Tóm tắt
Bài viết này mô tả cách cấu hình RPC sử dụng dải cổng động cụ thể và làm thế nào để giúp bảo vệ các cổng trong đó bằng cách sử dụng một giao thức Internet (IPsec) bảo mật. Theo mặc định, RPC sử dụng cổng trong cổng không lâu (1024-5000) khi nó đặt cổng ứng dụng RPC nghe trên một điểm cuối TCP. Hiện tượng này có thể hạn chế quyền truy cập vào các cổng thách thức dành cho quản trị viên mạng. Bài viết này thảo luận cách để giảm số cổng cho RPC ứng dụng và làm thế nào để hạn chế quyền truy cập vào các cổng bằng cách sử dụng chính sách IPsec dựa trên sổ đăng ký.
Vì các bước trong bài viết này bao gồm các thay đổi phạm vi máy tính yêu cầu máy tính khởi động lại, tất cả các bước sau sẽ được thực hiện lần đầu tiên trong môi trường nonproduction xác định bất kỳ vấn đề tương thích ứng dụng nào có thể xảy ra là do những thay đổi.
Thông tin
Có rất nhiều tác vụ cấu hình phải được hoàn thành để di chuyển, giảm và hạn chế quyền truy cập vào cổng RPC.
Trước tiên, dải động cổng RPC sẽ bị giới hạn nhiều cổng nhỏ hơn, dễ quản lý hơn dễ dàng hơn để chặn bằng cách sử dụng tường lửa hoặc chính sách IPsec. Theo mặc định, RPC tự động phân bổ cổng trong khoảng 1024 đến 5000 cho điểm cuối không chỉ định một cổng để nghe.
Lưu ý
Bài viết này sử dụng dải cổng 5001 5021. Điều này làm giảm số cổng có sẵn cho RPC điểm cuối 3,976 20. Số cổng được lựa chọn tuỳ ý và không đề xuất một số cổng cần thiết cho bất kỳ hệ thống cụ thể.
Tiếp theo, một chính sách IPsec phải được tạo để hạn chế truy cập nhiều cổng này để từ chối truy cập vào tất cả lưu trữ trên mạng.
Cuối cùng, chính sách IPsec có thể được Cập Nhật cho các địa chỉ IP hoặc mạng con mạng truy cập RPC cổng bị chặn và loại trừ tất cả những người khác.
Để khởi động tác vụ cấu hình lại dải động cổng RPC, tải xuống công cụ cấu hình RPC (RPCCfg.exe), và sau đó sao chép các máy trạm hoặc máy chủ sẽ được cấu hình lại. Để thực hiện việc này, hãy truy cập trang web sau của Microsoft:
http://www.microsoft.com/downloads/details.aspx?FamilyID=0f9cde2f-8632-4da8-ae70-645e1ddaf369&DisplayLang=enĐể thực hiện các tác vụ sau đó tạo một chính sách IPsec, tải xuống Internet giao thức bảo mật chính sách cụ (Ipsecpol.exe), và sau đó sao chép các máy trạm hoặc máy chủ sẽ được cấu hình lại. Để thực hiện việc này, hãy truy cập trang web sau của Microsoft:
http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361Lưu ý Để tạo một chính sách IPsec cho Microsoft Windows XP hoặc phiên bản mới hơn của hệ điều hành Windows, hãy sử dụng Ipseccmd.exe. Ipseccmd.exe là một công cụ hỗ trợ Windows XP. Cú pháp và sử dụng IPseccmd.exe là giống như cú pháp và sử dụng Ipsecpol.exe. Để biết thêm thông tin về các công cụ hỗ trợ Windows XP, bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
838079 Windows XP Service Pack 2 công cụ hỗ trợ
Di chuyển và giảm dải động cổng RPC bằng RPCCfg.exe
Để di chuyển và giảm dải động cổng RPC bằng RPCCfg.exe, hãy làm theo các bước sau:
-
Sao chép RPCCfg.exe máy chủ phải được cấu hình
-
Tại dấu nhắc lệnh, gõ rpccfg.exe-pe 5001-5021 - d 0.
Lưu ý Dải cổng này được khuyến nghị sử dụng bởi RPC điểm cuối vì cổng trong phạm vi này không thể được phân bổ để sử dụng các ứng dụng khác của. Theo mặc định, RPC sử dụng dải cổng 1024 đến 5000 phân bổ cổng cho điểm cuối. Tuy nhiên, cổng trong phạm vi được cũng tự động phân bổ để sử dụng hệ điều hành Windows cho tất cả cửa sổ ứng dụng khe cắm và có thể cạn kiệt trên các máy chủ yếu được sử dụng như máy chủ đầu cuối và máy chủ Trung cấp gọi đi nhiều hệ thống từ xa.
Ví dụ: khi Internet Explorer liên hệ với máy chủ Web trên cổng 80, nó nghe trên một cổng trong phạm vi 1024 5000 để phản hồi từ máy chủ. Máy chủ Trung cấp COM thực hiện cuộc gọi đi đến các máy chủ từ xa cũng sử dụng một cổng trong phạm vi cho các trả lời cuộc gọi đến. Di chuyển nhiều cổng RPC sử dụng các điểm cuối 5001 cổng nhiều sẽ làm giảm cơ hội các cổng sẽ sử dụng các ứng dụng khác.
Để biết thêm thông tin về cách sử dụng cổng không lâu trong hệ điều hành Windows, hãy ghé thăm Web site sau của Microsoft.-
Đối với Windows 2000:
-
Windows Server 2003:
-
Sử dụng một chính sách IPsec hoặc tường lửa chặn truy cập vào cổng bị trên máy chủ bị ảnh hưởng
Trong các lệnh trong phần sau, bất kỳ văn bản nào xuất hiện giữa các dấu hiệu phần trăm (%) dành cho văn bản trong lệnh phải nhập bởi người tạo chính sách IPsec. Ví dụ: dù ở bất cứ văn bản "IPSECTOOL %" xuất hiện, người tạo chính sách này sẽ thay thế văn bản đó như sau:
-
Đối với Windows 2000, thay thế "IPSECTOOL %" với "ipsecpol.exe."
-
Đối với Windows XP hoặc phiên bản mới hơn của Windows, thay thế "IPSECTOOL %" với "ipseccmd.exe."
Để biết thêm thông tin về cách sử dụng IPsec để chặn cổng, hãy bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
813878 làm thế nào để ngăn chặn các cổng và giao thức mạng cụ thể bằng cách sử dụng IPSec
Chặn quyền truy cập ánh xạ Endpoint RPC cho tất cả các địa chỉ IP
Để ngăn chặn truy cập RPC Endpoint ánh xạ cho tất cả các địa chỉ IP, sử dụng cú pháp sau.
Lưu ý Trên Windows XP và các hệ điều hành, sử dụng Ipseccmd.exe. Trên Windows 2000, sử dụng Ipsecpol.exe (Windows 2000).
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK
Lưu ý Không gõ "IPSECTOOL %" lệnh này. "IPSECTOOL %" dành cho một phần của lệnh phải được tùy chỉnh. Ví dụ: trên Windows 2000, hãy nhập lệnh sau từ thư mục chứa Ipsecpol.exe chặn tất cả các truy cập vào TCP 135:
ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK
Trên Windows XP và các hệ điều hành, nhập lệnh sau từ thư mục chứa Ipseccmd.exe chặn tất cả các truy cập vào TCP 135:
ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK
Chặn quyền truy cập vào dải động cổng RPC cho tất cả các địa chỉ IP
Để ngăn chặn truy cập vào dải động cổng RPC cho tất cả các địa chỉ IP, sử dụng cú pháp sau.
Lưu ý Trên Windows XP và các hệ điều hành, sử dụng Ipseccmd.exe. Trên Windows 2000, sử dụng Ipsecpol.exe (Windows 2000).
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP %PORT% Rule" -f *=0:%PORT%:TCP -n BLOCK
Lưu ý Không gõ "IPSECTOOL %" hoặc "% cổng" lệnh này. "IPSECTOOL %" và "% cổng" dành cho phần lệnh phải được tùy chỉnh. Ví dụ, nhập lệnh sau trên máy chủ Windows 2000 chặn tất cả các truy cập vào TCP 5001:
ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK
Chặn tất cả các truy cập vào TCP 5001, gõ lệnh sau trên máy chủ Windows XP và lưu trữ các hệ điều hành Windows:
ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK
Lặp lại lệnh này cho mỗi cổng RPC phải bị thay đổi số cổng được liệt kê trong lệnh này. Cổng phải bị chặn nằm trong khoảng 5001 5021.
Lưu ý Đừng quên thay đổi số cổng trong tên quy tắc (chuyển đổi - r ) và bộ lọc (chuyển đổi -f ).
Tùy chọn: Cho truy cập để ánh xạ Endpoint RPC mạng con cụ thể nếu cần truy cập
Nếu bạn phải cấp quyền truy nhập mạng con cụ thể để hạn chế RPC cổng, bạn phải đầu tiên cho truy cập mạng con ánh xạ Endpoint RPC bạn chặn trước đó. Truy cập mạng con cụ thể cho ánh xạ Endpoint RPC, sử dụng các lệnh sau:
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP 135 from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:135:TCP -n PASS
Lưu ý Trong lệnh này, các điều khoản sau đây áp dụng:
-
"IPSECTOOL %" biểu thị lệnh sử dụng. Lệnh này là "ipsecpol.exe" hoặc "ipseccmd.exe." Lệnh nào được sử dụng phụ thuộc vào hệ điều hành mà bạn đang đặt cấu hình.
-
"% Con" thể hiện từ xa IP mạng con mà bạn muốn cấp quyền truy cập, ví dụ: 10.1.1.0.
-
"% Mặt nạ" thể hiện mặt nạ mạng con để sử dụng, ví dụ: 255.255.255.0.
Ví dụ, lệnh cho phép tất cả máy chủ từ mạng con 10.1.1.0/255.255.255.0 để kết nối với cổng TCP 135. Tất cả các máy chủ sẽ có các kết nối bị từ chối bởi quy tắc chặn mặc định được tạo trước đó này.%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 135 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:135:TCP -n PASS
Tùy chọn: Cho truy cập nhiều cổng động RPC mới cụ thể mạng con nếu cần truy cập
Mỗi con có được quyền truy cập để ánh xạ Endpoint RPC trước nên cũng được cấp quyền truy cập cho tất cả các cổng trong dải động cổng RPC mới (5001 5021).
Nếu bạn kích hoạt mạng con đến ánh xạ Endpoint RPC nhưng không có dải động cổng, ứng dụng có thể ngừng đáp ứng hoặc bạn có thể gặp phải các sự cố khác.
Lệnh cho phép truy cập mạng con cụ thể với cổng trong động cổng RPC mới:
%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP %PORT% from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:%PORT%:TCP -n PASS
Lưu ý Trong lệnh này, các điều khoản sau đây áp dụng:
-
"IPSECTOOL %" biểu thị lệnh sử dụng. Lệnh này là "ipsecpol.exe" hoặc "ipseccmd.exe." Lệnh nào được sử dụng phụ thuộc vào hệ điều hành mà bạn đang đặt cấu hình.
-
"% Cổng" đại diện cho cổng trong động cổng để cấp quyền truy nhập.
-
"% Con" thể hiện từ xa IP mạng con mà bạn muốn cấp quyền truy cập, ví dụ: 10.1.1.0.
-
"% Mặt nạ" thể hiện mặt nạ mạng con để sử dụng, ví dụ: 255.255.255.0.
Ví dụ, lệnh cho phép tất cả máy chủ từ mạng con 10.1.1.0/255.255.255.0 để kết nối với cổng TCP 5001. Tất cả các máy chủ sẽ có các kết nối bị từ chối bởi quy tắc chặn mặc định được tạo trước đó này.%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 5001 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:5001:TCP -n PASS
Lưu ý Lệnh này sẽ được gửi cho từng mạng con và cổng trong động cổng RPC mới.
Gán chính sách IPsec
Lưu ý Các lệnh trong phần này có hiệu lực ngay lập tức.
Sau khi bạn tạo tất cả các quy tắc chặn tất cả các tùy chọn quy tắc cho phép RPC cấu hình cổng, chỉ định các chính sách bằng cách sử dụng các lệnh sau:
%IPSECTOOL% -w REG -p "Block RPC Ports" –x
Lưu ý Để ngay lập tức unassign chính sách, sử dụng các lệnh sau:
%IPSECTOOL% -w REG -p "Block RPC Ports" –y
Lưu ý Để xoá chính sách khỏi sổ đăng ký, sử dụng các lệnh sau:
%IPSECTOOL% -w REG -p "Block RPC Ports" -o
Bạn phải khởi động lại máy chủ để thay đổi có hiệu lực.
Lưu ý:
-
Thay đổi cấu hình RPC yêu cầu khởi động lại.
-
Thay đổi chính sách IPsec có hiệu lực ngay lập tức và yêu cầu khởi động lại.
Sau khi khởi động lại máy chủ hoặc máy trạm, bất kỳ giao diện RPC sử dụng trình tự giao thức ncacn_ip_tcp và không chỉ định một cổng TCP cụ thể để liên kết sẽ có một cổng được phân bổ từ này bằng RPC chạy khi khởi động máy chủ RPC.
Lưu ý Máy chủ có thể yêu cầu nhiều hơn 20 cổng TCP. Bạn có thể sử dụng lệnh rpcdump.exe đếm số điểm cuối RPC chắc chắn cổng TCP và tăng số này nếu bạn phải. Để biết thêm thông tin về cách tải xuống công cụ kết xuất RPC, ghé thăm Web site sau của Microsoft: