Description de la nouvelle fonctionnalité de protection de pression de mémoire de pile TCP

Traductions disponibles Traductions disponibles
Numéro d'article: 974288 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

INTRODUCTION

Cet article décrit une nouvelle fonctionnalité de protection de pression de mémoire de pile TCP. Cette nouvelle fonctionnalité est fournie par la mise à jour de sécurité 967723.

Plus d'informations

La fonctionnalité de protection de pression de mémoire se compose de trois paramètres de sécurité. Ces paramètres sont la Protection de la pression de mémoire (MPP), les Profils et l'Exemption de port.

Le paramètre MPP

Le paramètre MPP définit la fonctionnalité et inclut les deux actions suivantes lorsqu'une attaque est détectée :
  • Supprimer les connexions TCP existantes
  • Rejeter les requêtes SYN entrantes
Un administrateur peut activer ou désactiver le paramètre MPP en utilisant les commandes netsh. Lorsque l'administrateur active ou désactive le paramètre MPP, cette fonctionnalité est activée ou désactivée.

Le paramètre Profils

La fonctionnalité Profils aide l'administrateur à faire la différence entre les interfaces publiques ou non. Si une interface peut accéder à un contrôleur de domaine, cela signifie qu'elle est jointe au domaine ou que l'administrateur peut configurer une interface pour qu'elle soit privée. La fonctionnalité Profils est uniquement disponible dans Windows Vista et Windows Server 2008.

Le paramètre Profils détermine la capacité de l'ordinateur à supprimer des connexions TCP et à rejeter des requêtes SYN entrantes dans l'interface jointe au domaine et dans l'interface privée lorsque l'ordinateur est attaqué et que la mémoire est insuffisante. Dans Windows Server 2003, un administrateur doit utiliser des entrées de Registre pour désactiver la fonctionnalité MPP dans une interface particulière. Pour plus d'informations, reportez-vous à la section « Configuration de ces paramètres dans Windows Server 2003 ». Par défaut, le paramètre Profils est activé. Si ce paramètre est activé, l'administrateur a décidé de ne pas supprimer les connexions TCP ou de ne pas rejeter les requêtes SYN dans l'interface jointe au domaine et dans l'interface privée dans certaines circonstances. Si l'administrateur veut supprimer les connexions TCP et rejeter les requêtes SYN dans l'interface jointe au domaine et dans l'interface privée lors d'une attaque, le paramètre Profils doit être désactivé.

Remarque Si le paramètre MPP est activé et qu'une attaque est détectée, l'administrateur ne peut pas arrêter la suppression des connexions dans les interfaces publiques même si le paramètre Profil est activé. Le paramètre Profils est conçu pour les interfaces jointes au domaine et privées. Toutefois, dans ces circonstances, un administrateur peut utiliser le paramètre Exemption de port pour exclure certains ports dans les interfaces publiques de l'action MPP.

Le paramètre Exemption de port

Le paramètre Exemption de port permet à l'administrateur de définir des exceptions spécifiques au port. Par défaut, lorsque le paramètre MPP est activé, la fonctionnalité Protection de la pression de mémoire est activée pour les connexions de tous les ports. Si une attaque est détectée, les connexions existantes peuvent être supprimées ou les requêtes SYN entrantes peuvent être rejetées, en fonction des paramètres MPP et Profils. Cependant, un administrateur peut définir des exceptions pour les connexions de certains ports en les mentionnant dans la liste des exceptions de port.

Remarques
  • La liste Exemption de port est une liste globale unique qui s'applique à toutes les interfaces et adresses IP.
  • Le paramètre Exemption de port entre en vigueur avant l'établissement d'une connexion TCP sur le port. Nous vous recommandons de configurer tous les paramètres liés à MPP avant de démarrer les applications serveur.

Valeurs par défaut pour ces paramètres sur les serveurs et les clients

Réduire ce tableauAgrandir ce tableau
Valeurs par défaut sur les serveursValeurs par défaut sur les clients
MPPActivé Désactivé
ProfilActivé Activé
Exemption de portAucune exemptionAucune exemption
Remarque Si ces paramètres sont modifiés et qu'un administrateur souhaite restaurer les paramètres par défaut, il peut utiliser la commande netsh suivante :
netsh int tcp reset
Remarque Reportez-vous à la section « Problèmes connus » avant d'utiliser la commande netsh int tcp reset.

Configuration de ces paramètres dans Windows Vista

Un administrateur peut utiliser les commandes netsh pour mettre à jour les paramètres MPP, Profils et Exemption de port au moment de l'exécution. Ces paramètres déterminent si une connexion TCP est candidate au nettoyage ou pas. Cette évaluation est effectuée lorsque le bloc de contrôle de transmission de cette connexion TCP est créé, en fonction des paramètres définis à cet instant.
  • netsh int tcp reset

    Restaure les paramètres de sécurité avec les autres paramètres TCP. Ces paramètres de sécurité incluent les paramètres MPP, Profil, Exemption de port et le paramètre de limitation de vitesse de connexion.
  • netsh int tcp show security

    Affiche les paramètres de sécurité actuellement appliqués pour MPP, Profils et Exemptions de port, le cas échéant.
  • netsh int tcp set security mpp=[enabled|disabled|default]

    Active ou désactive les paramètres MPP.
  • netsh int tcp set security Profiles=[enabled|disabled|default]

    Active ou désactive le paramètre Profils.
  • netsh int tcp set security startport=<x> numberofports=<y+1> mpp=[enabled|disabled|default]

    Spécifie les exemptions de port pour la plage de ports de x à x+y. Vous devez vous assurer que x et x+y sont situés dans la plage de ports valides (0 - 65535).

    Exemples

    Ajouter une exemption de plage de ports :
    Tapez la commande suivante à l'invite de commandes, puis appuyez sur Entrée :
    netsh int tcp set security startport=5000 numberofports=10 mpp=disabled
    Cette commande désactive la fonctionnalité MPP pour les ports 5000 à 5009 (tous deux inclus).

    Supprimer une exemption de plage de ports :
    Tapez la commande suivante à l'invite de commandes, puis appuyez sur Entrée :
    netsh int tcp set security startport=5000 numberofports=10 mpp=enable
    Cette commande supprime l'entrée d'exemption qui a été ajoutée dans le premier exemple.

    Remarque Les plages de ports et les sous-plages superposées ne sont pas gérées par la commande netsh int tcp set security.

Configuration de ces paramètres dans Windows Server 2003

Dans Windows Server 2003, vous devez configurer ces paramètres en utilisant le Registre.

Configuration du paramètre MPP dans Windows Server 2003

Important Cette section, méthode ou tâche, contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour plus de protection, effectuez une sauvegarde du Registre avant de le modifier. Vous serez alors en mesure de le restaurer en cas de problème. Pour plus d'informations sur la sauvegarde et la restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
322756 Comment faire pour sauvegarder, modifier et restaurer le Registre dans Windows XP et Windows Server 2003


Pour activer ou désactiver le paramètre MPP, utilisez les entrées de Registre suivantes.
Remarque Les entrées de Registre suivantes ne sont pas disponibles par défaut. Vous devez les créer pour les modifier. Même si les entrées de Registre sont absentes, le paramètre MPP est activé par défaut et aucun port n'est exempté.
  • Protocole Internet version 4 (IPv4) :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableMPP
  • Protocole Internet version 6 (IPv6) :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP
Par exemple, vous pouvez procéder comme suit pour désactiver le paramètre MPP sur IPv4 :
  1. Cliquez sur Démarrer, Exécuter, tapez regedit dans la zone Ouvrir, puis cliquez sur OK.
  2. Recherchez la sous-clé de Registre suivante et cliquez dessus :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. Dans le menu Edition, pointez sur Nouveau, puis cliquez sur Valeur DWORD.
  4. Tapez EnableMPP, puis appuyez sur Entrée.
  5. Cliquez avec le bouton droit sur EnableMPP, puis cliquez sur Modifier.
  6. Dans la zone Données de la valeur, tapez 0, puis cliquez sur OK.
  7. Quittez l'Éditeur du Registre.
  8. Redémarrez l'ordinateur.
Remarques
  • Si vous souhaitez réactiver le paramètre MPP, définissez la valeur DWORD pour l'entrée de Registre EnableMPP sur 1, puis redémarrez l'ordinateur.
  • Vous pouvez suivre ces mêmes étapes pour configurer l'entrée de Registre suivante pour le paramètre MPP sur IPv6 :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP

Configuration du paramètre MPP pour une interface particulière dans Windows Server 2003

Important Cette section, méthode ou tâche, contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour plus de protection, effectuez une sauvegarde du Registre avant de le modifier. Vous serez alors en mesure de le restaurer en cas de problème. Pour plus d'informations sur la sauvegarde et la restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
322756 Comment faire pour sauvegarder, modifier et restaurer le Registre dans Windows XP et Windows Server 2003


Remarque Par défaut, dans Windows Server 2003, la fonctionnalité MPP est activée sur toutes les interfaces.

Pour activer ou désactiver le paramètre MPP pour une interface particulière, utilisez les sous-clés de Registre suivantes :
  • IPv4 :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>\DisableMPPOnIF
  • IPv6 :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF
Vous pouvez par exemple procéder comme suit pour désactiver le paramètre MPP pour une interface particulière sur IPv4 :
  1. Cliquez sur Démarrer, Exécuter, tapez regedit dans la zone Ouvrir, puis cliquez sur OK.
  2. Recherchez la sous-clé de Registre suivante et cliquez dessus :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>
  3. Dans le menu Edition, pointez sur Nouveau, puis cliquez sur Valeur DWORD.
  4. Tapez DisableMPPOnIF et appuyez sur Entrée.
  5. Cliquez avec le bouton droit sur DisableMPPOnIF, puis cliquez sur Modifier.
  6. Dans la zone Données de la valeur, tapez 1, puis cliquez sur OK.
  7. Quittez l'Éditeur du Registre.
  8. Redémarrez l'ordinateur.
Remarque Vous pouvez suivre ces mêmes étapes pour configurer la sous-clé de Registre suivante pour le paramètre MPP pour une interface particulière sur IPv6 :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF

Configuration du paramètre Exemption de port dans Windows Server 2003

Important Cette section, méthode ou tâche, contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour plus de protection, effectuez une sauvegarde du Registre avant de le modifier. Vous serez alors en mesure de le restaurer en cas de problème. Pour plus d'informations sur la sauvegarde et la restauration du Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
322756 Comment faire pour sauvegarder, modifier et restaurer le Registre dans Windows XP et Windows Server 2003


Pour spécifier les exemptions de port pour la plage de ports de x à y, utilisez les entrées de Registre suivantes :
  • IPv4 :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\MPPExcludedPorts
  • IPv6 :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts
Vous pouvez par exemple procéder comme suit pour spécifier les exemptions de port pour la plage de ports de xxxx à yyyy sur IPv4 :
  1. Cliquez sur Démarrer, Exécuter, tapez regedit dans la zone Ouvrir, puis cliquez sur OK.
  2. Recherchez la sous-clé de Registre suivante et cliquez dessus :
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. Dans le menu Edition, pointez sur Nouveau, puis cliquez sur Valeur de chaînes multiples.
  4. Tapez MPPExcludedPorts et appuyez sur Entrée.
  5. Cliquez avec le bouton droit sur MPPExcludedPorts, puis cliquez sur Modifier.
  6. Dans la zone Données de la valeur, tapez la plage de ports au format xxxx-yyyy (par exemple 5000-5010), puis cliquez sur OK.
  7. Quittez l'Éditeur du Registre.
  8. Redémarrez l'ordinateur.
Remarques
  • Vous devez spécifier la plage de ports au format xxxx-yyyy, avec xxxx et yyyy situés dans la plage de ports valide. La plage comprend les valeurs de début et les valeurs de fin.
  • Vous pouvez suivre ces étapes pour configurer la sous-clé de Registre suivante pour le paramètre Exemption de port sur IPv6 :

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts
  • Il existe une limite de 12 plages de ports qui peuvent être spécifiées dans cette liste. Les plages supplémentaires seront ignorées et les exemptions ne seront pas appliquées.

Problèmes connus

  • Dans Windows Vista SP2 et Windows Server 2008 SP2, la limite de vitesse de connexion est affectée par la commande netsh int tcp reset.

    Avant d'installer cette mise à jour de sécurité, la commande netsh int tcp reset réinitialise les paramètres TCP. Cela inclut les paramètres Chimney, la Notification Explicite de Congestion (ECN), le réglage automatique de la fenêtre de réception, le protocole Compound TCP (CTCP) et les horodatages. Après l'installation de cette mise à jour de sécurité, la commande netsh int tcp reset réinitialise aussi les paramètres de sécurité, y compris les paramètres MPP, Profils et le paramètre de limitation de vitesse de connexion. Même si les paramètres MPP et Profils sont attendus, la réinitialisation du paramètre de limitation de vitesse de connexion se produit également lors de l'exécution. Pour définir de nouveau la limitation de vitesse de connexion, vous devez modifier la sous-clé de Registre. Pour plus d'informations sur le paramètre de limitation de vitesse de connexion, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
    969710 Procédure d'activation de la limite de connexions TCP à moitié ouvertes dans Windows Vista Service Pack 2 et dans Windows Server 2008 Service Pack 2
  • Dans Windows Server 2003, si vous installez la mise à jour de sécurité 967723 puis IPv6, le journal des événements contient des informations qui ressemblent aux informations suivantes concernant IPv6 ID événement 4229 :
    Impossible de trouver la description de ID événement 4229 depuis la source Tcpip6. Soit le composant qui a déclenché cet événement n'est pas installé sur l'ordinateur local, soit l'installation est endommagée. Vous pouvez installer ou réparer le composant sur l'ordinateur local.

    Si l'événement provient d'un autre ordinateur, les informations d'affichage doivent être enregistrées avec l'événement.

    Les informations suivantes étaient incluses avec l'événement :

    la ressource de message est présente mais le message est introuvable dans la table chaîne/message
    Pour résoudre ce problème, vous devez réinstaller la mise à jour ou ajouter les sous-clés de Registre suivantes manuellement :
    • Dans Windows Server 2003 SP2, ajoutez la chaîne %systemroot%system32\w03a3409.dll sous
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      .
    • Dans Windows Server 2003 SP1, ajoutez la chaîne %systemroot%system32\w03a2409.dll sous
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      .
    • Dans Windows Server 2003, ajoutez la chaîne %systemroot%system32\ws03res.dll sous
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      .

Propriétés

Numéro d'article: 974288 - Dernière mise à jour: vendredi 11 septembre 2009 - Version: 1.3
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Professionnel
  • Windows Vista Entreprise
  • Windows Vista Édition Familiale Basique
  • Windows Vista Édition Familiale Premium
  • Windows Vista Starter
  • Windows Vista Édition Intégrale
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Mots-clés : 
kbsecvulnerability kbsecbulletin kbsecadvisory kbaccctrl kbsurveynew kbexpertisebeginner atdownload KB974288
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com