Se connecter avec Microsoft
S'identifier ou créer un compte.
Bonjour,
Sélectionnez un autre compte.
Vous avez plusieurs comptes
Choisissez le compte avec lequel vous voulez vous connecter.

INTRODUCTION

Cet article décrit une nouvelle fonctionnalité de protection de pression de mémoire de pile TCP. Cette nouvelle fonctionnalité est fournie par la mise à jour de sécurité 967723.

Plus d'informations

La fonctionnalité de protection de pression de mémoire se compose de trois paramètres de sécurité. Ces paramètres sont la Protection de la pression de mémoire (MPP), les Profils et l'Exemption de port.

Le paramètre MPP

Le paramètre MPP définit la fonctionnalité et inclut les deux actions suivantes lorsqu'une attaque est détectée :

  • Supprimer les connexions TCP existantes

  • Rejeter les requêtes SYN entrantes

Un administrateur peut activer ou désactiver le paramètre MPP en utilisant les commandes netsh. Lorsque l'administrateur active ou désactive le paramètre MPP, cette fonctionnalité est activée ou désactivée.

Le paramètre Profils

La fonctionnalité Profils aide l'administrateur à faire la différence entre les interfaces publiques ou non. Si une interface peut accéder à un contrôleur de domaine, cela signifie qu'elle est jointe au domaine ou que l'administrateur peut configurer une interface pour qu'elle soit privée. La fonctionnalité Profils est uniquement disponible dans Windows Vista et Windows Server 2008.

Le paramètre Profils détermine la capacité de l'ordinateur à supprimer des connexions TCP et à rejeter des requêtes SYN entrantes dans l'interface jointe au domaine et dans l'interface privée lorsque l'ordinateur est attaqué et que la mémoire est insuffisante. Dans Windows Server 2003, un administrateur doit utiliser des entrées de Registre pour désactiver la fonctionnalité MPP dans une interface particulière. Pour plus d'informations, reportez-vous à la section « Configuration de ces paramètres dans Windows Server 2003 ». Par défaut, le paramètre Profils est activé. Si ce paramètre est activé, l'administrateur a décidé de ne pas supprimer les connexions TCP ou de ne pas rejeter les requêtes SYN dans l'interface jointe au domaine et dans l'interface privée dans certaines circonstances. Si l'administrateur veut supprimer les connexions TCP et rejeter les requêtes SYN dans l'interface jointe au domaine et dans l'interface privée lors d'une attaque, le paramètre Profils doit être désactivé.

Remarque Si le paramètre MPP est activé et qu'une attaque est détectée, l'administrateur ne peut pas arrêter la suppression des connexions dans les interfaces publiques même si le paramètre Profil est activé. Le paramètre Profils est conçu pour les interfaces jointes au domaine et privées. Toutefois, dans ces circonstances, un administrateur peut utiliser le paramètre Exemption de port pour exclure certains ports dans les interfaces publiques de l'action MPP.

Le paramètre Exemption de port

Le paramètre Exemption de port permet à l'administrateur de définir des exceptions spécifiques au port. Par défaut, lorsque le paramètre MPP est activé, la fonctionnalité Protection de la pression de mémoire est activée pour les connexions de tous les ports. Si une attaque est détectée, les connexions existantes peuvent être supprimées ou les requêtes SYN entrantes peuvent être rejetées, en fonction des paramètres MPP et Profils. Cependant, un administrateur peut définir des exceptions pour les connexions de certains ports en les mentionnant dans la liste des exceptions de port.

Remarques

  • La liste Exemption de port est une liste globale unique qui s'applique à toutes les interfaces et adresses IP.

  • Le paramètre Exemption de port entre en vigueur avant l'établissement d'une connexion TCP sur le port. Nous vous recommandons de configurer tous les paramètres liés à MPP avant de démarrer les applications serveur.

