Descripción de la nueva característica Protección de presión de memoria de pila TCP

Id. de artículo: 974288 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

INTRODUCCIÓN

Este artículo describe una nueva característica Protección de presión de memoria de pila TCP. Actualización de seguridad 967723 proporciona esta nueva característica.
Volver al principio | Enviar comentarios

Más información

La característica Protección de presión de memoria está formado por tres configuraciones de seguridad. Estos ajustes incluyen Protección de presión de memoria (MPP), Perfiles y Exención de puerto.

El ajuste MPP

El ajuste MPP define la función e incluye las dos actividades siguientes cuando se detecta un ataque:
  • Eliminar las conexiones TCP existentes.
  • Colocar las solicitudes SYN entrantes.
Un administrador puede habilitar o deshabilitar a la configuración de MPP mediante de netsh, comandos. Cuando el administrador habilita o deshabilita este ajuste, lo mismo sucede con la función.

El ajuste Perfiles

Esta función ayuda al administrador a distinguir entre interfaces públicas y no públicas. Si una interfaz puede tener acceso al controlador del dominio, indica que está unida a dominio o que el administrador puede configurar una privada. La característica de perfiles está disponible sólo en Windows Vista y en Windows Server 2008.

El ajuste Perfiles determina la capacidad del equipo de eliminar conexiones TCP y de bloquear solicitudes SYN entrantes en la interfaz unida a dominio y en la privada cuando el equipo es objeto de ataque con memoria baja. En Windows Server 2003, el administrador debe utilizar entradas del Registro para deshabilitar la función MPP en una interfaz concreta. Para obtener más información, consulte "Configuring estas configuraciones en Windows Server 2003"sección. De manera predeterminada, el ajuste Perfiles está habilitado. Cuando esté habilitado, el administrador ha decidido no eliminar las conexiones TCP o bloquear los SYN en la interfaz unida a dominio y en la privada en cualquier circunstancia. Si este desea eliminar las conexiones TCP y bloquear los SYN en la interfaz unida a dominio y en la privada cuando sean objeto de ataque, el ajuste Perfiles debe deshabilitarse.

Nota: si el ajuste MPP está habilitado y se detecta un ataque, el administrador no puede dejar de eliminar conexiones en interfaces públicas, aun cuando el ajuste Perfil está habilitado. Dominio une los perfiles está destinada la característica de configuración e interfaces privadas. Sin embargo, en estos casos, un administrador puede utilizar el ajuste Exención de puerto para excluir ciertos puertos en interfaces públicas desde una acción MPP.

El ajuste Exención de puerto

Este ajuste permite al administrador realizar excepciones de puerto específicas. De forma predeterminada, cuando el ajuste MPP esté habilitado, la característica Protección de presión de memoria está habilitada para las conexiones en todos los puertos. Si se detecta un ataque, es posible eliminar las conexiones existentes o bloquear los SYN entrantes, según los ajustes MPP y Perfiles. Sin embargo, un administrador puede configurar excepciones para las conexiones en ciertos puertos; para ello, debe especificarlas en la lista de excepciones de puerto.

Notas
  • La lista de exenciones de puerto es una única lista global y aplica a todas las interfaces IP las direcciones.
  • La configuración de la excepción de puerto entra en vigor antes de establecer cualquier conexión TCP en el puerto. Recomendamos que configure todos los valores que están relacionados con MPP antes de iniciar las aplicaciones de servidor.

Valores predeterminados para estos valores en los servidores y en los clientes

Contraer esta tablaAmpliar esta tabla
Valores predeterminados en los servidoresValores predeterminados en los clientes
MPPHabilitada Deshabilitada
PerfilHabilitada Habilitada
Excepción de puertoSin exencionesSin exenciones
Nota: si estos ajustes se cambian y un administrador desea volver a la configuración predeterminada, puede utilizar el siguiente comando netsh:
netsh int tcp reset
Nota: consulte la sección "Problemas conocidos" antes de utilizar el comando netsh int tcp reset.

Configuración de estos ajustes en Windows Vista

Un administrador puede utilizar los comandos netsh para actualizar los ajustes MPP, Perfiles y Exención de puerto en tiempo de ejecución. Estos valores determinan si una conexión TCP es un candidato para la eliminación o no. Esta evaluación se realiza cuando se crea el bloque de control de transporte de la conexión TCP, en función de la configuración en ese momento.
  • netsh int tcp reset

    Restablece la configuración de seguridad junto con otra configuración de TCP. Esta configuración de seguridad incluye MPP, perfil, excepción de puerto y configuración de limitación de velocidad de conexión.
  • netsh int tcp mostrar seguridad

    Muestra la configuración de seguridad aplicada actualmente para MPP, perfiles y excepciones de puerto, si hay alguno.
  • netsh int tcp set seguridad mpp = [enabled|disabled|default]

    Alterna la configuración de MPP.
  • netsh int tcp establece perfiles de seguridad = [enabled|disabled|default]

    Activa o desactiva los perfiles de configuración.
  • netsh int tcp set seguridad startport = < x > numberofports = < y + mpp > 1 = [enabled|disabled|default]

    Especifica las excepciones de puerto para el intervalo de puerto de x a x+y. Debe asegurarse que x y x+y en el intervalo de puerto válido (0 - 65535).

    Ejemplos

    Agregue una exención de intervalo de puerto:
    Escriba el siguiente comando en el símbolo del sistema y presione ENTRAR:
    netsh int tcp set seguridad startport = 5000 numberofports = mpp 10 = deshabilitado
    Este comando deshabilita la característica MPP para puertos 5000 a 5009 (ambos inclusive).

    Eliminar una exención de intervalo de puerto:
    Escriba el siguiente comando en el símbolo del sistema y presione ENTRAR:
    netsh int tcp set seguridad startport = 5000 numberofports = mpp 10 = enable
    Este comando elimina la entrada de exención que agregó en el primer ejemplo.

    Intervalos de puertos de superposición de nota y sub-ranges no se controlan mediante el comando de netsh int tcp set seguridad.

Configuración de estos ajustes en Windows Server 2003

En Windows Server 2003, configure estos ajustes mediante el Registro.

Configuración del ajuste MPP en Windows Server 2003

Importante: esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. Sin embargo, se pueden producir graves problemas si modifica el Registro incorrectamente. Por tanto, asegúrese de que sigue estos pasos cuidadosamente. Para obtener más protección, haga una copia de seguridad del Registro antes de modificarlo. Después, puede restaurar el Registro si se produce un problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756
(http://support.microsoft.com/kb/322756/ )
Cómo realizar una copia de seguridad, modificar y restaurar el Registro en Windows XP y Windows Server 2003


Para habilitar o deshabilitar a la opción MPP, utilice las siguientes entradas del registro.
tenga en cuenta las siguientes entradas del registro no están disponibles de forma predeterminada. Debe crear para modificarlos. Aunque las entradas del Registro no estén presentes, el ajuste MPP se habilita de forma predeterminada y no se excluye ningún puerto.
  • Protocolo Internet versión 4 (IPv4):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableMPP
  • Protocolo Internet versión 6 (IPv6):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP
Por ejemplo, podría siga estos pasos para deshabilitar a la configuración MPP en IPv4:
  1. Haga clic en Inicio y en Ejecutar, escriba regedit en el cuadro Abrir y haga clic en Aceptar.
  2. Busque la siguiente subclave del Registro y haga clic en ella:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. En el menú Edición, seleccione Nuevo y haga clic en Valor DWORD.
  4. Escriba EnableMPP y, a continuación, presione ENTRAR.
  5. Haga clic con el botón secundario del mouse en EnableMPP y, después, haga clic en Modificar.
  6. En el cuadro Información del valor, escriba 0 y haga clic en Aceptar.
  7. Salga del Editor del Registro.
  8. Reinicie el equipo.
Notas
  • Si desea habilitar de nuevo el ajuste MPP, establezca el valor DWORD para la entrada del Registro EnableMPP en 1 y, a continuación, reinicie el equipo.
  • Puede seguir estos mismos pasos para configurar la siguiente entrada del registro para la configuración de MPP en IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP

Configure el valor de MPP para una interfaz determinada en Windows Server 2003

Importante: esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. Sin embargo, se pueden producir graves problemas si modifica el Registro incorrectamente. Por tanto, asegúrese de que sigue estos pasos cuidadosamente. Para obtener más protección, haga una copia de seguridad del Registro antes de modificarlo. Después, puede restaurar el Registro si se produce un problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756
(http://support.microsoft.com/kb/322756/ )
Cómo realizar una copia de seguridad, modificar y restaurar el Registro en Windows XP y Windows Server 2003


de nota de forma predeterminada, en Windows Server 2003, la característica MPP está habilitado en todas las interfaces.

Para habilitar o deshabilitar a la configuración de MPP para una interfaz determinada, utilice las siguientes subclaves del registro:
  • IPv4:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>\DisableMPPOnIF
  • IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF
Por ejemplo, podría siga estos pasos para deshabilitar a la configuración de MPP para una interfaz determinada en IPv4:
  1. Haga clic en Inicio y en Ejecutar, escriba regedit en el cuadro Abrir y haga clic en Aceptar.
  2. Busque la siguiente subclave del Registro y haga clic en ella:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>
  3. En el menú Edición, seleccione Nuevo y haga clic en Valor DWORD.
  4. Escriba DisableMPPOnIF y, a continuación, presione ENTRAR.
  5. Haga clic con el botón secundario del mouse en DisableMPPOnIF y, después, haga clic en Modificar.
  6. En el cuadro Información del valor, escriba 1 y haga clic en Aceptar.
  7. Salga del Editor del Registro.
  8. Reinicie el equipo.
Nota: puede seguir los mismos pasos para configurar la siguiente subclave del Registro para el ajuste MPP para una interfaz concreta en IPv6:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF

Establecer la excepción de puerto en Windows Server 2003

Importante: esta sección, método o tarea contiene pasos que le indican cómo modificar el Registro. Sin embargo, se pueden producir graves problemas si modifica el Registro incorrectamente. Por tanto, asegúrese de que sigue estos pasos cuidadosamente. Para obtener más protección, haga una copia de seguridad del Registro antes de modificarlo. Después, puede restaurar el Registro si se produce un problema. Para obtener más información acerca de cómo realizar una copia de seguridad y restaurar el Registro, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
322756
(http://support.microsoft.com/kb/322756/ )
Cómo realizar una copia de seguridad, modificar y restaurar el Registro en Windows XP y Windows Server 2003


Para especificar las excepciones de puerto para el intervalo de puerto de x a y, use las siguientes entradas del registro:
  • IPv4:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\MPPExcludedPorts
  • IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts
Por ejemplo, puede seguir estos pasos para especificar las exenciones de puerto para el intervalo de puertos desde xxxx a yyyy en IPv4:
  1. Haga clic en Inicio y en Ejecutar, escriba regedit en el cuadro Abrir y haga clic en Aceptar.
  2. Busque la siguiente subclave del Registro y haga clic en ella:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. En el menú Edición, seleccione Nuevo y haga clic en Valor de cadena múltiple.
  4. Escriba MPPExcludedPorts y, a continuación, presione ENTRAR.
  5. Haga clic con el botón secundario del mouse en MPPExcludedPorts y, después, haga clic en Modificar.
  6. En el cuadro Datos de valor, escriba el intervalo de puertos en formato xxxx-yyyy (por ejemplo, 5000-5010) y, a continuación, haga clic en Aceptar.
  7. Salga del Editor del Registro.
  8. Reinicie el equipo.
Notas
  • Debe especificar el intervalo de puerto en formato xxxx-yyyy, donde xxxx e yyyy se encuentran en el intervalo válido. El intervalo es incluidos de los valores de inicio y los valores de final.
  • Puede seguir estos pasos para configurar la siguiente subclave del registro la configuración de la excepción de puerto en IPv6:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts
  • Hay un límite de los 12 intervalos de puertos que pueden especificarse en esta lista. Se omitirá intervalos adicionales y no se aplican las exenciones.

Problemas conocidos

  • En Windows Vista SP2 y Windows Server 2008 SP2, el límite de velocidad de conexión se ve afectado por el comando netsh int tcp reset.

    Antes de instalar esta actualización de seguridad, netsh int tcp restablecer comando restablece la configuración de TCP. Esto incluye Chimney parámetros, notificación de congestión explícita (ECN), Receive Window Auto-Tuning, TCP compuesto (CTCP) y marcas de hora. Tras instalar esta actualización de seguridad, el comando netsh int tcp reset también restablece los ajustes de seguridad, incluidos MPP, Perfiles y de límite de velocidad de conexión. Incluso si se prevén configuración MPP y perfiles, restablecer la configuración de limitación de velocidad de conexión también ocurre en tiempo de ejecución. Para establecer la conexión tasa de limitación nuevo, tiene que modificar la subclave del registro. Para obtener más información acerca del ajuste de limitación de velocidad de conexión, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
    969710
    (http://support.microsoft.com/kb/969710/ )
    Cómo permitir el límite de conexiones TCP semiabiertas en Windows Vista con Service Pack 2 y Windows Server 2008 con Service Pack 2
  • En Windows Server 2003, si instala la actualización de seguridad 967723 y, a continuación, IPv6, el registro de sucesos contiene información similar a la siguiente para el Id. de suceso 4229 de IPv6:
    No se ha encontrado la descripción para el Id. de suceso 4229 desde Tcpip6 fuente. El componente que activa este suceso no está instalado en el equipo local, o bien la instalación se ha dañado. Puede instalar o reparar el componente en el equipo local.

    Si el evento se originó en otro equipo, la información de presentación se tenía que guardarse con el evento.

    La siguiente información se incluyó con el evento:

    el recurso de mensaje está presente, pero el mensaje no se encuentra en la tabla de cadenas o mensajes.
    Para resolver este problema, debe volver a instalar la actualización o agregar manualmente las siguientes subclaves del Registro:
    • En Windows Server 2003 SP2, agregue la cadena %systemroot%system32\w03a3409.dll bajo
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      .
    • En Windows Server 2003 SP1, agregue la cadena %systemroot%system32\w03a2409.dll bajo
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      .
    • En Windows Server 2003, agregue la cadena %systemroot%system32\ws03res.dll bajo
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      .
Volver al principio | Enviar comentarios

Propiedades

Id. de artículo: 974288 - Última revisión: lunes, 14 de septiembre de 2009 - Versión: 1.3
La información de este artículo se refiere a:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Palabras clave: 
kbsecvulnerability kbsecbulletin kbsecadvisory kbaccctrl kbsurveynew kbexpertisebeginner atdownload KB974288
Volver al principio | Enviar comentarios

Enviar comentarios

 
Volver al principioVolver al principio