IPSec mặc định miễn sẽ bị xoá trong Windows Server 2003

Hỗ trợ cho Windows Server 2003 đã kết thúc vào ngày 14 tháng 7 năm 2015

Microsoft đã kết thúc hỗ trợ cho Windows Server 2003 vào ngày 14 tháng 7 năm 2015. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:810207
QUAN TRỌNG: Bài viết này chứa thông tin về việc sửa đổi sổ đăng ký. Trước khi bạn chỉnh sửa registry, hãy chắc chắn để trở lại nó lên và chắc chắn rằng bạn hiểu làm thế nào để khôi phục sổ đăng ký nếu một vấn đề xảy ra. Để có thông tin về làm thế nào để sao lưu, khôi phục, và chỉnh sửa registry, nhấp vào sau số bài viết để xem bài viết trong cơ sở kiến thức Microsoft:
256986 Mô tả của Microsoft Windows Registry
TÓM TẮT
Các tính năng bảo mật Internet Protocol (IPsec) trong Windows Server 2003 không được thiết kế như là máy chủ lưu trữ dựa trên đầy đủ tính năng tường lửa. Nó đã được thiết kế để cung cấp cho cơ bản cho phép và chặn lọc bằng cách sử dụng địa chỉ giao thức và cổng thông tin trong các gói tin mạng. IPsec cũng được thiết kế như là một công cụ hành chính để tăng cường an ninh của truyền thông một cách đó là trong suốt cho các chương trình. Vì nó cung cấp giao thông lọc đó là cần thiết để thương lượng bảo mật IPsec giao thông vận tải chế độ hoặc IPsec chế độ đường hầm, chủ yếu cho các mạng nội bộ môi trường nơi mà sự tin tưởng máy có sẵn từ các dịch vụ Kerberos hoặc cho đường dẫn cụ thể trên Internet nơi hạ tầng khóa công khai (PKI) kỹ thuật số giấy chứng nhận có thể được sử dụng.

Miễn giảm mặc định để các bộ lọc IPsec chính sách đã được diễn tả trong Microsoft Windows 2000 và trợ giúp Microsoft Windows XP. Các bộ lọc này làm cho nó nhất có thể cho Internet Key Exchange (IKE) và Kerberos đến chức năng. Các bộ lọc cũng làm cho nó có thể cho mạng chất lượng của Service(QoS) để được báo hiệu (RSVP) khi lưu lượng truy cập dữ liệu được bảo vệ bởi IPsec, và cho lưu lượng truy cập đó IPsec không an toàn như giao thông phát đa hướng và phát sóng.

Để thêm thông tin về những các bộ lọc, nhấp vào số bài viết sau đây để xem bài viết trong cơ sở kiến thức Microsoft:
253169Giao thông có thể - và không thể--được bảo vệ bởi IPSec
THÔNG TIN THÊM
CẢNH BÁO: Nếu bạn sử dụng Registry Editor không chính xác, bạn có thể gây ra nghiêm trọng vấn đề mà có thể yêu cầu bạn phải cài đặt lại hệ điều hành của bạn. Microsoft không thể đảm bảo rằng bạn có thể giải quyết vấn đề mà kết quả từ việc sử dụng Registry Trình soạn thảo không đúng. Sử dụng Registry Editor nguy cơ của riêng bạn. Như IPsec ngày càng được sử dụng cho máy chủ lưu trữ cơ bản, bức tường lửa các gói dữ liệu lọc, đặc biệt là trong Internet tiếp xúc tình huống, tác dụng của những miễn trừ này mặc định không được hiểu rõ đầy đủ. Do một số IPsec quản trị viên có thể tạo ra các chính sách IPsec họ tin rằng sẽ được an toàn, nhưng đó không phải là an toàn chống lại các cuộc tấn công trong nước sử dụng mặc định miễn giảm.

Đối với những lý do này, Microsoft đã gỡ bỏ hầu hết các miễn giảm mặc định trong Windows Server 2003. Điều này có thể yêu cầu chính sách IPsec thay đổi cho Windows Server 2003 cho các kịch bản triển khai IPsec nơi bạn sử dụng IKE thương lượng an ninh và bảo vệ IPsec cho giao thức tầng thượng lưu lượng truy cập.

Loại bỏ các miễn giảm mặc địnhWindows

Theo mặc định, Windows Server 2003, loại bỏ tất cả các mặc định miễn giảm, ngoại trừ việc miễn IKE. Thay đổi thiết kế chính sách IPsec hiện có có thể yêu cầu trước khi bạn có thể sử dụng các chính sách trên Windows Server 2003 .

Quản trị viên nên bắt đầu lập kế hoạch cho những thay đổi này cho tất cả hiện có và mới triển khai IPsec bằng cách sử dụng
NoDefaultExempt = 1
trên máy tính của họ dựa trên Windows 2000 và Windows XP-based. Các
NoDefaultExempt = 1
khóa sổ đăng ký được hỗ trợ trong Windows Server 2003 để làm cho nó nhất có thể cho quản trị viên để khôi phục lại hành vi trước đó được miễn mặc định cho tương thích ngược với trước đó thiết kế chính sách IPsec và chương trình khả năng tương thích. Trong khi nâng cấp lên Windows Server 2003, giá trị của một hiện có
NoDefaultExempt = 1
thiết lập khóa sổ đăng ký được bảo tồn.

Để thêm thông tin về mặc định miễn trừ cho dựa trên Windows 2000 và Windows XP-based máy vi tính, nhấp vào số bài viết sau đây để xem bài viết trong cơ sở kiến thức Microsoft:
811832IPSec miễn giảm mặc định có thể được sử dụng để bỏ qua bảo vệ IPsec trong một số kịch bản
Chú ý Xem lại bài viết này (811832), trước khi bạn sử dụng khóa registry để Kích hoạt lại miễn giảm mặc định.

Cũng xem xét các "chỉ định Default Miễn trừ IPSec lọc"phần trong Windows Server 2003 IPsec Triển khai kit cho biết thêm thông tin. Để có được Microsoft Windows 2003 Hệ phục vụ triển khai Kit, ghé thăm Web site sau của Microsoft:Để thay đổi mặc định lọc hành vi cho Windows Server 2003 IPSec, bạn có thể sử dụng các Netsh IPSec lệnh hoặc sửa đổi các sổ đăng ký.

Để thay đổi mặc định lọc hành vi bằng cách sử dụng các Netsh IPSec lệnh:
  1. Nhấp vào Bắt đầu, sau đó bấmChạy.
  2. Loại CMD, sau đó bấmOk.
  3. Tại dấu nhắc lệnh, gõ Netsh ipsec năng động đặt cấu hình ipsecexempt giá trị ={0 | 1 | 2 | 3}, sau đó nhấn ENTER.
Việc sử dụng {0 | 1 | 2 | 3} trong này lệnh đại diện cho tất cả các tùy chọn có sẵn cho lệnh này. Bạn chỉ có thể sử dụng một giá trị. Tùy thuộc vào miễn trừ bạn muốn bạn sử dụng, chỉ định giá trị như:
  • Một giá trị là 0 xác định rằng phát đa hướng, phát sóng, RSVP, Kerberos, và lưu lượng truy cập ISAKMP được miễn IPSec lọc. Đây là những mặc định lọc hành vi cho Windows 2000 và Windows XP. Sử dụng thiết đặt này chỉ khi bạn cần phải để tương thích với một chính sách IPsec hiện có hoặc Windows năm 2000 và hành vi của Windows XP.
  • Một giá trị là 1 xác định rằng Kerberos và RSVP lưu lượng truy cập không miễn IPSec lọc, nhưng phát đa hướng, phát sóng, và lưu lượng truy cập ISAKMP được miễn.
  • Một giá trị của 2 xác định mà phát đa hướng và phát sóng lưu lượng truy cập không phải là miễn IPSec lọc, nhưng RSVP, Kerberos và ISAKMP lưu lượng truy cập được miễn.
  • Một giá trị của 3 chỉ định rằng chỉ có lưu lượng truy cập ISAKMP là miễn từ IPSec lọc. Đây là mặc định lọc hành vi cho Windows Server 2003.
Nếu bạn thay đổi giá trị cho thiết đặt này, bạn phải khởi động lại các máy tính cho các giá trị mới có hiệu lực. Để thay đổi mặc định lọc hành vi bằng cách sử dụng registry:
  1. Nhấp vào Bắt đầu, sau đó bấmChạy.
  2. Loại Regedit, sau đó bấmOk.
  3. Bấm vào khoá đăng ký sau:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IPSEC
    Chú ý Nếu bạn đang sử dụng Windows Server 2008, Click vào khóa registry sau đây:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent
  4. Nhấp chuột phải IPSEC, điểm đếnMới, sau đó bấm Giá trị DWORD.
  5. Tên mục nhập mới nàyNoDefaultExempt.
  6. Chỉ định mục này bất kỳ giá trị từ 0 thông qua 3.
  7. Khởi động lại máy tính của bạn.
Các hành vi lọc cho mỗi giá trị là tương đương với những người đó đang lưu ý cho các Netsh ipsec năng động đặt config ipsecexempt giá trị = x bộ chỉ huy.

Tác động của IKE miễn

Tác dụng của việc miễn IKE là giống nhau đối với Windows 2000 và Windows XP. Tuy nhiên, Windows Server 2003 cung cấp cải tiến DoS tránh để lũ lụt các cuộc tấn công.

Cho thêm thông tin về IKE được miễn Windows 2000 và Windows XP, bấm vào các số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
811832Miễn trừ IPSec mặc định có thể được sử dụng để bỏ qua bảo vệ IPsec trong một số Kịch bản

Tác dụng của Kerberos được miễn

Nếu
NoDefaultExempt
được thiết lập để 0 hoặc 2 để khôi phục lại việc miễn, tác dụng của Kerberos miễn là giống như mô tả cho Windows 2000 và Windows XP.

