Bạn hiện đang ngoại tuyến, hãy chờ internet để kết nối lại

Làm thế nào để chặn các giao thức mạng cụ thể và các cảng bằng cách sử dụng IPSec

Hỗ trợ cho Windows XP đã kết thúc

Microsoft đã kết thúc hỗ trợ dành cho Windows XP vào ngày 8 tháng 4 năm 2014. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

Hỗ trợ cho Windows Server 2003 đã kết thúc vào ngày 14 tháng 7 năm 2015

Microsoft đã kết thúc hỗ trợ cho Windows Server 2003 vào ngày 14 tháng 7 năm 2015. Thay đổi này đã ảnh hưởng đến các bản cập nhật phần mềm và tùy chọn bảo mật của bạn. Tìm hiểu ý nghĩa của điều này với bạn và cách thực hiện để luôn được bảo vệ.

QUAN TRỌNG: Bài viết này được dịch bằng phần mềm dịch máy của Microsoft chứ không phải do con người dịch. Microsoft cung cấp các bài viết do con người dịch và cả các bài viết do máy dịch để bạn có thể truy cập vào tất cả các bài viết trong Cơ sở Kiến thức của chúng tôi bằng ngôn ngữ của bạn. Tuy nhiên, bài viết do máy dịch không phải lúc nào cũng hoàn hảo. Loại bài viết này có thể chứa các sai sót về từ vựng, cú pháp hoặc ngữ pháp, giống như một người nước ngoài có thể mắc sai sót khi nói ngôn ngữ của bạn. Microsoft không chịu trách nhiệm về bất kỳ sự thiếu chính xác, sai sót hoặc thiệt hại nào do việc dịch sai nội dung hoặc do hoạt động sử dụng của khách hàng gây ra. Microsoft cũng thường xuyên cập nhật phần mềm dịch máy này.

Nhấp chuột vào đây để xem bản tiếng Anh của bài viết này:813878
TÓM TẮT
Bảo mật Internet Protocol (IPSec) lọc quy tắc có thể được sử dụng để giúp bảo vệ máy tính dựa trên Windows 2000, dựa trên Windows XP và Windows Server 2003 dựa trên từ mạng dựa trên các cuộc tấn công từ mối đe dọa như vi-rút và sâu. Bài viết này mô tả cách lọc một giao thức cụ thể và cổng kết hợp cho cả hai trong nước và ngoài nước mạng lưu lượng truy cập. Nó bao gồm các bước sau để cho dù có bất kỳ chính sách IPSec hiện đang được gán cho máy tính dựa trên Windows 2000, dựa trên Windows XP hoặc Windows Server 2003 dựa, bước để tạo và gán cho một chính sách IPSec mới, và các bước để unassign và xóa một IPSec chính sách.
THÔNG TIN THÊM
Các chính sách IPSec có thể được áp dụng ở địa phương hoặc được áp dụng cho một thành viên của một tên miền là một phần của chính sách nhóm miền đó. Địa phương IPSec chính sách này có thể tĩnh (liên tục sau khi khởi động lại) hoặc năng động (ổn định). Các chính sách IPSec tĩnh được viết để các địa phương đăng ký và vẫn tồn tại sau khi hệ điều hành khởi động lại. Năng động IPSec các chính sách không vĩnh viễn ghi được vào sổ đăng ký và được loại bỏ nếu các hệ điều hành hoặc các dịch vụ đại lý chính sách IPSec được khởi động lại.

Quan trọng Bài viết này chứa thông tin về chỉnh sửa registry bởi bằng cách sử dụng Ipsecpol.exe. Trước khi chỉnh sửa registry, hãy chắc chắn rằng bạn hiểu như thế nào để khôi phục lại nó nếu một vấn đề xảy ra. Thông tin về làm thế nào để sao lưu, Khôi phục, và chỉnh sửa registry, hãy nhấp vào số bài viết sau đây để xem các bài viết trong cơ sở kiến thức Microsoft:
256986 Mô tả của Microsoft Windows Registry
Chú ý Quy tắc lọc IPSec có thể gây ra các chương trình mạng mất dữ liệu và đến dừng đáp ứng yêu cầu mạng, bao gồm cả thất bại để xác thực người dùng. Sử dụng quy tắc lọc IPSec như là một biện pháp phòng thủ cuối cùng và chỉ sau khi bạn có một sự hiểu biết rõ ràng của các tác động chặn cổng cụ thể sẽ có trong môi trường của bạn. Nếu một chính sách IPSec bạn tạo bằng cách sử dụng các bước mà được liệt kê ở đây bài viết đã không mong muốn tác dụng trên các chương trình mạng của bạn, xem phần "Unassign và xóa an IPSec Policy" sau này trong bài viết này cho hướng dẫn về làm thế nào để ngay lập tức vô hiệu hóa và xóa các chính sách.