Valeurs par défaut pour ces paramètres sur les serveurs et les clients

Valeurs par défaut sur les serveurs

Valeurs par défaut sur les clients

MPP

Activé

Désactivé

Profil

Activé

Activé

Exemption de port

Aucune exemption

Aucune exemption

Remarque Si ces paramètres sont modifiés et qu'un administrateur souhaite restaurer les paramètres par défaut, il peut utiliser la commande netsh suivante :

netsh int tcp resetRemarque Reportez-vous à la section « Problèmes connus » avant d'utiliser la commande netsh int tcp reset.

Configuration de ces paramètres dans Windows Vista

Un administrateur peut utiliser les commandes netsh pour mettre à jour les paramètres MPP, Profils et Exemption de port au moment de l'exécution. Ces paramètres déterminent si une connexion TCP est candidate au nettoyage ou pas. Cette évaluation est effectuée lorsque le bloc de contrôle de transmission de cette connexion TCP est créé, en fonction des paramètres définis à cet instant.

  • netsh int tcp reset

    Restaure les paramètres de sécurité avec les autres paramètres TCP. Ces paramètres de sécurité incluent les paramètres MPP, Profil, Exemption de port et le paramètre de limitation de vitesse de connexion.

  • netsh int tcp show security

    Affiche les paramètres de sécurité actuellement appliqués pour MPP, Profils et Exemptions de port, le cas échéant.

  • netsh int tcp set security mpp=[enabled|disabled|default]

    Active ou désactive les paramètres MPP.

  • netsh int tcp set security Profiles=[enabled|disabled|default]

    Active ou désactive le paramètre Profils.

  • netsh int tcp set security startport=<x> numberofports=<y+1> mpp=[enabled|disabled|default]

    Spécifie les exemptions de port pour la plage de ports de x à x+y. Vous devez vous assurer que x et x+y sont situés dans la plage de ports valides (0 - 65535).

    Exemples

    Ajouter une exemption de plage de ports :
    Tapez la commande suivante à l'invite de commandes, puis appuyez sur Entrée :

    netsh int tcp set security startport=5000 numberofports=10 mpp=disabledCette commande désactive la fonctionnalité MPP pour les ports 5000 à 5009 (tous deux inclus).



    Supprimer une exemption de plage de ports :
    Tapez la commande suivante à l'invite de commandes, puis appuyez sur Entrée :

    netsh int tcp set security startport=5000 numberofports=10 mpp=enableCette commande supprime l'entrée d'exemption qui a été ajoutée dans le premier exemple.


    Remarque Les plages de ports et les sous-plages superposées ne sont pas gérées par la commande netsh int tcp set security.

Configuration de ces paramètres dans Windows Server 2003

Dans Windows Server 2003, vous devez configurer ces paramètres en utilisant le Registre.

Configuration du paramètre MPP dans Windows Server 2003

Important Cette section, méthode ou tâche, contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour plus de protection, effectuez une sauvegarde du Registre avant de le modifier. Vous serez alors en mesure de le restaurer en cas de problème. Pour plus d'informations sur la sauvegarde et la restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.

322756 Comment faire pour sauvegarder, modifier et restaurer le Registre dans Windows XP et Windows Server 2003

Pour activer ou désactiver le paramètre MPP, utilisez les entrées de Registre suivantes.
Remarque Les entrées de Registre suivantes ne sont pas disponibles par défaut. Vous devez les créer pour les modifier. Même si les entrées de Registre sont absentes, le paramètre MPP est activé par défaut et aucun port n'est exempté.

  • Protocole Internet version 4 (IPv4) :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableMPP

  • Protocole Internet version 6 (IPv6) :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP

Par exemple, vous pouvez procéder comme suit pour désactiver le paramètre MPP sur IPv4 :

  1. Cliquez sur Démarrer, Exécuter, tapez regedit dans la zone Ouvrir, puis cliquez sur OK.

  2. Recherchez la sous-clé de Registre suivante et cliquez dessus :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

  3. Dans le menu Edition, pointez sur Nouveau, puis cliquez sur Valeur DWORD.

  4. Tapez EnableMPP, puis appuyez sur Entrée.

  5. Cliquez avec le bouton droit sur EnableMPP, puis cliquez sur Modifier.

  6. Dans la zone Données de la valeur, tapez 0, puis cliquez sur OK.

  7. Quittez l'Éditeur du Registre.

  8. Redémarrez l'ordinateur.

Remarques

  • Si vous souhaitez réactiver le paramètre MPP, définissez la valeur DWORD pour l'entrée de Registre EnableMPP sur 1, puis redémarrez l'ordinateur.

  • Vous pouvez suivre ces mêmes étapes pour configurer l'entrée de Registre suivante pour le paramètre MPP sur IPv6 :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP

Configuration du paramètre MPP pour une interface particulière dans Windows Server 2003

Important Cette section, méthode ou tâche, contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour plus de protection, effectuez une sauvegarde du Registre avant de le modifier. Vous serez alors en mesure de le restaurer en cas de problème. Pour plus d'informations sur la sauvegarde et la restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.

322756 Comment faire pour sauvegarder, modifier et restaurer le Registre dans Windows XP et Windows Server 2003

Remarque Par défaut, dans Windows Server 2003, la fonctionnalité MPP est activée sur toutes les interfaces.

Pour activer ou désactiver le paramètre MPP pour une interface particulière, utilisez les sous-clés de Registre suivantes :

  • IPv4 :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>\DisableMPPOnIF

  • IPv6 :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF

Vous pouvez par exemple procéder comme suit pour désactiver le paramètre MPP pour une interface particulière sur IPv4 :

  1. Cliquez sur Démarrer, Exécuter, tapez regedit dans la zone Ouvrir, puis cliquez sur OK.

  2. Recherchez la sous-clé de Registre suivante et cliquez dessus :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>

  3. Dans le menu Edition, pointez sur Nouveau, puis cliquez sur Valeur DWORD.

  4. Tapez DisableMPPOnIF et appuyez sur Entrée.

  5. Cliquez avec le bouton droit sur DisableMPPOnIF, puis cliquez sur Modifier.

  6. Dans la zone Données de la valeur, tapez 1, puis cliquez sur OK.

  7. Quittez l'Éditeur du Registre.

  8. Redémarrez l'ordinateur.

Remarque Vous pouvez suivre ces mêmes étapes pour configurer la sous-clé de Registre suivante pour le paramètre MPP pour une interface particulière sur IPv6 :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF

Configuration du paramètre Exemption de port dans Windows Server 2003

Important Cette section, méthode ou tâche, contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour plus de protection, effectuez une sauvegarde du Registre avant de le modifier. Vous serez alors en mesure de le restaurer en cas de problème. Pour plus d'informations sur la sauvegarde et la restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.

322756 Comment faire pour sauvegarder, modifier et restaurer le Registre dans Windows XP et Windows Server 2003

Pour spécifier les exemptions de port pour la plage de ports de x à y, utilisez les entrées de Registre suivantes :

  • IPv4 :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\MPPExcludedPorts

  • IPv6 :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts

Vous pouvez par exemple procéder comme suit pour spécifier les exemptions de port pour la plage de ports de xxxx à yyyy sur IPv4 :

  1. Cliquez sur Démarrer, Exécuter, tapez regedit dans la zone Ouvrir, puis cliquez sur OK.

  2. Recherchez la sous-clé de Registre suivante et cliquez dessus :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

  3. Dans le menu Edition, pointez sur Nouveau, puis cliquez sur Valeur de chaînes multiples.

  4. Tapez MPPExcludedPorts et appuyez sur Entrée.

  5. Cliquez avec le bouton droit sur MPPExcludedPorts, puis cliquez sur Modifier.

  6. Dans la zone Données de la valeur, tapez la plage de ports au format xxxx-yyyy (par exemple 5000-5010), puis cliquez sur OK.

  7. Quittez l'Éditeur du Registre.

  8. Redémarrez l'ordinateur.

Remarques

  • Vous devez spécifier la plage de ports au format xxxx-yyyy, avec xxxx et yyyy situés dans la plage de ports valide. La plage comprend les valeurs de début et les valeurs de fin.

  • Vous pouvez suivre ces étapes pour configurer la sous-clé de Registre suivante pour le paramètre Exemption de port sur IPv6 :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts

  • Il existe une limite de 12 plages de ports qui peuvent être spécifiées dans cette liste. Les plages supplémentaires seront ignorées et les exemptions ne seront pas appliquées.

Problèmes connus

  • Dans Windows Vista SP2 et Windows Server 2008 SP2, la limite de vitesse de connexion est affectée par la commande netsh int tcp reset.

    Avant d'installer cette mise à jour de sécurité, la commande netsh int tcp reset réinitialise les paramètres TCP. Cela inclut les paramètres Chimney, la Notification Explicite de Congestion (ECN), le réglage automatique de la fenêtre de réception, le protocole Compound TCP (CTCP) et les horodatages. Après l'installation de cette mise à jour de sécurité, la commande netsh int tcp reset réinitialise aussi les paramètres de sécurité, y compris les paramètres MPP, Profils et le paramètre de limitation de vitesse de connexion. Même si les paramètres MPP et Profils sont attendus, la réinitialisation du paramètre de limitation de vitesse de connexion se produit également lors de l'exécution. Pour définir de nouveau la limitation de vitesse de connexion, vous devez modifier la sous-clé de Registre.Pour plus d'informations sur le paramètre de limitation de vitesse de connexion, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :

    969710 Procédure d'activation de la limite de connexions TCP à moitié ouvertes dans Windows Vista Service Pack 2 et dans Windows Server 2008 Service Pack 2

  • Dans Windows Server 2003, si vous installez la mise à jour de sécurité 967723 puis IPv6, le journal des événements contient des informations qui ressemblent aux informations suivantes concernant IPv6 ID événement 4229 :

    Impossible de trouver la description de ID événement 4229 depuis la source Tcpip6. Soit le composant qui a déclenché cet événement n'est pas installé sur l'ordinateur local, soit l'installation est endommagée. Vous pouvez installer ou réparer le composant sur l'ordinateur local.

    Si l'événement provient d'un autre ordinateur, les informations d'affichage doivent être enregistrées avec l'événement.

    Les informations suivantes étaient incluses avec l'événement :

    la ressource de message est présente mais le message est introuvable dans la table chaîne/message Pour résoudre ce problème, vous devez réinstaller la mise à jour ou ajouter les sous-clés de Registre suivantes manuellement :

    • Dans Windows Server 2003 SP2, ajoutez la chaîne %systemroot%system32\w03a3409.dll sous HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile.

    • Dans Windows Server 2003 SP1, ajoutez la chaîne %systemroot%system32\w03a2409.dll sous HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile.

    • Dans Windows Server 2003, ajoutez la chaîne %systemroot%system32\ws03res.dll sous HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile.

Facebook LinkedIn E-mail

Besoin d’aide ?

Vous voulez plus d’options ?

Découvrir Communauté

Explorez les avantages de l’abonnement, parcourez les cours de formation, découvrez comment sécuriser votre appareil, etc.

Avantages de l’abonnement Microsoft 365

Formation Microsoft 365

Sécurité Microsoft

Centre d’accessibilité

Les communautés vous permettent de poser des questions et d'y répondre, de donner vos commentaires et de bénéficier de l'avis d'experts aux connaissances approfondies.

Demandez à la Communauté Microsoft

Communauté technique Microsoft

Windows Insiders

Microsoft 365 Insiders

Ces informations vous ont-elles été utiles ?

Dans quelle mesure êtes-vous satisfait(e) de la qualité de la langue ?
Qu’est-ce qui a affecté votre expérience ?
En cliquant sur Envoyer, vos commentaires seront utilisés pour améliorer les produits et services de Microsoft. Votre administrateur informatique sera en mesure de collecter ces données. Déclaration de confidentialité.

Nous vous remercions de vos commentaires.

×