A TCP-verem új, memóriaterhelés elleni védelmet biztosító szolgáltatása

A cikk fordítása A cikk fordítása
Cikk azonosítója: 974288 - A cikkben érintett termékek listájának megtekintése.
Az összes kibontása | Az összes összecsukása

A lap tartalma

BEVEZETÉS

A cikk a TCP-verem új, memóriaterhelés elleni védelmet biztosító szolgáltatását ismerteti. Az új szolgáltatást a 967723. számú biztonsági frissítés tartalmazza.

További információ

A memóriaterhelés elleni védelmi szolgáltatásban a következő három biztonsági beállítás közül választhat: Memory Pressure Protection (MPP) (Memóriaterhelés elleni védelem), Profiles (Profilok) és Port Exemption (Portkizárás).

Az MPP beállítás

Az MPP beállítás meghatározza a szolgáltatást, és végrehajtja a következő két műveletet támadás észlelése esetén:
  • A meglévő TCP-kapcsolatok letiltása
  • A bejövő SYN-kérések elvetése
A rendszergazdák az MPP beállítást a netsh paranccsal engedélyezhetik és tilthatják le. Amikor a rendszergazda engedélyezi vagy letiltja az MPP beállítást, azzal a szolgáltatást is engedélyezi, illetve letiltja.

A Profiles beállítás

A Profiles funkció segítségével a rendszergazda különbséget tud tenni a nyilvános és a nem nyilvános csatolók között. Ha egy csatoló el tudja érni a tartományvezérlőt, az azt jelzi, hogy a csatoló tartományhoz csatlakozik, vagy hogy a rendszergazda beállíthatja a csatolót nem nyilvánosként. A Profiles funkció csak Windows Vista és Windows Server 2008 rendszerben érhető el.

A Profiles beállítás határozza meg a számítógép azon képességét, hogy le tudja tiltani a TCP-kapcsolatokat és el tudja vetni a bejövő SYN-kéréseket a tartományhoz csatlakozó csatolón, illetve a nem nyilvános csatolón, amikor a számítógép memóriaterheléses támadásnak van kitéve. Windows Server 2003 rendszerben a rendszergazdák tudják letiltani az MPP funkciót egy adott csatolón, rendszer-beállítási bejegyzések segítségével. További információt „A beállítások konfigurálása Windows Server 2003 rendszerben” című bekezdésben talál. A Profiles beállítás alapértelmezés szerint engedélyezett. Ha engedélyezve van ez a beállítás, az azt jelzi, hogy a rendszergazda úgy döntött, semmilyen körülmények között nem tiltja le a TCP-kapcsolatokat, illetve nem veti el a SYN-kéréseket a tartományhoz csatlakozó csatolón és a nem nyilvános csatolón. Ha a rendszergazda le szeretné tiltani a TCP-kapcsolatokat, és el szeretné vetni a SYN-kéréseket a tartományhoz csatlakozó csatolón és a nem nyilvános csatolón támadás esetén, akkor le kell tiltani a Profiles beállítást.

Megjegyzés: Ha engedélyezve van az MPP beállítás, és a rendszer támadást észlel, a rendszergazda nem tudja leállítani a kapcsolatok letiltását a nyilvános csatolókon akkor sem, ha a Profiles beállítás engedélyezve van. A Profiles beállítás a tartományhoz csatlakozó és a nem nyilvános csatolókat érinti. Ezekben az esetekben ugyanakkor egy rendszergazda a Port Exemption beállítással kizárhat bizonyos portokat a nyilvános csatolókon az MPP beállítás által végzett műveletekből.

A Port Exemption beállítás

A Port Exemption beállítással a rendszergazda portspecifikus kivételeket adhat meg. Alapértelmezés szerint, ha az MPP beállítás engedélyezve van, a memóriaterhelés elleni védelmi funkció engedélyezett az összes port kapcsolatán. Támadás észlelése esetén a meglévő kapcsolatok letilthatók, illetve a bejövő SYN-kérések elvethetők az MPP és a Profiles beállítás alapján. Egy rendszergazda ugyanakkor beállíthat kivételeket bizonyos portok kapcsolataihoz, ha megadja azokat a portkivételek listáján.

Megjegyzések
  • A portkivételek listája egy külön globális lista, amely minden csatolóra és IP-címre hatással van.
  • A Port Exemption beállítás még azelőtt érvénybe lép, mielőtt bármely TCP-kapcsolat létrejönne a porton. Azt ajánljuk, hogy az MPP funkcióhoz köthető minden beállítást konfiguráljon, mielőtt elindítaná a kiszolgálói alkalmazásokat.

A beállítások alapértelmezett értékei a kiszolgálókon és az ügyfélszámítógépeken

A táblázat összecsukásaA táblázat kibontása
Alapértelmezett értékek a kiszolgálókonAlapértelmezett értékek az ügyfélszámítógépeken
MPPEnabled (Engedélyezve) Disabled (Letiltva)
ProfileEnabled (Engedélyezve) Enabled (Engedélyezve)
Port ExemptionNo exemptions (Nincsenek kizárások)No exemptions (Nincsenek kizárások)
Megjegyzés: Ha módosulnak ezek a beállítások, és a rendszergazda vissza szeretne térni az alapértelmezett beállításokhoz, a következő netsh parancsot kell használnia:
netsh int tcp reset
Megjegyzés: A netsh int tcp reset parancs használata előtt olvassa el az „Ismert problémák” című bekezdést.

A beállítások konfigurálása Windows Vista rendszerben

A rendszergazdák a netsh parancs segítségével frissíthetik az MPP, a Profiles és a Port Exemption beállítást futásidőben. Ezek a beállítások határozzák meg, hogy egy TCP-kapcsolat meg van-e jelölve törlésre, vagy sem. Ez a vizsgálat akkor történik meg, amikor az adott TCP-kapcsolat átvitelvezérlő blokkja létrejön, az akkor érvényes beállítások alapján.
  • netsh int tcp reset

    Visszaállítja a biztonsági beállításokat, valamint más TCP-beállításokat. A biztonsági beállítások a következők: MPP, Profile, Port Exemption és a kapcsolat sebességkorlátozó beállításai.
  • netsh int tcp show security

    Megjeleníti az MPP, a Profiles és a portkizárások jelenleg alkalmazott biztonsági beállításait, ha vannak ilyenek.
  • netsh int tcp set security mpp=[enabled|disabled|default]

    Vált az MPP beállításai között.
  • netsh int tcp set security Profiles=[enabled|disabled|default]

    Vált a Profiles beállításai között.
  • netsh int tcp set security startport=<x> numberofports=<y+1> mpp=[enabled|disabled|default]

    Megadja az xx+y porttartomány portkizárásait. Célszerű meggyőződni arról, hogy az x és az x+y az érvényes porttartományban (0–65535) van.

    Példák

    Porttartomány-kizárás hozzáadása:
    Írja be a következő parancsot a parancssorba, majd nyomja le az ENTER billentyűt:
    netsh int tcp set security startport=5000 numberofports=10 mpp=disabled
    Ez a parancs letiltja az MPP funkciót az 5000–5009 porttartomány portjaira vonatkozóan (az 5000-es és az 5009-es portot is beleértve).

    Porttartomány-kizárás törlése:
    Írja be a következő parancsot a parancssorba, majd nyomja le az ENTER billentyűt:
    netsh int tcp set security startport=5000 numberofports=10 mpp=enable
    Ez a parancs törli az első példában hozzáadott kivételt.

    Megjegyzés: Az egymást átfedő porttartományokat és altartományokat a netsh int tcp set security parancs nem kezeli.

A beállítások konfigurálása Windows Server 2003 rendszerben

Windows Server 2003 rendszerben a beállításjegyzék segítségével konfigurálhatja ezeket a beállításokat.

Az MPP beállítás konfigurálása Windows Server 2003 rendszerben

Fontos: Az alábbi bekezdés, módszer, illetve feladat a beállításjegyzék (korábbi nevén rendszerleíró adatbázis) módosítását is magában foglaló lépéseket tartalmaz. A beállításjegyzék helytelen módosítása azonban komoly problémákat okozhat, ezért ügyeljen az utasítások pontos betartására. A beállításjegyzékről módosítása előtt készítsen biztonsági másolatot, hogy szükség esetén visszaállíthassa azt. A beállításjegyzék biztonsági mentéséről és visszaállításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
322756 Útmutató: A rendszerleíró adatbázis biztonsági mentése, szerkesztése és visszaállítása Windows XP és Windows Server 2003 rendszerben


Az MPP beállítás engedélyezéséhez vagy letiltásához használja az alábbi rendszer-beállítási bejegyzéseket.
Megjegyzés: A következő rendszer-beállítási bejegyzések alapértelmezés szerint nem érhetők el. A módosításukhoz először létre kell hoznia azokat. Habár a rendszer-beállítási bejegyzések nincsenek jelen, az MPP beállítás alapértelmezés szerint engedélyezve van, és nincs kizárva port.
  • IPv4 protokoll esetén:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableMPP
  • IPv6 protokoll esetén:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP
Az alábbi lépésekkel például letilthatja az MPP beállítást az IPv4 protokollon:
  1. Kattintson a Start menü Futtatás parancsára, írja be a regedit parancsot a Megnyitás mezőbe, majd kattintson az OK gombra.
  2. Keresse meg és jelölje ki a beállításjegyzék alábbi alkulcsát:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. Mutasson a Szerkesztés menü Új pontjára, majd kattintson a Duplaszó parancsra.
  4. Írja be az EnableMPP értéket, majd nyomja le az ENTER billentyűt.
  5. Kattintson a jobb gombbal az EnableMPP azonosítóra, és kattintson a Módosítás parancsra.
  6. Az Érték mezőbe írja be a 0 értéket, majd kattintson az OK gombra.
  7. Zárja be a beállításszerkesztőt.
  8. Indítsa újra a számítógépet.
Megjegyzések
  • Ha ismét engedélyezni szeretné az MPP beállítást, állítsa az EnableMPP rendszer-beállítási bejegyzés duplaszóértékét 1 értékre, majd indítsa újra a számítógépet.
  • Az MPP beállítás következő rendszer-beállítási bejegyzésének IPv6 protokollon való konfigurálásához ugyanezeket a lépéseket kell végrehajtania:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP

Az MPP beállítás konfigurálása adott csatolóhoz Windows Server 2003 rendszerben

Fontos: Az alábbi bekezdés, módszer, illetve feladat a beállításjegyzék (korábbi nevén rendszerleíró adatbázis) módosítását is magában foglaló lépéseket tartalmaz. A beállításjegyzék helytelen módosítása azonban komoly problémákat okozhat, ezért ügyeljen az utasítások pontos betartására. A beállításjegyzékről módosítása előtt készítsen biztonsági másolatot, hogy szükség esetén visszaállíthassa azt. A beállításjegyzék biztonsági mentéséről és visszaállításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
322756 Útmutató: A rendszerleíró adatbázis biztonsági mentése, szerkesztése és visszaállítása Windows XP és Windows Server 2003 rendszerben


Megjegyzés: Windows Server 2003 rendszerben alapértelmezés szerint az MPP funkció minden csatolón engedélyezve van.

Az MPP beállítás egy adott csatolóhoz való engedélyezéséhez vagy letiltásához használja az alábbi beállításkulcsot:
  • IPv4:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>\DisableMPPOnIF
  • IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF
Az MPP beállítás IPv4 protokollon adott csatolóhoz való letiltásához például kövesse az alábbi lépéseket:
  1. Kattintson a Start menü Futtatás parancsára, írja be a regedit parancsot a Megnyitás mezőbe, majd kattintson az OK gombra.
  2. Keresse meg és jelölje ki a beállításjegyzék alábbi alkulcsát:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>
  3. Mutasson a Szerkesztés menü Új pontjára, majd kattintson a Duplaszó parancsra.
  4. Írja be a DisableMPPOnIF értéket, majd nyomja le az ENTER billentyűt.
  5. Kattintson a jobb gombbal a DisableMPPOnIF azonosítóra, és kattintson Módosítás parancsra.
  6. Az Érték mezőbe írja be az 1 értéket, majd kattintson az OK gombra.
  7. Zárja be a beállításszerkesztőt.
  8. Indítsa újra a számítógépet.
Megjegyzés: Az MPP beállítás következő beállításkulcsának az IPv6 protokollon adott csatolóhoz való konfigurálásához ugyanezeket a lépéseket kell végrehajtania:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF

A Port Exemption beállítás konfigurálása Windows Server 2003 rendszerben

Fontos: Az alábbi bekezdés, módszer, illetve feladat a beállításjegyzék (korábbi nevén rendszerleíró adatbázis) módosítását is magában foglaló lépéseket tartalmaz. A beállításjegyzék helytelen módosítása azonban komoly problémákat okozhat, ezért ügyeljen az utasítások pontos betartására. A beállításjegyzékről módosítása előtt készítsen biztonsági másolatot, hogy szükség esetén visszaállíthassa azt. A beállításjegyzék biztonsági mentéséről és visszaállításáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
322756 Útmutató: A rendszerleíró adatbázis biztonsági mentése, szerkesztése és visszaállítása Windows XP és Windows Server 2003 rendszerben


Az xy porttartományhoz tartozó portkizárások megadásához használja az alábbi rendszer-beállítási bejegyzéseket:
  • IPv4:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\MPPExcludedPorts
  • IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts
Az alábbi lépésekkel például megadhatja az xxxxyyyy porttartomány portkizárásait az IPv4 protokollon:
  1. Kattintson a Start menü Futtatás parancsára, írja be a regedit parancsot a Megnyitás mezőbe, majd kattintson az OK gombra.
  2. Keresse meg és jelölje ki a beállításjegyzék alábbi alkulcsát:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. Mutasson a Szerkesztés menü Új pontjára, majd válassza a Karakterláncsoros érték parancsot
  4. Írja be az MPPExcludedPorts értéket, majd nyomja le az ENTER billentyűt.
  5. Kattintson a jobb gombbal az MPPExcludedPorts azonosítóra, és kattintson a Módosítás parancsra.
  6. Az Érték mezőbe írja be a porttartományt xxxx-yyyy formátumban (például: 5000-5010), majd kattintson az OK gombra.
  7. Zárja be a beállításszerkesztőt.
  8. Indítsa újra a számítógépet.
Megjegyzések
  • A porttartományt xxxx-yyyy formátumban kell beírnia, ahol xxxx és yyyy az érvényes porttartományt jelenti. A tartományba beletartozik a kezdő- és a záróérték.
  • A Port Exemption beállítás következő beállításkulcsának az IPv6 protokollon való konfigurálásához ugyanezeket a lépéseket kell végrehajtania:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts
  • A listában maximum 12 porttartomány adható meg. A további megadott tartományokat a rendszer nem veszi figyelembe, és nem alkalmazza az általuk megadott kizárásokat.

Ismert problémák

  • Windows Vista SP2 és Windows Server 2008 SP2 rendszerben a netsh int tcp reset parancs hatással van a kapcsolat sebességkorlátozására.

    A biztonsági frissítés telepítése előtt a netsh int tcp reset parancs visszaállítja a TCP-beállításokat. Ebbe beletartoznak a Chimney szolgáltatás paraméterei, az ECN (Explicit Congestion Notification) szolgáltatás, a fogadóablak automatikus beállítási funkciója és az időbélyegek. A biztonsági frissítés telepítése után a netsh int tcp reset parancs a biztonsági beállításokat is visszaállítja, köztük az MPP, a Profiles és a kapcsolat sebességkorlátozásának beállítását is. Ha az MPP és a Profiles beállítás értéke elvárt, a kapcsolat sebességkorlátozási beállításának visszaállítása akkor is futásidőben történik. A kapcsolat sebességkorlátozásának ismételt beállításához módosítania kell a megfelelő beállításkulcsot. A kapcsolat sebességkorlátozási beállításairól a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
    969710 A félig nyitott TCP-kapcsolatok korlátozásának engedélyezése Windows Vista Service Pack 2 és Windows Server 2008 Service Pack 2 rendszerben
  • Ha Windows Server 2003 rendszerben telepíti a 967723. számú biztonsági frissítést, majd telepíti az IPv6 protokollt, az eseménynaplóban az alábbihoz hasonló információk jelennek meg az IPv6 protokollhoz 4229-es eseményazonosítóval:
    A forrásban (Tcpip6) nem található az eseményazonosító (4229) leírása. Nincs telepítve a helyi számítógépen az eseményt kiváltó összetevő, vagy megsérült a telepített példány. Telepítse vagy javítsa az összetevőt a helyi számítógépen.

    Ha az esemény egy másik számítógépen keletkezett, a rendszer a megjelenítési adatokat is mentette az eseménnyel.

    Az eseménnyel együtt a rendszer a következő információkat mentette:

    az üzenet forrása jelen van, de maga az üzenet nem található meg a karakterláncokat/üzeneteket tartalmazó táblázatban
    A probléma megoldásához újra kell telepítenie a frissítést, vagy kézzel fel kell vennie a következő beállításkulcsokat:
    • Windows Server 2003 SP2 rendszerben adja hozzá a %systemroot%system32\w03a3409.dll karakterláncot a
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      alatt.
    • Windows Server 2003 SP2 rendszerben adja hozzá a %systemroot%system32\w03a2409.dll karakterláncot a
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      alatt.
    • Windows Server 2003 rendszerben adja hozzá a %systemroot%system32\ws03res.dll karakterláncot a
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      alatt.

Tulajdonságok

Cikk azonosítója: 974288 - Utolsó ellenőrzés: 2009. szeptember 11. - Verziószám: 1.2
A cikkben található információ a következő(k)re vonatkozik:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server, 2008
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Kulcsszavak: 
kbsecvulnerability kbsecbulletin kbaccctrl atdownload kbexpertisebeginner kbsecadvisory kbsurveynew KB974288
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com