Bỏ qua để tới nội dung chính
Hỗ trợ
Đăng nhập
Đăng nhập với Microsoft
Đăng nhập hoặc tạo một tài khoản.
Xin chào,
Chọn một tài khoản khác.
Bạn có nhiều tài khoản
Chọn tài khoản bạn muốn đăng nhập.

Tóm tắt

Bài viết này mô tả cách cấu hình RPC sử dụng dải cổng động cụ thể và làm thế nào để giúp bảo vệ các cổng trong đó bằng cách sử dụng một giao thức Internet (IPsec) bảo mật. Theo mặc định, RPC sử dụng cổng trong cổng không lâu (1024-5000) khi nó đặt cổng ứng dụng RPC nghe trên một điểm cuối TCP. Hiện tượng này có thể hạn chế quyền truy cập vào các cổng thách thức dành cho quản trị viên mạng. Bài viết này thảo luận cách để giảm số cổng cho RPC ứng dụng và làm thế nào để hạn chế quyền truy cập vào các cổng bằng cách sử dụng chính sách IPsec dựa trên sổ đăng ký.

Vì các bước trong bài viết này bao gồm các thay đổi phạm vi máy tính yêu cầu máy tính khởi động lại, tất cả các bước sau sẽ được thực hiện lần đầu tiên trong môi trường nonproduction xác định bất kỳ vấn đề tương thích ứng dụng nào có thể xảy ra là do những thay đổi.

Thông tin

Có rất nhiều tác vụ cấu hình phải được hoàn thành để di chuyển, giảm và hạn chế quyền truy cập vào cổng RPC.

Trước tiên, dải động cổng RPC sẽ bị giới hạn nhiều cổng nhỏ hơn, dễ quản lý hơn dễ dàng hơn để chặn bằng cách sử dụng tường lửa hoặc chính sách IPsec. Theo mặc định, RPC tự động phân bổ cổng trong khoảng 1024 đến 5000 cho điểm cuối không chỉ định một cổng để nghe.

Lưu ý
Bài viết này sử dụng dải cổng 5001 5021. Điều này làm giảm số cổng có sẵn cho RPC điểm cuối 3,976 20. Số cổng được lựa chọn tuỳ ý và không đề xuất một số cổng cần thiết cho bất kỳ hệ thống cụ thể.




Tiếp theo, một chính sách IPsec phải được tạo để hạn chế truy cập nhiều cổng này để từ chối truy cập vào tất cả lưu trữ trên mạng.

Cuối cùng, chính sách IPsec có thể được Cập Nhật cho các địa chỉ IP hoặc mạng con mạng truy cập RPC cổng bị chặn và loại trừ tất cả những người khác.

Để khởi động tác vụ cấu hình lại dải động cổng RPC, tải xuống công cụ cấu hình RPC (RPCCfg.exe), và sau đó sao chép các máy trạm hoặc máy chủ sẽ được cấu hình lại. Để thực hiện việc này, hãy truy cập trang web sau của Microsoft:

http://www.microsoft.com/downloads/details.aspx?FamilyID=0f9cde2f-8632-4da8-ae70-645e1ddaf369&DisplayLang=enĐể thực hiện các tác vụ sau đó tạo một chính sách IPsec, tải xuống Internet giao thức bảo mật chính sách cụ (Ipsecpol.exe), và sau đó sao chép các máy trạm hoặc máy chủ sẽ được cấu hình lại. Để thực hiện việc này, hãy truy cập trang web sau của Microsoft:

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361Lưu ý Để tạo một chính sách IPsec cho Microsoft Windows XP hoặc phiên bản mới hơn của hệ điều hành Windows, hãy sử dụng Ipseccmd.exe. Ipseccmd.exe là một công cụ hỗ trợ Windows XP. Cú pháp và sử dụng IPseccmd.exe là giống như cú pháp và sử dụng Ipsecpol.exe. Để biết thêm thông tin về các công cụ hỗ trợ Windows XP, bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:

838079 Windows XP Service Pack 2 công cụ hỗ trợ

Di chuyển và giảm dải động cổng RPC bằng RPCCfg.exe

Để di chuyển và giảm dải động cổng RPC bằng RPCCfg.exe, hãy làm theo các bước sau:

  1. Sao chép RPCCfg.exe máy chủ phải được cấu hình

  2. Tại dấu nhắc lệnh, gõ rpccfg.exe-pe 5001-5021 - d 0.
    Lưu ý Dải cổng này được khuyến nghị sử dụng bởi RPC điểm cuối vì cổng trong phạm vi này không thể được phân bổ để sử dụng các ứng dụng khác của. Theo mặc định, RPC sử dụng dải cổng 1024 đến 5000 phân bổ cổng cho điểm cuối. Tuy nhiên, cổng trong phạm vi được cũng tự động phân bổ để sử dụng hệ điều hành Windows cho tất cả cửa sổ ứng dụng khe cắm và có thể cạn kiệt trên các máy chủ yếu được sử dụng như máy chủ đầu cuối và máy chủ Trung cấp gọi đi nhiều hệ thống từ xa.

    Ví dụ: khi Internet Explorer liên hệ với máy chủ Web trên cổng 80, nó nghe trên một cổng trong phạm vi 1024 5000 để phản hồi từ máy chủ. Máy chủ Trung cấp COM thực hiện cuộc gọi đi đến các máy chủ từ xa cũng sử dụng một cổng trong phạm vi cho các trả lời cuộc gọi đến. Di chuyển nhiều cổng RPC sử dụng các điểm cuối 5001 cổng nhiều sẽ làm giảm cơ hội các cổng sẽ sử dụng các ứng dụng khác.
    Để biết thêm thông tin về cách sử dụng cổng không lâu trong hệ điều hành Windows, hãy ghé thăm Web site sau của Microsoft.

Sử dụng một chính sách IPsec hoặc tường lửa chặn truy cập vào cổng bị trên máy chủ bị ảnh hưởng

Trong các lệnh trong phần sau, bất kỳ văn bản nào xuất hiện giữa các dấu hiệu phần trăm (%) dành cho văn bản trong lệnh phải nhập bởi người tạo chính sách IPsec. Ví dụ: dù ở bất cứ văn bản "IPSECTOOL %" xuất hiện, người tạo chính sách này sẽ thay thế văn bản đó như sau:

  • Đối với Windows 2000, thay thế "IPSECTOOL %" với "ipsecpol.exe."

  • Đối với Windows XP hoặc phiên bản mới hơn của Windows, thay thế "IPSECTOOL %" với "ipseccmd.exe."

Để biết thêm thông tin về cách sử dụng IPsec để chặn cổng, hãy bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:

813878 làm thế nào để ngăn chặn các cổng và giao thức mạng cụ thể bằng cách sử dụng IPSec

Chặn quyền truy cập ánh xạ Endpoint RPC cho tất cả các địa chỉ IP

Để ngăn chặn truy cập RPC Endpoint ánh xạ cho tất cả các địa chỉ IP, sử dụng cú pháp sau.

Lưu ý Trên Windows XP và các hệ điều hành, sử dụng Ipseccmd.exe. Trên Windows 2000, sử dụng Ipsecpol.exe (Windows 2000).

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

Lưu ý Không gõ "IPSECTOOL %" lệnh này. "IPSECTOOL %" dành cho một phần của lệnh phải được tùy chỉnh. Ví dụ: trên Windows 2000, hãy nhập lệnh sau từ thư mục chứa Ipsecpol.exe chặn tất cả các truy cập vào TCP 135:

ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

Trên Windows XP và các hệ điều hành, nhập lệnh sau từ thư mục chứa Ipseccmd.exe chặn tất cả các truy cập vào TCP 135:

ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 135 Rule" -f *=0:135:TCP -n BLOCK

Chặn quyền truy cập vào dải động cổng RPC cho tất cả các địa chỉ IP

Để ngăn chặn truy cập vào dải động cổng RPC cho tất cả các địa chỉ IP, sử dụng cú pháp sau.

Lưu ý Trên Windows XP và các hệ điều hành, sử dụng Ipseccmd.exe. Trên Windows 2000, sử dụng Ipsecpol.exe (Windows 2000).

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Block Inbound TCP %PORT% Rule" -f *=0:%PORT%:TCP -n BLOCK

Lưu ý Không gõ "IPSECTOOL %" hoặc "% cổng" lệnh này. "IPSECTOOL %" và "% cổng" dành cho phần lệnh phải được tùy chỉnh. Ví dụ, nhập lệnh sau trên máy chủ Windows 2000 chặn tất cả các truy cập vào TCP 5001:

ipsecpol.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK

Chặn tất cả các truy cập vào TCP 5001, gõ lệnh sau trên máy chủ Windows XP và lưu trữ các hệ điều hành Windows:

ipseccmd.exe -w REG -p "Block RPC Ports" -r "Block Inbound TCP 5001 Rule" -f *=0:5001:TCP -n BLOCK

Lặp lại lệnh này cho mỗi cổng RPC phải bị thay đổi số cổng được liệt kê trong lệnh này. Cổng phải bị chặn nằm trong khoảng 5001 5021.

Lưu ý Đừng quên thay đổi số cổng trong tên quy tắc (chuyển đổi - r ) và bộ lọc (chuyển đổi -f ).

Tùy chọn: Cho truy cập để ánh xạ Endpoint RPC mạng con cụ thể nếu cần truy cập

Nếu bạn phải cấp quyền truy nhập mạng con cụ thể để hạn chế RPC cổng, bạn phải đầu tiên cho truy cập mạng con ánh xạ Endpoint RPC bạn chặn trước đó. Truy cập mạng con cụ thể cho ánh xạ Endpoint RPC, sử dụng các lệnh sau:

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP 135 from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:135:TCP -n PASS

Lưu ý Trong lệnh này, các điều khoản sau đây áp dụng:

  • "IPSECTOOL %" biểu thị lệnh sử dụng. Lệnh này là "ipsecpol.exe" hoặc "ipseccmd.exe." Lệnh nào được sử dụng phụ thuộc vào hệ điều hành mà bạn đang đặt cấu hình.

  • "% Con" thể hiện từ xa IP mạng con mà bạn muốn cấp quyền truy cập, ví dụ: 10.1.1.0.

  • "% Mặt nạ" thể hiện mặt nạ mạng con để sử dụng, ví dụ: 255.255.255.0.

    Ví dụ, lệnh cho phép tất cả máy chủ từ mạng con 10.1.1.0/255.255.255.0 để kết nối với cổng TCP 135. Tất cả các máy chủ sẽ có các kết nối bị từ chối bởi quy tắc chặn mặc định được tạo trước đó này.

    %IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 135 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:135:TCP -n PASS

Tùy chọn: Cho truy cập nhiều cổng động RPC mới cụ thể mạng con nếu cần truy cập

Mỗi con có được quyền truy cập để ánh xạ Endpoint RPC trước nên cũng được cấp quyền truy cập cho tất cả các cổng trong dải động cổng RPC mới (5001 5021).

Nếu bạn kích hoạt mạng con đến ánh xạ Endpoint RPC nhưng không có dải động cổng, ứng dụng có thể ngừng đáp ứng hoặc bạn có thể gặp phải các sự cố khác.

Lệnh cho phép truy cập mạng con cụ thể với cổng trong động cổng RPC mới:

%IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP %PORT% from %SUBNET% Rule" -f %SUBNET%/%MASK%=0:%PORT%:TCP -n PASS

Lưu ý Trong lệnh này, các điều khoản sau đây áp dụng:

  • "IPSECTOOL %" biểu thị lệnh sử dụng. Lệnh này là "ipsecpol.exe" hoặc "ipseccmd.exe." Lệnh nào được sử dụng phụ thuộc vào hệ điều hành mà bạn đang đặt cấu hình.

  • "% Cổng" đại diện cho cổng trong động cổng để cấp quyền truy nhập.

  • "% Con" thể hiện từ xa IP mạng con mà bạn muốn cấp quyền truy cập, ví dụ: 10.1.1.0.

  • "% Mặt nạ" thể hiện mặt nạ mạng con để sử dụng, ví dụ: 255.255.255.0.

    Ví dụ, lệnh cho phép tất cả máy chủ từ mạng con 10.1.1.0/255.255.255.0 để kết nối với cổng TCP 5001. Tất cả các máy chủ sẽ có các kết nối bị từ chối bởi quy tắc chặn mặc định được tạo trước đó này.

    %IPSECTOOL% -w REG -p "Block RPC Ports" -r "Allow Inbound TCP Port 5001 from 10.1.1.0 Rule" -f 10.1.1.0/255.255.255.0=0:5001:TCP -n PASS

Lưu ý Lệnh này sẽ được gửi cho từng mạng con và cổng trong động cổng RPC mới.

Gán chính sách IPsec

Lưu ý Các lệnh trong phần này có hiệu lực ngay lập tức.

Sau khi bạn tạo tất cả các quy tắc chặn tất cả các tùy chọn quy tắc cho phép RPC cấu hình cổng, chỉ định các chính sách bằng cách sử dụng các lệnh sau:

%IPSECTOOL% -w REG -p "Block RPC Ports" –x

Lưu ý Để ngay lập tức unassign chính sách, sử dụng các lệnh sau:

%IPSECTOOL% -w REG -p "Block RPC Ports" –y

Lưu ý Để xoá chính sách khỏi sổ đăng ký, sử dụng các lệnh sau:

%IPSECTOOL% -w REG -p "Block RPC Ports" -o

Bạn phải khởi động lại máy chủ để thay đổi có hiệu lực.

Lưu ý:

  • Thay đổi cấu hình RPC yêu cầu khởi động lại.

  • Thay đổi chính sách IPsec có hiệu lực ngay lập tức và yêu cầu khởi động lại.

Sau khi khởi động lại máy chủ hoặc máy trạm, bất kỳ giao diện RPC sử dụng trình tự giao thức ncacn_ip_tcp và không chỉ định một cổng TCP cụ thể để liên kết sẽ có một cổng được phân bổ từ này bằng RPC chạy khi khởi động máy chủ RPC.

Lưu ý Máy chủ có thể yêu cầu nhiều hơn 20 cổng TCP. Bạn có thể sử dụng lệnh rpcdump.exe đếm số điểm cuối RPC chắc chắn cổng TCP và tăng số này nếu bạn phải. Để biết thêm thông tin về cách tải xuống công cụ kết xuất RPC, ghé thăm Web site sau của Microsoft:

http://www.microsoft.com/downloads/details.aspx?displaylang=en&familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd

Facebook LinkedIn Email

Bạn cần thêm trợ giúp?

Bạn muốn xem các tùy chọn khác?

Khám phá Cộng đồng

Khám phá các lợi ích của gói đăng ký, xem qua các khóa đào tạo, tìm hiểu cách bảo mật thiết bị của bạn và hơn thế nữa.

Lợi ích đăng ký Microsoft 365

Nội dung đào tạo về Microsoft 365

Bảo mật Microsoft

Trung tâm trợ năng

Cộng đồng giúp bạn đặt và trả lời các câu hỏi, cung cấp phản hồi và lắng nghe ý kiến từ các chuyên gia có kiến thức phong phú.

Hỏi Cộng đồng Microsoft

Cộng đồng Kỹ thuật Microsoft

Người dùng Nội bộ Windows

Người dùng nội bộ Microsoft 365

Thông tin này có hữu ích không?

Bạn hài lòng đến đâu với chất lượng dịch thuật?
Điều gì ảnh hưởng đến trải nghiệm của bạn?
Khi nhấn gửi, phản hồi của bạn sẽ được sử dụng để cải thiện các sản phẩm và dịch vụ của Microsoft. Người quản trị CNTT của bạn sẽ có thể thu thập dữ liệu này. Điều khoản về quyền riêng tư.

Cảm ơn phản hồi của bạn!

×