeren inkomende TCP 80 regel"-f * = 0:80: TCP-n blok-x Opmerking Met de schakeloptie -x wordt het beleid direct toegewezen. Als u deze opdracht inschakelt, wordt het beleid ' Block UDP 1434 filter ' niet toegewezen en wordt het ' Block TCP 80-filter ' toegewezen. Als u het beleid wilt toevoegen maar niet het beleid wilt toewijzen, typt u de opdracht zonder de schakeloptie -x aan het einde.

  5. Gebruik de volgende opdracht om een extra filterregel toe te voegen aan het bestaande beleid ' Block UDP 1434 filter ' waarmee netwerkverkeer van uw Windows Server 2003-of Windows XP-computer wordt geblokkeerd met een IP-adres. Opmerking In deze opdracht is protocol en Poortnummer is variabelen:

    IPSeccmd. exe-w REG-p "Block Protocol 1 IP-filter"-r "Block outbound protocoldRules "-f * 0 =:poortnummer:protocol -n blok Als u bijvoorbeeld netwerkverkeer wilt blokkeren dat afkomstig is van een computer met Windows Server 2003 of Windows XP die wordt doorgestuurd naar UDP 1434 op een andere host, typt u het volgende: Dit beleid is voldoende om te voorkomen dat computers met SQL Server 2000 de worm van de Slammer-worm kunnen verspreiden.

    IPSeccmd. exe-w REG-p "Blokkeer UDP 1434 filter"-r "blok uitgaande UDP 1434 regel"-f 0 = *: 1434: UDP-n blok Opmerking U kunt zo veel filterregels toevoegen aan een beleid als u wilt met behulp van deze opdracht. U kunt deze opdracht bijvoorbeeld gebruiken om meerdere poorten te blokkeren met hetzelfde beleid.

  6. Het beleid dat u in stap 5 hebt gemaakt, is nu actief en wordt telkens bewaard wanneer de computer opnieuw wordt gestart. Als een IPSec-beleid op basis van een domein echter later aan de computer is toegewezen, wordt dit lokale beleid overschreven en wordt het niet meer toegepast. Als u de succesvolle toewijzing van de filterregel wilt controleren, stelt u de werkmap in op C:\Program Files\Support Tools bij de opdrachtprompt en typt u de volgende opdracht:

    netdiag/test: IPSec/debug Als beleidsregels voor zowel inkomende en uitgaande verkeer worden toegewezen in de volgende voorbeelden, wordt het volgende bericht weergegeven:

    Beveiligings test voor IP. . . . . . . . . : Lokaal IPSec-beleid actief: ' Blokkeer UDP 1434 filter ' IP-beveiligingsbeleid-pad: SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy {D239C599-F945-47A3-A4E3-B37BC12826B9} Er zijn twee filters Geen naam Filter-id: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592} Beleids-id: {509492EA-1214-4F50-BF43-9CAC2B538518} Src addr: 0.0.0.0 src Mask: 0.0.0.0 Doeladres: 192.168.1.1-Doelmasker: 255.255.255.255 Tunnel adres: 0.0.0.0 src port: 0 doelpoort: 1434 Protocol: 17 TunnelFilter: Nee Vlaggen: binnenkomend blok Geen naam Filter-id: {9B4144A6-774F-4AE5-B23A-51331E67BAB2} Beleids-id: {2DEB01BD-9830-4067-B58A-AADFC8659BE5} Src addr: 192.168.1.1 src Mask: 255.255.255.255 Doeladres: 0.0.0.0-Doelmasker: 0.0.0.0 Tunnel adres: 0.0.0.0 src port: 0 doelpoort: 1434 Protocol: 17 TunnelFilter: Nee Vlaggen: uitgaand blok Opmerking De IP-adressen en de GUID-nummers (Graphical User Interface) wijken af van uw computer met Windows Server 2003 of Windows XP.

