Настроювання віддаленого виклику процедур, використання певних портів і те, як захистити ці порти з використанням IPsec

Загальні відомості

У цій статті описано настроювання віддаленого виклику процедур, використання порту динамічного діапазону, як захистити портів у діапазоні, що за допомогою політику безпеки (IPsec) в Інтернет-протоколу. За промовчанням віддаленого виклику процедур, використовує портів тимчасових портів у діапазоні (1024-5000) під час призначення портів RPC застосунки, які для прослуховування TCP кінцевої точки. Така поведінка може зробити обмежувати доступ до портів складним для адміністраторів мережі. У цій статті розглядаються, способи, щоб зменшити кількість портів для RPC застосунків і те, як обмежити доступ до портів за допомогою політики IPsec системного реєстру.

Через те, що дії, наведені в цій статті, пов'язані зі комп'ютера зміни, які потрібно перезапустити комп'ютер, всі ці дії необхідно користуватися спочатку в середовищі невиробничої, для виявлення будь-які проблеми сумісності застосунків, які виникають у результаті цих змін.

Додаткові відомості

Існує кілька конфігурацію завдання, які необхідно виконати для того, щоб перемістити, скоротити і обмежити доступ до портів для RPC.

По-перше, слід лише для роботи порту діапазон легше блокування за допомогою брандмауера або політики IPsec порту динамічного діапазону віддаленого виклику процедур. За промовчанням віддаленого виклику процедур динамічно виділяє портів у діапазоні 1024-5000 кінцевих точок, в яких не встановлено порт, на якому, щоб прослухати.

Примітка
У цій статті, використовується портів у діапазоні 5001-5021. Це зменшує, кількість портів, які доступні для віддаленого виклику процедур, кінцеві точки з 3,976 до 20. Кількість портів було вибрано в довільно і не рекомендацію кількість портів, які потрібні для будь-якого конкретного системи.

Після цього політику IPsec, має бути створено обмежити доступ до цього портів у діапазоні забороняє доступ до всіх хостів в мережі.

Нарешті, можна оновити до політики IPsec дати деякі IP-адреси, або отримати доступ до підмережі, заблокованих RPC-порти та виключення на всі інші.

Щоб запустити завдання звертався до порту динамічного діапазону віддаленого виклику процедур, завантаження засобу настроювання віддаленого виклику процедур (RPCCfg.exe) і скопіюйте його до робочої станції або сервера, на якому необхідно перенастроїти. Для цього перейдіть на веб-сайт корпорації Майкрософт:

http://www.microsoft.com/downloads/details.aspx?FamilyID=0f9cde2f-8632-4da8-ae70-645e1ddaf369&DisplayLang=enДля виконання наступних завдань, створення політику IPsec, завантажити Internet Security протокол політики засобу (Ipsecpol.exe) і скопіюйте його до робочої станції або сервера, на якому необхідно перенастроїти. Для цього перейдіть на веб-сайт корпорації Майкрософт:

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361Примітка. Щоб створити політику IPsec, для Microsoft Windows XP або пізнішої версії операційної системи Windows, скористайтеся "Ipseccmd.exe". IPSeccmd.exe входить до складу засобів підтримки Windows XP. Синтаксис і використання IPseccmd.exe відповідають синтаксис і використання Ipsecpol.exe. Щоб отримати додаткові відомості про засоби підтримки Windows XP, клацніть номер статті в базі знань Microsoft Knowledge Base:

838079 Windows XP пакет оновлень 2 для засобів підтримки

Змінити розташування та зменшити порту динамічного діапазону віддаленого виклику процедур, за допомогою RPCCfg.exe

Щоб перемістити і зменшити порту динамічного діапазону віддаленого виклику процедур, за допомогою RPCCfg.exe, виконайте такі дії:

Скопіюйте RPCCfg.exe на сервер, який потрібно настроїти
У командному рядку введіть rpccfg.exe-ПП 5001-5021 - d 0.
Примітка. Це портів у діапазоні рекомендований для використання віддаленого виклику процедур, кінцеві точки, оскільки цей діапазон портів не скоріш за все, виділені для використання іншими програмами. За промовчанням віддаленого виклику процедур використовує портів у діапазоні 1024-5000, розподілу портів для кінцевих точок. Однак цей діапазон портів динамічно виділяються для використання за операційної системи Windows для Windows, що всі розетки застосунків і може бути вичерпано на серверах, значною мірою використовується як серверів і серверів середнього рівня, що багато дзвінків віддаленої системи.

Наприклад, коли браузер Internet Explorer, звертається до веб-сервера на порт 80, він прослуховує порт у діапазоні 1024-5000 відповіді від сервера. Середнього рівня COM сервера, який здійснює вихідні виклики з іншого віддаленого сервера використовує порт в цьому діапазоні для вхідних відповідь на цей виклик. Переміщення діапазон портів, які RPC для його кінці діапазон портів 5001 зменшити ймовірність, що порти використовуються в інших програмах.
Щоб отримати додаткові відомості про використання тимчасових портів, в операційних системах Windows відвідайте такі веб-сайти Майкрософт.
- У Windows 2000:
  
  http://technet.microsoft.com/library/bb726981.aspx
- Windows Server 2003:
  
  http://technet2.microsoft.com/WindowsServer/en/library/823ca085-8b46-4870-a83e-8032637a87c81033.mspx?mfr=true

За допомогою політику IPsec "або" брандмауер блокує доступ до вразливих порти на проблемному комп'ютері

Команди в цьому розділі будь-який текст, між % ознаки, призначені для відображення тексту в команду, яку потрібно вводити особа, яка створює політики IPsec. Наприклад, там, де текст "% IPSECTOOL %", що з'явиться, створює політики слід замінити текст наступним чином:

У Windows 2000, замініть "% IPSECTOOL %" з "ipsecpol.exe."
Для Windows XP або пізнішої версії Windows-замінник "% IPSECTOOL %" з "ipseccmd.exe."

Щоб отримати додаткові відомості про те, як використовувати IPsec блокування портів клацніть номер статті в базі знань Microsoft Knowledge Base:

Як 813878 блокувати певні мережні протоколи та порти, з використанням IPSec

Блокувати доступ до віддаленого виклику процедур кінцевої точки-зіставлення всіх IP-адрес

Щоб заблокувати доступ до віддаленого виклику процедур кінцевої точки-зіставлення для всіх IP-адрес, використовуючи такий синтаксис.

Примітка. У Windows XP та новіших операційних систем, скористайтеся Ipseccmd.exe. У Windows 2000, скористайтеся Ipsecpol.exe (Windows 2000).

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

Примітка. Не вводьте "% IPSECTOOL %" у цій команді. "% IPSECTOOL %", призначені в параметрі частина команду, можна настроїти. Наприклад, Windows 2000, введіть таку команду в каталог, який містить Ipsecpol.exe блокувати вхідний доступ до TCP-135.

ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

У Windows XP та новіших операційних систем, введіть таку команду в каталог, який містить Ipseccmd.exe блокувати вхідний доступ до TCP-135:

ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

Блокувати доступ до порту динамічного діапазону RPC для всіх IP-адрес

Блокувати доступ до порту динамічного діапазону віддаленого виклику процедур на всіх IP-адрес, використовуючи такий синтаксис.

Примітка. У Windows XP та новіших операційних систем, скористайтеся Ipseccmd.exe. У Windows 2000, скористайтеся Ipsecpol.exe (Windows 2000).

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP %PORT% Rule" -f *=0:%PORT%:TCP -n BLOCK

Примітка. Не вводьте "% IPSECTOOL %" або "% PORT %" у цій команді. "% IPSECTOOL %" і "% PORT %", призначені для відображення частини команду, можна настроїти. Наприклад, введіть таку команду Windows 2000 хостів блокувати вхідний доступ до TCP-5001:

ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK

Блокувати вхідний доступ до TCP-5001, у Windows XP хостів та хостів в новіших операційних систем Windows введіть таку команду:

ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK

Повторіть цю команду, для кожного віддаленого виклику процедур порту, які має бути заблоковано змінити номер порту, який зазначено в цій команді. Порти, які має бути заблоковано яких перебувають у діапазоні 5001-5021.

Примітка. Не забудьте змінити номер порту, ім'я правила (перемикач - r ), так і у фільтрі ( -f ключ).

Необов'язково: Надати доступ до віддаленого виклику процедур кінцевої точки-зіставлення для певного підмережі, якщо потрібен доступ до

Якщо потрібно надати конкретні підмережі, доступ до обмежених RPC-порти, спочатку потрібно надати такі підмережі, доступ до кінцевої точки зіставлення віддаленого виклику процедур, які ви заблокована. Дати кінцевої точки-Mapper віддаленого виклику процедур на доступ до певних підмережі, скористайтеся такою командою:

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP 135 from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:135:TCP -n PASS

Примітка. У цій команді застосовуються такі команди:

"% IPSECTOOL %"-це команда. Ця команда-це "ipsecpol.exe" або "ipseccmd.exe." Команда, який використовується залежить від операційної системи, після настроювання.
"% ПІДМЕРЕЖІ %" являє собою, до віддалених IP підмережі до якого потрібно надати доступ, наприклад, 10.1.1.0.
"% Маска %" відповідає за використання, наприклад, 255.255.255.0, маску підмережі.

Наприклад, команду дає змогу всі господарі з 10.1.1.0/255.255.255.0-підмережі, підключення до порту TCP 135. Усі інші хостів мають їх підключення до забороняються правило блокування за промовчанням, створений раніше цей порт.
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 135 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:135:TCP -n PASS

Необов'язково: Надати доступ до нового порту динамічного діапазону віддаленого виклику процедур на певних підмережі, якщо потрібен доступ до

Кожен підмережі, який отримав доступ до віддаленого виклику процедур кінцевої точки-Mapper вище слід також надано доступ до всіх портів нового порту динамічного діапазону віддаленого виклику процедур (5001-5021).

Якщо ввімкнути підмереж дістатися до програми зіставлення кінцевої точки віддаленого виклику процедур, але не порту динамічного діапазону, застосунок може припинити відповідати на запити або інші проблеми можуть виникати.

Надає таку команду доступ до певних підмережі порт нового порту динамічного діапазону віддаленого виклику процедур:

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP %PORT% from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:%PORT%:TCP -n PASS

Примітка. У цій команді застосовуються такі команди:

"% IPSECTOOL %"-це команда. Ця команда-це "ipsecpol.exe" або "ipseccmd.exe." Команда, який використовується залежить від операційної системи, після настроювання.
"% PORT %" – це порт порту динамічного діапазону, до якої потрібно надати доступ.
"% ПІДМЕРЕЖІ %" являє собою, до віддалених IP підмережі до якого потрібно надати доступ, наприклад, 10.1.1.0.
"% Маска %" відповідає за використання, наприклад, 255.255.255.0, маску підмережі.

Наприклад, команду дає змогу всіх хостів з 10.1.1.0/255.255.255.0-підмережі, щоб підключитися до порту TCP 5001. Усі інші хостів мають їх підключення до забороняються правило блокування за промовчанням, створений раніше цей порт.
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 5001 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:5001:TCP -n PASS

Примітка. Ця команда слід повторити для кожного підмережі та порт нового порту динамічного діапазону віддаленого виклику процедур.

Призначення політики IPsec

Примітка. Команди в цьому розділі набуває чинності негайно.

Після створення всіх правил блокування, і всі додаткові дозволяють правила для настроєного RPC портів, призначити політику, за допомогою такої команди:

%IPSECTOOL% -w REG -p "Block RPC Ports" –x

Примітка. Щоб негайно скасування призначення політики, скористайтеся такою командою:

%IPSECTOOL% -w REG -p "Block RPC Ports" –y

Примітка. Щоб видалити з реєстру, скористайтеся такою командою:

%IPSECTOOL% -w REG -p "Block RPC Ports" -o

Хоста, щоб внесені зміни набрали сили, потрібно перезавантажити.

Примітки

Зміни конфігурації віддаленого виклику процедур потрібно буде перезавантажити комп'ютер.
Зміни в політиці IPsec відображаються негайно і не потрібно буде перезавантажити комп'ютер.

Після перезавантаження до робочої станції або сервера, будь-якого віддаленого виклику процедур інтерфейси, за допомогою протоколу послідовність ncacn_ip_tcp і не вказано в певних TCP-порт, до якої потрібно пов'язувати мають порт, виділені з цього діапазону віддаленого виклику процедур виконання під час запуску сервера віддаленого виклику процедур.

Примітка. Сервер, може знадобитися більше 20 TCP-портів. Підрахунок числа RPC кінцевих точок, прив'язані до TCP-порту та збільшити цю кількість, якщо необхідно, можна використовувати команду rpcdump.exe . Щоб отримати додаткові відомості про те, як отримати засіб віддаленого виклику процедур на дампа відвідайте веб-сайт корпорації Майкрософт:

http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd