DetailPage-MSS-KB

Base de Dados de Conhecimento

Artigo: 813878 - Última revisão: quarta-feira, 28 de Fevereiro de 2007 - Revisão: 6.2

 

Nesta página

Sumário

Segurança do protocolo Internet (IPSec) regras de filtragem pode ser utilizada para ajudar a proteger computadores baseados no Windows 2000, baseado no Windows XP e baseados no Windows Server 2003 contra ataques baseados na rede de ameaças, tais como vírus e worms. Este artigo descreve como filtrar um determinado protocolo e a combinação de porta para tráfego de rede de entrada e saída. Inclui passos para se existirem quaisquer políticas IPSec actualmente atribuídas a um computador baseado no Windows 2000, baseado no Windows XP ou Windows Server 2003, os passos para criar e atribuir uma nova política de IPSec e os passos para anular a atribuição e eliminar uma IPSec política.

Mais Informação

As políticas IPSec podem ser aplicadas localmente ou ser aplicadas a um membro de um domínio como parte das políticas de grupo desse domínio. IPSec local políticas podem ser estático (persistent depois de ser reiniciado) ou dinâmico (volátil). Políticas de IPSec estáticas são escritas no registo local e mantenham uma vez reiniciado o sistema operativo. IPSec dinâmico políticas permanentemente não são escritas no registo e são removidas se o sistema operativo ou o serviço agente de política de IPSec for reiniciado.

importante Este artigo contém informações sobre como editar o registo utilizando o Ipsecpol.exe. Antes de editar o registo, certifique-se de que compreende como o restaurar se ocorrer um problema. Para obter informações sobre como efectuar uma cópia de segurança, restaurar e editar o registo, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
256986  (http://support.microsoft.com/kb/256986/ ) Descrição do registo do Microsoft Windows
Nota Regras de filtros IPSec podem causar programas de rede a perda de dados e deixe de responder a pedidos de rede, incluindo falha para autenticar utilizadores. Utilize regras de filtros IPSec como uma medida defensivo de último recurso e apenas depois de ter uma compreensão clara o impacto dessa bloquear portas específicas no seu ambiente. Se uma política IPSec que criar utilizando os passos listados neste artigo tem efeitos indesejados nos programas de rede, consulte a secção "Anular a atribuição e eliminar uma política de IPSec" deste artigo para obter instruções sobre como desactivar e eliminar a política imediatamente.

Determinar se é atribuída uma política IPSec

Windows Server 2003

Antes de criar ou atribuir quaisquer novas políticas IPSec a um computador baseado no Windows Server 2003, determine se estão a ser aplicadas quaisquer políticas IPSec a partir do registo local ou através de um objecto de política de grupo (GPO, Group Policy Object). Para o fazer, siga estes passos:
  1. Instale o Netdiag.exe a partir do CD Windows Server 2003 executando o Suptools.msi a partir da pasta Support\Tools.
  2. Abra uma linha de comandos e, em seguida, defina a pasta de trabalho para c:\Programas (Program Files) \Support Tools.
  3. Execute o seguinte comando para verificar que não existe uma política IPSec existente já atribuída ao computador:
    netdiag/test: IPSec
    Se nenhuma política está atribuída, receberá a seguinte mensagem:
    Teste do IPSec........ . : Transmitida Serviço política de IPSec está activo, mas não política está atribuída.

Windows XP

Antes de criar ou atribuir quaisquer novas políticas IPSec a um computador baseado no Windows XP, determine se estão a ser aplicadas quaisquer políticas IPSec a partir do registo local ou através de um GPO, Group Policy Object. Para o fazer, siga estes passos:
  1. Instale o Netdiag.exe a partir do CD do Windows XP executando o Setup.exe a partir da pasta Support\Tools.
  2. Abra uma linha de comandos e, em seguida, defina a pasta de trabalho para c:\Programas (Program Files) \Support Tools.
  3. Execute o seguinte comando para verificar que não existe uma política IPSec existente já atribuída ao computador:
    netdiag/test: IPSec
    Se nenhuma política está atribuída, receberá a seguinte mensagem:
    Teste do IPSec........ . : Transmitida Serviço política de IPSec está activo, mas não política está atribuída.

Computadores baseados no Windows 2000

Antes de criar ou atribuir quaisquer novas políticas IPSec a um computador baseado no Windows 2000, determine se estão a ser aplicadas quaisquer políticas IPSec a partir do registo local ou através de um GPO, Group Policy Object. Para o fazer, siga estes passos:
  1. Instale o Netdiag.exe a partir do CD do Windows 2000 executando o Setup.exe a partir da pasta Support\Tools.
  2. Abra uma linha de comandos e, em seguida, defina a pasta de trabalho para c:\Programas (Program Files) \Support Tools.
  3. Execute o seguinte comando para verificar que não existe uma política IPSec existente já atribuída ao computador:
    netdiag/test: IPSec
    Se nenhuma política está atribuída, receberá a seguinte mensagem:
    Teste do IPSec........ . : Transmitida Serviço política de IPSec está activo, mas não política está atribuída.

Criar uma política estática para bloquear tráfego

Windows computadores com o Server 2003 ou baseado no Windows XP

Para sistemas que não têm uma política IPSec definida localmente activada, crie uma nova política estática local para bloquear tráfego direccionado para um determinado protocolo e uma porta específica no Windows Server 2003 e computadores com o Windows XP. Para o fazer, siga estes passos:
  1. Verifique se o serviço agente de política IPSec está activado e iniciado no snap-in Serviços da MMC.
  2. Instale o IPSeccmd.exe. IPSeccmd.exe faz parte das ferramentas de suporte do Windows XP Service Pack 2 (SP2).

    Nota IPSeccmd.exe será executado no Windows XP e sistemas operativos Windows Server 2003, mas a ferramenta apenas está disponível do pacote de ferramentas de suporte do Windows XP SP2.

    Para obter mais informações sobre como transferir e instalar ferramentas de suporte do Windows XP Service Pack 2, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
    838079  (http://support.microsoft.com/kb/838079/ ) Ferramentas de suporte do Windows XP Service Pack 2
  3. Abra uma linha de comandos e, em seguida, defina a pasta de trabalho para a pasta onde instalou o ferramentas de suporte do Windows XP Service Pack 2.

    Nota A pasta predefinida para ferramentas de suporte do Windows XP SP2 é c:\Programas (Program Files) \Support Tools.
  4. Para criar uma nova política IPSec local e filtragem regra se aplica a tráfego de rede a partir de qualquer endereço IP para o endereço IP do computador baseado no Windows Server 2003 ou baseado no Windows XP que está a configurar, utilize o seguinte comando.

    Nota O comando seguinte, Protocol e PortNumber são variáveis.
    IPSeccmd.exe -w REG -p "Bloquear ProtocolPortNumber filtro"-r"regra de PortNumberProtocol de bloco de entrada" -f * = 0: PortNumber: Protocol - n BLOCK –x
    Por exemplo, para bloquear tráfego de rede a partir de qualquer IP endereço e qualquer porta de origem para o destino da porta UDP 1434 num computador baseado no Windows Server 2003 ou baseado no Windows XP, escreva o seguinte. Esta política é suficiente para ajudar a proteger os computadores com Microsoft SQL Server 2000 worm "Slammer".
    IPSeccmd.exe -w REG -p "bloquear UDP 1434"-r"Bloco de entrada de UDP 1434 regra de filtro" -f * = 0:1434:UDP n BLOCK - x
    O seguinte exemplo blocos de acesso de entrada TCP porta 80, mas continua a permitir acesso de saída TCP 80. Esta política é suficiente para ajudar a proteger os computadores com Microsoft Internet Information Services (IIS) 5.0 contra o worm "Code Red" e o worm "Nimda".
    IPSeccmd.exe -w REG -p "bloquear TCP 80 filtro"-r"bloquear entrada TCP regra 80" -f * = 0:80:TCP n BLOCK - x
    Nota O parâmetro - x atribui a política imediatamente. Se introduzir este comando, a política "Block UDP 1434 filtro" não está atribuído e o 'Bloco de TCP 80 filtro"está atribuído. Para adicionar a política mas não atribua a política, escreva o comando sem o parâmetro - x no fim.
  5. Para adicionar uma adicional filtragem regra à política "Block UDP 1434 filtro" existente blocos tráfego proveniente de computador baseado no Windows Server 2003 ou baseado no Windows XP para qualquer endereço IP de rede, utilize o comando seguinte.

    Nota Neste comando, Protocol e PortNumber são variáveis:
    IPSeccmd.exe -w REG -p "Bloquear ProtocolPortNumber"-r"Bloco de saída ProtocolPortNumber regra de filtro" -f * 0 =: PortNumber: Protocol - n BLOCK
    Por exemplo, para bloquear qualquer tráfego de rede originário do computador baseado no Windows Server 2003 ou baseado no Windows XP é direccionado para 1434 de UDP no outro anfitrião, escreva o seguinte. Esta política é suficiente para ajudar a impedir que computadores com o SQL Server 2000 de propagar o worm "Slammer".
    IPSeccmd.exe -w REG -p "bloquear UDP 1434"-r"Bloco de saída de UDP 1434 regra de filtro" -f 0 = * BLOCK - n:1434:UDP
    Nota É possível adicionar tantos regras de filtragem a uma política que desejar utilizando este comando. Por exemplo, pode utilizar este comando para bloquear múltiplas portas utilizando a mesma política.
  6. A política no passo 5 agora estarão em vigor e persistirá sempre que o computador é reiniciado. No entanto, se uma política IPSec baseada no domínio estiver atribuída para o computador mais tarde, esta política local vai ser substituída e deixa de ser aplicada.

    Para verificar a atribuição com êxito da regra filtragem, defina a pasta de trabalho para c:\Programas (Program Files) \Support Tools na linha de comandos e, em seguida, escreva o seguinte comando:
    netdiag/test: IPSec /debug
    Se as políticas para tráfego de entrada e saída são atribuídas como nos seguintes exemplos, receberá a seguinte mensagem:
    Teste do IPSec........ . :
    Passado Active política IPSec local: 'Bloquear UDP 1434 filtro' Política de segurança IP caminho: SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy {D239C599-F945-47A3-A4E3-B37BC12826B9}

    Existem 2 filtros
    Sem nome
    ID do filtro: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
    ID de política: {509492EA-1214-4F50-BF43-9CAC2B538518}
    Endereço de origem: 0.0.0.0 máscara de origem: 0.0.0.0
    Endereço de destino: 192.168.1.1 máscara de destino: 255.255.255.255
    Endereço de destino do túnel: 0.0.0.0 porta de origem: 0 porta de destino: 1434
    Protocolo: 17 TunnelFilter: não
    Sinalizadores: Bloco de entrada
    Sem nome
    ID do filtro: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
    ID de política: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
    Endereço de origem: 192.168.1.1 máscara de origem: 255.255.255.255
    Endereço de destino: 0.0.0.0 máscara de destino: 0.0.0.0
    Endereço de destino do túnel: 0.0.0.0 porta de origem: 0 porta de destino: 1434
    Protocolo: 17 TunnelFilter: não
    Sinalizadores: Bloco de saída
    Nota Os endereços IP e números de (GUID) da interface gráfica do utilizador serão diferentes consoante o computador baseado no Windows Server 2003 ou baseado no Windows XP.

Computadores baseados no Windows 2000

Para sistemas sem uma política IPSec definido localmente activada, siga estes passos para criar uma nova política estática local para bloquear tráfego direccionado para um determinado protocolo e uma porta no atribuído a um computador baseado no Windows 2000 sem uma política IPSec existente:
  1. Verifique se o serviço agente de política IPSec está activado e iniciado no snap-in Serviços da MMC.
  2. Visite o seguinte Web site da Microsoft para transferir e instalar Ipsecpol.exe:
    http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361 (http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=7D40460C-A069-412E-A015-A2AB904B7361)
  3. Abra uma linha de comandos e defina a pasta de trabalho para a pasta onde instalou o Ipsecpol.exe.

    Nota A pasta predefinida para o Ipsecpol.exe é C:\Program Files\Resource Kit.
  4. Para criar uma nova política IPSec local e filtragem regra se aplica a tráfego de rede a partir de qualquer endereço IP para o endereço IP do computador baseado no Windows 2000 que está a configurar, utilize o comando seguinte, onde o Protocol e PortNumber são variáveis:
    ipsecpol -w REG -p "Bloquear ProtocolPortNumber filtro"-r"regra de PortNumberProtocol de bloco de entrada" -f * = 0: PortNumber: Protocol - n BLOCK –x
    Por exemplo, para bloquear tráfego de rede a partir de qualquer IP endereço e qualquer porta de origem para o destino da porta UDP 1434 num computador baseado no Windows 2000, escreva o seguinte. Esta política é suficiente para ajudar a proteger os computadores com Microsoft SQL Server 2000 worm "Slammer".
    ipsecpol -w REG -p "Bloquear UDP 1434 filtro" - r"bloquear entrada UDP 1434 regra" -f * = 0:1434:UDP n BLOCK - x
    O seguinte exemplo blocos de acesso de entrada TCP porta 80, mas continua a permitir acesso de saída TCP 80. Esta política é suficiente para ajudar a proteger os computadores com Microsoft Internet Information Services (IIS) 5.0 do "Code Red" e "Nimda" worms.
    ipsecpol -w REG -p "Bloquear TCP 80 filtro" - r"Bloco de entrada TCP 80 regra" -f * = 0:80:TCP n BLOCK - x
    Nota O parâmetro - x atribui a política imediatamente. Se introduzir este comando, a política "Block UDP 1434 filtro" não está atribuído e o 'Bloco de TCP 80 filtro"é atribuído. Para adicionar, mas não atribua a política, escreva o comando sem o parâmetro - x no fim.
  5. Para adicionar uma regra de filtro adicional à política "Block UDP 1434 filtro" existente que bloqueia tráfego de rede originário de que computador baseado no Windows 2000 para qualquer endereço IP, utilize o seguinte comando, onde o Protocol e PortNumber são variáveis:
    ipsecpol -w REG -p "Bloquear ProtocolPortNumber"-r"Bloco de saída ProtocolPortNumber regra de filtro" -f * 0 =: PortNumber: Protocol - n BLOCK
    Por exemplo, para bloquear qualquer tráfego de rede originário de seu computador baseado no Windows 2000 direccionado para 1434 de UDP no outro anfitrião, escreva o seguinte. Esta política é suficiente para evitar que computadores com o SQL Server 2000 de propagar o worm "Slammer".
    ipsecpol -w REG -p "Bloquear UDP 1434 filtro" - r"Bloco de saída UDP 1434 regra" -f 0 = *:1434:UDP n BLOCK
    Nota É possível adicionar tantos regras de filtragem a uma política que desejar utilizando este comando (por exemplo, para bloquear múltiplas portas utilizando a mesma política).
  6. A política no passo 5 agora estarão em vigor e persistirá sempre que o computador é reiniciado. No entanto, se uma política IPSec baseada no domínio estiver atribuída para o computador mais tarde, esta política local vai ser substituída e deixa de ser aplicada. Para verificar a atribuição com êxito da regra filtragem, na linha de comandos, defina a pasta de trabalho para c:\Programas (Program Files) \Support Tools e, em seguida, escreva o seguinte comando:
    netdiag/test: IPSec /debug
    Se, como nos seguintes exemplos são atribuídas políticas para tráfego de entrada e saída, receberá a seguinte mensagem:
    Teste do IPSec........ . :
    Passado Active política IPSec local: 'Bloquear UDP 1434 filtro' Política de segurança IP caminho: SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy {D239C599-F945-47A3-A4E3-B37BC12826B9}

    Existem 2 filtros
    Sem nome
    ID do filtro: {5EC1FD53-EA98-4C1B-A99F-6D2A0FF94592}
    ID de política: {509492EA-1214-4F50-BF43-9CAC2B538518}
    Endereço de origem: 0.0.0.0 máscara de origem: 0.0.0.0
    Endereço de destino: 192.168.1.1 máscara de destino: 255.255.255.255
    Endereço de destino do túnel: 0.0.0.0 porta de origem: 0 porta de destino: 1434
    Protocolo: 17 TunnelFilter: não
    Sinalizadores: Bloco de entrada
    Sem nome
    ID do filtro: {9B4144A6-774F-4AE5-B23A-51331E67BAB2}
    ID de política: {2DEB01BD-9830-4067-B58A-AADFC8659BE5}
    Endereço de origem: 192.168.1.1 máscara de origem: 255.255.255.255
    Endereço de destino: 0.0.0.0 máscara de destino: 0.0.0.0
    Endereço de destino do túnel: 0.0.0.0 porta de origem: 0 porta de destino: 1434
    Protocolo: 17 TunnelFilter: não
    Sinalizadores: Bloco de saída
    Nota Os endereços IP e números de (GUID) da interface gráfica do utilizador serão diferentes. Irão reflectir do computador baseado no Windows 2000.

Adicionar uma regra de bloqueio para um determinado protocolo e a porta

Windows computadores com o Server 2003 ou baseado no Windows XP

Para adicionar uma regra de bloqueio para um determinado protocolo e a porta num computador baseado no Windows Server 2003 ou baseado no Windows XP que tenha uma atribuídos localmente estática IPSec política existente, siga estes passos:
  1. Instale o IPSeccmd.exe. IPSeccmd.exe faz parte das ferramentas de suporte do Windows XP SP2.

    Para obter mais informações sobre como transferir e instalar ferramentas de suporte do Windows XP Service Pack 2, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
    838079  (http://support.microsoft.com/kb/838079/ ) Ferramentas de suporte do Windows XP Service Pack 2
  2. Identifique o nome da política IPSec atribuída actualmente. Para o fazer, escreva o seguinte numa linha de comandos:
    netdiag/test: IPSec
    Se for atribuída uma política, receberá uma mensagem semelhante à seguinte:
    Teste do IPSec........ . : Passado
    Activo de política IPSec local: 'Bloquear UDP 1434 filtro'
  3. Se existir uma política IPSec já atribuído ao computador (local ou domínio), utilize o seguinte comando para adicionar uma regra de filtro BLOCK adicionais à política IPSec existente.

    Nota Este comando, Existing_IPSec_Policy_Name, Protocol e PortNumber são variáveis.
    IPSeccmd.exe -p "Existing_IPSec_Policy_Name"-w REG - r"Bloquear Protocol Rule PortNumber" -f * = 0: PortNumber: Protocol - n BLOCK
    Por exemplo, para adicionar uma regra de filtro para bloquear o acesso entrado a porta TCP 80 para o filtro bloquear UDP 1434 existente, escreva o seguinte comando:
    IPSeccmd.exe -p "Bloquear UDP 1434 filtro" -w REG - r "bloquear entrada TCP 80 regra" -f * = BLOCK - n 0:80:TCP

Computadores baseados no Windows 2000

Para adicionar uma regra de bloqueio para um determinado protocolo e a porta num computador baseado no Windows 2000 com uma existente atribuídos localmente estático política IPSec, siga estes passos:
  1. Visite o seguinte Web site da Microsoft para transferir e instalar Ipsecpol.exe:
    http://support.microsoft.com/kb/927229 (http://support.microsoft.com/kb/927229)
  2. Identifique o nome da política IPSec atribuída actualmente. Para o fazer, escreva o seguinte numa linha de comandos:
    netdiag/test: IPSec
    Se for atribuída uma política, receberá uma mensagem semelhante à seguinte:
    Teste do IPSec........ . : Passado
    Activo de política IPSec local: 'Bloquear UDP 1434 filtro'
  3. Se existir uma política IPSec já atribuído ao computador (local ou domínio), utilize o seguinte comando para adicionar um BLOCK adicional filtragem regra à política IPSec existente, onde Existing_IPSec_Policy_Name, Protocol e PortNumber são variáveis:
    ipsecpol -p "Existing_IPSec_Policy_Name" -w REG - r "Bloquear Protocol Rule PortNumber" -f * = 0: PortNumber: Protocol - n BLOCK
    Por exemplo, para adicionar uma regra de filtro para bloquear o acesso entrado a porta TCP 80 para o filtro bloquear UDP 1434 existente, escreva o seguinte comando:
    ipsecpol -p "Bloquear UDP 1434 filtro" -w REG - r "Entrada de bloco TCP regra de 80" -f * = n 0:80:TCP BLOCK

Adicionar uma política de bloco dinâmico para um determinado protocolo e porta

Computadores baseados no Windows XP e Windows Server 2003

Poderá bloquear temporariamente o acesso a uma porta específica. Por exemplo, poderá bloquear uma porta específica até poder instalar uma correcção ou se uma política IPSec baseada no domínio já está atribuída ao computador. Para bloquear temporariamente o acesso a uma porta num computador baseado no Windows Server 2003 ou baseado no Windows XP utilizando a política IPSec, siga estes passos:
  1. Instale o IPSeccmd.exe. IPSeccmd.exe faz parte das ferramentas de suporte do Windows XP Service Pack 2.

    Nota IPSeccmd.exe será executado no Windows XP e sistemas operativos Windows Server 2003, mas a ferramenta apenas está disponível do pacote de ferramentas de suporte do Windows XP SP2.

    Para obter mais informações sobre como transferir e instalar ferramentas de suporte do Windows XP Service Pack 2, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
    838079  (http://support.microsoft.com/kb/838079/ ) Ferramentas de suporte do Windows XP Service Pack 2
  2. Para adicionar um filtro de BLOCK dinâmico que bloqueia todos os pacotes de qualquer endereço IP para de endereço o sistema e porta de destino, escreva o seguinte numa linha de comandos.

    Nota O comando seguinte, Protocol e PortNumber são variáveis.
    IPSeccmd.exe -f [* = 0: PortNumber: Protocol]
    Nota Este comando cria o filtro de bloco dinamicamente. A política permanece atribuída enquanto o serviço de agente de política de IPSec está em execução. Se o serviço de agente de política de IPSec for reiniciado ou o computador for reiniciado, perde-se esta política. Se pretender reatribuir dinamicamente a regra de filtragem IPSec sempre que o sistema é reiniciado, crie um script de arranque para voltar a aplicar a regra de filtro. Se pretender aplicar permanentemente este filtro, configure o filtro como uma política IPSec estática. O snap-in de gestão da política IPSec fornece uma interface gráfica do utilizador para gerir a configuração da política IPSec. Se já estiver aplicada uma política IPSec baseada no domínio, o comando netdiag/test: IPSec /debug pode apenas mostrar os detalhes do filtro se o comando é executado por um utilizador com credenciais de administrador de domínio.

Computadores baseados no Windows 2000

Poderá pretender bloquear temporariamente uma porta específica (por exemplo, até pode ser instalada uma correcção ou se uma política IPSec baseada no domínio já está atribuída ao computador). Para bloquear temporariamente o acesso a uma porta num computador baseado no Windows 2000 utilizando a política IPSec, siga estes passos:
  1. Visite o seguinte Web site da Microsoft para transferir e instalar Ipsecpol.exe:
    http://support.microsoft.com/kb/927229 (http://support.microsoft.com/kb/927229)
  2. Para adicionar um filtro de BLOCK dinâmico que bloqueia todos os pacotes de qualquer endereço IP para endereços IP do sistema e porta de destino, escreva o seguinte numa linha de comandos, onde o Protocol e PortNumber são variáveis:
    ipsecpol -f [* = 0: PortNumber: Protocol]
    Nota Este comando cria o filtro de bloco dinamicamente e a política permanecerá atribuída, desde que o serviço de agente de política de IPSec está em execução. Se o serviço IPSec for reiniciado ou o computador seja reiniciado, esta definição serão perdida. Se pretender reatribuir dinamicamente a regra de filtragem IPSec sempre que o sistema é reiniciado, crie um script de arranque para voltar a aplicar a regra de filtro. Se pretender aplicar permanentemente este filtro, configure o filtro como uma política IPSec estática. O snap-in de gestão da política IPSec fornece uma interface gráfica do utilizador para gerir a configuração da política IPSec. Se já estiver aplicada uma política IPSec baseada no domínio, o comando netdiag/test: IPSec /debug pode apenas mostrar os detalhes do filtro se o comando é executado por um utilizador com credenciais de administrador de domínio. Uma versão actualizada do Netdiag.exe estará disponível no Windows 2000 Service Pack 4 que permitirá que os administradores locais visualizar a política IPSec baseada no domínio.

Regras de filtragem IPSec e política de grupo

Para ambientes onde as políticas IPSec são atribuídas por uma definição de política de grupo, tem de actualizar política ’s domínio inteiro para bloquear a determinado protocolo e a porta. Depois de configurar a política de grupo com êxito as definições de IPSec, tem de aplicar uma actualização das definições de política de grupo em todos os computadores baseados no Windows Server 2003, baseado no Windows XP e baseados no Windows 2000 no domínio. Para o fazer, utilize o seguinte comando:
secedit /refreshpolicy machine_policy
A alteração de política IPSec será detectada dentro de um dos dois intervalos de consulta diferentes. Para uma política IPSec recentemente atribuída a ser aplicada a um GPO, a política IPSec será aplicada aos clientes dentro do tempo definido para o intervalo de consulta de política de grupo ou o comando secedit /refreshpolicy machine_policy é executado nos computadores cliente. Se a política IPSec já está atribuída a um GPO, Group Policy Object e filtros IPSec nova ou regras são adicionadas a uma política existente, o comando secedit fará com que não reconhece as alterações de IPSec. Neste cenário, as modificações uma existente IPSec com base no GPO política será detectada dentro dessa política IPSec própria consulta intervalo. Este intervalo é especificado no separador Geral para essa política IPSec. Pode também forçar uma actualização das definições de política IPSec reiniciando o serviço agente de política IPSec. Se o serviço IPSec é parado ou reiniciado, comunicações IPSec seguras serão interrompidas e irão demorar alguns segundos para continuar. Isto pode causar ligações de programa para desligar, especialmente para ligações estão activamente a transferir grandes quantidades de dados. Em situações onde a política IPSec é aplicada apenas no computador local, não é necessário reiniciar o serviço.

Anular a atribuição e eliminar uma política IPSec

Windows computadores com o Server 2003 ou baseado no Windows XP

  • computadores que têm uma política estática definidos localmente
    1. Abra uma linha de comandos e, em seguida, defina a pasta de trabalho para a pasta onde instalou o Ipsecpol.exe.
    2. Para anular atribuição o filtro que criou anteriormente, utilize o seguinte comando:
      IPSeccmd.exe -w REG -p "Bloquear ProtocolPortNumber filtro" –y
      Por exemplo, para anular a atribuição o filtro bloquear UDP 1434 que criou anteriormente, utilize o seguinte comando:
      IPSeccmd.exe -w REG -p "Bloquear UDP 1434 filtro" -y
    3. Para eliminar o filtro que criou, utilize o seguinte comando:
      IPSeccmd.exe -w REG -p "Bloquear ProtocolPortNumber"-r"Bloquear ProtocolPortNumber regra de filtro" –o
      Por exemplo, para eliminar o 'Bloco de UDP 1434 filtro' Filtrar e ambas as regras que tenha criado, utilize o seguinte comando:
      IPSeccmd.exe -w REG -p "Bloquear UDP 1434 filtro" - r "bloquear"-r"Bloco de saída de UDP 1434 regra da regra de entrada UDP 1434" -o
  • computadores que têm uma política dinâmica definidos localmente
    Política de IPSec dinâmica é anulada se o serviço agente de política IPSec é parado, utilizando o comando net stop policyagent . Para eliminar os comandos específicos utilizados sem parar o serviço agente de política IPSec, siga estes passos:
    1. Abra uma linha de comandos e, em seguida, defina a pasta de trabalho para a pasta onde instalou o ferramentas de suporte do Windows XP Service Pack 2.
    2. Escreva o seguinte comando:
      IPSeccmd.exe – u
      Nota Também pode reiniciar o serviço agente de política de IPSec para desmarcar todas as políticas atribuídas dinamicamente.

Computadores baseados no Windows 2000

  • computadores com uma política definida localmente estática
    1. Abra uma linha de comandos e, em seguida, defina a pasta de trabalho para a pasta onde instalou o Ipsecpol.exe.
    2. Para anular atribuição o filtro que criou anteriormente, utilize o seguinte comando:
      Ipsecpol -w REG -p Protocol bloco PortNumber filtro" –y
      Por exemplo, para anular a atribuição o filtro bloquear UDP 1434 que criou anteriormente, utilize o seguinte comando:
      Ipsecpol -w REG -p "bloquear UDP 1434 filtro" -y
    3. Para eliminar o filtro que criou, utilize o seguinte comando:
      ipsecpol -w REG -p "Bloquear ProtocolPortNumber"-r"Bloquear ProtocolPortNumber regra de filtro" –o
      Por exemplo, para eliminar o 'Bloco de UDP 1434 filtro' Filtrar e ambas as regras que criou anteriormente, utilize o seguinte comando:
      Ipsecpol -w REG -p "bloquear UDP 1434 filtro" - r "entrada de bloco de UDP regra de 1434" - r ' Bloco de saída UDP 1434 regra ' -o
  • computadores com uma política dinâmica definidos localmente

    Política de IPSec dinâmica será anulada se o serviço agente de política IPSec é parado (utilizando o comando net stop policyagent ). No entanto, para eliminar os comandos específicos que foram utilizados anteriormente sem parar o agente de política IPSec service, siga estes passos:
    1. Abra uma linha de comandos e, em seguida, defina a pasta de trabalho para a pasta onde instalou o Ipsecpol.exe.
    2. Escreva o seguinte comando:
      Ipsecpol – u
      Nota Também pode reiniciar o serviço agente de política IPSec para desmarcar todas as políticas atribuídas dinamicamente.

Aplicar a nova regra de filtro a todos os protocolos e portas

Por predefinição no Microsoft Windows 2000 e Microsoft Windows XP, o IPSec isenta tráfego de difusão, multicast, RSVP, IKE e Kerberos a partir de todas as restrições de filtro e autenticação. Para obter informações adicionais sobre estas excepções, clique no número de artigo que se segue para visualizar o artigo na Microsoft Knowledge Base:
253169  (http://support.microsoft.com/kb/253169/ ) Tráfego que podem--e não é possível--ser protegido por IPSec
Em que o IPSec seja utilizado apenas para permitir e bloquear tráfego, remova as excepções para protocolos de Kerberos e RSVP alterando um valor de registo. Para obter concluídas instruções sobre como efectuar este procedimento, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft:
254728  (http://support.microsoft.com/kb/254728/ ) IPSec não seguro Kerberos tráfego entre controladores de domínio
Seguindo estas instruções, pode ajudar a proteger UDP 1434 mesmo nos casos em que intrusos poderão definido respectiva porta de origem para os Kerberos portas de TCP/UDP 88. Ao remover as excepções de Kerberos, Kerberos pacotes irão agora corresponder todos os filtros na política IPSec. Por conseguinte, Kerberos pode ser protegidos dentro de IPSec, bloqueados ou permitidos. Por conseguinte, se filtros IPSec corresponderem o tráfego de Kerberos for endereços IP do controlador de domínio, poderá ter de alterar a estrutura de política IPSec para adicionar novos filtros para permitir tráfego de Kerberos para cada endereço IP do controlador de domínio (se estiver a não utilizar IPSec para ajudar a proteger todo o tráfego entre os controladores de domínio como conhecimento 254728 descreve).

Reiniciar a aplicação de regras de filtros IPSec no computador

Todas as políticas IPSec dependem do serviço de agente de política IPSec a ser atribuído. Quando um computador baseado no Windows 2000 está no processo de arranque, o serviço agente de política IPSec não é necessariamente o primeiro serviço para iniciar. Por este motivo, poderá ser um breve momento quando ligação de rede do computador está vulnerável a ataques de vírus ou worm. Esta situação só se aplica no caso em que um serviço potencialmente vulnerável foi iniciado com êxito e está a aceitar ligação antes do serviço de agente de política IPSec tem completamente iniciado e atribuído a todas as políticas.

A informação contida neste artigo aplica-se a:
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional Edition
Palavras-chave: 
kbmt kbhowto KB813878 KbMtpt
Tradução automáticaTradução automática
IMPORTANTE: Este artigo foi traduzido por um sistema de tradução automática (também designado por Machine translation ou MT), não tendo sido portanto revisto ou traduzido por humanos. A Microsoft tem artigos traduzidos por aplicações (MT) e artigos traduzidos por tradutores profissionais. O objectivo é simples: oferecer em Português a totalidade dos artigos existentes na base de dados do suporte. Sabemos no entanto que a tradução automática não é sempre perfeita. Esta pode conter erros de vocabulário, sintaxe ou gramática… erros semelhantes aos que um estrangeiro realiza ao falar em Português. A Microsoft não é responsável por incoerências, erros ou estragos realizados na sequência da utilização dos artigos MT por parte dos nossos clientes. A Microsoft realiza actualizações frequentes ao software de tradução automática (MT). Obrigado.
Clique aqui para ver a versão em Inglês deste artigo: 813878  (http://support.microsoft.com/kb/813878/en-us/ )
Partilhar
Opções de suporte adicionais
Fóruns de Suporte da Comunidade Microsoft
Contacte-nos directamente
Encontre um parceiro certificado Microsoft
Loja Microsoft