وصف ميزة حماية ضغط الذاكرة الجديدة الخاصة بمكدس الذاكرة المؤقتة لـ TCP‏

ترجمات الموضوعات ترجمات الموضوعات
معرف المقالة: 974288 - عرض المنتجات التي تنطبق عليها هذه المقالة.
توسيع الكل | طي الكل

في هذه الصفحة

مقدمة

توضح هذه المقالة ميزة "حماية ضغط الذاكرة" الجديدة الخاصة بمكدس الذاكرة المؤقتة لـ TCP. يتم توفير هذه الميزة الجديدة من خلال التحديث الأمني ٩٦٧٧٢٣.

معلومات أخرى

تتكون ميزة "حماية ضغط الذاكرة" من ثلاثة إعدادات أمان. تشتمل هذه الإعدادات على "حماية ضغط الذاكرة (MPP)" و"ملفات التعريف" و"استثناء المنفذ".

إعداد MPP

يحدد إعداد MPP الميزة ويشتمل على النشاطين التاليين في حالة اكتشاف هجوم:
  • إنهاء اتصالات TCP الموجودة.
  • إفلات طلبات SYN الواردة.
يمكن للمسؤول تمكين إعداد MPP أو تعطيله من خلال استخدام أوامر netsh. في حالة قيام المسؤول بتمكين إعداد MPP أو تعطيله، يتم تمكين هذه الميزة أو تعطيلها.

إعداد ملفات التعريف

تساعد ميزة "ملفات التعريف" المسؤول في التمييز بين الواجهات العامة وغير العامة. في حالة ما إذا كان يمكن لإحدى الواجهات الوصول إلى وحدة التحكم في المجال، فإنها تشير إلى أن الواجهة مرتبطة بالمجال أو أنه يمكن للمسؤول تكوين واجهة لتكون خاصة. تتوفر ميزة "ملفات التعريف" فقط في نظامي التشغيل Windows Vista وWindows Server 2008.

يحدد إعداد "ملفات التعريف" إمكانية جهاز الكمبيوتر على إنهاء اتصالات TCP وإفلات طلبات SYN الواردة على الواجهة المرتبطة بالمجال وعلى الواجهة الخاصة وذلك في حالة تعرض جهاز الكمبيوتر إلى الهجوم مع استخدامه لذاكرة منخفضة. على نظام التشغيل Windows Server 2003، يتطلب من المسؤول استخدام إدخالات التسجيل لتعطيل ميزة MPP الموجودة على واجهة خاصة. لمزيد من المعلومات، راجع القسم "تكوين هذه الإعدادات في نظام التشغيل Windows Server 2003". يتم تمكين إعداد "ملفات التعريف" بشكل افتراضي. في حالة تمكين هذا الإعداد، فإن المسؤول قد قرر عدم إنهاء اتصالات TCP أو إفلات طلبات SYN على الواجهة المرتبطة بالمجال وعلى الواجهة الخاصة تحت أي ظرف. وإذا رغب المسؤول في إنهاء اتصالات TCP وإفلات طلبات SYN على الواجهة المرتبطة بالمجال وعلى الواجهة الخاصة عند التعرض للهجوم، يجب تعطيل إعداد "ملفات التعريف".

ملاحظة في حالة تمكين إعداد MPP واكتشاف هجوم، لا يمكن للمسؤول إيقاف إنهاء الاتصالات على الواجهات العامة حتى لو تم تمكين إعداد ملف التعريف. وميزة إعداد "ملفات التعريف" موجهة للواجهات المرتبطة بالمجال والواجهات الخاصة. ومع ذلك، في هذه الحالات، يمكن للمسؤول استخدام إعداد "استثناء المنفذ" لاستثناء منافذ معينة على الواجهات العامة من إجراء MPP.

