TCP 스택에 대한 새 메모리 압력 보호 기능 설명

기술 자료 번역 기술 자료 번역
기술 자료: 974288 - 이 문서가 적용되는 제품 보기.
모두 확대 | 모두 축소

이 페이지에서

소개

이 문서에서는 TCP 스택에 대한 새 메모리 압력 보호 기능에 대해 설명합니다. 이 새 기능은 보안 업데이트 967723에서 제공합니다.

추가 정보

메모리 압력 보호 기능은 세 가지 보안 설정 즉, MPP(메모리 압력 보호), 프로필 및 포트 예외로 구성됩니다.

MPP 설정

MPP 설정은 기능을 정의하며 공격이 검색될 때 다음 두 가지 작업을 포함합니다.
  • 기존 TCP 연결을 끊습니다.
  • 들어오는 SYN 요청을 삭제합니다.
관리자는 netsh 명령을 사용하여 MPP 설정을 사용하거나 사용하지 않도록 설정할 수 있습니다. 관리자가 MPP 설정을 사용하거나 사용하지 않도록 설정하면 이 기능이 사용되거나 사용되지 않습니다.

프로필 설정

관리자는 프로필 기능을 사용하여 공용 인터페이스와 비공용 인터페이스를 구분할 수 있습니다. 인터페이스가 도메인 컨트롤러에 액세스할 수 있을 경우 인터페이스가 도메인에 가입되어 있거나 관리자가 인터페이스를 개인 인터페이스로 구성할 수 있음을 나타냅니다. 프로필 기능은 Windows Vista 및 Windows Server 2008에서만 사용할 수 있습니다.

프로필 설정은 컴퓨터가 메모리 부족 공격을 받은 경우 도메인에 가입된 인터페이스 및 개인 인터페이스에서 TCP 연결을 끊고 들어오는 SYN 요청을 삭제하는 컴퓨터 기능을 결정합니다. Windows Server 2003에서는 관리자가 레지스트리 항목을 사용하여 특정 인터페이스에서 MPP 기능을 사용하지 않도록 설정해야 합니다. 자세한 내용은 "Windows Server 2003에서 이 설정 구성" 섹션을 참조하십시오. 기본적으로 프로필 설정은 사용하도록 설정되어 있습니다. 이 설정을 사용하도록 설정한 경우 관리자가 도메인에 가입된 인터페이스 및 개인 인터페이스에서 항상 TCP 연결을 끊지 않거나 SYN을 삭제하지 않도록 결정한 것입니다. 공격을 받을 때 관리자가 도메인에 가입된 인터페이스 및 개인 인터페이스에서 TCP 연결을 끊거나 SYN을 삭제하려는 경우 프로필 설정을 사용하지 않도록 설정해야 합니다.

참고 MPP 설정이 사용되는 경우 공격이 검색되면 프로필 설정이 사용되고 있더라도 관리자는 공용 인터페이스에서 연결 끊기를 중지할 수 없습니다. 프로필 설정 기능은 도메인에 가입된 인터페이스와 개인 인터페이스를 대상으로 합니다. 그러나 이러한 경우 관리자는 포트 예외 설정을 사용하여 공용 인터페이스의 특정 포트를 MPP 작업에서 제외할 수 있습니다.

포트 예외 설정

관리자는 포트 예외 설정을 사용하여 특정 포트 예외를 만들 수 있습니다. MPP 설정이 사용되는 경우 모든 포트의 연결에 대해 기본적으로 메모리 압력 보호 기능이 사용됩니다. 공격이 검색된 경우 MPP 설정과 프로필 설정을 기준으로 기존 연결을 끊거나 들어오는 SYN을 삭제할 수 있습니다. 그러나 관리자는 포트 예외 목록에서 특정 포트를 지정하여 해당 연결에 대한 예외를 설정할 수 있습니다.

참고
  • 포트 예외 목록은 단일 글로벌 목록으로, 모든 인터페이스와 IP 주소에 적용됩니다.
  • 포트 예외 설정은 해당 포트에서 TCP 연결이 설정되기 전에 적용됩니다. 서버 응용 프로그램을 시작하기 전에 모든 MPP 관련 설정을 구성하는 것이 좋습니다.

