Kako blokirati određene mrežne protokole i portove koristeći IPSec

Rezime

Pravila filtriranja Internet protokola (IPSec) mogu da se koriste za zaštitu računara zasnovanih na operativnom sistemu Windows 2000, Windows XP i Windows Server 2003 od napada na mreži od pretnji kao što su virusi i crvi. Ovaj članak opisuje kako se filtrira određeni protokol i kombinacija portova za ulazni i izlazni mrežni saobraćaj. On sadrži korake za to da li postoje neke IPSec smernice koje su trenutno dodeljene operativnom sistemu Windows 2000, Windows XP ili Windows Server 2003, koracima za kreiranje i dodeljivanje nove IPSec smernice i korake za poništavanje dodeljivanja i brisanje IPSec smernica.

Više informacija

IPSec smernice se mogu primeniti na lokalno ili se primenjivati na član domena kao deo smernica grupe tog domena. Lokalne IPSec smernice mogu biti statične (trajne nakon ponovnog pokretanja) ili dinamičke (nepostojane). Statične IPSec smernice se upisuju u lokalni registar i dalje se koriste nakon ponovnog pokretanja operativnog sistema. Dinamičke IPSec smernice se ne zapisuju trajno u registrator i uklanjaju se ako se ponovo pokrene operativni sistem ili usluga "agent IPSec smernica". Važno Ovaj članak sadrži informacije o uređivanju registratora pomoću Ipsecpol. exe. Pre uređivanja registratora uverite se da razumete kako da ga vratite u prethodno stanje ako dođe do problema. Za informacije o pravljenju rezervne kopije, vraćanju u prethodno stanje i uređivanju registratora kliknite na sledeći broj članka da biste videli članak u Microsoft bazi znanja:

Opis Microsoft Windows registratora   Napomena Pravila IPSec filtera mogu dovesti do toga da mrežni programi izgube podatke i prestanu da reaguju na zahteve mreže, uključujući i nemogućnost potvrde identiteta korisnika. Koristite IPSec filter pravila kao odbrambenu meru poslednjeg odmarališta i tek nakon što imate jasnu shvatanje uticaja koji će blokirati određene portove u vašem okruženju. Ako IPSec smernice koje kreirate pomoću koraka koji su navedeni u ovom članku imaju neželjene efekte na vaše mrežne programe, pogledajte odeljak "Nedodela i brisanje IPSec smernica" u nastavku ovog članka da biste dobili uputstva o tome kako da odmah onemogućite i izbrišete smernice.

Utvrđivanje da li je IPSec smernica dodeljeno

Računari zasnovani na operativnom sistemu Windows Server 2003

Pre nego što kreirate ili dodelite bilo koju novu IPSec politiku računaru zasnovanom na operativnom sistemu Windows Server 2003, utvrdite da li se neke IPSec smernice primenjuju iz lokalnog registratora ili preko objekta smernica grupe (GPO). Da biste to uradili, sledite ove korake:

  1. Instalirajte Netdiag. exe sa CD-a Windows Server 2003 pokretanjem programa Suptools. msi iz fascikle Support\Tools.

  2. Otvorite komandnu liniju, a zatim podesite radnu fasciklu na C:\Program Files\alatke za podršku.

  3. Pokrenite sledeću komandu da biste proverili da ne postoji postojeća IPSec smernica koja je već dodeljena računaru:

    Netdiag/test: IPsec Ako nijedna smernica nije dodeljena, dobićete sledeću poruku:

    Test IP bezbednosti. . . . . . . . . : Prosleđena usluga IPSec smernica je aktivna, ali nijedna smernica nije dodeljena.

Računarima zasnovanim na operativnom sistemu Windows XP

Pre nego što kreirate ili dodelite bilo koju novu IPSec politiku računaru zasnovanom na operativnom sistemu Windows XP, utvrdite da li se neke IPSec smernice primenjuju iz lokalnog registratora ili preko GPO-a. Da biste to uradili, sledite ove korake:

  1. Instalirajte Netdiag. exe sa Windows XP CD-a pokretanjem datoteke Setup. exe iz mape Support\Tools.

  2. Otvorite komandnu liniju, a zatim podesite radnu fasciklu na C:\Program Files\alatke za podršku.

  3. Pokrenite sledeću komandu da biste proverili da ne postoji postojeća IPSec smernica koja je već dodeljena računaru:

    Netdiag/test: IPsec Ako nijedna smernica nije dodeljena, dobićete sledeću poruku:

    Test IP bezbednosti. . . . . . . . . : Prosleđena usluga IPSec smernica je aktivna, ali nijedna smernica nije dodeljena.