Để biết thêm thông tin về Kerberos được miễn Windows 2000 và Windows XP, nhấp vào số bài viết sau đây để xem bài viết trong cơ sở kiến thức Microsoft:
811832IPSec Default miễn giảm có thể Được sử dụng để bảo vệ Bypass IPsec trong một số kịch bản

Tác dụng của RSVP miễn

Nếu
NoDefaultExempt
được thiết lập để 0 hoặc 2 để khôi phục lại việc miễn, RSVP được miễn nguy cơ bị giới hạn bên thứ ba RSVP hiện thực có thể được cài đặt. Theo mặc định, Windows Server 2003 không bao gồm dịch vụ QoS RSVP. Các –R tùy chọn đã bị loại bỏ từ tiện ích Pathping do đó, nó không hỗ trợ giao thức RSVP.

Tác dụng của phát sóng và miễn giảm phát đa hướng

Nếu
NoDefaultExempt
được thiết lập để 0 hoặc 1 để khôi phục lại việc miễn, tác động của phát sóng và phát đa hướng miễn là giống như mô tả cho Windows 2000 và Windows XP. Tuy nhiên, Windows Server 2003 IPsec hỗ trợ lọc quảng bá và phát đa hướng lưu lượng truy cập. Một thiết kế chính sách IPsec có thể có bộ lọc nào sẽ được kết hợp bởi phát sóng ra bên ngoài hoặc phát đa hướng như là một bộ lọc với nguồn địa chỉ của "My IP Địa chỉ"và một địa chỉ đích của"Bất kỳ địa chỉ IP". Các chính sách IPsec nên được kiểm tra tại các phòng thí nghiệm và hoạt động để xác nhận hiệu lực của một hiện có chính sách thiết kế ngày này lưu lượng truy cập. Quảng bá và phát đa hướng lưu lượng truy cập có thể bị chặn một cách hạn chế bằng cách sử dụng một bộ lọc IPsec với địa chỉ nguồn và đích "Bất kỳ địa chỉ IP". Microsoft Windows Server 2003 Resource Kit chứa thông tin thêm.

Cho thêm thông tin về phát sóng và phát đa hướng miễn trừ cho Windows 2000 và Windows XP, nhấp vào số bài viết sau đây để xem các bài viết trong các Cơ sở kiến thức Microsoft:
811832Miễn trừ IPSec mặc định có thể được sử dụng để bỏ qua bảo vệ IPsec trong một số Kịch bản

Những chương trình có thể nhận được lưu lượng truy cập phát sóng?

Windows Server 2003 hỗ trợ một lựa chọn ổ cắm cho các chương trình để vô hiệu hoá một cách rõ ràng nhận được lưu lượng truy cập phát sóng, nhưng không có thay đổi để hành vi mặc định chương trình khác đang lắng nghe trên cổng UDP nhận phát sóng lưu lượng truy cập.

Những chương trình có thể nhận được lưu lượng truy cập phát đa hướng?

Đăng trong Windows Server 2003, các chương trình vẫn còn phải rõ ràng ký với chồng TCPIP để nhận được lưu lượng truy cập phát đa hướng trong nước các loại, và lưu lượng truy cập có thể được giảm xuống nếu nhóm phát đa hướng là chưa đăng ký.

Bằng cách sử dụng IPsec với bức tường lửa kết nối Internet

Như trong Windows XP, ICF và IPsec lọc khả năng có thể kết hợp để tạo ra hành vi lọc tiên tiến. Đây là đặc biệt hữu ích nơi IPsec phải tĩnh phép nhất định đi ra lưu lượng truy cập Internet chẳng hạn như cho HTTP hoặc DNS hoặc SMTP. Điều này làm cho nó có thể cho ICF cung cấp trạng thái lọc lưu lượng truy cập ra bên ngoài giấy phép đó IPsec.
THAM KHẢO
Để có thêm thông tin về các hiệu ứng miễn giảm mặc định IP bảo mật, bấm số bài viết sau đây để xem bài viết trong cơ sở kiến thức Microsoft:
811832IPsec miễn giảm mặc định có thể được sử dụng để bỏ qua bảo vệ IPsec trong một số kịch bản cho Windows 2000 và Windows XP
Để biết thêm thông tin về lọc và triển khai hướng dẫn cho IPsec trong Windows Server 2003, xem IPsec triển khai chương trong Microsoft Windows 2003 Server triển khai Kit. Để làm điều này, hãy truy cập sau đây Web site của Microsoft:

Cảnh báo: Bài viết này được dịch tự động

Thuộc tính

ID Bài viết: 810207 - Xem lại Lần cuối: 08/28/2011 08:28:00 - Bản sửa đổi: 2.0

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Small Business Server 2003 Premium Edition, Microsoft Windows Small Business Server 2003 Standard Edition

  • kbinfo kbmt KB810207 KbMtvi
Phản hồi