Xác định cho dù một chính sách IPSec được gán

Windows Server 2003 dựa trên máy tính

Trước khi bạn tạo hoặc chỉ định bất kỳ chính sách IPSec mới cho một Windows Server 2003 dựa trên máy tính, xác định cho dù bất kỳ chính sách IPSec đang áp dụng từ sổ đăng ký địa phương hoặc thông qua một Group Policy object (GPO). Để thực hiện việc này, hãy làm theo những bước sau:
  1. Cài đặt Netdiag.exe từ Windows Server 2003 CD bằng cách chạy Suptools.MSI từ thư mục Support\Tools.
  2. Mở một dấu nhắc lệnh, và sau đó đặt thư mục làm việc C: Program Files Files\Support công cụ.
  3. Chạy lệnh sau để xác minh rằng có không phải là một chính sách IPSec hiện có đã được đặt cho máy tính:
    netdiag /Test:IPSec
    Nếu không có chính sách được chỉ định, bạn nhận được dưới đây thông báo:
    IP Security thử nghiệm........ . : Thông qua Dịch vụ chính sách IPSec là hoạt động, nhưng không có chính sách được phân công.

Windows XP máy vi tính

Trước khi bạn tạo hoặc chỉ định bất kỳ chính sách IPSec mới cho một Windows XP trên máy tính, xác định cho dù bất kỳ chính sách IPSec đang áp dụng từ sổ đăng ký địa phương hoặc thông qua một GPO. Để làm Điều này, hãy làm theo các bước sau:
  1. Cài đặt Netdiag.exe từ CD Windows XP bằng cách chạy Setup.exe từ thư mục Support\Tools.
  2. Mở một dấu nhắc lệnh, và sau đó đặt thư mục làm việc C: Program Files Files\Support công cụ.
  3. Chạy lệnh sau để xác minh rằng có không phải là một chính sách IPSec hiện có đã được đặt cho máy tính:
    netdiag /Test:IPSec
    Nếu không có chính sách được chỉ định, bạn nhận được dưới đây thông báo:
    IP Security thử nghiệm........ . : Thông qua Dịch vụ chính sách IPSec là hoạt động, nhưng không có chính sách được phân công.

Windows 2000 dựa trên máy tính

Trước khi bạn tạo hoặc chỉ định bất kỳ chính sách IPSec mới cho một Windows 2000 dựa trên máy tính, xác định cho dù bất kỳ chính sách IPSec đang áp dụng từ sổ đăng ký địa phương hoặc thông qua một GPO. Để thực hiện việc này, hãy làm theo những bước sau:
  1. Cài đặt Netdiag.exe từ Windows 2000 CD bằng cách chạy Setup.exe từ thư mục Support\Tools.
  2. Mở một dấu nhắc lệnh, và sau đó đặt thư mục làm việc C: Program Files Files\Support công cụ.
  3. Chạy lệnh sau để xác minh rằng có không phải là một chính sách IPSec hiện có đã được đặt cho máy tính:
    netdiag /Test:IPSec
    Nếu không có chính sách được chỉ định, bạn nhận được dưới đây thông báo:
    IP Security thử nghiệm........ . : Thông qua Dịch vụ chính sách IPSec là hoạt động, nhưng không có chính sách được phân công.

Tạo ra một chính sách tĩnh khối lượng truy cập

Windows dựa trên Server 2003 và Windows XP trên máy tính

Đối với hệ thống mà không có một chính sách IPSec tại địa phương được định nghĩa được kích hoạt, tạo ra một chính sách mới tĩnh địa phương để lưu thông khối là hướng tới một giao thức cụ thể và một cổng cụ thể trên dựa trên Windows Server 2003 và Windows XP dựa trên máy tính. Để thực hiện việc này, hãy làm theo những bước sau:
  1. Xác minh rằng các dịch vụ đại lý chính sách IPSec được kích hoạt và bắt đầu trong dịch vụ MMC snap-in.
  2. Cài đặt IPSeccmd.exe. IPSeccmd.exe là một phần của các công cụ hỗ trợ Windows XP Service Pack 2 (SP2).

    Chú ý IPSeccmd.exe sẽ chạy trên Windows XP và hệ điều hành Windows Server 2003, nhưng công cụ này chỉ có sẵn từ các gói phần mềm công cụ hỗ trợ Windows XP SP2.

    Để biết thêm chi tiết về cách tải về và cài đặt Windows XP Service Pack 2 hỗ trợ công cụ, nhấp vào số bài viết sau đây để xem bài viết trong cơ sở kiến thức Microsoft:
    838079Công cụ hỗ trợ Windows XP Service Pack 2
  3. Mở một dấu nhắc lệnh, và sau đó thiết lập các thư mục làm việc để các thư mục mà bạn đã cài đặt Windows XP Service Pack 2 hỗ trợ cụ.

    Chú ý Thư mục mặc định đối với công cụ hỗ trợ Windows XP SP2 là c: Program Files Files\Support công cụ.
  4. Để tạo ra một chính sách IPSec mới địa phương và lọc cai trị mà áp dụng cho mạng lưới giao thông từ bất kỳ địa chỉ IP cho địa chỉ IP của dựa trên Windows Server 2003 hoặc Windows XP dựa trên các máy tính bạn đang cấu hình, sử dụng lệnh sau đây.