Računarima zasnovanim na operativnom sistemu Windows 2000

Pre nego što kreirate ili dodelite bilo koju novu IPSec politiku računaru zasnovanom na operativnom sistemu Windows 2000, utvrdite da li se neke IPSec smernice primenjuju iz lokalnog registratora ili preko GPO-a. Da biste to uradili, sledite ove korake:

  1. Instalirajte Netdiag. exe sa Windows 2000 CD-a pokretanjem datoteke Setup. exe iz mape Support\Tools.

  2. Otvorite komandnu liniju, a zatim podesite radnu fasciklu na C:\Program Files\alatke za podršku.

  3. Pokrenite sledeću komandu da biste proverili da ne postoji postojeća IPSec smernica koja je već dodeljena računaru:

    Netdiag/test: IPsec Ako nijedna smernica nije dodeljena, dobićete sledeću poruku:

    Test IP bezbednosti. . . . . . . . . : Prosleđena usluga IPSec smernica je aktivna, ali nijedna smernica nije dodeljena.

Kreiranje statičke smernice za blokiranje saobraćaja

Računari zasnovani na operativnom sistemu Windows Server 2003 i Windows XP

Za sisteme koji nemaju omogućenu lokalno definisanu IPSec smernicu, kreirajte novu lokalnu statičku smernicu da biste blokirali saobraćaj koji je usmeren na određeni protokol i određeni port na računarima zasnovanim na operativnom sistemu Windows Server 2003 i Windows XP. Da biste to uradili, sledite ove korake:

  1. Uverite se da je usluga IPSec smernica omogućena i pokrenuta u MMC proširenju konzole "usluge".

  2. Instalirajte IPSeccmd. exe. IPSeccmd. exe je deo alata za podršku paketa Windows XP Service Pack 2 (SP2). Napomena IPSeccmd. exe će se pokrenuti u operativnim sistemima Windows XP i Windows Server 2003, ali je alatka dostupna samo u paketu alatki za podršku paketa Windows XP SP2. Za više informacija o preuzimanju i instaliranju alata za podršku za Windows XP sa servisnim paketom 2 kliknite na sledeći broj članka da biste videli članak u Microsoft bazi znanja:

    Alatke za podršku za Windows XP sa servisnim paketom 2  

  3. Otvorite komandnu liniju, a zatim postavite radnu fasciklu u fasciklu u kojoj ste instalirali alatke za podršku za Windows XP Service Pack 2. Napomena Podrazumevana fascikla za alatke za podršku za Windows XP SP2 je alatka za podršku C:\Program Files\.

  4. Da biste kreirali novo pravilo za lokalnu IPSec smernicu i filtriranje koje se primenjuje na mrežni saobraćaj sa bilo koje IP adrese na IP adresu računala sa sustavom Windows Server 2003 ili Windows XP koju konfigurišete, koristite sledeću komandu. Napomena U sledećoj komandi, protokolom i portbroju su promenljive.

    IPSeccmd. exe-w REG-p "blok protokolportnumber filter"-r "Blokiraj ulazni protokolportbrojno pravilo"-f * = 0:portnumber:protokol -n blok – x Na primer, da biste blokirali mrežni saobraćaj sa bilo koje IP adrese i bilo kojim izvornom portom na odredišni port UDP 1434 na računaru zasnovanom na operativnom sistemu Windows Server 2003 ili Windows XP, upišite sledeće. Ova smernica je dovoljna da bi se pomoglo u zaštiti računara koji pokreću Microsoft SQL Server 2000 od "Slammer" crva.

    IPSeccmd. exe-w REG-p "Blokiraj UDP 1434 filter"-r "Blokiraj ulazni UDP 1434 pravilo"-f * = 0:1434: UDP-n blok-x Sledeći primer blokira ulazni pristup TCP portu 80, ali i dalje dozvoljava izlazni TCP 80 pristup. Ova smernica je dovoljna da bi se pomoglo u zaštiti računara koji pokreću Microsoft Internet Information Services (IIS) 5,0 od "koda crvenog" crva i "Nimda" crva.

    IPSeccmd. exe-w REG-p "blok TCP 80 filter"-r "Blokiraj ulazno TCP 80 pravilo"-f * = 0:80: TCP-n blok-x Napomena Prekidač -x odmah dodeljuje smernicu. Ako unesete ovu komandu, pravilo "Blokiraj UDP 1434 filter" nije dodeljeno, a dodeljen je i "Blokiraj TCP 80 filter". Da biste dodali smernice, ali ne i dodelili smernice, otkucajte komandu bez prekidača -x na kraju.

  5. Da biste dodali dodatno pravilo za filtriranje u postojeću smernicu "Blokiraj UDP 1434 filter" koji blokira mrežni saobraćaj koji potiče sa računara zasnovanog na operativnom sistemu Windows Server 2003 ili Windows XP na bilo koju IP adresu, koristite sledeću komandu. Napomena U ovoj komandi, protokolu i Portnumber su promenljive:

    IPSeccmd. exe-w REG-p "blok protokolportnumberfilter"-r "Blokiraj izlazni protokolportnumber za broj "-f * 0 =:portnumber:protokol -n blok Na primer, da biste blokirali svaki mrežni saobraćaj koji potiče sa računara zasnovanog na operativnom sistemu Windows Server 2003 ili Windows XP koji je usmeren na UDP 1434 na bilo kom drugom domaćinu, upišite sledeće. Ova smernica je dovoljna da bi se sprečilo sprečavanje računara koji rade pod sistemom SQL Server 2000 od širenja crva "Slammer".

    IPSeccmd. exe-w REG-p "Blokiraj UDP 1434 filter"-r "Blokiraj izlazni UDP 1434 pravilo"-f 0 = *: 1434: UDP-n blok Napomena Pomoću ove komande možete da dodate neograničen broj pravila za filtriranje u smernice. Na primer, ovu komandu možete da koristite da biste blokirali više portova koristeći istu smernicu.

  6. Politika u koraku 5 će sada biti na snazi i nastaviće se svaki put kada se računar ponovo pokrene. Međutim, ako se na računar kasnije dodeli IPSec smernica sa domenom, ova lokalna smernica će biti zamenjena i neće više biti primenjena. Da biste proverili uspešno dodeljivanje pravila za filtriranje, na komandnoj liniji podesite radnu fasciklu na C:\Program Files\alatke za podršku, a zatim otkucajte sledeću komandu:

    Netdiag/test: IPsec/otklanjanje grešaka Ako se smernice za ulazni i izlazni saobraćaj dodeljuju kao u ovim primerima, dobićete sledeću poruku:

    Test IP bezbednosti. . . . . . . . . : Aktivna IPSec smernica Active: "Blokiraj UDP 1434 filter" IP bezbednosne smernice za bezbednost: Software\policies\microsoft\windows\ipprofil\policy\local\ipprofilpolicy {D239C599-F945-47A3-A4E3-B37BC12826B9} Postoje 2 filtera Bez imena ID filtera: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592} ID polise: {509492EA-1214-4F50-BF43-9CAC2B538518} Src Addr: 0.0.0.0 src maska: 0.0.0.0 "255.255.255.255": 192.168.1.1: Tunel Addr: 0.0.0.0 src port: 1434 0. Protokol: 17 TunnelFilter: ne Zastavice: ulazni blok Bez imena ID filtera: {9B4144A6-774F-4AE5-B23A-51331E67BAB2} ID polise: {2DEB01BD-9830-4067-B58A-AADFC8659BE5} Src Addr: 192.168.1.1 src maska: 255.255.255.255 Veoma je: 0.0.0.0 Tunel Addr: 0.0.0.0 src port: 1434 0. Protokol: 17 TunnelFilter: ne Zastavice: izlazni blok Napomena IP adrese i brojevi grafičkih korisničkog interfejsa (GUID) biće različiti u zavisnosti od računara zasnovanog na operativnom sistemu Windows Server 2003 ili Windows XP.

Računarima zasnovanim na operativnom sistemu Windows 2000

Za sisteme bez lokalne definisane IPSec smernice, sledite ove korake da biste kreirali novu lokalnu statičku smernicu da biste blokirali saobraćaj koji je usmeren na određeni protokol i port na računaru zasnovanom na operativnom sistemu Windows 2000 bez postojeće IPSec smernice koja je dodeljena:

  1. Uverite se da je usluga IPSec smernica omogućena i pokrenuta u MMC proširenju konzole "usluge".

  2. Otvorite komandnu liniju i postavite radnu fasciklu u fasciklu u kojoj ste instalirali Ipsecpol. exe. Napomena Podrazumevana fascikla za Ipsecpol. exe je C:\Program Files\Resource Kit.

  3. Da biste kreirali novo pravilo za lokalnu IPSec smernicu i filtriranje koje se primenjuje na mrežni saobraćaj sa bilo koje IP adrese na IP adresu računala sa sustavom Windows 2000 koju konfigurišete, koristite sledeću komandu, gde Protokol i portnumber su promenljive:

    ipsecpol-w REG-p "blok protokolportnumber filter"-r "Blokiraj ulazni protokolportbrojno pravilo"-f * = 0:portnumber:protokol -n blok – x Na primer, da biste blokirali mrežni saobraćaj sa bilo koje IP adrese i bilo kojim izvornom portom na odredišni port UDP 1434 na računaru zasnovanom na operativnom sistemu Windows 2000, upišite sledeće. Ova smernica je dovoljna da bi se pomoglo u zaštiti računara koji pokreću Microsoft SQL Server 2000 od "Slammer" crva.

    ipsecpol-w REG-p "Blokiraj UDP 1434 filter"-r "Blokiraj ulazni UDP 1434 pravilo"-f * = 0:1434: UDP-n blok-x Sledeći primer blokira ulazni pristup TCP portu 80, ali i dalje dozvoljava izlazni TCP 80 pristup. Ova smernica je dovoljna da bi se pomoglo u zaštiti računara koji pokreću Microsoft Internet Information Services (IIS) 5,0 od "kôd crvene" i "Nimda" crva.

    ipsecpol-w REG-p "blok TCP 80 filter"-r "Blokiraj ulazno TCP 80 pravilo"-f * = 0:80: TCP-n blok-x Napomena Prekidač -x odmah dodeljuje smernicu. Ako unesete ovu komandu, pravilo "Blokiraj UDP 1434 filter" nije dodeljeno, a dodeljen je i "Blokiraj TCP 80 filter". Da biste dodali, ali ne i dodelili smernice, otkucajte komandu bez prekidača -x na kraju.

  4. Da biste dodali dodatno pravilo za filtriranje u postojeću smernicu "Blokiraj UDP 1434 filter" koja blokira mrežni saobraćaj koji potiče sa računara koji radi pod operativnim sistemom Windows 2000 na bilo koju IP adresu, koristite sledeću komandu, gde protokol i Portnumber su promenljive:

    ipsecpol-w REG-p "blok protokolportnumberfilter"-r "Blokiraj izlazni protokolportbrojno pravilo"-f * 0 =:portnumber:protokol -n blok Na primer, da biste blokirali svaki mrežni saobraćaj koji potiče sa računara sa operativnim sistemom Windows 2000 koji je usmeren na UDP 1434 na bilo kom drugom domaćinu, upišite sledeće. Ova smernica je dovoljna za sprečavanje računara koji rade pod sistemom SQL Server 2000 od širenja crva "Slammer".

    ipsecpol-w REG-p "Blokiraj UDP 1434 filter"-r "Blokiraj izlazni UDP 1434 pravilo"-f 0 = *: 1434: UDP-n blok Napomena Smernici možete dodati neograničen broj pravila filtriranja pomoću ove komande (na primer, da biste blokirali više portova koristeći istu smernicu).

  5. Politika u koraku 5 će sada biti na snazi i nastaviće se svaki put kada se računar ponovo pokrene. Međutim, ako se na računar kasnije dodeli IPSec smernica sa domenom, ova lokalna smernica će biti zamenjena i neće više biti primenjena. Da biste proverili uspešno dodeljivanje pravila za filtriranje, na komandnoj liniji, podesite radnu fasciklu na C:\Program Files\alatke za podršku, a zatim otkucajte sledeću komandu:

    Netdiag/test: IPsec/otklanjanje grešaka Ako se u ovim primerima dodele smernice za ulazni i izlazni saobraćaj, dobićete sledeću poruku:

    Test IP bezbednosti. . . . . . . . . : Aktivna IPSec smernica Active: "Blokiraj UDP 1434 filter" IP bezbednosne smernice za bezbednost: Software\policies\microsoft\windows\ipprofil\policy\local\ipprofilpolicy {D239C599-F945-47A3-A4E3-B37BC12826B9} Postoje 2 filtera Bez imena ID filtera: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592} ID polise: {509492EA-1214-4F50-BF43-9CAC2B538518} Src Addr: 0.0.0.0 src maska: 0.0.0.0 "255.255.255.255": 192.168.1.1: Tunel Addr: 0.0.0.0 src port: 1434 0. Protokol: 17 TunnelFilter: ne Zastavice: ulazni blok Bez imena ID filtera: {9B4144A6-774F-4AE5-B23A-51331E67BAB2} ID polise: {2DEB01BD-9830-4067-B58A-AADFC8659BE5} Src Addr: 192.168.1.1 src maska: 255.255.255.255 Veoma je: 0.0.0.0 Tunel Addr: 0.0.0.0 src port: 1434 0. Protokol: 17 TunnelFilter: ne Zastavice: izlazni blok Napomena IP adrese i brojevi grafičkih korisničkog interfejsa (GUID) biće drugačiji. Oni će se odraziti na računar koji radi pod operativnim sistemom Windows 2000.

Dodavanje pravila bloka za određeni protokol i port

Računari zasnovani na operativnom sistemu Windows Server 2003 i Windows XP

Da biste dodali pravilo blokiranja za određeni protokol i port na računaru zasnovanom na operativnom sistemu Windows Server 2003 ili Windows XP na kojem je postojeća statička IPSec smernica dodeljena na lokalnom nivou, sledite ove korake:

  1. Instalirajte IPSeccmd. exe. IPSeccmd. exe je deo alatki podrške za Windows XP SP2. Za više informacija o preuzimanju i instaliranju alata za podršku za Windows XP sa servisnim paketom 2 kliknite na sledeći broj članka da biste videli članak u Microsoft bazi znanja:

    Alatke za podršku za Windows XP sa servisnim paketom 2  

  2. Identifikujte ime trenutno dodeljene IPSec smernice. Da biste to uradili, u komandnoj liniji otkucajte sledeće:

    Netdiag/test: IPsec Ako je smernica dodeljena, dobićete poruku koja je slična sledećoj:

    Test IP bezbednosti. . . . . . . . . : Usvojeno Lokalna IPSec politika aktivna: ' Blokiraj UDP 1434 filter '

  3. Ako postoji IPSec smernice koje su već dodeljene računaru (lokalnom ili domenu), koristite sledeću komandu za dodavanje dodatnog pravila filtera za BLOKIRANJE postojećoj IPSec smernici. NapomenaU ovoj komandi Existing_IPSec_Policy_Name, Protocoli portnumber su promenljive.

    IPSeccmd. exe-p "Existing_IPSec_Policy_Name"-w Reg-r "blok ProtocolPortNumber "-F * = 0:portnumber:protokol -n blok Na primer, da biste dodali pravilo filtera da biste blokirali ulazni pristup TCP portu 80 u postojeći blok UDP 1434 filter, otkucajte sledeću komandu:

    IPSeccmd. exe-p "Blokiraj UDP 1434 filter"-w REG-r "Blokiraj ulazno TCP 80 pravilo"-f * = 0:80: TCP-n blok

Računarima zasnovanim na operativnom sistemu Windows 2000

Da biste dodali pravilo blokiranja za određeni protokol i port na računaru zasnovanom na operativnom sistemu Windows 2000, sa postojećom lokalnom statičkom smernicom koja je dodeljena lokalno, sledite ove korake:

  1. Posetite sledeću Microsoft Web lokaciju da biste preuzeli i instalirali Ipsecpol. exe:

  2. Identifikujte ime trenutno dodeljene IPSec smernice. Da biste to uradili, u komandnoj liniji otkucajte sledeće:

    Netdiag/test: IPsec Ako je smernica dodeljena, dobićete poruku koja je slična sledećoj:

    Test IP bezbednosti. . . . . . . . . : Usvojeno Lokalna IPSec politika aktivna: ' Blokiraj UDP 1434 filter '

  3. Ako postoji IPSec smernice koje su već dodeljene računaru (lokalnom ili domenu), koristite sledeću komandu da biste dodali dodatno pravilo filtriranja BLOKIRANJA na postojeću IPSec smernicu gde Existing_IPSec_Policy_Name, Protocoli portnumber su promenljive:

    ipsecpol-p "Existing_IPSec_Policy_Name"-w Reg-r "blok ProtocolPortNumber "-F * = 0:portnumber:protokol -n blok Na primer, da biste dodali pravilo filtera da biste blokirali ulazni pristup TCP portu 80 u postojeći blok UDP 1434 filter, otkucajte sledeću komandu:

    ipsecpol-p "Blokiraj UDP 1434 filter"-w REG-r "Blokiraj ulazno TCP 80 pravilo"-f * = 0:80: TCP-n blok

Dodavanje smernica dinamičkog bloka za određeni protokol i port

Računari sa operativnim sistemom Windows Server 2003 i Windows XP

Možda ćete želeti da privremeno blokirate pristup određenom portu. Na primer, možda ćete želeti da blokirate određeni port dok ne budete mogli da instalirate hitnu ispravku ili ako je IPSec smernica zasnovano na domenu već dodeljena računaru. Da biste privremeno blokirali pristup portu na računaru zasnovanom na operativnom sistemu Windows Server 2003 ili Windows XP pomoću IPSec smernica, sledite ove korake:

  1. Instalirajte IPSeccmd. exe. IPSeccmd. exe je deo alata za podršku servisnog paketa Windows XP Service Pack 2. Napomena IPSeccmd. exe će se pokrenuti u operativnim sistemima Windows XP i Windows Server 2003, ali je alatka dostupna samo u paketu alatki za podršku paketa Windows XP SP2. Za više informacija o preuzimanju i instalaciji alatki za podršku za Windows XP Service Pack 2 kliknite na sledeći broj članka da biste videli članak u Microsoft bazi znanja:

    Alatke za podršku za Windows XP sa servisnim paketom 2  

  2. Da biste dodali dinamički blok filter koji blokira sve pakete iz bilo koje IP adrese vašeg sistema IP adresu i ciljnog porta, u naredbeni redak upišite sljedeću naredbu. Napomena U sledećoj komandi, protokolu i Portnumber su promenljive.

    Ipseccmd. exe-f [* = 0:portbroj:protokol] Napomena Ova komanda kreira dinamički filter za blokiranje. Smernice ostaju dodeljene sve dok je pokrenuta usluga "agent IPSec smernica". Ako se usluga IPSec smernica ponovo pokrene ili se računar ponovo pokrene, ova smernica se gubi. Ako želite da dinamički ponovo dodelite pravilo IPSec filtriranja svaki put kada se sistem ponovo pokrene, kreirajte skriptu za pokretanje da biste ponovo primenili pravilo filtera. Ako želite da trajno primenite ovaj filter, konfigurišite filter kao statičku IPSec smernicu. MMC proširenje konzole za upravljanje IPSec politikom obezbeđuje grafički korisnički interfejs za Upravljanje konfiguracijom IPSec smernica. Ako je IPSec politika zasnovana na domenu već primenjena, funkcija Netdiag/test: IPsec/otklanjanje grešaka može da prikaže samo detalje filtera ako je korisnik izvršava akreditive administratora domena.

Računarima zasnovanim na operativnom sistemu Windows 2000

Možda ćete želeti da privremeno blokirate određeni port (na primer, dok se ne može instalirati hitna ispravka ili ako je IPSec smernica zasnovano na domenu već dodeljena računaru). Da biste privremeno blokirali pristup portu na računaru zasnovanom na operativnom sistemu Windows 2000 pomoću IPSec smernica, sledite ove korake:

  1. Posetite sledeću Microsoft Web lokaciju da biste preuzeli i instalirali Ipsecpol. exe:

  2. Da biste dodali dinamički blok filter koji blokira sve pakete iz bilo koje IP adrese vašeg sistema IP adresu i ciljnog porta, na komandnoj liniji otkucajte sledeće, gde je protokol i Portnumber su promenljive:

    ipsecpol-f [* = 0:Portbroj:protokol] Napomena Ova komanda kreira dinamički filter za blokiranje, a smernice će ostati dodeljene sve dok je pokrenuta usluga "agent IPSec smernica". Ako se IPSec usluga ponovo pokrene ili se računar ponovo pokrene, ova postavka će biti izgubljena. Ako želite da dinamički ponovo dodelite pravilo IPSec filtriranja svaki put kada se sistem ponovo pokrene, kreirajte skriptu za pokretanje da biste ponovo primenili pravilo filtera. Ako želite da trajno primenite ovaj filter, konfigurišite filter kao statičku IPSec smernicu. MMC proširenje konzole za upravljanje IPSec politikom obezbeđuje grafički korisnički interfejs za Upravljanje konfiguracijom IPSec smernica. Ako je IPSec smernica zasnovano na domenu već primenjena, Netdiag/test: IPsec/otklanjanje grešaka može prikazati samo detalje filtera ako je korisnik izvršio akreditive administratora domena. Ažurirana verzija datoteke Netdiag. exe biće dostupna u operativnom sistemu Windows 2000 Service Pack 4 koja će omogućiti lokalnim administratorima da prikažu IPSec smernice zasnovane na domenu.

IPSec filtriranje pravila i smernice grupe

Za okruženja u kojima je IPSec smernice dodeljeno postavkom smernica grupe, morate da ažurirate smernice celog domena da biste blokirali određeni protokol i port. Kada uspješno konfigurišete postavke smernica grupe, morate da primenite osvežavanje postavki smernica grupe na svim računarima zasnovanim na operativnom sistemu Windows Server 2003, Windows XP i Windows 2000 u domenu. Da biste to uradili, koristite sledeću komandu:

secedit/osvježpolitike machine_policy Promena IPSec smernice će biti otkrivena u okviru jednog od dva različita intervala. Za novokreiranu IPSec smernicu koja se primenjuje na GPO, IPSec smernice će biti primenjene na klijente u vremenskom periodu za interval za glasanje o smernicama grupe ili kada se na klijentskim računarima pokrene naredba sekedit/osvežava machine_policy . Ako je IPSec smernice već dodeljeno GPO-u, a novi IPSec filteri ili pravila se dodaju postojećoj smernici, komanda " profiledit " neće napraviti IPsec prepoznate promene. U ovom scenariju, izmene koje se nalaze u postojećoj GPO-ovoj IPSec smernici će biti otkrivene u okviru svog intervala koji ima za vas IPSec politiku. Ovaj interval je naveden na kartici " Opšte postavke " za tu IPsec smernicu. Takođe možete da nametate osvežavanje postavki IPSec smernica ponovnim pokretanjem usluge agenta IPSec smernica. Ako se IPSec servis zaustavi ili ponovo pokrene, komunikacija sa IPSec protokolom će biti prekinuta i biće potrebno nekoliko sekundi da se nastavi. To može dovesti do prekidanja veze programa, posebno za veze koje aktivno prenose velike volumene podataka. U situacijama kada se IPSec smernice primenjuju samo na lokalnom računaru, ne morate ponovo da pokrećete uslugu.

Poništavanje dodeljivanja i brisanje IPSec smernice

Računari zasnovani na operativnom sistemu Windows Server 2003 i Windows XP

  • Računari koji imaju lokalno definisanu statičku smernicu

    1. Otvorite komandnu liniju, a zatim postavite radnu fasciklu u fasciklu u kojoj ste instalirali Ipsecpol. exe.

    2. Da biste raspakivali filter koji ste ranije kreirali, koristite sledeću komandu:

      IPSeccmd. exe-w REG-p "blok protokolportbr . filter" – y Na primer, da biste razgrupisali blok UDP 1434 filter koji ste prethodno kreirali, koristite sledeću komandu:

      IPSeccmd. exe-w REG-p "Blokiraj UDP 1434 filter"-y

    3. Da biste izbrisali filter koji ste kreirali, koristite sledeću komandu:

      IPSeccmd. exe-w REG-p "blok protokolportnumber filter"-r "Blokiraj protokolportbr . pravila" – o Na primer, da biste izbrisali filter "Blokiraj UDP 1434 filter" i oba pravila koja ste kreirali, koristite sledeću komandu:

      IPSeccmd. exe-w REG-p "Blokiraj UDP 1434 filter"-r "Blokiraj ulazni UDP 1434 pravilo"-r "Blokiraj odlazni UDP 1434 pravilo"-o

  • Računari koji imaju lokalno definisanu dinamičku smernicu Dinamička IPsec smernica je opozvana ako je usluga IPsec smernica zaustavljena pomoću komande " mreža zaustavljanja ojačavanje ". Da biste izbrisali određene komande koje su korišćene bez zaustavljanja usluge agenta IPSec smernica, pratite sledeće korake:

    1. Otvorite komandnu liniju, a zatim postavite radnu fasciklu u fasciklu u kojoj ste instalirali alatke za podršku za Windows XP Service Pack 2.

    2. Otkucajte sledeću komandu:

      IPSeccmd.exe –u Napomena Takođe možete ponovo pokrenuti uslugu IPSec smernica da biste obrisali sve dinamično dodeljene smernice.

Računarima zasnovanim na operativnom sistemu Windows 2000

  • Računari sa lokalno definisanim statičkim smernicama

    1. Otvorite komandnu liniju, a zatim postavite radnu fasciklu u fasciklu u kojoj ste instalirali Ipsecpol. exe.

    2. Da biste raspakivali filter koji ste ranije kreirali, koristite sledeću komandu:

      ipsecpol-w REG-p "blok protokolportbroj filter" – y Na primer, da biste razgrupisali blok UDP 1434 filter koji ste prethodno kreirali, koristite sledeću komandu:

      ipsecpol-w REG-p "Blokiraj UDP 1434 filter"-y

    3. Da biste izbrisali filter koji ste kreirali, koristite sledeću komandu:

      ipsecpol-w REG-p "blok protokolportnumber filter"-r "Blokiraj protokolportnumber ." – o Na primer, da biste izbrisali filter "Blokiraj UDP 1434 filter" i oba pravila koja ste ranije kreirali, koristite sledeću komandu:

      ipsecpol-w REG-p "Blokiraj UDP 1434 filter"-r "Blokiraj ulazni UDP 1434 pravilo"-r "Blokiraj odlazni UDP 1434 pravilo"-o

  • Računari sa lokalno definisanom dinamičnom politikom Dinamička IPsec smernica će biti opozvana ako je usluga IPsec smernica zaustavljena (korišćenjem komande net stop ojačavanje ). Međutim, da biste izbrisali određene komande koje su ranije korišćene bez zaustavljanja usluge agenta IPSec smernica, pratite sledeće korake:

    1. Otvorite komandnu liniju, a zatim postavite radnu fasciklu u fasciklu u kojoj ste instalirali Ipsecpol. exe.

    2. Otkucajte sledeću komandu:

      Ipsecpol – u Napomena Takođe možete ponovo pokrenuti uslugu IPSec smernica da biste obrisali sve dinamično dodeljene smernice.

Primena novog pravila filtera na sve protokole i portove

Po podrazumevanoj vrednosti u operativnim sistemom Microsoft Windows 2000 i Microsoft Windows XP, IPSec izuzimanje emituje, multicast, RSVP, IKE i Kerberos saobraćaj iz svih ograničenja filtera i potvrde identiteta. Za dodatne informacije o ovim izuzeća kliknite na sledeći broj članka da biste videli članak u Microsoft bazi znanja:

Saobraćaj koji može--i ne može da ga osigura IPSec   Gde se IPSec koristi samo za dozvoljavanje i blokiranje saobraćaja, uklanjanje izuzeća za Kerberos i RSVP protokole promenom vrednosti registratora. Za potpune instrukcije o tome kako da to uradite kliknite na sledeći broj članka da biste videli članak u Microsoft bazi znanja:

IPSec ne obezbedi Kerberos saobraćaj između kontrolora domena   Prateći ova uputstva, možete pomoći u zaštiti UDP 1434 čak i u slučajevima kada napadači mogu postaviti izvorni port na Kerberos portove TCP/UDP 88. Uklanjanjem Kerberos izuzeća, Kerberos paketi će sada biti podudarni sa svim filterima u IPSec smernici. Zbog toga se Kerberos može obezbediti u IPSec, blokiranim ili dozvoljenoj. Zbog toga, ako se IPSec filteri podudaraju sa Kerberos saobraćajem koji ide na IP adrese kontrolera domena, možda ćete morati da promenite dizajn IPSec smernica da biste dodali nove filtere kako biste dozvolili Kerberos saobraćaj za svaku IP adresu kontrolera domena (ako ne koristite IPSec da biste pomogli u zaštiti svih saobraćaja između kontrolera domena kao što je članak u bazi znanja 254728).

Primena pravila IPSec filtera nakon ponovnog pokretanja računara

Sve IPSec smernice se oslanjaju na uslugu IPSec smernica koja će biti dodeljena. Kada se računar zasnovan na operativnom sistemu Windows 2000 nalazi u procesu pokretanja, usluga "agent IPSec smernica" nije nužno prva usluga koja treba da se pokrene. Stoga može doći do kratkog trenutka kada je mrežna veza računara ranjiva na viruse ili napade crva. Ova situacija se primenjuje samo u slučaju kada je potencijalno ranjiva usluga uspešno pokrenuta i prihvata vezu pre nego što je usluga "agent IPSec smernica" u potpunosti započela i dodelila sve smernice.

Potrebna vam je dodatna pomoć?

Unapredite veštine
Istražite obuku
Prvi nabavite nove funkcije
Pridružite se Microsoft insajdere

Da li su vam ove informacije koristile?

Hvala vam na povratnim informacijama!

Hvala za povratne informacije! Izgleda da će biti od pomoći ako vas povežemo sa našim agentima Office podrške.

×