Op Windows 2000 gebaseerde computers

Voor systemen waarop geen lokaal gedefinieerd IPSec-beleid is ingeschakeld, voert u deze stappen uit om een nieuw lokaal statisch beleid te maken om verkeer te blokkeren dat wordt doorgestuurd naar een specifiek protocol en poort op een computer met Windows 2000 zonder dat er een bestaand IPSec-beleid is toegewezen:

  1. Controleer of de IPSec-beleids agent-service is ingeschakeld en is gestart in de MMC-module Services.

  2. Open een opdrachtprompt en stel de werkmap in op de map waar u Ipsecpol. exe hebt geïnstalleerd. Opmerking De standaardmap voor Ipsecpol. exe is C:\Program Files\Resource Kit.

  3. Gebruik de volgende opdracht om een nieuw lokaal IPSec-beleid en filterregel te maken die van toepassing is op netwerkverkeer vanaf elk IP-adres naar het IP-adres van de Windows 2000-computer die u configureert. Protocol en poort is variabelen:

    Ipsecpol-w REG-p "blok protocol IP-filter" -r "blokkerings protocol voor blokkeren van inkomende protocol-poortPortNumberProtocol Als u bijvoorbeeld netwerkverkeer wilt blokkeren van een IP-adres en een bronpoort naar de UDP-1434 van de doelpoort op een computer met Windows 2000, typt u het volgende: Dit beleid is voldoende om computers te beschermen waarop Microsoft SQL Server 2000 wordt uitgevoerd vanaf de worm van de Slammer-worm.

    Ipsecpol-w REG-p "Blokkeer UDP 1434 filter"-r "blok Bound UDP 1434 regel"-f * = 0:1434: UDP-n blok-x In het volgende voorbeeld wordt inkomende toegang blokkeren voor TCP-poort 80, maar wordt de toegang tot uitgaande TCP 80 wel toegestaan. Dit beleid is voldoende om computers te helpen beschermen waarop Microsoft IIS (Internet Information Services) 5,0 wordt uitgevoerd vanuit de wormen rood en Nimda.

    Ipsecpol-w REG-p "Blokkeer TCP 80 filter"-r "blokkeren inkomende TCP 80 regel"-f * = 0:80: TCP-n blok-x Opmerking Met de schakeloptie -x wordt het beleid direct toegewezen. Als u deze opdracht inschakelt, wordt het beleid ' UDP 1434 filter ' blokkeren niet toegewezen en wordt het ' blokkeren dat TCP 80-filter ' is toegewezen. Als u het beleid wilt toevoegen maar niet wilt toewijzen, typt u de opdracht zonder de schakeloptie -x aan het einde.

  4. Als u een extra filterregel wilt toevoegen aan het bestaande beleid ' Block UDP 1434 filter ' waarmee netwerkverkeer van uw Windows 2000-computer wordt geblokkeerd en elk IP-adres, gebruikt u de volgende opdracht, waarbij protocol en Poortnummer is variabelen:

    Ipsecpol-w REG-p "blok protocol IP-filter"-r "blok uitgaand protocolpoortnummer regel"-f * 0 =:poortnummer:protocol -n-blok Als u bijvoorbeeld netwerkverkeer wilt blokkeren dat afkomstig is van een computer op Windows 2000 die is doorgestuurd naar UDP 1434 op een andere host, typt u het volgende: Dit beleid is voldoende om te voorkomen dat computers met SQL Server 2000 de worm ' Slammer ' verspreiden.

    Ipsecpol-w REG-p "Blokkeer UDP 1434 filter"-r "blok uitgaande UDP 1434 regel"-f 0 = *: 1434: UDP-n blok Opmerking U kunt zo veel filterregels aan een beleid toevoegen als u wilt, met behulp van deze opdracht (u kunt bijvoorbeeld meerdere poorten blokkeren met hetzelfde beleid).

  5. Het beleid dat u in stap 5 hebt gemaakt, is nu actief en wordt telkens bewaard wanneer de computer opnieuw wordt gestart. Als een IPSec-beleid op basis van een domein echter later aan de computer is toegewezen, wordt dit lokale beleid overschreven en wordt het niet meer toegepast. Als u de succesvolle toewijzing van de filterregel wilt controleren, gaat u naar de opdrachtprompt en stelt u de werkmap in op C:\Program Files\Support Tools, en typt u de volgende opdracht:

    netdiag/test: IPSec/debug Als, zoals in deze voorbeelden beleidsregels voor binnenkomend en uitgaand verkeer, worden toegewezen, wordt het volgende bericht weergegeven:

    Beveiligings test voor IP. . . . . . . . . : Lokaal IPSec-beleid actief: ' Blokkeer UDP 1434 filter ' IP-beveiligingsbeleid-pad: SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy {D239C599-F945-47A3-A4E3-B37BC12826B9} Er zijn twee filters Geen naam Filter-id: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592} Beleids-id: {509492EA-1214-4F50-BF43-9CAC2B538518} Src addr: 0.0.0.0 src Mask: 0.0.0.0 Doeladres: 192.168.1.1-Doelmasker: 255.255.255.255 Tunnel adres: 0.0.0.0 src port: 0 doelpoort: 1434 Protocol: 17 TunnelFilter: Nee Vlaggen: binnenkomend blok Geen naam Filter-id: {9B4144A6-774F-4AE5-B23A-51331E67BAB2} Beleids-id: {2DEB01BD-9830-4067-B58A-AADFC8659BE5} Src addr: 192.168.1.1 src Mask: 255.255.255.255 Doeladres: 0.0.0.0-Doelmasker: 0.0.0.0 Tunnel adres: 0.0.0.0 src port: 0 doelpoort: 1434 Protocol: 17 TunnelFilter: Nee Vlaggen: uitgaand blok Opmerking De IP-adressen en de GUID-nummers (Graphical User Interface) kunnen verschillen. De persoon komt overeen met die van uw computer op Windows 2000.

Een blokkeringsregel toevoegen voor een specifiek protocol en poort

Computers met Windows Server 2003 en Windows XP

Ga als volgt te werk om een blokkeringsregel toe te voegen voor een specifiek protocol en een andere poort op een computer met Windows Server 2003 of Windows XP die een lokaal statisch IPSec-beleid heeft dat lokaal is toegewezen:

  1. Installeer IPSeccmd. exe. IPSeccmd. exe maakt deel uit van de ondersteuningsprogramma's voor Windows XP SP2. Als u meer informatie wilt over het downloaden en installeren van de ondersteuningsprogramma's voor Windows XP Service Pack 2, klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

    Ondersteuningsprogramma's voor Windows XP Service Pack 2  

  2. Identificeer de naam van het momenteel toegewezen IPSec-beleid. Als u dit wilt doen, typt u het volgende bij de opdrachtprompt:

    netdiag/test: IPSec Als u een beleid toewijst, ontvangt u een bericht van de volgende strekking:

    Beveiligings test voor IP. . . . . . . . . : Doorgegeven Lokaal IPSec-beleid actief: ' Blokkeer UDP 1434 filter '

  3. Als u al een IPSec-beleid hebt toegewezen aan de computer (lokaal of domein), gebruikt u de volgende opdracht om een extra blok filter regel toe te voegen aan het bestaande IPSec-beleid. OpmerkingIn deze opdracht Existing_IPSec_Policy_NameProtocolen poortnummer zijn variabelen.

