תיאור התכונה החדשה של הגנת לחץ זיכרון עבור מחסנית TCP

מספר מאמר: 974288 - הצג מוצרים שמאמר זה מתייחס אליהם.
הרחב הכל | כווץ הכל

בעמוד זה

מבוא

מאמר זה מתאר תכונה חדשה של הגנת לחץ זיכרון עבור מחסנית TCP. תכונה חדשה זו מסופקת באמצעות עדכון אבטחה 967723.
לראש הדף | ספק משוב

מידע נוסף

תכונת הגנת לחץ זיכרון כוללת שלוש הגדרות אבטחה. הגדרות אלו כוללות הגנת לחץ זיכרון (MPP), פרופילים והחרגת יציאות (Port Exemption).

הגדרת MPP

הגדרת MPP מגדירה את התכונה, והיא כוללת את שתי הפעילויות הבאות בעת זיהוי התקפה:
  • ניתוק חיבורי TCP הקיימים.
  • השמטת בקשות SYN נכנסות.
מנהל מערכת יכול להפעיל או להשבית את הגדרת MPP באמצעות פקודות netsh. כאשר מנהל המערכת מפעיל או משבית את הגדרת MPP, תכונה זו פעילה או מושבתת.

ההגדרה 'פרופילים'

התכונה 'פרופילים' מסייעת למנהל המערכת להבחין בין ממשקים ציבוריים לממשקים שאינם ציבוריים. אם ממשק יכול לגשת לבקר התחום, הדבר מציין שהממשק מקושר-תחום או שמנהל המערכת יכול להגדיר ממשק להיות פרטי. התכונה 'פרופילים' זמינה רק ב- Windows Vista וב- Windows Server 2008.

ההגדרה 'פרופילים' קובעת את היכולת של המחשב לנתק חיבורי TCP ולהשמיט בקשות SYN נכנסות בממשק מקושר-תחום ובממשק הפרטי כאשר המחשב נתון להתקפה עם מעט זיכרון. ב- Windows Server 2003, מנהל מערכת נדרש להשתמש בערכי רישום להשבתת תכונת MPP בממשק מסוים. לקבלת מידע נוסף, עיין בסעיף "קביעת הגדרות אלו ב- Windows Server 2003". כברירת מחדל, ההגדרה 'פרופילים' מופעלת. כאשר הגדרה זו מופעלת, סימן שמנהל המערכת החליט לא לנתק חיבורי TCP או להשמיט בקשות SYN בממשק מקושר-תחום ובממשק הפרטי בכל תנאי שהוא. אם מנהל המערכת רוצה לנתק חיבורי TCP ולהשמיט בקשות SYN בממשק המקושר-תחום ובממשק הפרטי כאשר מתקיימת התקפה, יש להשבית את ההגדרה 'פרופילים'.

הערה אם הגדרת MPP מופעלת ומזוהה התקפה, מנהל המערכת אינו יכול להפסיק לנתק חיבורים בממשקים ציבוריים גם אם מופעלת ההגדרה 'פרופילים'. תכונת ההגדרה 'פרופילים' מיועדת לממשקים מקושרי-תחום ופרטיים. עם זאת, במקרים אלה, מנהל מערכת יכול להשתמש בהגדרה 'החרגת יציאות' (Port Exemption) להחרגת יציאות מסוימות בממשקים ציבוריים מפעולת MPP.

ההגדרה 'החרגת יציאות' (Port Exemption)

ההגדרה 'החרגת יציאות' מאפשרת למנהל המערכת לקבוע חריגים עבור יציאות מסוימות. כברירת מחדל, כאשר הגדרת MPP מופעלת, תכונת הגנת לחץ זיכרון מופעלת עבור חיבורים בכל היציאות. אם מזוהה התקפה, החיבורים הקיימים עשויים להיות מנותקים או שבקשות SYN נכנסות עלולות להישמט, בהתאם להגדרות MPP ו'פרופילים'. עם זאת, מנהל מערכת יכול לקבוע חריגים עבור חיבורים ביציאות מסוימות על-ידי הגדרתן ברשימת החריגים של היציאות.

הערות
  • רשימת 'החרגת יציאות' היא רשימה גלובלית יחידה וחלה על כל הממשקים ועל כל כתובות IP.
  • הגדרת 'החרגת יציאות' משפיעה לפני שנוצר חיבור TCP כלשהו ביציאה. מומלץ לקבוע את כל ההגדרות הקשורות ל-MPP לפני הפעלת יישומי השרת.

ערכי ברירת המחדל עבור הגדרות אלו בשרתים ובלקוחות

כווץ את הטבלההרחב את הטבלה
ערכי ברירת מחדל בשרתיםערכי ברירת מחדל בלקוחות
MPPמופעל מושבת
פרופילמופעל מופעל
החרגת יציאותאין החרגותאין החרגות
הערה אם משנים הגדרות אלו, ומנהל מערכת רוצה לחזור להגדרות ברירת המחדל, מנהל המערכת יכול להשתמש בפקודת netsh הבאה:
netsh int tcp reset
הערה עיין בסעיף "בעיות מוכרות" לפני שתשתמש בפקודה netsh int tcp reset.

קביעת הגדרות אלו ב- Windows Vista

מנהל מערכת יכול להשתמש בפקודות netsh לעדכון הגדרות MPP, 'פרופילים' ו'החרגת יציאות' בזמן ריצה. הגדרות אלו קובעות האם חיבור TCP מועמד לקיצוץ או לא. הערכה זו מתבצעת כאשר ה-Transmission Control Block של אותו חיבור TCP נוצר, בהתאם להגדרות באותה עת.
  • netsh int tcp reset

    מאפס את הגדרות האבטחה ביחד עם הגדרות TCP האחרות. הגדרות אבטחה אלו כוללות את ההגדרות MPP, פרופילים, החרגת יציאות, והגבלת קצב החיבור.
  • netsh int tcp show security

    מציג את הגדרות האבטחה הנוכחיות עבור MPP, פרופילים והחרגת יציאות, אם הן הוגדרו.
  • ?netsh int tcp set security mpp=[enabled|disabled|default]?

    מחליף בין הגדרות MPP.
  • ?netsh int tcp set security Profiles=[enabled|disabled|default]?

    מחליף בין הגדרות פרופילים.
  • ?netsh int tcp set security startport=<x> numberofports=<y+1> mpp=[enabled|disabled|default] ?

    מציין את החרגת היציאות עבור תחום היציאות בין x ל- x+y. עליך להקפיד לוודא שהערכים x ו- x+y נמצאים בטווח חוקי של כתובות יציאות (0 - 65535).

    דוגמאות

    הוספת טווח של יציאות חריגות:
    הקלד את הפקודה הבאה בשורת הפקודה ולאחר מכן הקש ENTER:
    ?netsh int tcp set security startport=5000 numberofports=10 mpp=disabled?
    פקודה זו משביתה את תכונת MPP עבור היציאות 5000 עד 5009 (כולל שני הקצוות).

    מחיקת טווח של יציאות חריגות:
    הקלד את הפקודה הבאה בשורת הפקודה ולאחר מכן הקש ENTER:
    netsh int tcp set security startport=5000 numberofports=10 mpp=enable
    פקודה זו מוחקת את רישום החריגה שנוסף בדוגמה הראשונה.

    הערה טווחים וטווחי משנה חופפים של יציאות אינם מטופלים באמצעות הפקודה netsh int tcp set security.

קביעת הגדרות אלו ב- Windows Server 2003

ב- Windows Server 2003, עליך לקבוע הגדרות אלו באמצעות שימוש ברישום.

קביעת הגדרת MPP ב-Windows Server 2003

חשוב הסעיף, השיטה או המשימה במאמר זה מכילים פעולות המציינות כיצד לשנות את הרישום. עם זאת, אם תשנה את הרישום באופן שגוי עלולות להתרחש בעיות חמורות. לכן הקפד לבצע פעולות אלה בזהירות. לקבלת הגנה נוספת, בצע גיבוי של הרישום לפני שתבצע בו שינויים. לאחר מכן, אם תתרחש בעיה, תוכל לשחזר את הרישום. למידע נוסף על אופן הגיבוי והשחזור של הרישום, לחץ על מספר המאמר הבא כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
322756
(http://support.microsoft.com/kb/322756/ )
כיצד לגבות ולשחזר את הרישום ב- Windows


כדי להפעיל או להשבית את הגדרת MPP, השתמש בערכי הרישום הבאים.
הערה ערכי הרישום הבאים אינם זמינים כברירת מחדל. עליך ליצור אותם כדי לשנותם. למרות שערכי הרישום אינם קיימים, הגדרת MPP מופעלת כברירת מחדל, ואף יציאה אינה חריגה.
  • פרוטוקול אינטרנט גרסה 4 (IPv4):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableMPP
  • פרוטוקול אינטרנט גרסה 6 (IPv6):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP
לדוגמה, תוכל לבצע את הצעדים הבאים להשבתת הגדרת MPP ב- IPv4:
  1. לחץ על התחל, לחץ על הפעלה, הקלד regedit בתיבה פתח את, ולאחר מכן לחץ על אישור.
  2. אתר את מפתח המשנה הבא של הרישום ולחץ עליו:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. בתפריט עריכה, הצבע על חדש ולאחר מכן לחץ על ערך DWORD.
  4. הקלד EnableMPP, והקש על ENTER.
  5. לחץ באמצעות לחצן העכבר הימני על EnableMPP ולאחר מכן לחץ על שנה.
  6. בתיבה נתוני ערך, הקלד 0, ולאחר מכן לחץ על אישור.
  7. צא מעורך הרישום.
  8. הפעל מחדש את המחשב.
הערות
  • אם ברצונך להפעיל מחדש את הגדרת MPP, קבע את ערך DWORD עבור רישום EnableMPP ל- 1, והפעל את המחשב מחדש.
  • תוכל לבצע את אותם צעדים להגדרת ערך הרישום הבא עבור הגדרת MPP ב- IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP

קביעת הגדרת MPP עבור ממשק מסוים ב- Windows Server 2003

חשוב הסעיף, השיטה או המשימה במאמר זה מכילים פעולות המציינות כיצד לשנות את הרישום. עם זאת, אם תשנה את הרישום באופן שגוי עלולות להתרחש בעיות חמורות. לכן הקפד לבצע פעולות אלה בזהירות. לקבלת הגנה נוספת, בצע גיבוי של הרישום לפני שתבצע בו שינויים. לאחר מכן, אם תתרחש בעיה, תוכל לשחזר את הרישום. למידע נוסף על אופן הגיבוי והשחזור של הרישום, לחץ על מספר המאמר הבא כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
322756
(http://support.microsoft.com/kb/322756/ )
כיצד לגבות ולשחזר את הרישום ב- Windows


הערה כברירת מחדל, ב- Windows Server 2003, תכונת MPP מופעלת בכל הממשקים.

כדי להפעיל או להשבית את הגדרת MPP עבור ממשק מסוים, השתמש במפתחות המשנה הבאים ברישום:
  • IPv4:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>\DisableMPPOnIF
  • IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF
לדוגמה, תוכל לבצע את הצעדים הבאים להשבתת הגדרת MPP עבור ממשק מסוים ב- IPv4:
  1. לחץ על התחל, לחץ על הפעלה, הקלד regedit בתיבה פתח את, ולאחר מכן לחץ על אישור.
  2. אתר את מפתח המשנה הבא של הרישום ולחץ עליו:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>
  3. בתפריט עריכה, הצבע על חדש ולאחר מכן לחץ על ערך DWORD.
  4. הקלד DisableMPPOnIF, והקש על ENTER.
  5. לחץ באמצעות לחצן העכבר הימני על DisableMPPOnIF ולאחר מכן לחץ על שנה.
  6. בתיבה נתוני ערך, הקלד 1, ולאחר מכן לחץ על אישור.
  7. צא מעורך הרישום.
  8. הפעל מחדש את המחשב.
הערה תוכל לבצע את אותם צעדים להגדרת מפתח המשנה הבא ברישום עבור הגדרת MPP בממשק מסוים ב- IPv6:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF

קביעת הגדרת החרגת יציאות ב- Windows Server 2003

חשוב הסעיף, השיטה או המשימה במאמר זה מכילים פעולות המציינות כיצד לשנות את הרישום. עם זאת, אם תשנה את הרישום באופן שגוי עלולות להתרחש בעיות חמורות. לכן הקפד לבצע פעולות אלה בזהירות. לקבלת הגנה נוספת, בצע גיבוי של הרישום לפני שתבצע בו שינויים. לאחר מכן, אם תתרחש בעיה, תוכל לשחזר את הרישום. למידע נוסף על אופן הגיבוי והשחזור של הרישום, לחץ על מספר המאמר הבא כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
322756
(http://support.microsoft.com/kb/322756/ )
כיצד לגבות ולשחזר את הרישום ב- Windows


כדי לציין את החרגת היציאות עבור תחום היציאות בין x ל- y השתמש בערכי הרישום הבאים:
  • IPv4:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\MPPExcludedPorts
  • IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts
לדוגמה, תוכל לבצע את הצעדים הבאים לקביעת החרגת יציאות עבור טווח היציאות מ- xxxx עד yyyy ב- IPv4:
  1. לחץ על התחל, לחץ על הפעלה, הקלד regedit בתיבה פתח את, ולאחר מכן לחץ על אישור.
  2. אתר את מפתח המשנה הבא של הרישום ולחץ עליו:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. בתפריט עריכה, הצבע על חדש ולאחר מכן לחץ על ערך מרובה מחרוזות.
  4. הקלד MPPExcludedPorts, והקש על ENTER.
  5. לחץ באמצעות לחצן העכבר הימני על MPPExcludedPorts ולאחר מכן לחץ על שנה.
  6. בתיבה נתוני ערך, הקלד את טווח היציאות בתבנית xxxx-yyyy (לדוגמה 5000-5010), ולאחר מכן לחץ על אישור.
  7. צא מעורך הרישום.
  8. הפעל מחדש את המחשב.
הערות
  • עליך לציין את טווח היציאות בתבנית xxxx-yyyy, היכן ש- xxxx ו- yyyy נמצאים בטווח התקף של יציאות. הטווח כולל את ערך ההתחלה ואת ערך הסיום.
  • תוכל לבצע את אותם צעדים להגדרת מפתח המשנה הבא ברישום עבור הגדרת החרגת יציאות ב- IPv6:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts
  • קיימת מגבלה של 12 טווחי יציאות שניתן לציין ברשימה זו. טווחים נוספים לא יכללו, וההחרגות לא יוחלו.

בעיות מוכרות

  • ב- Windows Vista SP2 וב- Windows Server 2008 SP2, מגבלת קצב החיבור מושפעת מהפקודה netsh int tcp reset.

    לפני שתתקין עדכון אבטחה זה, הפקודה netsh int tcp reset מאפסת את הגדרות TCP. הדבר כולל פרמטרים של Chimney?, Explicit Congestion Notification (ECN)??, Receive Window Auto-Tuning?, Compound TCP (CTCP)?, וחותמות זמן. לאחר התקנת עדכון אבטחה זה, הפקודה netsh int tcp reset גם מאפסת את הגדרות האבטחה, כולל MPP, פרופילים והגדרות הגבלת קצב חיבור. גם הגדרות MPP ופרופילים צפויות, איפוס הגדרת הגבלת קצב החיבור מתרחש אף הוא בזמן הריצה. כדי לקבוע שנית את הגבלת קצב החיבור, עליך לשנות את מפתח המשנה ברישום. לפרטים נוספים על הגדרת הגבלת קצב החיבור, לחץ על מספר המאמר הבא כדי להציג את המאמר הרלוונטי מתוך Microsoft Knowledge Base:
    969710
    (http://support.microsoft.com/kb/969710/ )
    כיצד להפעיל את הגבלת חיבורי TCP הפתוחה למחצה ב- Windows Vista עםService Pack 2 וב- Windows Server 2008 עם Service Pack 2 (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)
  • ב- Windows Server 2003, אם תתקין את עדכון האבטחה 967723 ואז תתקין את IPv6, יומן האירועים מכיל מידע הדומה למידע הבא עבור IPv6 מזהה אירוע 4229:
    התיאור עבור מזהה אירוע 4229 ממקור Tcpip6 אינו נמצא. ייתכן שהרכיב הגורם לאירוע זה אינו מותקן במחשב המקומי או שההתקנה פגומה. ניתן להתקין או לתקן את הרכיב במחשב המקומי.

    אם מקור האירוע היה במחשב אחר, היה צורך לשמור את נתוני התצוגה עם האירוע.

    המידע הבא נכלל עם האירוע:

    משאב ההודעות נמצא אך ההודעה אינה נמצאת בטבלת המחרוזות/הודעות
    לפתרון בעיה זו עליך להתקין מחדש את העדכון או להוסיף ידנית את מפתחות המשנה הבאים ברישום:
    • ב- Windows Server 2003 SP2, הוסף את המחרוזת %systemroot%system32\w03a3409.dll תחת
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      .
    • ב- Windows Server 2003 SP1, הוסף את המחרוזת %systemroot%system32\w03a2409.dll תחת
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      .
    • ב- Windows Server 2003, הוסף את המחרוזת %systemroot%system32\ws03res.dll תחת
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      .
לראש הדף | ספק משוב

מאפיינים

מספר מאמר: 974288 - סקירה אחרונה: יום חמישי 10 ספטמבר 2009 - עדכון: 1.2
המידע במאמר זה חל על:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
מילות מפתח 
kbsecvulnerability kbsecbulletin kbsecadvisory kbaccctrl kbsurveynew kbexpertisebeginner atdownload KB974288
לראש הדף | ספק משוב

ספק משוב

 
לראש הדףלראש הדף