Empêcher les attaques distribuées de type Refus de service qui utilisent le service Plug-and-Play universel

Traductions disponibles Traductions disponibles
Numéro d'article: 315056 - Voir les produits auxquels s'applique cet article
Ancien nº de publication de cet article : F315056
Cet article peut contenir des liens vers des informations en langue anglaise (pas encore traduites).
IMPORTANT Cet article contient des informations sur la modification du Registre. Avant de modifier le Registre, pensez à le sauvegarder et assurez-vous que vous savez le restaurer en cas de problème. Pour plus d'informations sur la sauvegarde, la restauration et la modification du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
256986 Description du Registre de Microsoft Windows
Agrandir tout | Réduire tout

Sommaire

Résumé

Le correctif fourni dans le Bulletin de sécurité Microsoft MS01-059 introduit une nouvelle fonctionnalité destinée à limiter la capacité d'un ordinateur compatible Plug-and-Play universel à être utilisé dans les attaques distribuées de type « refus de service ». Cet article a pour but de répertorier les nouvelles fonctions et d'expliquer comment les utiliser le plus efficacement possible.

REMARQUE Les informations présentées dans cet article s'appliquent aux ordinateurs Windows 98 et Windows 98 Deuxième Édition sur lesquels le client ICS (Internet Connection Sharing) de Windows XP a été installé.

Plus d'informations

AVERTISSEMENT Toute mauvaise utilisation de l'Éditeur du Registre peut générer des problèmes sérieux, pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir que les problèmes résultant d'une mauvaise utilisation de l'Éditeur du Registre puissent être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil.

Réglementation des téléchargements de descriptions de périphériques en fonction de la portée du réseau

Le correctif introduit la capacité à limiter jusqu'où peut aller le service UPnP (Universal Plug-and-Play) pour télécharger une description de périphérique. Un administrateur peut utiliser cette fonctionnalité pour faire en sorte qu'un ordinateur équipé du correctif tente de télécharger une description de périphérique uniquement si elle réside dans un emplacement prédéterminé sur le réseau. Pour activer cette fonctionnalité :
  1. Démarrez l'Éditeur du Registre (Regedt32.exe).
  2. Recherchez la clé suivante dans le Registre et cliquez dessus :
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\UPnP Control Point
  3. Dans le menu Edition, cliquez sur Ajouter une valeur, puis ajoutez la valeur de Registre suivante :
    Nom de la valeur : DownloadScope
    Type de données : REG_DWORD
    Données de la valeur :
    0 - sur le même sous-réseau
    1 - même sous-réseau ou à une adresse privée
    2 - même sous-réseau ou à une adresse privée ou à 4 sauts
    3 - n'importe où
  4. Quittez l'Éditeur du Registre.
Si la cible se trouve au-delà de la portée configurée, aucun téléchargement n'est tenté. Par défaut (aucune valeur de Registre définie), Windows télécharge uniquement les descriptions de périphériques à partir d'hôtes qui se trouvent sur le même sous-réseau ou sur le réseau privé.

Réglementation des téléchargements de descriptions de périphériques en fonction des sauts de routeur

Vous pouvez utiliser une capacité existante pour limiter l'emplacement où le service UPnP téléchargera les descriptions de périphériques en fonction des sauts de routeur. Pour modifier ce paramètre (qui fonctionne indépendamment du paramètre UPnP Control Point) :
  1. Démarrez l'Éditeur du Registre (Regedt32.exe).
  2. Recherchez la clé suivante dans le Registre et cliquez dessus :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SSDPSRV\Parameters
  3. Dans le menu Edition, cliquez sur Ajouter une valeur, puis ajoutez la valeur de Registre suivante :
    Nom de la valeur : TTL
    Type de données : REG_DWORD
    Données de la valeur : nombre maximal de sauts de routeur entre l'ordinateur et l'hôte de description de périphérique
  4. Quittez l'Éditeur du Registre.
Si la cible est séparée de l'ordinateur local par un nombre de sauts supérieur à celui spécifié, aucun téléchargement n'est tenté. Par défaut (aucune valeur de Registre définie), le service UPnP traverse au plus 4 sauts de routeur à la recherche d'une description de périphérique.

Restrictions de port pour les téléchargements de descriptions de périphériques

Le correctif introduit des restrictions sur les ports qui peuvent être spécifiés pour le téléchargement des descriptions de périphériques. Les ordinateurs équipés du correctif ne tentent pas de télécharger les historiques de périphériques à partir des ports au-dessous de 1024, à l'exception du port 80.

Mécanisme de délai

Le correctif inclut également un mécanisme de délai non configurable qui empêche les ordinateurs de tenter sans arrêt de télécharger une description de périphérique, en particulier lorsque l'hôte se trouve sur un réseau distant.

Lorsque vous démarrez un nouveau téléchargement, un ordinateur équipé du correctif consulte deux tables. La première fournit un délai maximal basé sur le nombre d'échecs de tentatives de téléchargement à partir de l'hôte actif et indique si celui-ci se trouve sur le réseau local ou sur un réseau externe. Plus le nombre d'échecs est important et plus l'hôte se trouve loin, plus le délai sera long (jusqu'à une limite de 4 minutes). La seconde table fournit un délai maximal basé sur le nombre de téléchargements en cours. Plus les téléchargements en cours sont nombreux, plus le délai maximal est important (jusqu'à une limite d'une minute).

Le système additionne les valeurs des deux délais dérivées de ces tables, puis génère un nombre aléatoire compris entre zéro et cette somme. Il retarde ensuite la tentative de téléchargement du nombre de secondes généré.

Bulletin de sécurité Microsoft MS01-059

Pour afficher ce bulletin de sécurité, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais) : http://www.microsoft.com/technet/security/bulletin/MS01-059.mspx

Propriétés

Numéro d'article: 315056 - Dernière mise à jour: lundi 23 janvier 2006 - Version: 2.2
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows XP Édition familiale
  • Microsoft Windows XP Professionnel
  • Microsoft Windows Millennium Edition
  • Microsoft Windows 98 Deuxième Édition
  • Microsoft Windows 98 Standard Edition
Mots-clés : 
kbenv kbfix kbinfo kbnetwork KB315056
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com