Beschreibung des neuen MPP-Features (Memory Pressure Protection) für den TCP-Stack

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 974288 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

EINFÜHRUNG

In diesem Artikel wird das neue MPP-Feature (Memory Pressure Protection) für den TCP-Stack beschrieben. Das neue Feature wird standardmäßig durch Sicherheitsupdate 967723 bereitgestellt.

Weitere Informationen

Das MPP-Feature besteht aus drei Sicherheitseinstellungen. Dabei handelt es sich um die Einstellungen "MPP", "Profile" und "Portausnahmen".

Die Einstellung "MPP"

Die MPP-Einstellung definiert das Feature, und führt bei Entdecken eines Angriffs die folgenden zwei Aktivitäten aus:
  • Trennen der vorhandenen TCP-Verbindungen
  • Löschen eingehender SYN-Anforderungen
Ein Administrator kann die MPP-Einstellung mithilfe der netsh-Befehle aktivieren und deaktivieren. Wenn der Administrator die MPP-Einstellung aktiviert oder deaktiviert, wird dieses Feature aktiviert bzw. deaktiviert.

Die Einstellung "Profile"

Mit der Einstellung "Profile" kann der Administrator zwischen öffentlichen und nicht öffentlichen Schnittstellen unterscheiden. Wenn eine Schnittstelle auf den Domänencontroller zugreifen kann, bedeutet dies, dass die Schnittstelle zur Domäne gehört oder dass der Administrator die Schnittstelle als privat konfigurieren kann. Die Einstellung "Profile" ist nur in Windows Vista und Windows Server 2008 verfügbar.

Die Einstellung "Profile" ob der Computer bei einem Angriff mit niedrigem Speicher TCP-Verbindungen trennt und SYN-Anforderungen, die über die zur Domäne gehörenden und privaten Schnittstellen eingehen, löscht. Unter Windows Server 2003 muss ein Administrator Registrierungseinträge verwenden, um das MPP-Feature für eine bestimmte Schnittstelle zu deaktivieren. Weitere Informationen dazu finden Sie im Abschnitt "Konfigurieren dieser Einstellungen in Windows Server 2003". Die Einstellung "Profile" ist standardmäßig aktiviert. Wenn der Administrator diese Einstellung aktiviert, werden keine TCP-Verbindungen getrennt und keine über die zur Domäne gehörenden und privaten Schnittstellen eingehenden SYNs gelöscht. Wenn der Administrator möchte, dass im Falle eines Angriffs TCP-Verbindungen getrennt und die SYNs gelöscht werden, die über die zur Domäne gehörenden und privaten Schnittstellen eingehen, muss die Einstellung "Profile" deaktiviert werden.

Hinweis Ist die MPP-Einstellung aktiviert, und wird ein Angriff festgestellt, kann der Administrator nicht verhindern, dass die Verbindungen an öffentlichen Schnittstellen getrennt werden, selbst wenn die Einstellung "Profile" aktiviert wird. Die Einstellung "Profile" ist für Schnittstellen, die zur Domäne gehören, und für private Schnittstellen bestimmt. In diesen Fällen kann ein Administrator allerdings die Einstellung "Portausnahme" verwenden, um bestimmte Ports an öffentlichen Schnittstellen von der MPP-Aktion auszuschließen.

Die Einstellung "Portausnahme"

Die Einstellung "Portausnahme" ermöglicht dem Administrator, portspezifische Ausnahmen festzulegen. Ist die Einstellung "MPP" aktiviert, ist das MPP-Feature standardmäßig für Verbindungen an allen Ports aktiviert. Wird ein Angriff festgestellt, können die vorhandenen Verbindungen getrennt oder eingehende SYNs gelöscht werden, je nach den Einstellungen von "MPP" und "Profile". Ein Administrator kann jedoch Ausnahmen für Verbindungen an bestimmten Ports festlegen, indem er diese in die Liste der Portausnahmen aufnimmt.

Hinweise
  • Die Liste "Portausnahmen" ist eine einzige globale Liste, die für alle Schnittstellen und IP-Adressen gilt.
  • Die Einstellung "Portausnahmen" wird wirksam, bevor irgendeine TCP-Verbindung mit dem Port hergestellt wird. Es empfiehlt sich, alle im Zusammenhang mit MPP erforderlichen Einstellungen vor dem Starten der Serveranwendungen zu konfigurieren.

Standardwerte für diese Einstellungen auf den Servern und Clients

Tabelle minimierenTabelle vergrößern
Standardwerte auf ServernStandardwerte auf Clients
MPPAktiviert Deaktiviert
ProfilAktiviert Aktiviert
PortausnahmeKeine AusnahmenKeine Ausnahmen
Hinweis Werden diese Einstellungen geändert, und ein Administrator möchte die Standardeinstellungen wiederherstellen, kann er dazu den folgenden netsh-Befehl verwenden:
netsh int tcp reset
Hinweis Lesen Sie bitte den Abschnitt "Bekannte Probleme", bevor Sie den Befehl netsh int tcp reset verwenden.

Konfigurieren dieser Einstellungen in Windows Vista

Mit den netsh-Befehlen kann ein Administrator die Einstellungen "MPP", "Profile" und "Portausnahmen" zur Laufzeit aktualisieren. Diese Einstellungen bestimmen, ob eine TCP-Verbindung ggf. bereinigt wird oder nicht. Diese Entscheidung erfolgt, wenn der Transmission Control Block dieser TCP-Verbindung erstellt wird, abhängig von den jeweils geltenden Einstellungen.
  • netsh int tcp reset

    Setzt die Sicherheitseinstellungen zusammen mit den anderen TCP-Einstellungen zurück. Zu diesen Sicherheitseinstellungen zählen die Einstellungen "MPP", "Profile", "Portausnahmen" und "Verbindungsratenbegrenzung".
  • netsh int tcp show security

    Zeigt die aktuell angewendeten Sicherheitseinstellungen für "MPP", "Profile" und "Portausnahmen" an (sofern vorhanden).
  • netsh int tcp set security mpp=[enabled|disabled|default]

    Aktiviert/Deaktiviert die MPP-Einstellungen.
  • netsh int tcp set security Profiles=[enabled|disabled|default]

    Aktiviert/Deaktiviert die Einstellung "Profile".
  • netsh int tcp set security startport=<x> numberofports=<y+1> mpp=[enabled|disabled|default]

    Legt die Portausnahmen für den Portbereich von x bis x+y fest. Vergewissern Sie sich, dass x und x+y zum gültigen Portbereich gehören (0 - 65535).

    Beispiele

    Hinzufügen einer Portbereichausnahme:
    Geben Sie den folgenden Befehl an der Eingabeaufforderung ein, und drücken Sie anschließend die EINGABETASTE:
    netsh int tcp set security startport=5000 numberofports=10 mpp=disabled
    Dieser Befehl deaktiviert das MPP-Feature für die Ports 5000 bis 5009 (beide einschließlich).

    Löschen einer Portbereichausnahme:
    Geben Sie den folgenden Befehl an der Eingabeaufforderung ein, und drücken Sie anschließend die EINGABETASTE:
    netsh int tcp set security startport=5000 numberofports=10 mpp=enable
    Dieser Befehl löscht den im ersten Beispiel hinzugefügten Ausnahmeeintrag.

    Hinweis Sich überschneidende Portbereiche und Unterbereiche werden vom Befehl netsh int tcp set security nicht verarbeitet.

Konfigurieren dieser Einstellungen in Windows Server 2003

In Windows Server 2003 müssen Sie diese Einstellungen über die Registrierung konfigurieren.

Konfigurieren der MPP-Einstellung in Windows Server 2003

Wichtig Dieser Abschnitt bzw. die Methoden- oder Aufgabenbeschreibung enthält Hinweise zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie vor der Bearbeitung der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung enthält der folgende Artikel der Microsoft Knowledge Base:
322756 Unter Windows XP und Windows Server 2003 eine Sicherungskopie der Registrierung erstellen und die Registrierung bearbeiten und wiederherstellen


Zum Aktivieren oder Deaktivieren der MPP-Einstellung verwenden Sie die folgenden Registrierungseinträge.
Hinweis Die folgenden Registrierungseinträge sind standardmäßig nicht vorhanden. Sie müssen sie erstellen, um sie ändern zu können. Obwohl die Registrierungseinträge nicht vorhanden sind, ist die MPP-Einstellung standardmäßig aktiviert, und kein Port wird ausgeschlossen.
  • Internet Protocol Version 4 (IPv4):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableMPP
  • Internet Protocol Version 6 (IPv6):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP
Führen Sie beispielsweise diese Schritte aus, um die MPP-Einstellung unter IPv4 zu deaktivieren:
  1. Klicken Sie auf Start und auf Ausführen. Geben Sie in das Feld Öffnen die Zeichenfolge regedit ein, und klicken Sie anschließend auf OK.
  2. Klicken Sie auf den folgenden Registrierungsunterschlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie anschließend auf DWORD-Wert.
  4. Geben Sie EnableMPP ein, und drücken Sie anschließend die EINGABETASTE.
  5. Klicken Sie mit der rechten Maustaste auf EnableMPP, und klicken Sie dann auf Ändern.
  6. Geben Sie in das Feld Wert den Wert 0 ein, und klicken Sie anschließend auf OK.
  7. Beenden Sie den Registrierungs-Editor.
  8. Starten Sie den Computer neu.
Hinweise
  • Wenn Sie die MPP-Einstellung erneut aktivieren möchten, legen Sie den DWORD-Wert für den Registrierungseintrag EnableMPP auf 1 fest, und starten Sie den Computer anschließend neu.
  • Sie können dieselben Schritte ausführen, um den folgenden Registrierungseintrag für die MPP-Einstellung unter IPv6 zu konfigurieren:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP

Konfigurieren der MPP-Einstellung für eine bestimmte Schnittstelle in Windows Server 2003

Wichtig Dieser Abschnitt bzw. die Methoden- oder Aufgabenbeschreibung enthält Hinweise zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie vor der Bearbeitung der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung enthält der folgende Artikel der Microsoft Knowledge Base:
322756 Unter Windows XP und Windows Server 2003 eine Sicherungskopie der Registrierung erstellen und die Registrierung bearbeiten und wiederherstellen


Hinweis Standardmäßig ist das MPP-Feature in Windows Server 2003 für alle Schnittstellen aktiviert.

Zum Aktivieren oder Deaktivieren der MPP-Einstellung für eine bestimmte Schnittstelle verwenden Sie die folgenden Registrierungsunterschlüssel.
  • IPv4:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>\DisableMPPOnIF
  • IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF
Führen Sie beispielsweise diese Schritte aus, um die MPP-Einstellung unter IPv4 für eine bestimmte Schnittstelle zu deaktivieren:
  1. Klicken Sie auf Start und auf Ausführen. Geben Sie in das Feld Öffnen die Zeichenfolge regedit ein, und klicken Sie anschließend auf OK.
  2. Klicken Sie auf den folgenden Registrierungsunterschlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>
  3. Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie anschließend auf DWORD-Wert.
  4. Geben Sie DisableMPPOnIF ein, und drücken Sie die EINGABETASTE.
  5. Klicken Sie mit der rechten Maustaste auf DisableMPPOnIF, und klicken Sie dann auf Ändern.
  6. Geben Sie in das Feld Wert den Wert 1 ein, und klicken Sie anschließend auf OK.
  7. Beenden Sie den Registrierungs-Editor.
  8. Starten Sie den Computer neu.
Hinweis Sie können dieselben Schritte ausführen, um den folgenden Registrierungsunterschlüssel für die MPP-Einstellung unter IPv6 für eine bestimmte Schnittstelle zu konfigurieren:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF

Konfigurieren der Einstellung "Portausnahmen" in Windows Server 2003

Wichtig Dieser Abschnitt bzw. die Methoden- oder Aufgabenbeschreibung enthält Hinweise zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie vor der Bearbeitung der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen und Wiederherstellen einer Sicherungskopie der Registrierung enthält der folgende Artikel der Microsoft Knowledge Base:
322756 Unter Windows XP und Windows Server 2003 eine Sicherungskopie der Registrierung erstellen und die Registrierung bearbeiten und wiederherstellen


Zum Festlegen der Portausnahmen für den Portbereich von x bis y verwenden Sie die folgenden Registrierungseinträge.
  • IPv4:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\MPPExcludedPorts
  • IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts
Sie können beispielsweise die folgenden Schritte ausführen, um die Postausnahmen für den Portbereich von xxxx bis yyyy unter IPv4 festzulegen:
  1. Klicken Sie auf Start und auf Ausführen. Geben Sie in das Feld Öffnen die Zeichenfolge regedit ein, und klicken Sie anschließend auf OK.
  2. Klicken Sie auf den folgenden Registrierungsunterschlüssel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. Zeigen Sie im Menü Bearbeiten auf Neu, und klicken Sie auf Wert der mehrteiligen Zeichenfolge.
  4. Geben Sie MPPExcludedPorts ein, und drücken Sie die EINGABETASTE.
  5. Klicken Sie mit der rechten Maustaste auf MPPExcludedPorts, und klicken Sie auf Ändern.
  6. Geben Sie in das Feld Wert den Portbereich im Format xxxx-yyyy ein (z. B. 5000-5010), und klicken Sie dann auf OK.
  7. Beenden Sie den Registrierungs-Editor.
  8. Starten Sie den Computer neu.
Hinweise
  • Sie müssen den Portbereich im Format xxxx-yyyy eingeben, wobei xxxx und yyyy zum gültigen Portbereich gehören müssen. Start- und Endwerte sind im Bereich eingeschlossen.
  • Sie können dieselben Schritte ausführen, um den folgenden Registrierungsunterschlüssel für die Einstellung "Portausnahme" unter IPv6 zu konfigurieren:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts
  • Sie können maximal 12 Portbereiche in dieser Liste angeben. Weitere Bereiche werden ignoriert und nicht als Ausnahmen angewendet.

Bekannte Probleme

  • Unter Windows Vista SP2 und Windows Server 2008 SP2 hat der Befehl netsh int tcp reset Auswirkungen auf die Verbindungsratenbegrenzung.

    Bevor Sie das Sicherheitsupdate installieren, setzt der Befehl netsh int tcp reset die TCP-Einstellungen zurück. Dazu gehören Chimney-Parameter, Explicit Congestion Notification (ECN), Autom. Abstimmungsgrad Empfangsfenster, Compound TCP (CTCP) und Zeitstempel. Nach der Installation des Sicherheitsupdates setzt der Befehl netsh int tcp reset außerdem die Sicherheitseinstellungen "MPP", "Profile" und "Verbindungsratenbegrenzung" zurück. Die "MPP"- und "Profile"-Einstellungen werden zwar erwartet, es erfolgt aber auch die Einstellung "Verbindungsratenbegrenzung" zur Laufzeit. Um die Verbindungsratenbegrenzung wieder festzulegen, müssen Sie den Registrierungsunterschlüssel ändern. Weitere Informationen zur Einstellung "Verbindungsratenbegrenzung" finden Sie im folgenden Artikel der Microsoft Knowledge Base:
    969710 Aktivieren der maximalen Anzahl halb geöffneter TCP-Verbindungen in Windows Vista mit Service Pack 2 und Windows Server 2008 mit Service Pack 2
  • Wenn Sie in Windows Server 2003 erst das Sicherheitsupdate 967723 und anschließend IPv6 installieren, enthält das Ereignisprotokoll Informationen, die in etwa den folgenden Informationen der Ereigniskennung 4229 für IPv6 gleichen:
    Die Beschreibung der Ereigniskennung 4229 aus der Quelle "Tcpip6" wurde nicht gefunden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf dem lokalen Computer installiert, oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.

    Falls das Ereignis auf einem anderen Computer aufgetreten ist, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.

    Die folgenden Informationen wurden mit dem Ereignis gespeichert:

    Die Meldungressource ist vorhanden, aber die Meldung wurde nicht in der Zeichenfolge-/Meldungstabelle gefunden
    Zum Beheben dieses Problems müssen Sie das Update neu installieren oder die folgenden Registrierungsunterschlüssel manuell hinzufügen:
    • Fügen Sie in Windows Server 2003 SP2 die Zeichenfolge %systemroot%system32\w03a3409.dll unter
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      hinzu.
    • Fügen Sie in Windows Server 2003 SP1 die Zeichenfolge %systemroot%system32\w03a2409.dll unter
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      hinzu.
    • Fügen Sie in Windows Server 2003 die Zeichenfolge %systemroot%system32\ws03res.dll unter
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      hinzu.

Eigenschaften

Artikel-ID: 974288 - Geändert am: Freitag, 11. September 2009 - Version: 1.3
Die Informationen in diesem Artikel beziehen sich auf:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Keywords: 
kbsecvulnerability kbsecbulletin kbsecadvisory kbaccctrl kbsurveynew kbexpertisebeginner atdownload KB974288
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com