Popis nové funkce ochrany proti tlaku paměti pro zásobník protokolu TCP

Překlady článku Překlady článku
ID článku: 974288 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

ÚVOD

Tento článek popisuje novou funkci ochrany proti tlaku paměti pro zásobník protokolu TCP. Tuto novou funkci poskytuje aktualizace zabezpečení 967723.

Další informace

Funkce ochrany proti tlaku paměti se skládá ze tří nastavení zabezpečení. Jde o tato nastavení: Ochrana proti tlaku paměti MPP (Memory Pressure Protection), Profily a Výjimky portů.

Nastavení funkce MPP

Nastavení funkce MPP definuje tuto funkci a zahrnuje následující dvě aktivity, k nimž dojde při zjištění útoku:
  • Ukončení existujících připojení protokolu TCP
  • Zrušení příchozích požadavků SYN
Správce může povolit nebo zakázat nastavení funkce MPP pomocí příkazů netsh. Pokud správce nastavení funkce MPP povolí nebo zakáže, bude tato funkce povolena nebo zakázána.

Nastavení Profily

Funkce Profily umožňuje správci rozlišovat mezi veřejnými a neveřejnými rozhraními. Pokud může rozhraní získat přístup k řadiči domény, znamená to, že je toto rozhraní připojeno k doméně nebo že může správce toto rozhraní konfigurovat jako privátní. Funkce Profily je k dispozici pouze v systémech Windows Vista a Windows Server 2008.

Nastavení Profily určuje schopnost počítače ukončit připojení protokolu TCP a zrušit příchozí požadavky SYN v rozhraní připojeném k doméně a v privátním rozhraní, pokud je zjištěn útok na počítač s nedostatkem paměti. V systému Windows Server 2003 musí správce k zakázání funkce MPP v určitém rozhraní použít položky registru. Další informace najdete v části Konfigurace těchto nastavení v systému Windows Server 2003. Ve výchozím nastavení je nastavení Profily povoleno. Je-li toto nastavení povoleno, znamená to, že se správce rozhodl za žádných okolností neukončovat připojení protokolu TCP nebo rušit požadavky SYN v rozhraní připojeném k doméně a v privátním rozhraní. Pokud si správce přeje v případě útoku ukončit připojení protokolu TCP a zrušit požadavky SYN v rozhraní připojeném k doméně a v privátním rozhraní, musí být nastavení Profily zakázáno.

Poznámka: Je-li povoleno nastavení funkce MPP a je zjištěn útok, nemůže správce zabránit ukončení připojení ve veřejných rozhraních ani v případě, že je nastavení Profily povoleno. Funkce nastavení Profily je určena pro rozhraní připojená k doméně a privátní rozhraní. V těchto případech však může správce pomocí nastavení Výjimky portů vyloučit z činnosti funkce MPP některé porty ve veřejných rozhraních.

Nastavení Výjimky portů

Nastavení Výjimky portů umožňuje správci uplatnit výjimky pro určité porty. Pokud je ve výchozím nastavení povoleno nastavení funkce MPP, je funkce ochrany proti tlaku paměti povolena pro připojení ve všech portech. Při zjištění útoku lze ukončit existující připojení nebo zrušit příchozí požadavky SYN, v závislosti na nastavení funkce MPP a nastavení Profily. Správce však může zadáním portů do seznamu výjimek portů nastavit výjimky pro připojení v některých portech.

Poznámky:
  • Seznam výjimek portů představuje jeden globální seznam, který platí pro všechna rozhraní a adresy IP.
  • Nastavení výjimek portů se stává platným před vytvořením jakéhokoli připojení protokolu TCP na portu. Doporučujeme konfigurovat všechna nastavení související s funkcí MPP před spuštěním serverových aplikací.

Výchozí hodnoty pro tato nastavení na serverech a v klientských počítačích

Zmenšit tuto tabulkuRozšířit tuto tabulku
Výchozí hodnoty na serverechVýchozí hodnoty v klientských počítačích
MPPPovoleno Zakázáno
ProfilPovoleno Povoleno
Výjimky portůŽádné výjimkyŽádné výjimky
Poznámka: Dojde-li ke změně těchto nastavení a správce chce obnovit výchozí nastavení, může použít následující příkaz netsh:
netsh int tcp reset
Poznámka: Před použitím příkazu netsh int tcp reset si přečtěte informace v části Známé problémy.

Konfigurace těchto nastavení v systému Windows Vista

Správce může pomocí příkazů netsh za běhu aktualizovat nastavení funkce MPP, profilů a výjimek portů. Tato nastavení určují, zda může u určitého připojení TCP dojít k vyřazení, či nikoli. Toto hodnocení se provádí při vytvoření bloku řízení přenosu daného připojení protokolu TCP, v závislosti na aktuálně platném nastavení.
  • netsh int tcp reset

    Obnoví původní hodnoty nastavení zabezpečení společně s jinými nastaveními protokolu TCP. Mezi tato nastavení zabezpečení patří nastavení funkce MPP, profilů, výjimek portů a nastavení omezení rychlosti připojení.
  • netsh int tcp show security

    Zobrazí aktuálně použité nastavení zabezpečení pro funkci MPP, profily a výjimky portů, pokud existuje.
  • netsh int tcp set security mpp=[enabled|disabled|default]

    Zapíná a vypíná nastavení funkce MPP.
  • netsh int tcp set security Profiles=[enabled|disabled|default]

    Zapíná a vypíná nastavení Profily.
  • netsh int tcp set security startport=<x> numberofports=<y+1> mpp=[enabled|disabled|default]

    Určuje výjimky pro rozsah portů od x do x+y. Je třeba se ujistit, že se hodnoty x a x+y nachází v platném rozsahu portů (0 – 65535).

    Příklady

    Přidání výjimky pro rozsah portů:
    Zadejte na příkazový řádek následující příkaz a stiskněte klávesu ENTER:
    netsh int tcp set security startport=5000 numberofports=10 mpp=disabled
    Tento příkaz zakáže funkci MPP pro porty 5000 až 5009 (včetně).

    Odstranění výjimky pro rozsah portů:
    Zadejte na příkazový řádek následující příkaz a stiskněte klávesu ENTER:
    netsh int tcp set security startport=5000 numberofports=10 mpp=enable
    Tento příkaz odstraní položku výjimky, která byla přidána v prvním příkladu.

    Poznámka: Příkaz netsh int tcp set security nezpracuje překrývající se rozsahy a dílčí rozsahy portů.

Konfigurace těchto nastavení v systému Windows Server 2003

V systému Windows Server 2003 je tato nastavení třeba konfigurovat pomocí registru.

Konfigurace nastavení funkce MPP v systému Windows Server 2003

Důležité: Tato část, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. V případě úpravy registru nesprávným způsobem však mohou nastat závažné problémy. Proto vždy pečlivě kontrolujte, zda postupujete přesně podle těchto kroků. Jako dodatečnou ochranu registr před úpravami zálohujte. Potom můžete v případě potíží registr obnovit. Další informace o zálohování a obnovení registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
322756 Postup zálohování a obnovení registru v systému Windows


Chcete-li povolit nebo zakázat nastavení funkce MPP, použijte následující položky registru.
Poznámka: Následující položky registru nejsou k dispozici ve výchozím nastavení. Lze je upravovat až poté, co je vytvoříte. Přestože nejsou položky registru k dispozici, je ve výchozím nastavení funkce MPP povolena a není nastavena výjimka pro žádný port.
  • Protokol IPv4 (Internet Protocol):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableMPP
  • Protokol IPv6 (Internet Protocol):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP
Nastavení funkce MPP v protokolu IPv4 můžete například zakázat pomocí tohoto postupu:
  1. Klikněte na tlačítko Start a na příkaz Spustit. Do pole Otevřít zadejte příkaz regedit a klikněte na tlačítko OK.
  2. Vyhledejte následující podklíč registru a klikněte na něj:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. V nabídce Úpravy přejděte na příkaz Nový a potom klikněte na příkaz Hodnota DWORD.
  4. Zadejte příkaz EnableMPP a pak stiskněte klávesu ENTER.
  5. Klikněte pravým tlačítkem myši na položku EnableMPP a klikněte na příkaz Změnit.
  6. Do pole Údaj hodnoty zadejte hodnotu 0 a klikněte na tlačítko OK.
  7. Ukončete program Editor registru.
  8. Restartujte počítač.
Poznámky:
  • Chcete-li nastavení funkce MPP znovu povolit, nastavte hodnotu DWORD pro položku registru EnableMPP na 1 a restartujte počítač.
  • Následující položku registru pro nastavení funkce MPP v protokolu IPv6 můžete konfigurovat stejným způsobem:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP

Konfigurace nastavení funkce MPP pro určité rozhraní v systému Windows Server 2003

Důležité: Tato část, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. V případě úpravy registru nesprávným způsobem však mohou nastat závažné problémy. Proto vždy pečlivě kontrolujte, zda postupujete přesně podle těchto kroků. Jako dodatečnou ochranu registr před úpravami zálohujte. Potom můžete v případě potíží registr obnovit. Další informace o zálohování a obnovení registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
322756 Postup zálohování a obnovení registru v systému Windows


Poznámka: Ve výchozím nastavení systému Windows Server 2003 je funkce MPP ve všech rozhraních povolena.

Chcete-li nastavení funkce MPP pro určité rozhraní povolit nebo zakázat, použijte následující podklíče registru:
  • IPv4:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>\DisableMPPOnIF
  • IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF
Nastavení funkce MPP pro určité rozhraní v protokolu IPv4 můžete například zakázat pomocí tohoto postupu:
  1. Klikněte na tlačítko Start a na příkaz Spustit. Do pole Otevřít zadejte příkaz regedit a klikněte na tlačítko OK.
  2. Vyhledejte následující podklíč registru a klikněte na něj:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>
  3. V nabídce Úpravy přejděte na příkaz Nový a potom klikněte na příkaz Hodnota DWORD.
  4. Zadejte příkaz DisableMPPOnIF a pak stiskněte klávesu ENTER.
  5. Klikněte pravým tlačítkem myši na položku DisableMPPOnIF a potom klikněte na příkaz Změnit.
  6. Do pole Údaj hodnoty zadejte hodnotu 1 a klikněte na tlačítko OK.
  7. Ukončete program Editor registru.
  8. Restartujte počítač.
Poznámka: Následující podklíč registru pro nastavení funkce MPP pro určité rozhraní v protokolu IPv6 můžete konfigurovat stejným způsobem:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF

Konfigurace nastavení výjimek portů v systému Windows Server 2003

Důležité: Tato část, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. V případě úpravy registru nesprávným způsobem však mohou nastat závažné problémy. Proto vždy pečlivě kontrolujte, zda postupujete přesně podle těchto kroků. Jako dodatečnou ochranu registr před úpravami zálohujte. Potom můžete v případě potíží registr obnovit. Další informace o zálohování a obnovení registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
322756 Postup zálohování a obnovení registru v systému Windows


K určení výjimek portů pro rozsah portů od x do y použijte následující položky registru:
  • IPv4:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\MPPExcludedPorts
  • IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts
Výjimky portů pro rozsah portů od xxxx do yyyy v protokolu IPv4 můžete například určit pomocí následujícího postupu:
  1. Klikněte na tlačítko Start a na příkaz Spustit. Do pole Otevřít zadejte příkaz regedit a klikněte na tlačítko OK.
  2. Vyhledejte následující podklíč registru a klikněte na něj:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. V nabídce Úpravy přejděte na příkaz Nová a pak klikněte na možnost Víceřetězcová hodnota.
  4. Zadejte příkaz MPPExcludedPorts a pak stiskněte klávesu ENTER.
  5. Klikněte pravým tlačítkem myši na položku MPPExcludedPorts a klikněte na příkaz Změnit.
  6. Do pole Údaj hodnoty zadejte rozsah portů ve formátu xxxx-yyyy (například 5000-5010) a klikněte na tlačítko OK.
  7. Ukončete program Editor registru.
  8. Restartujte počítač.
Poznámky:
  • Rozsah portů je třeba zadat ve formátu xxxx-yyyy, kde hodnoty xxxx a yyyy spadají do platného rozsahu portů. Do rozsahu je zahrnuta počáteční i koncová hodnota.
  • Ke konfiguraci následujícího podklíče registru pro nastavení výjimky portů v protokolu IPv6 můžete použít tento postup:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts
  • V tomto seznamu lze určit maximálně 12 rozsahů portů. Další rozsahy budou ignorovány a nebudou na ně použity výjimky.

Známé problémy

  • V systémech Windows Vista SP2 a Windows Server 2008 SP2 je příkazem netsh int tcp reset ovlivněno omezení rychlosti připojení.

    Před instalací této aktualizace zabezpečení příkaz netsh int tcp reset obnovuje výchozí hodnoty nastavení protokolu TCP. To zahrnuje parametry kanálu přesměrování zpracování, rozšíření ECN (Explicit Congestion Notification), automatického ladění okna příjmu, protokolu Compound TCP (CTCP) a časových razítek. Po instalaci této aktualizace zabezpečení příkaz netsh int tcp reset obnovuje také výchozí hodnoty nastavení zabezpečení, včetně funkce MPP, profilů a nastavení pro omezení rychlosti připojení. I když je očekáváno nastavení funkce MPP a profilů, dochází za běhu i k obnovení výchozích hodnot nastavení omezení rychlosti připojení. Chcete-li znovu nastavit omezení rychlosti připojení, je třeba změnit podklíč registru. Další informace o nastavení omezení rychlosti připojení naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
    969710 Povolení omezení napůl otevřených připojení protokolu TCP v systému Windows Vista Service Pack 2 a Windows Server 2008 Service Pack 2
  • Pokud v systému Windows Server 2003 nainstalujete aktualizaci zabezpečení 967723 a poté protokol IPv6, obsahuje protokol událostí informace podobné následujícím informacím pro událost protokolu IPv6 s ID 4229:
    Popis pro ID události 4229 ze zdroje Tcpip6 nelze najít. Komponenta, která událost vyvolala, není nainstalována v lokálním počítači, nebo instalace neproběhla správně. Můžete komponentu nainstalovat do lokálního počítače nebo ji opravit.

    Pokud událost pochází z jiného počítače, musely být s událostí uloženy informace o zobrazení.

    Do události byly zahrnuty následující informace:

    zdroj zprávy je k dispozici, ale zpráva nebyla v tabulce řetězce/zprávy nalezena
    Tento problém je třeba vyřešit novou instalací aktualizace nebo ručním přidáním následujících podklíčů registru:
    • V systému Windows Server 2003 SP2 přidejte řetězec %systemroot%system32\w03a3409.dll do položky
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      .
    • V systému Windows Server 2003 SP1 přidejte řetězec %systemroot%system32\w03a2409.dll do položky
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      .
    • V systému Windows Server 2003 přidejte řetězec %systemroot%system32\ws03res.dll do položky
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      .

Vlastnosti

ID článku: 974288 - Poslední aktualizace: 11. září 2009 - Revize: 1.2
Informace v tomto článku jsou určeny pro produkt:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Klíčová slova: 
kbsecvulnerability kbsecbulletin kbsecadvisory kbaccctrl kbsurveynew kbexpertisebeginner atdownload KB974288

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com