IPSec可以通過組策略來控制,但我找遍MSDN,也沒有找到相應的安全模板的語法。已經配置好的IPSec策略也不能被導出為模板。所以,組策略這條路走不通。IPSec的設置保存在注冊表中(HKEY_LOCAL_macHINESOFTWAREPoliciesMicrosoftwindowsIPSecPolicyLocal),理論上可以通過修改注冊表來配置IPSec。但很多信息以二進制形式存放,讀取和修改都很困難。相比之下,上傳命令行工具更方便。
關于ipsecpol和ipseccmd的資料,網上可以找到很多,因此本文就不細說了,只是列舉一些實用的例子。
在設置IPSec策略方面,ipseccmd命令的語法和ipsecpol幾乎完全一樣,所以只以ipsecpol為例:
1,防御rpc-dcom攻擊
ipsecpol -p myfirewall -r rpc-dcom -f *+0:135:tcp *+0:135:udp *+0:137:udp *+0:138:udp *+0:139:tcp *+0:445:tcp *+0:445:udp -n BLOCK -w reg -x
這條命令關閉了本地主機的TCP135,139,445和udp135,137,138,445端口。
具體含義如下:
-p myfirewall 指定策略名為myfirewall
-r rpc-dcom 指定規則名為rpc-dcom
-f …… 建立7個篩選器。*表示任何地址(源);0表示本機地址(目標);+表示鏡像(雙向)篩選。詳細語法見ipsecpol -?
-n BLOCK 指定篩選操作是“阻塞”。注意,BLOCK必須是大寫。
-w reg 將配置寫入注冊表,重啟后仍有效。
-x 立刻激活該策略。
2,防止被ping
ipsecpol -p myfirewall -r antiping -f *+0::icmp -n BLOCK -w reg -x
如果名為myfirewall的策略已存在,則antiping規則將添加至其中。
注意,該規則同時也阻止了該主機ping別人。
3,對后門進行IP限制
假設你在某主機上安裝了DameWare Mini Remote Control。為了保護它不被別人暴破密碼或溢出,應該限制對其服務端口6129的訪問。
ipsecpol -p myfw -r dwmrc_block_all -f *+0:6129:tcp -n BLOCK -w reg
ipsecpol -p myfw -r dwmrc_pass_me -f 123.45.67.89+0:6129:tcp -n PASS -w reg -x
這樣就只有123.45.67.89可以訪問該主機的6129端口了。
如果你是動態IP,應該根據IP分配的范圍設置規則。比如:
ipsecpol -p myfw -r dwmrc_block_all -f *+0:6129:tcp -n BLOCK -w reg
ipsecpol -p myfw -r dwmrc_pass_me -f 123.45.67.*+0:6129:tcp -n PASS -w reg -x
這樣就允許123.45.67.1至123.45.67.254的IP訪問6129端口。
在寫規則的時候,應該特別小心,不要把自己也阻塞了。如果你不確定某個規則的效果是否和預想的一樣,可以先用計劃任務“留下后路”。例如:
c:>.NET start schedule
Task Scheduler 服務正在啟動 ..
Task Scheduler 服務已經啟動成功。
c:>time /t
12:34
c:>at 12:39 ipsecpol -p myfw -y -w reg
新加了一項作業,其作業 ID = 1
然后,你有5分鐘時間設置一個myfw策略并測試它。5分鐘后計劃任務將停止該策略。
如果測試結果不理想,就刪除該策略。
c:>ipsecpol -p myfw -o -w reg
注意,刪除策略前必須先確保它已停止。不停止它的話,即使刪除也會在一段時間內繼續生效。持續時間取決于策略的刷新時間,默認是180分鐘。
如果測試通過,那么就啟用它。
c:>ipsecpol -p myfw -x -w reg
最后說一下查看IPSec策略的辦法。
對于XP很簡單,一條命令搞定——ipseccmd show filters
而ipsecpol沒有查詢的功能。需要再用一個命令行工具netdiag。它位于2000系統安裝盤的SUPPORTTOOLSSUPPORT.CAB中。(已經上傳了三個文件,也就不在乎多一個了。^_^)
netdiag需要RemoteRegistry服務的支持。所以先啟動該服務:
net start remoteregistry
不啟動RemoteRegistry就會得到一個錯誤:
[FATAL] Failed to get system information of this machine.
netdiag這個工具功能十分強大,與網絡有關的信息都可以獲取!不過,輸出的信息有時過于詳細,超過命令行控制臺cmd.exe的輸出緩存,而不是每個遠程cmd shell都可以用more命令來分頁的。
查看ipsec策略的命令是:
netdiag /debug /test:ipsec
然后是一長串輸出信息。IPSec策略位于最后。