서버와 클라이언트에서 이 설정의 기본값

표 축소표 확대
서버의 기본값클라이언트의 기본값
MPP사용 사용 안 함
프로필사용 사용
포트 예외예외 없음예외 없음
참고 이 설정이 변경된 후 관리자가 기본 설정으로 되돌리려면 다음 netsh 명령을 사용할 수 있습니다.
netsh int tcp reset
참고netsh int tcp reset 명령을 사용하기 전에 "알려진 문제" 섹션을 참조하십시오.

Windows Vista에서 이 설정 구성

관리자는 런타임 시 netsh 명령을 사용하여 MPP, 프로필 및 포트 예외 설정을 업데이트할 수 있습니다. 이러한 설정은 TCP 연결을 끊을 것인지 여부를 결정합니다. 해당 TCP 연결의 전송 제어 차단이 생성된 경우 당시 설정에 따라 이 평가가 수행됩니다.
  • netsh int tcp reset

    보안 설정과 다른 TCP 설정을 함께 다시 설정합니다. 이 보안 설정에는 MPP, 프로필, 포트 예외 및 연결 속도 제한 설정이 있습니다.
  • netsh int tcp show security

    MPP, 프로필 및 포트 예외에 대해 현재 적용된 보안 설정이 있을 경우 해당 설정을 표시합니다.
  • netsh int tcp set security mpp=[enabled|disabled|default]

    MPP 설정을 전환합니다.
  • netsh int tcp set security Profiles=[enabled|disabled|default]

    프로필 설정을 전환합니다.
  • netsh int tcp set security startport=<x> numberofports=<y+1> mpp=[enabled|disabled|default]

    x에서 x+y까지의 포트 범위에 대한 포트 예외를 지정합니다. xx+y는 유효한 포트 범위(0 - 65535) 내에 있어야 합니다.

    예제

    포트 범위 예외 추가:
    명령 프롬프트에서 다음 명령을 입력하고 Enter 키를 누릅니다.
    netsh int tcp set security startport=5000 numberofports=10 mpp=disabled
    이 명령은 포트 5000에서 5009까지의 포트에 대해 MPP 기능을 사용하지 않도록 설정합니다.

    포트 범위 예외 삭제:
    명령 프롬프트에서 다음 명령을 입력하고 Enter 키를 누릅니다.
    netsh int tcp set security startport=5000 numberofports=10 mpp=enable
    이 명령은 첫 번째 예제에서 추가한 예외 항목을 삭제합니다.

    참고netsh int tcp set security 명령은 겹치는 포트 범위와 하위 범위를 처리하지 않습니다.

Windows Server 2003에서 이 설정 구성

Windows Server 2003에서는 레지스트리를 사용하여 이 설정을 구성해야 합니다.

Windows Server 2003에서 MPP 설정 구성

중요 이 절, 방법 또는 작업에는 레지스트리를 수정하는 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수도 있으므로 다음 단계를 주의하여 수행해야 합니다. 추가 보호 조치로 레지스트리를 수정하기 전에 해당 레지스트리를 백업하는 것이 좋습니다. 이렇게 하면 문제가 발생하는 경우 레지스트리를 복원할 수 있습니다. 레지스트리 백업 및 복원 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
322756 Windows XP 및 Windows Server 2003에서 레지스트리를 백업, 편집 및 복원하는 방법


MPP 설정을 사용하거나 사용하지 않도록 설정하려면 다음 레지스트리 항목을 사용합니다.
참고 기본적으로 다음 레지스트리 항목은 없습니다. 레지스트리 항목을 만들어 수정해야 합니다. 이 레지스트리 항목은 없지만 기본적으로 MPP 설정을 사용하도록 설정되어 있으며 포트 예외는 없습니다.
  • IPv4(인터넷 프로토콜 버전 4):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableMPP
  • IPv6(인터넷 프로토콜 버전 6):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP
예를 들어 다음 단계를 수행하여 IPv4에서 MPP 설정을 사용하지 않도록 설정할 수 있습니다.
  1. 시작, 실행을 차례로 클릭하고 열기 상자에 regedit를 입력한 다음 확인을 클릭합니다.
  2. 다음 레지스트리 하위 키를 찾아 클릭합니다.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. 편집 메뉴에서 새로 만들기를 가리킨 다음 DWORD 값을 클릭합니다.
  4. EnableMPP를 입력한 다음 Enter 키를 누릅니다.
  5. EnableMPP를 마우스 오른쪽 단추로 클릭한 다음 수정을 클릭합니다.
  6. 값 데이터 상자에 0을 입력한 다음 확인을 클릭합니다.
  7. 레지스트리 편집기를 종료합니다.
  8. 컴퓨터를 다시 시작합니다.
참고
  • MPP 설정을 사용하도록 다시 설정하려면 EnableMPP 레지스트리 항목의 DWORD 값을 1로 설정한 다음 컴퓨터를 다시 시작합니다.
  • 위와 동일한 단계를 수행하여 IPv6의 MPP 설정에 대한 다음 레지스트리 항목을 구성할 수 있습니다.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP

Windows Server 2003에서 특정 인터페이스에 대한 MPP 설정 구성

중요 이 절, 방법 또는 작업에는 레지스트리를 수정하는 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수도 있으므로 다음 단계를 주의하여 수행해야 합니다. 추가 보호 조치로 레지스트리를 수정하기 전에 해당 레지스트리를 백업하는 것이 좋습니다. 이렇게 하면 문제가 발생하는 경우 레지스트리를 복원할 수 있습니다. 레지스트리 백업 및 복원 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
322756 Windows XP 및 Windows Server 2003에서 레지스트리를 백업, 편집 및 복원하는 방법


참고 기본적으로 Windows Server 2003에서는 모든 인터페이스에 대해 MPP 기능이 사용됩니다.

특정 인터페이스에 대해 MPP 설정을 사용하거나 사용하지 않도록 설정하려면 다음 레지스트리 하위 키를 사용합니다.
  • IPv4:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>\DisableMPPOnIF
  • IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF
예를 들어 다음 단계를 수행하여 IPv4에서 특정 인터페이스에 대해 MPP 설정을 사용하지 않도록 설정할 수 있습니다.
  1. 시작, 실행을 차례로 클릭하고 열기 상자에 regedit를 입력한 다음 확인을 클릭합니다.
  2. 다음 레지스트리 하위 키를 찾아 클릭합니다.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>
  3. 편집 메뉴에서 새로 만들기를 가리킨 다음 DWORD 값을 클릭합니다.
  4. DisableMPPOnIF를 입력한 다음 Enter 키를 누릅니다.
  5. DisableMPPOnIF를 마우스 오른쪽 단추로 클릭한 다음 수정을 클릭합니다.
  6. 값 데이터 상자에 1을 입력한 다음 확인을 클릭합니다.
  7. 레지스트리 편집기를 종료합니다.
  8. 컴퓨터를 다시 시작합니다.
참고 위와 동일한 단계를 수행하여 IPv6에서 특정 인터페이스의 MPP 설정에 대해 다음 레지스트리 하위 키를 구성할 수 있습니다.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF

Windows Server 2003에서 포트 예외 설정 구성

중요 이 절, 방법 또는 작업에는 레지스트리를 수정하는 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수도 있으므로 다음 단계를 주의하여 수행해야 합니다. 추가 보호 조치로 레지스트리를 수정하기 전에 해당 레지스트리를 백업하는 것이 좋습니다. 이렇게 하면 문제가 발생하는 경우 레지스트리를 복원할 수 있습니다. 레지스트리 백업 및 복원 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
322756 Windows XP 및 Windows Server 2003에서 레지스트리를 백업, 편집 및 복원하는 방법