    Chú ý Trong lệnh sau, Giao thứcPortNumber đang các biến.
    IPSeccmd.exe -w REG khối -p" Giao thứcPortNumber Lọc"- r "Khối trong nước Giao thứcPortNumber Cai trị"-f * = 0:PortNumber:Giao thức -n CHẶN –x
    Ví dụ, để ngăn chặn mạng lưới giao thông từ bất kỳ IP Địa chỉ và bất kỳ nguồn cổng đến đích cổng UDP 1434 trên một máy tính dựa trên Windows Server 2003 hoặc Windows XP-based, gõ như sau. Chính sách này là đủ để bảo vệ máy tính chạy Microsoft SQL Server 2000 từ sâu "Slammer".
    IPSeccmd.exe -w REG -p "chặn UDP 1434 Lọc"- r"Chặn trong nước UDP 1434 Rule"-f * = 0:1434:UDP - n khối -x
    Truy cập sau ví dụ khối trong nước vào TCP cổng 80 nhưng vẫn cho phép truy cập TCP 80 ra bên ngoài. Chính sách này là đủ để giúp bảo vệ máy tính chạy Microsoft Internet Information Services (IIS) 5.0 từ sâu "Code đỏ" và "Nimda" sâu.
    IPSeccmd.exe -w REG -p "Block TCP 80 lọc" - r "chặn trong nước TCP Quy luật 80"-f * = 0:80:TCP - n BLOCK - x
    Chú ý Các -x chuyển đổi chỉ định các chính sách ngay lập tức. Nếu bạn nhập lệnh này, chính sách "Chặn UDP 1434 lọc" là unassigned và "Khối TCP 80 lọc" được gán. Để thêm các chính sách, nhưng không ấn định chính sách, gõ lệnh mà không có các -x chuyển vào cuối.
  5. Để thêm một quy tắc lọc bổ sung để hiện có khối" Chính sách UDP 1434 lọc"khối lưu thông mạng có nguồn gốc từ máy tính của bạn dựa trên Windows Server 2003 hoặc Windows XP dựa trên đến bất kỳ địa chỉ IP, sử dụng các lệnh sau.

    Chú ý Trong lệnh này, Giao thứcPortNumber là các biến:
    IPSeccmd.exe -w REG khối -p" Giao thứcPortNumberLọc"- r"khối ra bên ngoài Giao thứcPortNumber Quy tắc"-f * 0 =:PortNumber:Giao thức -n khối
    Ví dụ, để ngăn chặn bất kỳ mạng traffic mà có nguồn gốc từ của bạn dựa trên Windows Server 2003 hoặc Windows XP dựa trên máy tính là hướng đến UDP 1434 trên bất kỳ máy chủ lưu trữ khác, gõ như sau. Chính sách này là đủ để ngăn chặn máy tính chạy SQL Server 2000 Lan rộng sâu "Slammer".
    IPSeccmd.exe -w REG -p "chặn UDP 1434 Lọc"- r"Khối ra bên ngoài UDP 1434 Rule"-f 0 = *:1434:UDP - n BLOCK
    Chú ý Bạn có thể thêm như nhiều lọc quy chính sách như bạn muốn bằng cách bằng cách sử dụng lệnh này. Ví dụ, bạn có thể sử dụng lệnh này để chặn nhiều cảng bằng cách sử dụng cùng một chính sách.
  6. Chính sách ở bước 5 bây giờ sẽ có hiệu lực và sẽ vẫn tồn tại mỗi khi máy tính khởi động lại. Tuy nhiên, nếu một tên miền dựa trên chính sách IPSec được gán cho máy tính sau này, chính sách địa phương này sẽ được ghi đè và sẽ không còn áp dụng.

    Để xác nhận việc phân công của quy tắc lọc của bạn, thiết lập các thư mục làm việc để công cụ Files\Support c: Program Files dấu nhắc lệnh, và sau đó gõ lệnh sau đây:
    netdiag /test:ipsec /debug
    Nếu các chính sách cho cả hai trong nước và đi ra lưu lượng truy cập được như trong những ví dụ này, bạn sẽ nhận được thông báo sau:
    IP Security thử nghiệm........ . :
    Thông qua địa phương Chính sách IPSec hoạt động: Đường dẫn chính sách bảo mật IP 'Chặn UDP 1434 lọc': SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy {D239C599-F945-47A3-A4E3-B37BC12826B9}

    Không có bộ lọc 2
    Không tên
    Lọc Id: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
    Chính sách Id: {509492EA-1214-4F50-BF43-9CAC2B538518}
    Src đc: 0.0.0.0 Src Mask: 0.0.0.0
    Dest đc: 192.168.1.1 Dest Mask: 255.255.255.255
    Đường hầm Địa chỉ: 0.0.0.0 Src Port: 0 Dest Port: 1434
    Giao thức: 17 TunnelFilter: Không
    Cờ: Trong nước khối
    Không tên
    Lọc Id: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
    Chính sách Id: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
    Src đc: 192.168.1.1 Src Mask: 255.255.255.255
    Dest đc: 0.0.0.0 Dest Mask: 0.0.0.0
    Đường hầm Addr : 0.0.0.0 Src Port: 0 Dest Port: 1434
    Giao thức: 17 TunnelFilter: không có
    Cờ: Ra bên ngoài khối
    Chú ý Địa chỉ IP và người dùng đồ họa giao diện (GUID) số điện thoại sẽ thể khác nhau dựa trên máy tính của bạn dựa trên Windows Server 2003 hoặc dựa trên Windows XP.

