Ako konfigurovať službu RPC používať niektoré porty a ako zabezpečiť tieto porty pomocou protokolu IPsec

Súhrn

Tento článok popisuje, ako konfigurovať službu RPC používať konkrétny port dynamický rozsah a ako zabezpečiť portov v rozsahu prostredníctvom politiky protokolu Internet Protocol security (IPsec). Predvolene používa RPC porty rozsah pominuteľné portu (1024-5000) pri priraďovaní portov RPC aplikácie, ktoré majú príjem na TCP koncový bod. Toto správanie môže byť obmedzenie prístupu na tieto porty náročné pre správcov siete. Tento článok popisuje spôsoby, ako znížiť počet portov, ktoré sú k dispozícii aplikácie RPC a ako obmedziť prístup k tieto porty pomocou databázy registry politiky protokolu IPsec.

Keďže kroky v tomto článku zahŕňajú zmeny počítača, ktoré vyžadujú reštartovanie počítača, tieto kroky vykonať najskôr v prostredí nonproduction na identifikáciu problémov s kompatibilitou aplikácií, ktoré sa môžu vyskytnúť v dôsledku týchto zmien.

Ďalšie informácie

Existuje viacero konfiguráciu, ktoré je potrebné dokončiť premiestnenie, znížiť a obmedziť prístup k portom RPC.

Najskôr by sa mala obmedziť na menšie, lepšie spravovať portov, čiže jednoduchšie blokovanie brány firewall alebo politiky IPsec RPC dynamické portu rozsahu. Predvolene RPC dynamicky vyhradí portov v rozsahu 1024-5000 pre koncové body nezadáte port, na ktorý chcete vypočuť.

Poznámka:
V tomto článku sa používa rozsah portov 5001 až 5021. Tým sa znižuje počet portov, ktoré sú k dispozícii na koncových bodov RPC 3,976 20. Počet portov vybrali ľubovoľne a nie je odporúčanie pre počet portov, ktoré sú potrebné pre akýkoľvek konkrétny systém.

Ďalej musí vytvoriť politiky protokolu IPsec obmedziť prístup k tejto portov na odmietnutie prístupu na všetkých počítačoch v sieti.

Nakoniec politiky protokolu IPsec môžu byť aktualizované na určité adresy IP alebo podsiete sieťový prístup blokované porty RPC a vylúčiť všetky ostatné.

Spustenie úlohy zmeny konfigurácie RPC dynamické portu rozsahu, prevezmite RPC konfiguračný nástroj (RPCCfg.exe) a skopírujte pracovnej stanice alebo servera, ktorý bude znovu. Chcete urobiť, nájdete na webovej lokalite spoločnosti Microsoft:

http://www.microsoft.com/downloads/details.aspx?FamilyID=0f9cde2f-8632-4da8-ae70-645e1ddaf369&DisplayLang=enĎalšie úlohy vytvárania politiky protokolu IPsec, stiahnutie Internet protokol zabezpečenia politík nástroj (Ipsecpol.exe) a skopírujte pracovnej stanice alebo servera, ktorý bude znovu. Chcete urobiť, nájdete na webovej lokalite spoločnosti Microsoft:

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361Poznámka: Vytvorenie politiky protokolu IPsec pre systém Microsoft Windows XP alebo novšiu verziu operačného systému Windows, použite Ipseccmd.exe. Ipseccmd.exe je súčasťou nástrojov technickej podpory systému Windows XP. Syntax a používanie IPseccmd.exe sú rovnaké ako syntax a používanie Ipsecpol.exe. Ďalšie informácie o nástroje technickej podpory systému Windows XP získate po kliknutí na nasledovné číslo článku publikovaného v databáze Microsoft Knowledge Base:

838079 nástroje technickej podpory systému Windows XP Service Pack 2

Premiestnenie a znížiť rozsah RPC dynamické portu pomocou RPCCfg.exe

Premiestniť a znížiť rozsah RPC dynamické portu pomocou RPCCfg.exe, postupujte nasledovne:

Skopírujte RPCCfg.exe na server, ktorý je potrebné nakonfigurovať
Do príkazového riadka zadajte rpccfg.exe-pe 5001-5021 - d 0.
Poznámka: Tento rozsah portov odporúča na používanie koncových bodov RPC pretože porty v tomto rozsahu sa pridelí na používanie iné aplikácie. V predvolenom nastavení používa RPC rozsah portov 1024 až 5000 prideľovania porty pre koncových bodov. Však porty v tomto rozsahu sa dynamicky pridelené na používanie operačného systému Windows pre všetky Windows sockets aplikácie a môže byť vyčerpaný serveroch ťažko používa ako terminálové servery a servery strednej vrstvy, aby veľa volania k vzdialeným systémom.

Napríklad vtedy, keď program Internet Explorer kontaktuje webový server port 80, to načúva na porte v rozsahu 1024-5000 odpoveď zo servera. Strednej vrstvy server COM, ktorý volania na iné vzdialené servery tiež používa port v tejto prichádzajúcej odpoveď na toto volanie. Premiestnenie rozsah portov, ktoré RPC používa svoje koncové body 5001 portov zníži pravdepodobnosť, že tieto porty používané inými aplikáciami.
Ďalšie informácie o používaní nestále port operačného systému Windows nájdete na nasledujúcich webových lokalitách spoločnosti Microsoft.
- Windows 2000:
  
  http://technet.microsoft.com/library/bb726981.aspx
- Windows Server 2003:
  
  http://technet2.microsoft.com/WindowsServer/en/library/823ca085-8b46-4870-a83e-8032637a87c81033.mspx?mfr=true

Použitie politiky protokolu IPsec alebo brána firewall blokovať prístup k portom zraniteľné príslušného

Príkazy v nasledujúcej časti text medzi % príznaky má predstavujú text príkaz, ktorý musí byť zadaný osobou, ktorá vytvorí politiky protokolu IPsec. Napríklad vždy, keď sa zobrazí text "IPSECTOOL %", kto vytvorí politiky mali nahradiť text takto:

Windows 2000, nahradiť "% IPSECTOOL %" "ipsecpol.exe."
Windows XP alebo novšiu verziu systému Windows, nahradiť "% IPSECTOOL %" "ipseccmd.exe."

Ďalšie informácie o používaní protokolu IPsec na blokovanie portov, po kliknutí na nasledovné číslo článku publikovaného v databáze Microsoft Knowledge Base:

813878 ako blokovať konkrétne sieťové protokoly a porty pomocou protokolu IPSec

Blokovať prístup k servera LDAP pre všetky adresy IP

Blokovať prístup k servera LDAP pre všetky adresy IP, použite nasledujúcu syntax.

Poznámka: V systéme Windows XP a v novších operačných systémoch, použite Ipseccmd.exe. V systéme Windows 2000 pomocou Ipsecpol.exe (Windows 2000).

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

Poznámka: Nezadávajte "IPSECTOOL %" v tomto príkaze. "IPSECTOOL %" má časť príkaz, ktorý musí byť upravený. Napríklad v systéme Windows 2000, zadajte nasledovný príkaz v adresári, ktorý obsahuje Ipsecpol.exe všetky prichádzajúce prístup k TCP 135:

ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

V systéme Windows XP a v novších operačných systémoch, zadajte nasledovný príkaz v adresári, ktorý obsahuje Ipseccmd.exe všetky prichádzajúce prístup k TCP 135:

ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

Blokovať prístup k RPC dynamické portu rozsahu pre všetky adresy IP

Blokovať prístup k RPC dynamické portu rozsahu pre všetky adresy IP, použite nasledujúcu syntax.

Poznámka: V systéme Windows XP a v novších operačných systémoch, použite Ipseccmd.exe. V systéme Windows 2000 pomocou Ipsecpol.exe (Windows 2000).

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP %PORT% Rule" -f *=0:%PORT%:TCP -n BLOCK

Poznámka: V tomto príkaze nezadávajte "IPSECTOOL %" alebo "PORT". "IPSECTOOL %" a "% PORT %" majú predstavujú časti príkaz, ktorý musí byť upravený. Zadajte napríklad nasledovný príkaz na počítačoch Windows 2000 všetky prichádzajúce prístup k TCP 5001:

ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK

Blokovať všetky prichádzajúce k TCP 5001, zadajte nasledovný príkaz na Windows XP počítače a počítače novšie operačné systémy Windows:

ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK

Tento príkaz zopakujte pre každý port RPC, ktoré musia byť blokované zmeniť číslo portu, ktorý je uvedený v tomto príkaze. Porty, ktoré musia byť blokované sú v rozsahu od 5001 5021.

Poznámka: Nezabudnite zmeniť číslo portu názov pravidla (prepínač - r ) a získavania (prepínač -f ).

