Conectați-vă cu Microsoft
Conectați-vă sau creați un cont
Salut,
Selectați un alt cont.
Aveți mai multe conturi
Alegeți contul cu care doriți să vă conectați.

Rezumat

Acest articol descrie cum se configurează RPC pentru a utiliza o gamă largă de port dinamic specifice și cum să securizeze porturile în acest interval utilizând o politică de Internet Protocol security (IPsec). În mod implicit, RPC utilizează porturi în intervalul efemere port (1024-5000) atunci când se atribuie porturi RPC aplicații care au pentru a asculta pe un punct final TCP. Acest comportament poate face restrânge accesul la aceste porturi dificile pentru administratorii de rețea. Acest articol prezintă metode de a reduce numărul de porturi disponibile pentru aplicaţii RPC și cum se restricționează accesul la aceste porturi, utilizând o politică IPsec din registry.

Deoarece paşii din acest articol implică modificări la nivel de computer, care necesită să fie repornit computerul, toate acești pași trebuie efectuată mai întâi în medii nonproduction pentru a identifica probleme de compatibilitate a aplicațiilor care pot apărea ca urmare a acestor modificări.

Mai multe informații

Există mai multe activități de configurare care trebuie completată în scopul de a relocaliza, reduce și restricționa accesul la porturile RPC.

Mai întâi, intervalul RPC dinamic port ar trebui să fie limitate la un interval mai mic, mai uşor de gestionat port care este mai ușor de blocare, utilizând un firewall sau politică IPsec. În mod implicit, RPC dinamic alocă porturile în intervalul de 1024 5000 pentru puncte finale care nu specificați un port pe care să ascultați.

Notă
Acest articol utilizează portul intervalul 5001 la 5021. Astfel se reduce numărul de porturi care sunt disponibile pentru RPC puncte finale la 3,976 la 20. Numărul de porturi s-a selectat în mod arbitrar și nu este o recomandare pentru numărul de porturi care sunt necesare pentru orice specifice de sistem.




Apoi, o politică IPsec trebuie să fi creat pentru a restricționa accesul la acest interval de port pentru a refuza accesul la toate gazdele din rețea.

În cele din urmă, politica IPsec poate fi actualizat pentru a oferi anumite adrese IP sau rețea subrețele accesul la porturile blocate RPC și a exclude toate celelalte.

Pentru a porni activitatea de reconfigurarea intervalul de port dinamic RPC, descărcați instrumentul de configurare RPC (RPCCfg.exe), și apoi copiați-l pe stația de lucru sau la serverul care va fi reconfigurate. Pentru aceasta, vizitați următorul site Web Microsoft:

http://www.microsoft.com/downloads/details.aspx?FamilyID=0f9cde2f-8632-4da8-ae70-645e1ddaf369&DisplayLang=enPentru a efectua activități ulterioare de a crea o politică IPsec, descărcați instrumentul de politici Internet Protocol Security (Ipsecpol.exe), și apoi copiați-l pe stația de lucru sau la serverul care va fi reconfigurate. Pentru aceasta, vizitați următorul site Web Microsoft:

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361Notă Pentru a crea o politică IPsec pentru Microsoft Windows XP sau o versiune ulterioară a sistemului de operare Windows, utilizați Ipseccmd.exe. IPseccmd.exe face parte din instrumentele de suport Windows XP. Sintaxă și de utilizare a IPseccmd.exe sunt la fel ca sintaxă și de utilizare a Ipsecpol.exe. Pentru mai multe informații despre instrumentele de suport Windows XP, faceți clic pe următorul număr de articol pentru a vedea articolul în baza de cunoștințe Microsoft:

838079 Windows XP Service Pack 2 Support Tools

Relocaliza și reduceți intervalul de port dinamic RPC prin utilizarea RPCCfg.exe

Pentru a se mute și reduceți intervalul de port dinamic RPC prin utilizarea RPCCfg.exe, urmați acești pași:

  1. Copie RPCCfg.exe la serverul care urmează să fie configurat

  2. La promptul de comandă, tastați rpccfg.exe-pe 5001-5021 - d 0.
    Notă Acest interval port este recomandat pentru utilizarea de RPC puncte finale, deoarece porturile în acest interval nu sunt ar putea fi alocate pentru utilizare de alte aplicații. În mod implicit, RPC utilizează portul intervalul de 1024 5000 de alocare a porturilor pentru puncte finale. Cu toate acestea, porturile în acest interval sunt, de asemenea, dinamic alocat pentru utilizare de către sistemul de operare Windows pentru toate versiunile de Windows sockets aplicații și pot fi epuizate pe serverele puternic utilizate, cum ar fi terminal servere și Mijlociu straturi care fac multe apeluri la sistemele de la distanță.

    De exemplu, atunci când Internet Explorer contactează un server Web pe portul 80, se așteaptă pe un port în intervalul 1024 5000 răspuns de la server. Un mijloc straturi COM server care efectuează apeluri către alte servere la distanță, de asemenea, utilizează un port în această zonă de intrare răspuns la apel respectiv. Mutarea interval de porturi care utilizează RPC pentru sale puncte finale la intervalul de port 5001 va reduce posibilitatea ca aceste porturi vor fi utilizate de alte aplicații.
    Pentru mai multe informații despre utilizarea efemere port în sistemele de operare Windows, vizitați următorul site Web Microsoft.

Utilizați o politică IPsec sau Paravanul de protecție pentru a bloca accesul la porturile vulnerabile pe gazda afectate

În comenzile din următoarea secțiune, orice text care apare între semnele la sută (%) este destinat să reprezinte text în comanda pe care trebuie să fie introdus de către persoana care creează politica IPsec. De exemplu, ori de câte ori se afișează textul "% IPSECTOOL %", persoana care creează politica ar trebui să înlocuiască text care, după cum urmează:

  • Pentru Windows 2000, substituiți "% IPSECTOOL %" cu "ipsecpol.exe."

  • Pentru Windows XP sau o versiune mai recentă de Windows, substituiți "% IPSECTOOL %" cu "ipseccmd.exe."

Pentru mai multe informații despre cum se utilizează IPsec pentru a bloca porturile, faceți clic pe următorul număr de articol pentru a vedea articolul în baza de cunoștințe Microsoft:

Cum 813878 pentru a bloca anumite protocoale de rețea și porturi utilizând IPSec

Bloc de acces la emulatorul de punct final RPC pentru toate adresele IP

Pentru a bloca accesul la emulatorul de punct final RPC pentru toate adresele IP, utilizați următoarea sintaxă.

Notă Pe Windows XP și pe sisteme de operare ulterioare, utilizați Ipseccmd.exe. Pe Windows 2000, utilizați Ipsecpol.exe (Windows 2000).

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

Notă Tastați "% IPSECTOOL %" în această comandă. "% IPSECTOOL %" este destinat să reprezinte partea de comandă pe care trebuie să fi particularizat. De exemplu, Windows 2000, tastați următoarea comandă dintr-un director care conţine Ipsecpol.exe pentru a bloca accesul la TCP 135 primire:

ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

Pe Windows XP și pe sisteme de operare ulterioare, tastați următoarea comandă dintr-un director care conţine Ipseccmd.exe pentru a bloca accesul la TCP 135 primire:

ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

Bloc de acces la intervalul de port dinamic RPC pentru toate adresele IP

Pentru a bloca accesul la intervalul dinamic portul RPC pentru toate adresele IP, utilizați următoarea sintaxă.

Notă Pe Windows XP și pe sisteme de operare ulterioare, utilizați Ipseccmd.exe. Pe Windows 2000, utilizați Ipsecpol.exe (Windows 2000).

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP %PORT% Rule" -f *=0:%PORT%:TCP -n BLOCK

Notă Tastați "% IPSECTOOL %" sau "% PORT %" în această comandă. "% IPSECTOOL %" și "% PORT %" sunt destinate pentru a reprezenta părți din comanda pe care trebuie să fi particularizat. De exemplu, tastați următoarea comandă în Windows 2000 hosts pentru a bloca accesul la TCP 5001 intrare:

ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK

Pentru a bloca accesul la TCP 5001 primite, tastați următoarea comandă pe Windows XP hosts și pe gazdele de sisteme de operare ulterioare Windows:

ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK

Repetați această comandă pentru fiecare port RPC care trebuie să fie blocate, modificând numărul de port care este listat în această comandă. Porturile care trebuie să fie blocate sunt în zona 5001 5021.

Notă Nu uitați să modificați numărul de port în numele regulii (parametrul - r ) și în filtru (parametrul -f ).

Opțional: Accesul la emulatorul de punct final RPC pentru anumite subrețele dacă este nevoie de acces

Dacă trebuie să dea specifice subrețele accesul la porturile RPC restricționate, ce trebuie să ofere mai întâi aceste acces subrețele emulatorul punct final RPC care este blocat de mai sus. Pentru a oferi o subrețea specifice de acces la emulatorul de punct final RPC, utilizați următoarea comandă:

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP 135 from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:135:TCP -n PASS

Notă În această comandă, se aplică următoarele:

  • "% IPSECTOOL %" reprezintă comanda de a utiliza. Această comandă este "ipsecpol.exe" sau "ipseccmd.exe." Ce este utilizată depinde la ce sistem de operare pe care îl configurați.

  • "% SUBREȚEAUA %" reprezintă la distanță IP subrețeaua de la care doriți să oferiți acces, de exemplu, 10.1.1.0.

  • "% Mască %" reprezintă masca de subrețea se utilizează, de exemplu, 255.255.255.0.

    De exemplu, următoarea comandă permite toate gazdele de subrețea 10.1.1.0/255.255.255.0 pentru a vă conecta la portul TCP 135. Toate celelalte gazde va avea conexiunile lor refuzat de regula de blocare implicită care s-a creat anterior pentru acest port.

    %IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 135 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:135:TCP -n PASS

Opțional: Oferiți acces la noua gama dinamică portul RPC pentru anumite subrețele dacă este nevoie de acces

Fiecare subrețea care s-a acordat accesul emulatorul de punct final RPC anterioară trebuie, de asemenea, acorda acces la toate porturile în zona nou RPC dinamic port (5001-5021).

Dacă activați subrețele pentru a ajunge la emulatorul de punct final RPC, dar nu gama dinamică port, aplicația poate înceta să răspundă, sau este posibil să apară alte probleme.

Următoarea comandă vă oferă o subrețea specifice de acces la un port în intervalul de port dinamic RPC noi:

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP %PORT% from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:%PORT%:TCP -n PASS

Notă În această comandă, se aplică următoarele:

  • "% IPSECTOOL %" reprezintă comanda pentru a utiliza. Această comandă este "ipsecpol.exe" sau "ipseccmd.exe." Ce este utilizată depinde de la ce sistem de operare pe care îl configurați.

  • "% PORT %" reprezintă portul în intervalul dinamic portul la care să acorde acces.

  • "% SUBREȚEA %" reprezintă la distanță IP subrețeaua de la care doriți să oferiți acces, de exemplu, 10.1.1.0.

  • "% Mască %" reprezintă masca de subrețea se utilizează, de exemplu, 255.255.255.0.

    De exemplu, următoarea comandă permite toate gazdele de subrețea 10.1.1.0/255.255.255.0 pentru a vă conecta la portul TCP 5001. Toate celelalte gazde va avea conexiunile lor refuzat de regula de blocare implicită care s-a creat anterior pentru acest port.

    %IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 5001 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:5001:TCP -n PASS

Notă Această comandă se repetă pentru fiecare subrețea și portul în intervalul de port dinamic RPC nou.

Atribuiți o politică IPsec

Notă Comenzile din această secțiune efect imediat.

După ce creați toate regulile de blocare și toate opţional permite reguli pentru RPC configurat porturi, atribui politica utilizând următoarea comandă:

%IPSECTOOL% -w REG -p "Block RPC Ports" –x

Notă Pentru a dezasigna imediat politica, utilizați următoarea comandă:

%IPSECTOOL% -w REG -p "Block RPC Ports" –y

Notă Pentru a șterge politica din registry, utilizați următoarea comandă:

%IPSECTOOL% -w REG -p "Block RPC Ports" -o

Trebuie să reporniți gazdă pentru ca modificările să devină efective.

Note

  • Modificările de configuraţie pe RPC necesită o repornire.

  • Modificări de politică IPsec efect imediat și nu necesită o repornire.

După ce repornește workstation sau server, interfețe RPC care utilizează secvența de protocol ncacn_ip_tcp și nu specificați un port TCP specifice la care se leagă va avea un port alocate din aceasta gama de RPC runtime la pornirea RPC server.

Notă Serverul poate necesita mai mult de 20 de porturi TCP. Utilizați comanda rpcdump.exe pentru numărul de puncte finale RPC, care sunt legate la un port TCP și pentru a mări acest număr dacă trebuie să vă. Pentru mai multe informații despre cum se obține instrumentul RPC Dump, vizitați următorul site Web Microsoft:

http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd

Facebook LinkedIn E-mail

Aveți nevoie de ajutor suplimentar?

Doriți mai multe opțiuni?

Descoperiți Comunitate

Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.

Beneficiile abonamentului Microsoft 365

Instruire Microsoft 365

Securitate Microsoft

Centru de accesibilitate

Comunitățile vă ajută să adresați întrebări și să răspundeți la întrebări, să oferiți feedback și să primiți feedback de la experți cu cunoștințe bogate.

Întrebați Comunitatea Microsoft

Comunitatea tehnică Microsoft

Utilizatorii Windows Insider

Utilizatori Insider Microsoft 365

Au fost utile aceste informații?

Cât de mulțumit sunteți de calitatea limbajului?
Ce v-a afectat experiența?
Apăsând pe Trimitere, feedbackul dvs. va fi utilizat pentru a îmbunătăți produsele și serviciile Microsoft. Administratorul dvs. IT va avea posibilitatea să colecteze aceste date. Angajamentul de respectare a confidențialității.

Vă mulțumim pentru feedback!

×