Windows 2000 dựa trên máy tính

Đối với hệ thống mà không có một chính sách IPSec được xác định tại địa phương đang có, làm theo các bước sau để tạo ra một chính sách mới tĩnh địa phương để lưu thông khối là chuyển trực tiếp tới một giao thức cụ thể và một cảng trên một máy tính dựa trên Windows 2000 Nếu không có một chính sách IPSec hiện có chỉ định:
  1. Xác minh rằng các dịch vụ đại lý chính sách IPSec được kích hoạt và bắt đầu trong dịch vụ MMC snap-in.
  2. Ghé thăm trang Web Microsoft sau đây để tải về và cài đặt Ipsecpol.exe:
  3. Mở một dấu nhắc lệnh và thiết lập các thư mục làm việc để các thư mục nơi bạn cài đặt Ipsecpol.exe.

    Chú ý Thư mục mặc định cho Ipsecpol.exe là c: Program Files Files\Resource Kit.
  4. Để tạo ra một chính sách IPSec mới địa phương và lọc cai trị mà áp dụng cho lưu lượng mạng từ bất kỳ địa chỉ IP cho các địa chỉ IP của các cửa sổ 2000-dựa máy tính bạn đang cấu hình, sử dụng lệnh sau, nơiGiao thứcPortNumber đang biến:
    ipsecpol -w REG khối -p" Giao thứcPortNumber Lọc"- r "Khối trong nước Giao thứcPortNumber Cai trị"-f * = 0:PortNumber:Giao thức -n CHẶN –x
    Ví dụ, để ngăn chặn mạng lưới giao thông từ bất kỳ IP Địa chỉ và bất kỳ nguồn cổng đến đích cổng UDP 1434 trên một cửa sổ 2000 dựa trên máy tính, gõ như sau. Chính sách này là đủ để bảo vệ máy tính chạy Microsoft SQL Server 2000 từ sâu "Slammer".
    ipsecpol -w REG -p "chặn UDP 1434 Lọc"- r"Chặn trong nước UDP 1434 Rule"-f * = 0:1434:UDP - n khối -x
    Truy cập sau ví dụ khối trong nước vào TCP cổng 80 nhưng vẫn cho phép truy cập TCP 80 ra bên ngoài. Chính sách này là đủ để giúp bảo vệ máy tính chạy Microsoft Internet Information Services (IIS) 5.0 từ "Code đỏ" và "Nimda" sâu.
    ipsecpol -w REG -p "Block TCP 80 lọc" - r "Block Inbound TCP Quy luật 80"-f * = 0:80:TCP - n BLOCK - x
    Chú ý Các -x chuyển đổi chỉ định các chính sách ngay lập tức. Nếu bạn nhập lệnh này, chính sách "Chặn UDP 1434 lọc" là unassigned, và "Khối TCP 80 lọc" được gán. Để thêm, nhưng không ấn định chính sách, gõ lệnh mà không có các -x chuyển vào cuối.
  5. Để thêm một quy tắc lọc bổ sung để hiện có khối" Chính sách UDP 1434 lọc"khối lưu thông mạng có nguồn gốc từ Windows 2000 dựa trên máy tính của bạn đến bất kỳ địa chỉ IP, sử dụng các sau lệnh, nơi Giao thứcPortNumber là các biến:
    ipsecpol -w REG khối -p" Giao thứcPortNumberLọc"- r"khối ra bên ngoài Giao thứcPortNumber Quy tắc"-f * 0 =:PortNumber:Giao thức -n khối
    Ví dụ, để ngăn chặn bất kỳ mạng traffic mà có nguồn gốc từ của bạn máy tính dựa trên Windows 2000 là hướng đến UDP 1434 trên bất kỳ máy chủ lưu trữ khác, gõ như sau. Chính sách này là đủ để ngăn chặn máy tính chạy SQL Server 2000 Lan rộng sâu "Slammer".
    ipsecpol -w REG -p "chặn UDP 1434 Lọc"- r"Khối ra bên ngoài UDP 1434 Rule"-f 0 = *:1434:UDP - n BLOCK
    Chú ý Bạn có thể thêm như nhiều lọc quy chính sách như bạn muốn bằng cách bằng cách sử dụng lệnh này (ví dụ, để chặn nhiều cảng bằng cách sử dụng cùng một chính sách).
  6. Chính sách ở bước 5 bây giờ sẽ có hiệu lực và sẽ vẫn tồn tại mỗi khi máy tính khởi động lại. Tuy nhiên, nếu một tên miền dựa trên chính sách IPSec được gán cho máy tính sau này, chính sách địa phương này sẽ được ghi đè và sẽ không còn áp dụng. Để xác nhận việc phân công của quy tắc lọc của bạn, lúc dấu nhắc lệnh, thiết lập các thư mục làm việc để c: Program Files Files\Support công cụ, và sau đó gõ lệnh sau đây:
    netdiag /test:ipsec /debug
    Nếu, như trong các ví dụ này, các chính sách cho cả hai trong nước và đi ra lưu lượng truy cập được, bạn sẽ nhận được thông báo sau:
    IP Security thử nghiệm........ . :
    Thông qua địa phương Chính sách IPSec hoạt động: Đường dẫn chính sách bảo mật IP 'Chặn UDP 1434 lọc': SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy {D239C599-F945-47A3-A4E3-B37BC12826B9}

    Không có bộ lọc 2
    Không tên
    Lọc Id: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
    Chính sách Id: {509492EA-1214-4F50-BF43-9CAC2B538518}
    Src đc: 0.0.0.0 Src Mask: 0.0.0.0
    Dest đc: 192.168.1.1 Dest Mask: 255.255.255.255
    Đường hầm Địa chỉ: 0.0.0.0 Src Port: 0 Dest Port: 1434
    Giao thức: 17 TunnelFilter: Không
    Cờ: Trong nước khối
    Không tên
    Lọc Id: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
    Chính sách Id: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
    Src đc: 192.168.1.1 Src Mask: 255.255.255.255
    Dest đc: 0.0.0.0 Dest Mask: 0.0.0.0
    Đường hầm Addr : 0.0.0.0 Src Port: 0 Dest Port: 1434
    Giao thức: 17 TunnelFilter: không có
    Cờ: Ra bên ngoài khối
    Chú ý Địa chỉ IP và người dùng đồ họa giao diện (GUID) số điện thoại sẽ thể khác nhau. Họ sẽ phản ánh những người Windows 2000 dựa trên máy tính của bạn.

Thêm một quy tắc chặn cho một giao thức cụ thể và cảng

Windows dựa trên Server 2003 và Windows XP trên máy tính

Để thêm một quy tắc chặn cho một giao thức cụ thể và cổng trên một cửa sổ Dựa trên Server 2003 hoặc Windows XP trên máy tính có một hiện có tại địa phương chỉ định tĩnh chính IPSec sách, thực hiện theo các bước sau:
  1. Cài đặt IPSeccmd.exe. IPSeccmd.exe là một phần của công cụ hỗ trợ Windows XP SP2.

    Để biết thêm chi tiết về cách tải về và cài đặt Windows XP Service Pack 2 hỗ trợ công cụ, nhấp vào số bài viết sau đây để xem bài viết trong cơ sở kiến thức Microsoft:
    838079Công cụ hỗ trợ Windows XP Service Pack 2
  2. Xác định tên của chính sách IPSec hiện đang được gán. Để thực hiện việc này, loại sau tại dấu nhắc lệnh:
    netdiag /test:ipsec
    Nếu một chính sách được phân công, bạn sẽ nhận được một tin nhắn đó là tương tự như sau:
    IP Security thử nghiệm....... . . : Thông qua
    Địa phương chính sách IPSec hoạt động: ' chặn UDP 1434 Bộ lọc '
  3. Nếu có một chính sách IPSec đã được chỉ định cho các máy tính (địa phương hay tên miền), sử dụng lệnh sau để thêm một bổ sung CHẶN lọc Rule chính sách IPSec hiện có.

    Chú ýTrong lệnh này, Existing_IPSec_Policy_Name,Giao thức, và PortNumber đang các biến.
    IPSeccmd.exe -p "Existing_IPSec_Policy_Name"-w REG - r"BlockGiao thứcPortNumber Cai trị"-f * = 0:PortNumber:Giao thức -n BLOCK
    Ví dụ, để thêm một quy tắc lọc để chặn trong nước truy cập vào TCP cổng 80 để chặn UDP 1434 lọc hiện có, gõ như sau lệnh:
    IPSeccmd.exe -p "Chặn UDP 1434 lọc" -w REG - r "chặn trong nước TCP 80 Rule" -f * = 0:80:TCP - n BLOCK

Windows 2000 dựa trên máy tính

Để thêm một quy tắc chặn cho một giao thức cụ thể và cổng trên một cửa sổ 2000-dựa máy tính với một hiện có tại địa phương chỉ định tĩnh chính IPSec sách, thực hiện theo các bước sau:
  1. Ghé thăm trang Web Microsoft sau đây để tải về và cài đặt Ipsecpol.exe:
  2. Xác định tên của chính sách IPSec hiện đang được gán. Để thực hiện việc này, loại sau tại dấu nhắc lệnh:
    netdiag /test:ipsec
    Nếu một chính sách được phân công, bạn sẽ nhận được một tin nhắn đó là tương tự như sau:
    IP Security thử nghiệm....... . . : Thông qua
    Địa phương chính sách IPSec hoạt động: ' chặn UDP 1434 Bộ lọc '
  3. Nếu có một chính sách IPSec đã được chỉ định cho các máy tính (địa phương hay tên miền), sử dụng lệnh sau để thêm một bổ sung khối lọc quy tắc chính sách IPSec hiện có, nơiExisting_IPSec_Policy_Name,Giao thức, và PortNumber đang biến:
    ipsecpol -p "Existing_IPSec_Policy_Name"-w REG - r"BlockGiao thứcPortNumber Cai trị"-f * = 0:PortNumber:Giao thức -n BLOCK
    Ví dụ, để thêm một quy tắc lọc để chặn trong nước truy cập vào TCP cổng 80 để chặn UDP 1434 lọc hiện có, gõ như sau lệnh:
    ipsecpol -p "Chặn UDP 1434 lọc" -w REG - r "chặn trong nước TCP 80 Rule" -f * = 0:80:TCP - n BLOCK

Thêm một chính sách năng động khối cho một giao thức cụ thể và cảng

Windows Server 2003 và Windows XP máy vi tính

Bạn có thể tạm thời chặn truy cập vào một cổng cụ thể. Ví dụ, bạn có thể muốn chặn một cổng cụ thể cho đến khi bạn có thể cài đặt một hotfix, hoặc nếu một tên miền dựa trên Chính sách IPSec đã được gán cho máy tính. Để tạm thời chặn truy cập một cảng trên một máy tính dựa trên Windows Server 2003 hoặc Windows XP dựa trên bằng cách sử dụng chính sách IPSec, làm theo các bước sau:
  1. Cài đặt IPSeccmd.exe. IPSeccmd.exe là một phần của Windows XP Service Pack 2 hỗ trợ công cụ.

    Chú ý IPSeccmd.exe sẽ chạy trên Windows XP và hệ điều hành Windows Server 2003, nhưng công cụ này chỉ có sẵn từ các gói phần mềm công cụ hỗ trợ Windows XP SP2.

    Để biết thêm chi tiết về làm thế nào để download và cài đặt Windows XP Service Pack 2 hỗ trợ công cụ, nhấp vào số bài viết sau đây để xem bài viết trong cơ sở kiến thức Microsoft:
    838079Công cụ hỗ trợ Windows XP Service Pack 2
  2. Để thêm một bộ lọc khối năng động chặn tất cả các gói dữ liệu từ bất kỳ địa chỉ IP của hệ thống địa chỉ IP và nhắm mục tiêu cảng, loại các sau một dấu nhắc lệnh.

    Chú ý Trong lệnh sau, Giao thứcPortNumber là các biến.
    IPSeccmd.exe -f [*=0:PortNumber:Giao thức]
    Chú ý Lệnh này tạo ra các bộ lọc khối năng động. Chính sách vẫn còn được giao khi dịch vụ đại lý chính sách IPSec chạy. Nếu các dịch vụ đại lý chính sách IPSec được khởi động lại hoặc máy tính được khởi động lại, chính sách này sẽ bị mất. Nếu bạn muốn tự động gán quy tắc lọc IPSec mỗi thời gian hệ thống được khởi động lại, tạo ra một tập lệnh khởi động để nộp đơn xin lại các bộ lọc Quy tắc. Nếu bạn muốn vĩnh viễn áp dụng bộ lọc này, cấu hình các bộ lọc như là một chính sách IPSec tĩnh. IPSec chính sách quản lý MMC snap-in cung cấp một giao diện người dùng đồ họa để quản lý các cấu hình chính sách IPSec. Nếu một tên miền dựa trên chính sách IPSec đã được áp dụng, các netdiag /test:ipsec /debug lệnh chỉ có thể hiển thị chi tiết bộ lọc nếu lệnh là thực hiện bởi một người dùng có ủy nhiệm quản trị viên tên miền.

Windows 2000 dựa trên máy tính

Bạn có thể chặn một cổng cụ thể tạm thời (ví dụ, cho đến khi một hotfix có thể được cài đặt, hoặc nếu một tên miền dựa trên Chính sách IPSec đã được đặt vào máy tính). Để tạm thời chặn truy cập một cảng trên một máy tính Windows 2000 dựa trên bằng cách sử dụng chính sách IPSec, làm theo các bước sau:
  1. Ghé thăm trang Web Microsoft sau đây để tải về và cài đặt Ipsecpol.exe:
  2. Để thêm một bộ lọc khối năng động chặn tất cả các gói dữ liệu từ bất kỳ địa chỉ IP của hệ thống địa chỉ IP và nhắm mục tiêu cảng, loại các sau một dấu nhắc lệnh, nơi Giao thứcPortNumber là các biến:
    ipsecpol -f [*=0:PortNumber:Giao thức]
    Chú ý Lệnh này tạo ra các bộ lọc khối năng động, và các chính sách sẽ vẫn được giao khi dịch vụ đại lý chính sách IPSec chạy. Nếu dịch vụ IPSec được khởi động lại hoặc máy tính được khởi động lại, thiết đặt này sẽ bị mất. Nếu bạn muốn tự động gán quy tắc lọc IPSec mỗi thời gian khởi động lại hệ thống, tạo một tập lệnh khởi động để nộp đơn xin lại các bộ lọc Quy tắc. Nếu bạn muốn vĩnh viễn áp dụng bộ lọc này, cấu hình các bộ lọc như là một chính sách IPSec tĩnh. IPSec chính sách quản lý MMC snap-in cung cấp một giao diện người dùng đồ họa để quản lý các cấu hình chính sách IPSec. Nếu một tên miền dựa trên chính sách IPSec đã được áp dụng, các netdiag /test:ipsec /debug lệnh chỉ có thể hiển thị chi tiết bộ lọc nếu lệnh là thực hiện bởi một người sử dụng ủy nhiệm quản trị viên tên miền. Một phiên bản Netdiag.exe sẽ có sẵn trong Windows 2000 Service Pack 4 cho phép quản trị viên địa phương để xem tên miền dựa trên chính sách IPSec.

Quy tắc lọc IPSec và chính sách nhóm

Đối với môi trường nơi mà các chính sách IPSec được chỉ định bởi một nhóm Chính sách thiết lập, bạn phải Cập Nhật chính sách tên miền toàn bộ để chặn các giao thức cụ thể và cổng. Sau khi thành công cấu hình chính sách nhóm Thiết đặt IPSec, bạn phải thi hành làm mới một thiết đặt chính sách nhóm trên tất cả các máy dựa trên Windows Server 2003, dựa trên Windows XP và Windows 2000 dựa trên tính trong tên miền. Để thực hiện việc này, sử dụng các lệnh sau đây:
secedit /refreshpolicy machine_policy
Thay đổi chính sách IPSec sẽ được phát hiện trong vòng một của hai khoảng thời gian bỏ phiếu khác nhau. Đối đang chính sách IPSec mới được chỉ định áp dụng cho một GPO, chính sách IPSec sẽ được áp dụng cho các khách hàng trong các thời gian thiết lập cho khoảng Group Policy polling hoặc khi các secedit /refreshpolicy machine_policy lệnh này được chạy trên máy tính khách. Nếu chính sách IPSec đã được chỉ định để một GPO và mới IPSec bộ lọc hoặc quy tắc đang được bổ sung vào một chính sách hiện có, các secedit lệnh sẽ không làm cho IPSec nhận ra những thay đổi. Trong trường hợp này, Sửa đổi đối với một chính sách GPO dựa trên IPSec hiện có sẽ được phát hiện trong chính IPSec sách đó của riêng phiếu khoảng thời gian. Khoảng thời gian này được chỉ định trên các Tổng quát tab cho rằng chính sách IPSec. Bạn cũng có thể ép buộc làm mới một của các Thiết đặt chính sách IPSec bởi khởi động lại dịch vụ đại lý chính sách IPSec. Nếu IPSec dịch vụ bị dừng hay khởi động lại, bảo mật IPSec truyền thông sẽ bị gián đoạn và sẽ mất một vài giây để tiếp tục. Có thể làm chương trình các kết nối để ngắt kết nối, đặc biệt là cho các kết nối tích cực là chuyển giao lượng lớn dữ liệu. Trong các tình huống nơi chính sách IPSec áp dụng chỉ trên máy tính địa phương, bạn không phải khởi động lại dịch vụ.

Unassign và xóa một chính sách IPSec

Windows dựa trên Server 2003 và Windows XP trên máy tính

  • Máy tính có một chính sách xác định tại địa phương tĩnh
    1. Mở một dấu nhắc lệnh, và sau đó đặt thư mục làm việc thư mục nơi bạn cài đặt Ipsecpol.exe.
    2. Để unassign các bộ lọc mà bạn tạo ra trước đó, hãy sử dụng lệnh sau:
      IPSeccmd.exe -w REG khối -p" Giao thứcPortNumber Lọc"–y
      Ví dụ, để unassign chặn UDP 1434 lọc mà bạn tạo ra trước đó, sử dụng lệnh sau đây:
      IPSeccmd.exe -w REG -p "chặn UDP 1434 Lọc"-y
    3. Để xoá bộ lọc mà bạn tạo ra, sử dụng các lệnh sau đây:
      IPSeccmd.exe -w REG khối -p" Giao thứcPortNumberLọc"- r"Block Giao thứcPortNumber Quy tắc"–o
      Ví dụ, để xóa "Chặn UDP 1434 lọc" bộ lọc và cả hai quy tắc mà bạn đã tạo, sử dụng lệnh sau đây:
      IPSeccmd.exe -w REG -p "Chặn UDP 1434 lọc" - r "Block Trong nước UDP 1434 Rule"- r"Khối ra bên ngoài UDP 1434 Rule"-o
  • Máy tính có một chính sách năng động định nghĩa ở địa phương
    Năng động chính sách IPSec là unapplied nếu IPSec Chính sách đại lý dịch vụ dừng lại bằng cách sử dụng các net stop policyagent bộ chỉ huy. Để xóa các lệnh cụ thể đã được sử dụng mà không dừng dịch vụ đại lý chính sách IPSec, theo các bước sau:
    1. Mở một dấu nhắc lệnh, và sau đó đặt thư mục làm việc thư mục mà bạn đã cài đặt Windows XP Service Pack 2 hỗ trợ công cụ.
    2. Gõ lệnh sau đây:
      IPSeccmd.exe –u
      Chú ý Bạn cũng có thể khởi động lại dịch vụ đại lý chính sách IPSec để xóa tất cả tự động gán các chính sách.

Windows 2000 dựa trên máy tính

  • Máy tính với tại địa phương định nghĩa chính sách tĩnh
    1. Mở một dấu nhắc lệnh, và sau đó đặt thư mục làm việc thư mục nơi bạn cài đặt Ipsecpol.exe.
    2. Để unassign các bộ lọc mà bạn tạo ra trước đó, hãy sử dụng lệnh sau:
      ipsecpol -w REG khối -p" Giao thứcPortNumber Lọc"–y
      Ví dụ, để unassign chặn UDP 1434 lọc mà bạn tạo ra trước đó, sử dụng lệnh sau đây:
      ipsecpol -w REG -p "chặn UDP 1434 Lọc"-y
    3. Để xoá bộ lọc mà bạn tạo ra, sử dụng các lệnh sau đây:
      ipsecpol -w REG khối -p" Giao thứcPortNumberLọc"- r"Block Giao thứcPortNumber Quy tắc"–o
      Ví dụ, để xóa "Chặn UDP 1434 lọc" bộ lọc và cả hai quy tắc mà bạn tạo ra trước đó, sử dụng lệnh sau đây:
      ipsecpol -w REG -p "Chặn UDP 1434 lọc" - r "Block Trong nước UDP 1434 Rule"- r"Khối ra bên ngoài UDP 1434 Rule"-o
  • Máy tính với tại địa phương định nghĩa chính sách năng động

    Chính sách IPSec năng động sẽ được unapplied nếu IPSec Chính sách đại lý dịch vụ dừng (bằng cách sử dụng các net stop policyagent bộ chỉ huy). Tuy nhiên, để xóa các lệnh cụ thể đã được sử dụng trước đó mà không dừng dịch vụ đại lý chính sách IPSec, theo các bước sau:
    1. Mở một dấu nhắc lệnh, và sau đó đặt thư mục làm việc thư mục nơi bạn cài đặt Ipsecpol.exe.
    2. Gõ lệnh sau đây:
      Ipsecpol –u
      Chú ý Bạn cũng có thể khởi động lại dịch vụ đại lý chính sách IPSec để xóa tất cả tự động gán các chính sách.

Áp dụng quy tắc lọc mới của bạn cho tất cả các giao thức và các cảng

Theo mặc định trong Microsoft Windows 2000 và Microsoft Windows XP, IPSec exempts phát sóng, phát đa hướng, RSVP, IKE và Kerberos lưu lượng truy cập từ tất cả Hạn chế lọc và xác thực. Để thêm thông tin về những miễn giảm, nhấp vào số bài viết sau đây để xem các bài viết trong các Cơ sở kiến thức Microsoft:
253169 Lưu lượng truy cập điều đó có thể - và không thể--được bảo vệ bởi IPSec
Nơi IPSec được sử dụng chỉ để cho phép và chặn lưu lượng truy cập, loại bỏ những miễn trừ này cho giao thức Kerberos và RSVP bằng cách thay đổi một giá trị đăng ký. Để hoàn thành hướng dẫn về làm thế nào để làm điều này, bấm vào các số bài viết sau để xem bài viết trong các kiến thức Microsoft Cơ sở:
254728 IPSec không an toàn Kerberos giao thông giữa điều khiển vùng
Bằng cách làm theo những hướng dẫn này, bạn có thể giúp bảo vệ UDP 1434 ngay cả trong trường hợp mà kẻ tấn công có thể thiết lập cổng nguồn của họ để các Kerberos cổng TCP/UDP 88. Bằng cách loại bỏ miễn giảm Kerberos, các gói Kerberos sẽ bây giờ được kết hợp với tất cả các bộ lọc trong chính sách IPSec. Vì vậy, có thể Kerberos được bảo mật bên trong IPSec, bị chặn hoặc cho phép. Vì vậy, nếu các bộ lọc IPSec phù hợp với lưu thông Kerberos là có địa chỉ IP bộ điều khiển của tên miền, bạn có thể phải thay đổi thiết kế chính sách IPSec để thêm các bộ lọc mới cho phép Kerberos lưu lượng truy cập cho mỗi tên miền điều khiển chỉ IP (nếu bạn không sử dụng IPSec để giúp an toàn tất cả các giao thông giữa điều khiển vùng là kiến thức Cơ sở bài 254728 mô tả).

Áp dụng các quy tắc lọc IPSec khi máy tính khởi động lại

Tất cả các chính sách IPSec dựa vào các dịch vụ đại lý chính sách IPSec là được chỉ định. Khi một máy tính dựa trên Windows 2000 là trong quá trình bắt đầu lên, các dịch vụ đại lý chính sách IPSec là không nhất thiết phải là dịch vụ đầu tiên để bắt đầu. Vì vậy, có thể có một chút thời gian ngắn khi kết nối mạng của máy tính là dễ bị vi-rút hoặc sâu tấn công. Tình trạng này chỉ áp dụng trong trường hợp nơi một dịch vụ có khả năng dễ bị tổn thương đã thành công bắt đầu và là việc chấp nhận kết nối trước khi các đại lý chính sách IPSec dịch vụ đã hoàn toàn bắt đầu và được chỉ định tất cả các chính sách.
IPSec lọc quy tắc chặn Worm Trojan slammer codered Nimda

Cảnh báo: Bài viết này đã được dịch tự động

Thuộc tính

ID Bài viết: 813878 - Xem lại Lần cuối: 09/11/2011 23:45:00 - Bản sửa đổi: 3.0

Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Server, Microsoft Windows 2000 Advanced Server, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows XP Home Edition, Microsoft Windows XP Professional

  • kbhowto kbmt KB813878 KbMtvi
Phản hồi
1.microsoft.com/c.gif?">