Voliteľné: Sprístupniť servera LDAP pre konkrétne podsiete potreby prístupu

Ak je potrebné sprístupniť konkrétne podsiete obmedzené porty RPC, musí mať tieto podsiete prístup k RPC Endpoint Mapper, ktorý je blokovaný vyššie. Sprístupniť podsieť servera LDAP, použite nasledujúci príkaz:

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP 135 from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:135:TCP -n PASS

Poznámka: Tento príkaz použite nasledujúce príkazy:

"IPSECTOOL %" predstavuje príkaz. Tento príkaz je "ipsecpol.exe" alebo "ipseccmd.exe." Príkaz, ktorý používa závisí konfigurujete operačného systému.
"% PODSIETE" predstavuje vzdialenej podsieti IP ktorej chcete sprístupniť, napríklad 10.1.1.0.
"% Maska" predstavuje masky podsiete použiť napríklad 255.255.255.0.

Napríklad nasledujúci príkaz umožňuje všetky počítače z podsiete 10.1.1.0/255.255.255.0 k portu TCP 135. Všetky ostatné počítače majú svoje pripojenie odmietnuté predvolené pravidlo blokovať predtým vytvorený pre tento port.
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 135 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:135:TCP -n PASS

Voliteľné: Sprístupniť nový rozsah RPC dynamické portu pre konkrétne podsiete potreby prístupu

Každej podsieti, ktorý bol daný prístup RPC Endpoint Mapper vyššie tiež mali prístup do všetkých portov v novej RPC dynamické portu rozsahu (5001 5021).

Ak zapnete podsieťach dosiahnuť servera LDAP, ale nie rozsah dynamické portu, aplikácia môže prestať reagovať alebo sa vyskytnú ďalšie problémy.

Príkaz sprístupňuje podsieť portu v nových RPC dynamické portu:

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP %PORT% from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:%PORT%:TCP -n PASS

Poznámka: Tento príkaz použite nasledujúce príkazy:

"IPSECTOOL %" predstavuje príkaz. Tento príkaz je "ipsecpol.exe" alebo "ipseccmd.exe." Príkaz, ktorý používa závisí konfigurujete operačného systému.
"% PORT %" predstavuje port rozsah dynamické portu, ku ktorému prístup.
"% PODSIETE" predstavuje vzdialenej podsieti IP ktorej chcete sprístupniť, napríklad 10.1.1.0.
"% Maska" predstavuje masky podsiete použiť napríklad 255.255.255.0.

Napríklad nasledujúci príkaz umožňuje všetky počítače z podsiete 10.1.1.0/255.255.255.0 k portu TCP 5001. Všetky ostatné počítače majú svoje pripojenie odmietnuté predvolené pravidlo blokovať predtým vytvorený pre tento port.
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 5001 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:5001:TCP -n PASS

Poznámka: Tento príkaz opakovať podsiete a port nového RPC dynamické portu rozsahu.

Priradenie politiky protokolu IPsec

Poznámka: Príkazy v tejto časti sa prejaví okamžite.

Keď vytvoríte blok pravidlá a všetky voliteľné umožňujú pravidlá konfigurované RPC porty, priraďte politiku pomocou nasledujúceho príkazu:

%IPSECTOOL% -w REG -p "Block RPC Ports" –x

Poznámka: Na okamžite priradenie politiky, použite nasledovný príkaz:

%IPSECTOOL% -w REG -p "Block RPC Ports" –y

Poznámka: Odstránenie politiky v databáze registry, použite nasledujúci príkaz:

%IPSECTOOL% -w REG -p "Block RPC Ports" -o

Hostiteľa zmeny sa prejavia po reštartovaní.

Poznámky

Zmeny konfigurácie RPC vyžadovať reštartovanie počítača.
IPsec zmeny sa prejavia okamžite a nevyžaduje reštartovanie.

Po reštarte stanice alebo servera všetky rozhrania RPC pomocou ncacn_ip_tcp sekvencia protokolu a nezadáte konkrétny port TCP, ku ktorému sa viažu mať pridelené z tejto RPC runtime spustení RPC server portu.

Poznámka: Server vyžaduje viac ako 20 porty TCP. Počet koncových bodov RPC, ktoré sú pripojené k portu TCP a zvýšiť toto číslo, ak musíte, môžete použiť príkaz rpcdump.exe . Ďalšie informácie o možnostiach získania nástroja RPC výpis nájdete na webovej lokalite spoločnosti Microsoft:

http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd