Descrizione della nuova funzionalità di protezione della pressione della memoria per lo stack TCP

Identificativo articolo: 974288 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

INTRODUZIONE

In questo articolo viene descritta una nuova funzionalità di protezione della pressione della memoria per lo stack TCP. Questa nuova funzionalità viene fornita dall'aggiornamento della protezione 967723.
Torna all'inizio | Invia suggerimenti

Informazioni

La funzionalità di protezione della pressione della memoria è costituita da tre impostazioni di protezione che comprendono l'impostazione relativa alla protezione della pressione della memoria (MPP, Memory Pressure Protection), l'impostazione relativa ai profili e l'impostazione relativa all'esenzione delle porte.

L'impostazione MPP

Tale impostazione definisce la funzionalità e comprende le due attività riportate di seguito nel caso in cui venga rilevato un attacco:
  • Terminare le connessioni TCP esistenti.
  • Rimuovere le richieste SYN in ingresso.
Un amministratore può attivare o disattivare l'impostazione MPP utilizzando i comandi netsh. Quando l'amministratore attiva o disattiva l'impostazione MPP, la funzionalità corrispondente viene attivata o disattivata.

L'impostazione relativa ai profili

La funzionalità relativa ai profili consente all'amministratore di distinguere tra interfacce pubbliche e non pubbliche. Se un'interfaccia è in grado di accedere al controller di dominio, significa che è associata al dominio o che l'amministratore può configurare un'interfaccia come privata. La funzionalità relativa ai profili è disponibile solo in Windows Vista e in Windows Server 2008.

Tale impostazione determina la capacità del computer di terminare le connessioni TCP e rimuovere le richieste SYN in ingresso nell'interfaccia associata al dominio e nell'interfaccia privata quando il computer è sottoposto a un attacco con risorse di memoria limitate. In Windows Server 2003 è necessario che un amministratore utilizzi le voci del Registro di sistema per disattivare la funzionalità MPP in una particolare interfaccia. Per ulteriori informazioni, vedere la sezione "Configurazione di queste impostazioni in Windows Server 2003". Per impostazione predefinita, l'impostazione relativa ai profili è attivata. Quando tale impostazione è attivata, significa che l'amministratore ha deciso di non terminare le connessioni TCP o di rimuovere le richieste SYN nell'interfaccia associata al dominio e nell'interfaccia privata in qualsiasi caso. Se l'amministratore desidera terminare le connessioni TCP e rimuovere le richieste SYN nell'interfaccia associata al dominio e nell'interfaccia privata in caso di attacco, l'impostazione relativa ai profili deve essere disattivata.

Nota Se l'impostazione MPP è attivata e viene rilevato un attacco, l'amministratore non può terminare le connessione nelle interfacce pubbliche anche se l'impostazione relativa ai profili è attivata. La funzionalità relativa ai profili è destinata a interfacce associate al dominio e private. Tuttavia, in questi casi, un amministratore può utilizzare l'impostazione relativa all'esenzione delle porte per escludere alcune porte nelle interfacce pubbliche dall'azione MPP.

L'impostazione relativa all'esenzione delle porte

Questa impostazione consente all'amministratore di creare eccezioni specifiche della porta. Per impostazione predefinita, quando l'impostazione MPP è attivata, la funzionalità di protezione della pressione della memoria è attivata per le connessioni in tutte le porte. Se viene rilevato un attacco, potrebbero essere terminate le connessioni esistenti o rimosse le richieste SYN in ingresso, in base alle impostazioni MPP e relative ai profili. Tuttavia un amministratore può impostare le eccezioni per le connessioni per determinate porte specificandole nell'elenco di eccezioni corrispondente.

Note
  • L'elenco di esenzione delle porte è un singolo elenco globale e si applica a tutte le interfacce e agli indirizzi IP.
  • L'impostazione relativa all'esenzione delle porte diventa effettiva prima che venga stabilita qualsiasi connessione TCP relativa alla porta. Si consiglia di configurare tutte le impostazioni correlate a MPP prima di avviare le applicazioni server.

Valori predefiniti per queste impostazioni nei server e nei client

Riduci questa tabellaEspandi questa tabella
Valori predefiniti nei serverValori predefiniti nei client
MPPAttivatoDisattivato
ProfiliAttivatoAttivato
Esenzione delle porteNessuna esenzioneNessuna esenzione
Nota Se queste impostazioni vengono modificare e un amministratore desidera tornare alle impostazioni predefinite, l'amministratore può utilizzare il comando netsh seguente:
netsh int tcp reset
Nota Vedere la sezione "Problemi noti" prima di utilizzare in comando netsh int tcp reset.

Configurazione di queste impostazioni in Windows Vista

Un amministratore può utilizzare i comandi netsh per aggiornare le impostazioni MPP, relative ai profili e relative all'esenzione delle porte in fase di esecuzione. Queste impostazioni determinano se una connessione TCP è candidata per l'eliminazione. Questa valutazione viene eseguita quando viene creato il blocco del controllo della trasmissione di tale connessione TCP, in base alle impostazioni del momento.
  • netsh int tcp reset

    Reimposta le impostazioni di protezione con le altre impostazioni TCP. Queste impostazioni di protezione includono MPP, l'impostazione relativa ai profili e quella relativa all'esenzione delle porte e le impostazioni di limitazione della velocità di connessione.
  • netsh int tcp show security

    Visualizza le impostazioni di protezione attualmente applicate per le impostazioni MPP, relative ai profili e relative all'esenzione delle porte, se presenti.
  • netsh int tcp set security mpp=[enabled|disabled|default]

    Attiva o disattiva le impostazioni MPP.
  • netsh int tcp set security Profiles=[enabled|disabled|default]

    Attiva o disattiva l'impostazione relativa ai profili.
  • netsh int tcp set security startport=<x> numberofports=<y+1> mpp=[enabled|disabled|default]

    Specifica le esenzioni delle porte per l'intervallo di porte da x a x+y. È necessario assicurarsi che x e x+y rientrino nell'intervallo di porte valido (0 - 65535).

    Esempi

    Aggiungere un'esenzione di intervallo di porte:
    Digitare il seguente comando al prompt e premere INVIO:
    netsh int tcp set security startport=5000 numberofports=10 mpp=disabled
    Questo comando disabilita la funzionalità MPP per le porte dalla 5000 alla 5009 (estremi inclusi).

    Eliminare un'esenzione di intervallo di porte:
    Digitare il seguente comando al prompt e premere INVIO:
    netsh int tcp set security startport=5000 numberofports=10 mpp=enable
    Questo comando elimina la voce relativa all'esenzione aggiunta nel primo esempio.

    Nota Gli intervalli di porte principali e secondari che si sovrappongono non vengono gestiti dal comando netsh int tcp set security.

Configurazione di queste impostazioni in Windows Server 2003

In Windows Server 2003 è necessario configurare queste impostazioni mediante il Registro di sistema.

Configurazione dell'impostazione MPP in Windows Server 2003

Importante In questa sezione, metodo o attività viene illustrato come modificare il Registro di sistema. L'errata modifica del Registro di sistema può causare seri problemi. Attenersi quindi scrupolosamente alla procedura indicata. Per maggiore protezione, eseguire una copia di backup del Registro di sistema prima di modificarlo. In questo modo sarà possibile effettuarne il ripristino in caso di problemi. Per ulteriori informazioni su come eseguire il backup del Registro di sistema e su come ripristinarlo, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
322756
(http://support.microsoft.com/kb/322756/ )
HOW TO: Eseguire il backup, modificare e ripristinare il Registro di sistema in Windows XP


Per attivare o disattivare l'impostazione MPP, utilizzare le seguenti voci del Registro di sistema.
Nota Le seguenti voci del Registro di sistema non sono disponibili per impostazione predefinita. È necessario crearle per modificarle. Anche se le voci del Registro di sistema non sono presenti, l'impostazione MPP è attivata per impostazione predefinita e nessuna porta è esentata.
  • Internet Protocol versione 4 (IPv4):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableMPP
  • Internet Protocol versione 6 (IPv4):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP
Si potrebbe ad esempio seguire la procedura indicata per disattivare l'impostazione MPP nel protocollo IPv4:
  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit nella casella Apri, quindi scegliere OK.
  2. Individuare e selezionare la seguente sottochiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. Scegliere Nuovo dal menu Modifica, quindi fare clic su Valore DWORD.
  4. Digitare EnableMPP, quindi premere INVIO.
  5. Fare clic con il pulsante destro del mouse su EnableMPP e scegliere Modifica.
  6. Nella casella Dati valore digitare 0, quindi scegliere OK.
  7. Chiudere l'editor del Registro di sistema.
  8. Riavviare il computer.
Note
  • Se si desidera riattivare l'impostazione MPP, impostare il valore DWORD per la voce del Registro di sistema EnableMPP su 1 e riavviare il computer.
  • È possibile attenersi a questa stessa procedura per configurare la seguente voce del Registro di sistema per l'impostazione MPP nel protocollo IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP

Configurazione dell'impostazione MPP per una particolare interfaccia in Windows Server 2003

Importante In questa sezione, metodo o attività viene illustrato come modificare il Registro di sistema. L'errata modifica del Registro di sistema può causare seri problemi. Attenersi quindi scrupolosamente alla procedura indicata. Per maggiore protezione, eseguire una copia di backup del Registro di sistema prima di modificarlo. In questo modo sarà possibile effettuarne il ripristino in caso di problemi. Per ulteriori informazioni su come eseguire il backup del Registro di sistema e su come ripristinarlo, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
322756
(http://support.microsoft.com/kb/322756/ )
HOW TO: Eseguire il backup, modificare e ripristinare il Registro di sistema in Windows XP


Nota Per impostazione predefinita, in Windows Server 2003 la funzionalità MPP è attivata per tutte le interfacce.

Per attivare o disattivare l'impostazione MPP per una particolare interfaccia, utilizzare le seguenti sottochiavi del Registro di sistema:
  • IPv4:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>\DisableMPPOnIF
  • IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF
Si potrebbe ad esempio attenersi alla seguente procedura per disattivare l'impostazione MPP per una particolare interfaccia nel protocollo IPv4:
  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit nella casella Apri, quindi scegliere OK.
  2. Individuare e selezionare la seguente sottochiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>
  3. Scegliere Nuovo dal menu Modifica, quindi fare clic su Valore DWORD.
  4. Digitare DisableMPPOnIF, quindi premere INVIO.
  5. Fare clic con il pulsante destro del mouse su DisableMPPOnIF, quindi scegliere Modifica.
  6. Nella casella Dati valore digitare 1, quindi scegliere OK.
  7. Chiudere l'editor del Registro di sistema.
  8. Riavviare il computer.
Nota È possibile attenersi a questa stessa procedura per configurare la seguente sottochiave del Registro di sistema per l'impostazione MPP per una particolare interfaccia nel protocollo IPv6:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF

Configurazione dell'impostazione relative all'esenzione delle porte in Windows Server 2003

Importante In questa sezione, metodo o attività viene illustrato come modificare il Registro di sistema. L'errata modifica del Registro di sistema può causare seri problemi. Attenersi quindi scrupolosamente alla procedura indicata. Per maggiore protezione, eseguire una copia di backup del Registro di sistema prima di modificarlo. In questo modo sarà possibile effettuarne il ripristino in caso di problemi. Per ulteriori informazioni su come eseguire il backup del Registro di sistema e su come ripristinarlo, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
322756
(http://support.microsoft.com/kb/322756/ )
HOW TO: Eseguire il backup, modificare e ripristinare il Registro di sistema in Windows XP


Per specificare le esenzioni delle porte per l'intervallo di porte da x a y, utilizzare le seguenti voci del Registro di sistema:
  • IPv4:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\MPPExcludedPorts
  • IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts
Si potrebbe ad esempio attenersi a questa procedura per specificare le esenzioni delle porte per l'intervallo di porte da xxxx a yyyy nel protocollo IPv4:
  1. Fare clic sul pulsante Start, scegliere Esegui, digitare regedit nella casella Apri, quindi scegliere OK.
  2. Individuare e selezionare la seguente sottochiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. Scegliere Nuovo dal menu Modifica, quindi scegliere Valore multi stringa.
  4. Digitare MPPExcludedPorts, quindi premere INVIO.
  5. Fare clic con il pulsante destro del mouse su MPPExcludedPorts, quindi scegliere Modifica.
  6. Nella casella Dati valore digitare l'intervallo di porte nel formato xxxx-yyyy (ad esempio 5000-5010), quindi scegliere OK.
  7. Chiudere l'editor del Registro di sistema.
  8. Riavviare il computer.
Note
  • È necessario specificare l'intervallo di porte nel formato xxxx-yyyy, in cui xxxx e yyyy sono compresi nell'intervallo di porte valido. L'intervallo comprende i valori di inizio e i valori di fine.
  • È possibile attenersi alla seguente procedura per configurare la seguente sottochiave del Registro di sistema per l'impostazione relativa all'esenzione delle porte nel protocollo IPv6:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts
  • Esiste un limite di 12 intervalli di porte che può essere specificato in questo elenco. Ulteriori intervalli verranno ignorati e non verranno applicate le esenzioni.

Problemi noti

  • In Windows Vista SP2 e in Windows Server 2008 SP2, il limite della velocità di connessione è influenzato dal comando netsh int tcp reset.

    Prima di installare questo aggiornamento della protezione, il comando netsh int tcp reset reimposta le impostazioni TCP. Sono inclusi i parametri Chimney, la notifica ECN (Explicit Congestion Notification), la regolazione automatica finestra, il protocollo TCP composto (CTCP, Compound TCP) e i timestamp. Dopo l'installazione di questo aggiornamento della protezione, il comando netsh int tcp reset reimposta anche le impostazioni di protezione, incluse le impostazioni MPP, relative ai profili e alla limitazione della velocità di connessione. Nonostante siano previste le impostazioni MPP e relative ai profili, anche la reimpostazione della limitazione della velocità di connessione si verifica in fase di esecuzione. Per impostare di nuovo la limitazione della velocità di connessione, è necessario modificare la sottochiave del Registro di sistema. Per ulteriori informazioni sull'impostazione della limitazione della velocità di connessione, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
    969710
    (http://support.microsoft.com/kb/969710/ )
    Attivazione del limite di connessioni TCP parzialmente aperte in Windows Vista con Service Pack 2 e in Windows Server 2008 con Service Pack 2
  • In Windows Server 2003, se si installa l'aggiornamento della protezione 967723 e si installa il protocollo IPv6, il registro eventi conterrà informazioni simili alle informazioni riportate di seguito per l'ID evento IPv6 4229:
    Impossibile trovare la descrizione per l'ID evento 4229 dall'origine Tcpip6. Il componente che ha generato l'evento non è installato nel computer locale oppure l'installazione è danneggiata. È possibile installare o ripristinare il componente nel computer locale.

    Se l'evento ha avuto origine in un altro computer, le informazioni per la visualizzazione sono state salvate con l'evento.

    Con l'evento sono state salvate le informazioni seguenti.

    La risorsa messaggio è presente ma non è possibile trovare il messaggio nella tabella delle stringhe o dei messaggi
    Per risolvere questo problema, è necessario reinstallare l'aggiornamento o aggiungere manualmente le seguenti sottochiavi del Registro di sistema:
    • In Windows Server 2003 SP2 aggiungere la stringa %systemroot%system32\w03a3409.dll in
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      .
    • In Windows Server 2003 SP1 aggiungere la stringa %systemroot%system32\w03a2409.dll in
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      .
    • In Windows Server 2003 aggiungere la stringa %systemroot%system32\ws03res.dll in
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      .
Torna all'inizio | Invia suggerimenti

Proprietà

Identificativo articolo: 974288 - Ultima modifica: lunedì 14 settembre 2009 - Revisione: 1.3
Le informazioni in questo articolo si applicano a:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Chiavi: 
kbsecvulnerability kbsecbulletin kbsecadvisory kbaccctrl kbsurveynew kbexpertisebeginner atdownload KB974288
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Torna all'inizio | Invia suggerimenti

Invia suggerimenti

 
Torna all'inizioTorna all'inizio