    IPSeccmd. exe-p "Existing_IPSec_Policy_Name"-w REG-r "blokkeren Protocolpoortnummer regel "-f * = 0:poortnummer:protocol -n-blok Als u bijvoorbeeld een filterregel wilt toevoegen voor het blokkeren van inkomende toegang tot TCP-poort 80 naar het bestaande blok UDP 1434-filter, typt u de volgende opdracht:

    IPSeccmd. exe-p "Blokkeer UDP 1434 filter"-w REG-r "blokkeren inkomende TCP 80 regel"-f * = 0:80: TCP-n blok

Op Windows 2000 gebaseerde computers

Ga als volgt te werk om een blokkeringsregel toe te voegen voor een specifiek protocol en een andere poort op een computer met Windows 2000 met een bestaand, lokaal toegewezen statisch IPSec-beleid:

  1. Bezoek de volgende Microsoft-website voor het downloaden en installeren van Ipsecpol. exe:

  2. Identificeer de naam van het momenteel toegewezen IPSec-beleid. Als u dit wilt doen, typt u het volgende bij de opdrachtprompt:

    netdiag/test: IPSec Als u een beleid toewijst, ontvangt u een bericht van de volgende strekking:

    Beveiligings test voor IP. . . . . . . . . : Doorgegeven Lokaal IPSec-beleid actief: ' Blokkeer UDP 1434 filter '

  3. Als u al een IPSec-beleid hebt toegewezen aan de computer (lokaal of domein), gebruikt u de volgende opdracht om een extra blok filterregel toe te voegen aan het bestaande IPSec-beleid, waarbij Existing_IPSec_Policy_NameProtocolen poortnummer zijn variabelen:

    Ipsecpol-p "Existing_IPSec_Policy_Name"-w REG-r "blok Protocolpoortnummer regel "-f * = 0:poortnummer:protocol -n-blok Als u bijvoorbeeld een filterregel wilt toevoegen voor het blokkeren van inkomende toegang tot TCP-poort 80 naar het bestaande blok UDP 1434-filter, typt u de volgende opdracht:

    Ipsecpol-p "Blokkeer UDP 1434 filter"-w REG-r "blokkeren inkomende TCP 80 regel"-f * = 0:80: TCP-n blok

Een dynamisch blokkeringsbeleid toevoegen voor een specifiek protocol en poort

Computers met Windows Server 2003 en Windows XP

Mogelijk wilt u de toegang tot een specifieke poort tijdelijk blokkeren. U kunt bijvoorbeeld een specifieke poort blokkeren totdat u een hotfix kunt installeren of als een IPSec-beleid op basis van domein al aan de computer is toegewezen. Ga als volgt te werk als u de toegang tot een poort op een computer met Windows Server 2003 of Windows XP tijdelijk wilt blokkeren met behulp van IPSec-beleid:

  1. Installeer IPSeccmd. exe. IPSeccmd. exe maakt deel uit van de ondersteuningsprogramma's voor Windows XP Service Pack 2. Opmerking IPSeccmd. exe wordt uitgevoerd onder besturingssystemen Windows XP en Windows Server 2003, maar het hulpprogramma is alleen beschikbaar in het pakket met ondersteuningsprogramma's voor Windows XP SP2. Als u meer informatie wilt over het downloaden en installeren van de ondersteuningsprogramma's voor Windows XP Service Pack 2, klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

    Ondersteuningsprogramma's voor Windows XP Service Pack 2  

  2. Als u een dynamisch blok filter wilt toevoegen waarmee alle pakketten van elk IP-adres worden geblokkeerd op het IP-adres en de doelpoort van uw systeem, typt u het volgende bij de opdrachtprompt. Opmerking In de volgende opdracht, protocol en Poortnummer is variabelen.