x에서 y까지의 포트 범위에 대한 포트 예외를 지정하려면 다음 레지스트리 항목을 사용합니다.
  • IPv4:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\MPPExcludedPorts
  • IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts
예를 들어 다음 단계를 수행하여 IPv4에서 xxxx부터 yyyy까지의 포트 범위에 대한 포트 예외를 지정할 수 있습니다.
  1. 시작, 실행을 차례로 클릭하고 열기 상자에 regedit를 입력한 다음 확인을 클릭합니다.
  2. 다음 레지스트리 하위 키를 찾아 클릭합니다.
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. 편집 메뉴에서 새로 만들기를 가리킨 다음 다중 문자열 값을 클릭합니다.
  4. MPPExcludedPorts를 입력한 다음 Enter 키를 누릅니다.
  5. MPPExcludedPorts를 마우스 오른쪽 단추로 클릭한 다음 수정을 클릭합니다.
  6. 값 데이터 상자에 5000-5010과 같이 xxxx-yyyy 형식으로 포트 범위를 입력하고 확인을 클릭합니다.
  7. 레지스트리 편집기를 종료합니다.
  8. 컴퓨터를 다시 시작합니다.
참고
  • xxxx-yyyy 형식으로 포트 범위를 지정해야 합니다. 여기서 xxxxyyyy는 유효한 포트 범위 내에 있어야 합니다. 범위에는 시작 값과 종료 값이 포함됩니다.
  • 이러한 단계를 수행하여 IPv6의 포트 예외 설정에 대한 다음 레지스트리 하위 키를 구성할 수 있습니다.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts
  • 이 목록에서 지정할 수 있는 포트 범위 제한은 12개입니다. 추가 범위는 무시되며 예외가 적용되지 않습니다.

알려진 문제

  • Windows Vista SP2 및 Windows Server 2008 SP2에서 netsh int tcp reset 명령은 연결 속도 제한에 영향을 줍니다.

    이 보안 업데이트를 설치하기 전에 netsh int tcp reset 명령은 TCP 설정을 다시 설정합니다. 여기에는 Chimney 매개 변수, ECN(Explicit Congestion Notification), 수신 창 자동 조정, CTCP(복합 TCP) 및 타임스탬프가 포함됩니다. 이 보안 업데이트를 설치한 후 netsh int tcp reset 명령은 MPP, 프로필, 연결 속도 제한 설정 등의 보안 설정도 다시 설정합니다. MPP 및 프로필 설정만 다시 설정해야 하더라도 런타임 시 연결 속도 제한 설정도 다시 설정됩니다. 연결 속도 제한을 다시 설정하려면 레지스트리 하위 키를 수정해야 합니다. 연결 속도 제한 설정에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
    969710 Windows Vista 서비스 팩 2 및 Windows Server 2008 서비스 팩 2 반 열림 TCP 연결 제한을 설정하는 방법
  • Windows Server 2003에서 보안 업데이트 967723을 설치한 후 IPv6을 설치한 경우 이벤트 로그에 IPv6 이벤트 ID 4229에 대해 다음과 같은 정보가 포함됩니다.
    Tcpip6 원본에서 이벤트 ID 4229에 대한 설명을 찾을 수 없습니다. 이 이벤트를 발생시킨 구성 요소가 로컬 컴퓨터에 설치되어 있지 않거나 설치가 손상되었습니다. 로컬 컴퓨터에서 구성 요소를 설치 또는 복구할 수 있습니다.

    이벤트가 다른 컴퓨터에서 시작된 경우 표시 정보를 이벤트와 함께 저장해야 합니다.

    다음 정보가 이벤트와 함께 포함되었습니다.

    메시지 리소스가 있지만 문자열/메시지 테이블에서 메시지를 찾을 수 없습니다.
    이 문제를 해결하려면 업데이트를 다시 설치하거나 다음 레지스트리 하위 키를 수동으로 추가해야 합니다.
    • Windows Server 2003 SP2에서는 %systemroot%system32\w03a3409.dll 문자열을
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      아래에 추가합니다.
    • Windows Server 2003 SP1에서는 %systemroot%system32\w03a2409.dll 문자열을
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      아래에 추가합니다.
    • Windows Server 2003에서는 %systemroot%system32\ws03res.dll 문자열을
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      아래에 추가합니다.

속성

기술 자료: 974288 - 마지막 검토: 2009년 9월 11일 금요일 - 수정: 1.3
본 문서의 정보는 다음의 제품에 적용됩니다.
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
키워드:?
kbsecvulnerability kbsecbulletin kbsecadvisory kbaccctrl kbsurveynew kbexpertisebeginner atdownload KB974288

피드백 보내기

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com