إعداد استثناء المنفذ

يعمل إعداد "استثناء المنفذ" على تمكين المسؤول من إجراء استثناءات خاصة بالمنفذ. افتراضيًا، في حالة تمكين إعداد MPP، يتم تمكين ميزة "حماية ضغط الذاكرة" للاتصالات الموجودة على كافة المنافذ. وفي حالة اكتشاف هجوم، قد يتم إنهاء الاتصالات الموجودة أو إفلات طلبات SYN الواردة استنادًا إلى إعدادي MPP و"ملفات التعريف". ومع ذلك، يمكن للمسؤول تعيين استثناءات للاتصالات الموجودة على منافذ معينة من خلال تحديدها في قائمة استثناء المنفذ.

ملاحظات
  • قائمة "استثناء المنفذ" عبارة عن قائمة عمومية منفردة وتنطبق على كافة الواجهات وعناوين IP.
  • يظهر تأثير إعداد "استثناء المنفذ" قبل إنشاء أي اتصال TCP على المنفذ. نوصي بتكوين كافة الإعدادات المرتبطة بـ MPP قبل بدء تشغيل تطبيقات الخادم.

القيم الافتراضية لهذه الإعدادات الموجودة على الخوادم والأجهزة العميلة

طي هذا الجدولتوسيع هذا الجدول
القيم الافتراضية الموجودة على الخوادمالقيم الافتراضية الموجودة على الأجهزة العميلة
MPPممكن معطل
ملف التعريفممكن ممكن
استثناء المنفذبلا استثناءاتبلا استثناءات
ملاحظة في حالة تغيير هذه الإعدادات ويرغب أحد المسؤولين في العودة إلى الإعدادات الافتراضية، يمكن للمسؤول استخدام أمر netsh التالي:
netsh int tcp reset
ملاحظة راجع القسم "المشكلات المعروفة" قبل استخدام الأمر netsh int tcp reset.

تكوين هذه الإعدادات في نظام التشغيل Windows Vista

يمكن لأحد المسؤولين استخدام أوامر netsh لتحديث إعدادات MPP و"ملفات التعريف" و"استثناء المنفذ" في وقت التشغيل. تحدد هذه الإعدادات ما إذا كان اتصال TCP مرشحًا للتنقيح أم لا. يتم تنفيذ هذا التقييم في حالة إنشاء "حظر تحكم الإرسال" الخاص باتصال TCP هذا بناءً على الإعدادات التي تتم في هذا الوقت.
  • netsh int tcp reset

    يعمل على إعادة تعيين إعدادات الأمان مع إعدادات TCP الأخرى. تتضمن إعدادات الأمان هذه إعدادات MPP و"ملف التعريف" واستثناء المنفذ" وتحديد معدل نقل البيانات للاتصال.
  • netsh int tcp show security

    يعمل على عرض إعدادات الأمان التي تم تطبيقها حاليًا الخاصة باستثناءات MPP وملفات التعريف واستثناءات المنافذ، إن وجد.
  • netsh int tcp set security mpp=[enabled|disabled|default]

    يعمل على تبديل إعدادات MPP.
  • netsh int tcp set security Profiles=[enabled|disabled|default]

    يعمل على تبديل إعداد "ملفات التعريف".
  • netsh int tcp set security startport=<x> numberofports=<y+1> mpp=[enabled|disabled|default]

    يعمل على تحديد استثناءات المنافذ الخاصة بنطاق المنفذ من x إلى x+y. يجب التأكد من أن x وx+y موجودين في نطاق المنفذ الصحيح (٠ - ٦٥٥٣٥).

    أمثلة

    إضافة استثناء لنطاق المنفذ:
    اكتب الأمر التالي في موجه الأوامر، ثم اضغط مفتاح "الإدخال":
    netsh int tcp set security startport=5000 numberofports=10 mpp=disabled
    يعمل هذا الأمر على تعطيل ميزة MPP الخاصة بالمنفذين ٥٠٠٠ و٥٠٠٩ (بالكامل لكل منهما).

    حذف استثناء من نطاق المنفذ:
    اكتب الأمر التالي في موجه الأوامر، ثم اضغط مفتاح "الإدخال":
    netsh int tcp set security startport=5000 numberofports=10 mpp=enable
    يعمل هذا الأمر على حذف إدخال الاستثناء الذي تمت إضافته في المثال الأول.

    ملاحظة لا تتم معالجة تراكب النطاقات والنطاقات الفرعية للمنافذ من خلال الأمر netsh int tcp set security.

تكوين هذه الإعدادات في نظام التشغيل Windows Server 2003

في نظام التشغيل Windows Server 2003، يجب تكوين هذه الإعدادات باستخدام التسجيل.

تكوين إعداد MPP في نظام التشغيل Windows Server 2003

هام يحتوي هذا القسم أو الطريقة أو المهمة على الخطوات التي توضح كيفية تعديل السجل. ومع ذلك، قد تحدث مشكلات خطيرة في حالة تعديل السجل بطريقة غير صحيحة. ولذلك، يجب التأكد من إتباع الخطوات التالية بعناية. للحماية الإضافية، قم بعمل نسخة احتياطية من السجل قبل تعديله. يمكنك بعد ذلك استعادة السجل في حالة حدوث أية مشكلة. لمزيد من المعلومات حول كيفية عمل نسخة احتياطية من السجل واستعادته، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft" :
322756 كيفية عمل نسخة احتياطية من السجل واستعادته في نظام تشغيل Windows‏


لتمكين إعداد MPP أو تعطيله، استخدم إدخالات التسجيل التالية.
ملاحظة لا تتوفر إدخالات التسجيل التالية بشكلٍ افتراضي. يجب تحديد إدخالات التسجيل لتعديلها. بالرغم من عدم وجود إدخالات التسجيل، فإن إعداد MPP ممكنًا بشكلٍ افتراضي ولا يتم استثناء أي منفذ.
  • بروتوكول الإنترنت الإصدار 4 (IPv4):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableMPP
  • بروتوكول الإنترنت الإصدار 6(IPv4):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP
على سبيل المثال، يمكنك اتباع هذه الخطوات لتعطيل إعداد MPP ضمن IPv4:
  1. انقر فوق ابدأ، ثم انقر فوق تشغيل، ثم اكتب regedit في المربع فتح، ثم انقر فوق موافق.
  2. حدد موقع مفتاح التسجيل الفرعي التالي، ثم انقر فوقه:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. من القائمة تحرير، أشر إلى جديد، ثم انقر فوق قيمة DWORD.
  4. اكتب EnableMPP، ثم اضغط مفتاح "الإدخال".
  5. انقر بزر الماوس الأيمن فوق EnableMPP، ثم انقر فوق تعديل.
  6. في المربع بيانات القيمة، اكتب 0، ثم انقر فوق موافق.
  7. قم بإنهاء "محرر التسجيل".
  8. قم بإعادة تشغيل جهاز الكمبيوتر.
ملاحظات
  • إذا رغبت في إعادة تمكين إعداد MPP، قم بتعيين القيمة DWORD الخاصة بإدخال التسجيل EnableMPP إلى ١، ثم أعد تشغيل جهاز الكمبيوتر.
  • يمكنك اتباع نفس الخطوات تلك لتكوين إدخال التسجيل التالي الخاص بالإعداد MPP ضمن IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP

تكوين إعداد MPP لواجهة خاصة في نظام التشغيل Windows Server 2003

هام يحتوي هذا القسم أو الطريقة أو المهمة على الخطوات التي توضح كيفية تعديل السجل. ومع ذلك، قد تحدث مشكلات خطيرة في حالة تعديل السجل بطريقة غير صحيحة. ولذلك، يجب التأكد من إتباع الخطوات التالية بعناية. للحماية الإضافية، قم بعمل نسخة احتياطية من السجل قبل تعديله. يمكنك بعد ذلك استعادة السجل في حالة حدوث أية مشكلة. لمزيد من المعلومات حول كيفية عمل نسخة احتياطية من السجل واستعادته، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft" :
322756 كيفية عمل نسخة احتياطية من السجل واستعادته في نظام تشغيل Windows‏


ملاحظة افتراضيًا، يتم تمكين ميزة MPP على كافة الواجهات على نظام التشغيل Windows Server 2003.

لتمكين إعداد MPP لواجهة خاصة أو تعطيله، استخدم مفتاحي التسجيل الفرعيين التاليين:
  • IPv4:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>\DisableMPPOnIF
  • IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF
على سبيل المثال، يمكنك اتباع هذه الخطوات لتعطيل إعداد MPP الخاص بواجهة معينة ضمن IPv4:
  1. انقر فوق ابدأ، ثم انقر فوق تشغيل، ثم اكتب regedit في المربع فتح، ثم انقر فوق موافق.
  2. حدد موقع مفتاح التسجيل الفرعي التالي، ثم انقر فوقه:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>
  3. من القائمة تحرير، أشر إلى جديد، ثم انقر فوق قيمة DWORD.
  4. اكتب DisableMPPOnIF، ثم اضغط مفتاح "الإدخال".
  5. انقر بزر الماوس الأيمن فوق DisableMPPOnIF، ثم انقر فوق تعديل.
  6. في المربع بيانات القيمة، اكتب 1، ثم انقر فوق موافق.
  7. قم بإنهاء "محرر التسجيل".
  8. قم بإعادة تشغيل جهاز الكمبيوتر.
ملاحظة يمكنك اتباع نفس الخطوات هذه لتكوين مفتاح التسجيل الفرعي التالي الخاص بإعداد MPP لواجهة خاصة ضمن IPv6:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF

تكوين إعداد استثناء المنفذ في نظام التشغيل Windows Server 2003

هام يحتوي هذا القسم أو الطريقة أو المهمة على الخطوات التي توضح كيفية تعديل السجل. ومع ذلك، قد تحدث مشكلات خطيرة في حالة تعديل السجل بطريقة غير صحيحة. ولذلك، يجب التأكد من إتباع الخطوات التالية بعناية. للحماية الإضافية، قم بعمل نسخة احتياطية من السجل قبل تعديله. يمكنك بعد ذلك استعادة السجل في حالة حدوث أية مشكلة. لمزيد من المعلومات حول كيفية عمل نسخة احتياطية من السجل واستعادته، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft" :
322756 كيفية عمل نسخة احتياطية من السجل واستعادته في نظام تشغيل Windows‏


لتحديد استثناءات المنافذ لنطاق المنفذ من x إلى y، استخدم إدخالا التسجيل التاليين:
  • IPv4:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\MPPExcludedPorts
  • IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts
على سبيل المثال، يمكنك اتباع هذه الخطوات لتحديد استثناءات المنافذ لنطاق المنفذ من xxxx إلى yyyy ضمن IPv4:
  1. انقر فوق ابدأ، ثم انقر فوق تشغيل، ثم اكتب regedit في المربع فتح، ثم انقر فوق موافق.
  2. حدد موقع مفتاح التسجيل الفرعي التالي، ثم انقر فوقه:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. من القائمة تحرير، أشر إلى جديد، ثم انقر فوق قيمة السلاسل المتعددة.
  4. اكتب MPPExcludedPorts، ثم اضغط مفتاح ENTER.
  5. انقر بزر الماوس الأيمن فوق MPPExcludedPorts، ثم انقر فوق تعديل.
  6. في المربع بيانات القيمة، اكتب نطاق المنفذ بتنسيق xxxx-yyyy (على سبيل المثال، ٥٠٠٠-٥٠١٠)، ثم انقر فوق موافق.
  7. قم بإنهاء "محرر التسجيل".
  8. قم بإعادة تشغيل جهاز الكمبيوتر.
ملاحظات
  • يجب تحديد نطاق المنفذ بتنسيق xxxx-yyyy حيث يكونxxxx وyyyy موجودين في نطاق المنفذ الصالح. يشمل النطاق قيم البدء وقيم النهاية.
  • يمكنك اتباع هذه الخطوات لتكوين مفتاح التسجيل الفرعي التالي الخاص بإعداد "استثناء المنفذ" ضمن IPv6:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts
  • تقتصر نطاقات المنافذ على ١٢ نطاق يمكن تحديدها في هذه القائمة. وسيتم تجاهل النطاقات الإضافية ولا يتم تطبيق الاستثناءات.

المشكلات المعروفة

  • على نظام التشغيل Windows Vista المزود بحزمة الخدمة SP2 وعلى نظام التشغيل Windows Server 2008 المزود بحزمة الخدمة SP2، يتأثر تحديد معدل نقل البيانات للاتصال من خلال الأمر netsh int tcp reset.

    قبل تثبيت التحديث الأمني هذا، يتم باستخدام الأمر netsh int tcp reset إعادة تعيين إعدادات TCP. ويتضمن ذلك معلمات Chimney و"إعلام الازدحام الصريح (ECN)" و"الضبط التلقائي لنافذة تلقي البيانات" و"TCP‏ المركَّب (CTCP)" والطوابع الزمنية. بعد تثبيت التحديث الأمني هذا، يتم باستخدام الأمر netsh int tcp reset أيضًا إعادة تعيين إعدادات الأمان بما في ذلك إعدادات MPP و"ملفات التعريف" وتحديد معدل نقل البيانات للاتصال. حتى لو كانت إعدادات MPP و"ملفات التعريف" متوقعة، يتم إعادة تعيين إعداد تحديد معدل نقل البيانات للاتصال أيضًا في وقت التشغيل. لتعيين تحديد معدل نقل البيانات للاتصال مرة أخرى، يجب تعديل مفتاح التسجيل الفرعي. لمزيد من المعلومات حول إعداد تحديد معدل نقل البيانات للاتصال، انقر فوق رقم المقالة التالي لعرضها في "قاعدة معارف Microsoft" :
    969710 كيفية تمكين حد اتصالات TCP نصف المفتوح في نظام التشغيل Windows Vista المزود بحزمة الخدمة Service Pack 2 وفي نظام التشغيل Windows Server 2008 المزود بحزمة الخدمة Service Pack 2
  • في نظام التشغيل Windows Server 2003، في حالة تثبيت التحديث الأمني ٩٦٧٧٢٣، ثم تثبيت IPv6، فإن سجل الأحداث يتضمن معلومات تشبه المعلومات التالية الخاصة بمعرف الحدث ٤٢٢٩:
    لم يتم العثور على وصف لمعرف الحدث ٤٢٢٩ من مصدر Tcpip6. إما أنه لم يتم تثبيت المكون الذي أصدر هذا الحدث على جهاز الكمبيوتر المحلي أو فشلت عملية التثبيت. يمكنك تثبيت المكون على جهاز الكمبيوتر المحلي أو إصلاحه.

    وإذا تم تكوين الحدث على جهاز كمبيوتر آخر، فيجب حفظ معلومات العرض مع الحدث.

    تم تضمين المعلومات التالية مع الحدث:

    مصدر الرسالة موجود ولكن الرسالة غير موجودة في السلسلة/جدول الرسائل
    لحل هذه المشكلة، يلزم إعادة تثبيت التحديث أو إضافة مفاتيح التسجيل الفرعية التالية يدويًا:
    • في نظام التشغيل Windows Server 2003 المزود بحزمة الخدمة SP2، قم بإضافة السلسلة ‎%systemroot%system32\w03a3409.dll ضمن
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      .
    • في نظام التشغيل Windows Server 2003 المزود بحزمة الخدمة SP1، قم بإضافة السلسلة ‎%systemroot%system32\w03a2409.dll ضمن
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      .
    • في نظام التشغيل Windows Server 2003، قم بإضافة السلسلة ‎%systemroot%system32\ws03res.dll ضمن
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      .

الخصائص

معرف المقالة: 974288 - تاريخ آخر مراجعة: 25/رمضان/1430 - مراجعة: 1.3
تنطبق على
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
كلمات أساسية: 
kbsecvulnerability kbsecbulletin kbsecadvisory kbaccctrl kbsurveynew kbexpertisebeginner atdownload KB974288

إرسال ملاحظات

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com