    Ipseccmd. exe-f [* = 0:poortnummer:protocol] Opmerking Met deze opdracht maakt u het filterblok dynamisch. Het beleid blijft toegewezen zolang de IPSec Policy Agent-service wordt uitgevoerd. Als de IPSec Policy Agent-service opnieuw wordt gestart of als de computer opnieuw wordt gestart, gaat dit beleid verloren. Als u de IPSec-filterregel telkens opnieuw wilt toewijzen wanneer het systeem opnieuw wordt gestart, maakt u een start script om de filter regel opnieuw toe te passen. Als u dit filter permanent wilt toepassen, configureert u het filter als een statisch IPSec-beleid. De MMC-invoegtoepassing IPSec-beleidsbeheer biedt een grafische gebruikersinterface voor het beheren van IPSec-beleidsconfiguratie. Als er al een IPSec-beleid op basis van domein is toegepast, worden de details van de filters alleen weergegeven als u de opdracht netwerk van /test: IPSec/debug weergeven als de opdracht wordt uitgevoerd door een gebruiker met domeinbeheerdersreferenties.

Op Windows 2000 gebaseerde computers

U kunt tijdelijk een specifieke poort blokkeren (bijvoorbeeld totdat een hotfix kan worden geïnstalleerd of als een IPSec-beleid op basis van domein al aan de computer is toegewezen). Ga als volgt te werk als u de toegang tot een poort op een computer met Windows 2000 tijdelijk wilt blokkeren met behulp van IPSec-beleid:

  1. Bezoek de volgende Microsoft-website voor het downloaden en installeren van Ipsecpol. exe:

  2. Als u een dynamisch blok filter wilt toevoegen waarmee alle pakketten van een IP-adres worden geblokkeerd naar het IP-adres en de doelpoort van uw systeem, typt u het volgende bij de opdrachtprompt, waarbij protocol en Poortnummer is variabelen:

    Ipsecpol-f [* = 0:poortnummer:protocol] Opmerking Met deze opdracht maakt u het filterblok dynamisch en wordt het beleid toegewezen zolang de IPSec Policy Agent-service wordt uitgevoerd. Als de IPSec-service opnieuw wordt gestart of als de computer opnieuw is opgestart, gaat deze instelling verloren. Als u de IPSec-filterregel telkens automatisch opnieuw wilt toewijzen wanneer het systeem opnieuw wordt gestart, maakt u een start script om de filter regel opnieuw toe te passen. Als u dit filter permanent wilt toepassen, configureert u het filter als een statisch IPSec-beleid. De MMC-invoegtoepassing IPSec-beleidsbeheer biedt een grafische gebruikersinterface voor het beheren van IPSec-beleidsconfiguratie. Als er al een IPSec-beleid op basis van domein is toegepast, worden de details van de filters alleen weergegeven als u de opdracht netwerk van /test: IPSec/debug weergeven als de opdracht wordt uitgevoerd door een gebruiker met referenties Er is een bijgewerkte versie van Netdiag. exe beschikbaar in Windows 2000 Service Pack 4, zodat lokale beheerders een IPSec-beleid op basis van domein kunnen weergeven.

IPSec-filterregels en Groepsbeleid

Voor omgevingen waarbij IPSec-beleidsregels worden toegewezen door een instelling voor Groepsbeleid, moet u het beleid van het gehele domein bijwerken om het desbetreffende protocol en de poort te blokkeren. Nadat u de IPSec-instellingen voor Groepsbeleid hebt geconfigureerd, moet u de beleidsinstellingen voor groepsbeleid afdwingen op alle computers met Windows Server 2003, op basis van Windows XP en Windows 2000. U doet dit door de volgende opdracht uit te voeren:

secedit/refreshpolicy machine_policy De wijziging van het IPSec-beleid wordt gedetecteerd binnen een van de twee verschillende pollingintervallen. Het IPSec-beleid wordt toegepast op de clients binnen de ingestelde periode voor het polling-interval voor Groepsbeleid of wanneer de opdracht secedit/refreshpolicy machine_policy wordt uitgevoerd op de clientcomputers. Als er al een IPSec-beleid aan een groepsbeleidsobject is toegewezen en nieuwe IPSec-filters of-regels worden toegevoegd aan een bestaand beleid, wordt in de opdracht secedit niet de instelling IPSec herkend. In dit scenario worden wijzigingen in een bestaand, op GPO gebaseerd IPSec-beleid gedetecteerd binnen het eigen polling-interval van de IPSec-beleidsregels. Dit interval is opgegeven op het tabblad Algemeen van dit IPSec-beleid. U kunt ook het vernieuwen van de IPSec-beleidsinstellingen afdwingen door de service IPSec-beleids agent opnieuw te starten. Als de IPSec-service is gestopt of opnieuw wordt gestart, wordt de communicatie met IPSec verbroken en kan het enkele seconden duren voordat u verder gaat. Dit kan leiden tot verbindings verbindingen, met name voor verbindingen die op dat moment grote hoeveelheden gegevens overbrengen. In situaties waarin het IPSec-beleid alleen op de lokale computer wordt toegepast, hoeft u de service niet opnieuw te starten.

IPSec-beleidsregels intrekken en verwijderen

Computers met Windows Server 2003 en Windows XP

  • Computers met een lokaal gedefinieerd statisch beleid

    1. Open een opdrachtprompt en stel de werkmap in op de map waar u Ipsecpol. exe hebt geïnstalleerd.

    2. Gebruik de volgende opdracht als u het eerder gemaakte filter wilt intrekken:

      IPSeccmd. exe-w REG-p "Block protocol IP-filter" – y Gebruik bijvoorbeeld de volgende opdracht om het blok van UDP-1434 dat u eerder hebt gemaakt, op te heffen:

      IPSeccmd. exe-w REG-p "Block UDP 1434 filter"-y

    3. Als u het filter dat u hebt gemaakt wilt verwijderen, gebruikt u de volgende opdracht:

      IPSeccmd. exe-w REG-p "Block protocol IP-filter" -r "blok protocolpoort 1-regel"-o Als u bijvoorbeeld het filter ' Block UDP 1434 filter ' en beide regels die u hebt gemaakt, wilt verwijderen, gebruikt u de volgende opdracht:

      IPSeccmd. exe-w REG-p "blok UDP 1434 filter"-r "blok Bound UDP 1434 regel"-r "geblokkeerde uitgaande UDP 1434-regel"-o

  • Computers met een lokaal geconfigureerd dynamische beleid Dynamische IPSec-beleidsregels worden niet toegepast als de IPSec-beleids agent-service wordt gestopt met de opdracht net stop programma agent. Als u de specifieke opdrachten wilt verwijderen die zijn gebruikt om de IPSec-beleids agent te beëindigen, moet u de volgende stappen uitvoeren:

    1. Open een opdrachtprompt en stel de werkmap in op de map waarin u de ondersteuningsprogramma's voor Windows XP Service Pack 2 hebt geïnstalleerd.

    2. Typ de volgende opdracht:

      IPSeccmd.exe –u Opmerking U kunt ook de IPSec-beleids service opnieuw starten om alle dynamisch toegewezen beleidsregels te wissen.

Op Windows 2000 gebaseerde computers

  • Computers met een lokaal gedefinieerd statisch beleid

    1. Open een opdrachtprompt en stel de werkmap in op de map waar u Ipsecpol. exe hebt geïnstalleerd.

    2. Gebruik de volgende opdracht als u het eerder gemaakte filter wilt intrekken:

      Ipsecpol-w REG-p "blok protocol IP-filter" – y Gebruik bijvoorbeeld de volgende opdracht om het blok van UDP-1434 dat u eerder hebt gemaakt, op te heffen:

      Ipsecpol-w REG-p "Blokkeer UDP 1434 filter"-y

    3. Als u het filter dat u hebt gemaakt wilt verwijderen, gebruikt u de volgende opdracht:

      Ipsecpol-w REG-p "blok protocol, filter" -r "blok protocolpoort -regel"-o Als u bijvoorbeeld het filter ' Block UDP 1434 filter ' en beide regels die u eerder hebt gemaakt, wilt verwijderen, gebruikt u de volgende opdracht:

      Ipsecpol-w REG-p "Blokkeer UDP 1434 filter"-r "blok Bound UDP 1434 regel"-r "geblokkeerde UDP 1434-regel"-o "blokkeren

  • Computers met een lokaal geconfigureerd dynamische beleid Dynamische IPSec-beleidsregels worden niet toegepast als de IPSec Policy Agent-service is gestopt (met de opdracht net stop Policy agent). Als u echter de specifieke opdrachten die eerder zijn gebruikt, wilt verwijderen zonder de IPSec-beleids agent-service te beëindigen, volgt u deze stappen:

    1. Open een opdrachtprompt en stel de werkmap in op de map waar u Ipsecpol. exe hebt geïnstalleerd.

    2. Typ de volgende opdracht:

      Ipsecpol – u Opmerking U kunt ook de IPSec-beleids service opnieuw starten om alle dynamisch toegewezen beleidsregels te wissen.

De nieuwe filterregel toepassen op alle protocollen en poorten

In Microsoft Windows 2000 en Microsoft Windows XP wordt via IPSec broadcast-, multicast-, RSVP-, IKE-en Kerberos-verkeer standaard vrijgesteld van alle beperkingen voor filteren en authenticatie. Klik voor meer informatie over deze uitzonderingen op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

Verkeer dat wel en niet kan worden beveiligd door IPSec   Wanneer IPSec alleen wordt gebruikt om verkeer toe te staan of te blokkeren, verwijdert u de uitzonderingen voor Kerberos-en RSVP-protocollen door een registerwaarde te wijzigen. Voor de volledige informatie over hoe u dit doet, klikt u op het volgende artikelnummer om het artikel in de Microsoft Knowledge Base weer te geven:

IPSec verveiligt geen Kerberos-verkeer tussen domein controllers   Door deze instructies te volgen, kunt u UDP 1434 beschermen, zelfs in gevallen waarin aanvallers hun bronpoort kunnen instellen op de Kerberos-poorten van TCP/UDP 88. Als u de Kerberos-uitsluitingen verwijdert, worden er nu Kerberos-pakketten vergeleken met alle filters in het IPSec-beleid. Daarom kan Kerberos binnen IPSec worden beveiligd, geblokkeerd of toegestaan. Als IPSec-filters voldoen aan het Kerberos-verkeer dat naar de IP-adressen van de domeincontroller gaat, moet u mogelijk het ontwerp van IPSec-beleid wijzigen om nieuwe filters toe te staan om Kerberos-verkeer toe te staan voor elk IP-adres van een domeincontroller (als u IPSec niet gebruikt om alle verkeer tussen de domeincontrollers te beveiligen als Knowledge Base-artikel 254728).

Toepassing van IPSec-filterregels op computer opnieuw opstarten

Alle IPSec-beleidsregels zijn afhankelijk van de IPSec Policy Agent-service. Wanneer een computer met Windows 2000 wordt gestart, is de IPSec Policy Agent-service niet noodzakelijkerwijs de eerste service die moet worden gestart. Het kan soms even duren wanneer de netwerkverbinding van de computer is kwetsbaar voor virus-of wormaanvallen. Deze situatie geldt alleen voor gevallen waarin een risico gevoelige service is gestart en het accepteren van de verbinding voordat de IPSec Policy Agent-service volledig is gestart en alle beleidsregels zijn toegewezen.

Meer hulp nodig?

Uw vaardigheden uitbreiden
Training verkennen
Als eerste nieuwe functies krijgen
Deelnemen aan Microsoft insiders

Was deze informatie nuttig?

Bedankt voor uw feedback.

Hartelijk dank voor uw feedback! Het lijkt ons een goed idee om u in contact te brengen met een van onze Office-ondersteuningsagenten.

×