Beschrijving van de nieuwe functie Memory Pressure Protection (Beveiliging geheugenbelasting) voor TCP-stack

Artikel ID: 974288 - Bekijk de producten waarop dit artikel van toepassing is.
Alles uitklappen | Alles samenvouwen

Op deze pagina

Inleiding

In dit artikel wordt de nieuwe functie Memory Pressure Protection voor TCP-stack beschreven. Deze nieuwe functie wordt verstrekt door update 967723.
Naar boven | Geef ons feedback

Meer informatie

De functie Memory Pressure Protection bestaat uit drie beveiligingsinstellingen. Deze instellingen bevatten Memory Pressure Protection (MPP), Profiles (Profielen) en Port Exemption (Uitsluiting van poorten).

De MPP-instelling

De MPP-instelling definieert de functie en het bevat de volgende twee activiteiten wanneer een aanval wordt gedetecteerd:
  • Beëindig de bestaande TCP-verbindingen.
  • Binnenkomende SYN-verzoeken negeren.
Een beheerder kan de MMP-instelling in- of uitschakelen met netsh-opdrachten. Wanneer de beheerder de MPP-instelling in- of uitschakelt, wordt deze functie in- of uitgeschakeld.

De instelling Profiles

De functie Profiles helpt de beheerder onderscheid te maken tussen openbare en privé-interfaces. Als een interface toegang heeft tot de domeincontroller, betekent dit dat de interface is toegevoegd aan een domein of dat de beheerder een interface als privé kan configureren. De functie Profiles is alleen beschikbaar in Windows Vista en Windows Server 2008.

De instelling Profiles bepaalt of de computer TCP-verbindingen kan beëindigen en inkomende SYN-verzoeken kan negeren op de interface die aan een domein is toegevoegd en de privé-interface wanneer de computer wordt aangevallen met onvoldoende geheugen. Op Windows Server 2003 moet de beheerder registervermeldingen gebruiken om de MPP-functie op een bepaalde interface uit te schakelen. Lees voor meer informatie de sectie "Deze instellingen in Windows Server 2003 configureren". De instelling Profiles is standaard ingeschakeld. Als deze instelling is ingeschakeld, heeft de beheerder ervoor gekozen onder geen voorwaarde TCP-verbindingen te beëindigen of SYN's op de interface die is toegevoegd aan een domein en de privé-interface te negeren. Als de beheerder TCP-verbindingen wil beëindigen en SYN's op de interface die is toegevoegd aan een domein en de privé-interface wil negeren wanneer de computer wordt aangevallen, moet de instelling Profiles zijn uitgeschakeld.

Opmerking Als de MPP-instelling is ingeschakeld en een aanval wordt gedetecteerd, kan de beheerder niet stoppen met het beëindigen van verbindingen op openbare interfaces, zelfs als de instelling Profiles is ingeschakeld. De instelling Profiles is bedoeld voor interfaces die aan een domein zijn toegevoegd en voor privé-interfaces. In deze gevallen kan een beheerder de instelling Port Exemption gebruiken om bepaalde poorten uit te sluiten van MMP-acties op openbare interfaces.

De instelling Port Exemption

Met de instelling Port Exemption kan de beheerder poort-specifieke uitzonderingen maken. Als de MPP-instelling is ingeschakeld, is de functie Memory Pressure Protection standaard ingeschakeld voor verbindingen op alle poorten. Wanneer een aanval wordt gedetecteerd kunnen de bestaande verbindingen worden beëindigd of inkomende SYN's worden genegeerd, gebaseerd op de instellingen MPP en Profiles. Een beheerder kan uitzonderingen instellen voor verbindingen op bepaalde poorten door deze te specificeren in de uitzonderingenlijst van de poorten.

Opmerkingen
  • De lijst Port Exemption is een enkele algemene lijst en is van toepassing op alle interfaces en IP-adressen.
  • De instelling Port Exemption is van kracht voordat een TCP-verbinding is ingesteld op de poort. Wij raden aan dat u alle instellingen configureert die zijn verbonden met MPP voordat u de servertoepassingen start.

Standaardwaarden voor deze instellingen op de servers en op de clients

Deze tabel samenvouwenDeze tabel uitklappen
Standaardwaarden op serversStandaardwaarden op clients
MPPIngeschakeld Uitgeschakeld
ProfileIngeschakeld Ingeschakeld
Port ExemptionGeen uitzonderingenGeen uitzonderingen
Opmerking Als deze instellingen worden gewijzigd en een beheerder wilt terugkeren naar de standaardinstellingen, kan de beheerder de volgende netsh-opdracht gebruiken:
netsh int tcp reset
Opmerking Raadpleeg de sectie "Bekende problemen" voordat u de opdracht netsh int tcp reset gebruikt.

Deze instellingen in Windows Vista configureren

Een beheerder kan netsh-opdrachten gebruiken om de instellingen MPP, Profiles en Port Exemption tijdens uitvoering bij te werken. Deze instellingen bepalen of een TCP-verbinding wel of niet in aanmerking komt voor weghalen. Deze evaluatie wordt uitgevoerd wanneer de Transmission Control Block van die TCP-verbinding wordt gemaakt, afhankelijk van de instellingen op dat moment.
  • netsh int tcp reset

    Stelt de beveiligingsinstellingen en andere TCP-instellingen opnieuw in. Deze beveiligingsinstellingen bevatten MPP, Profile, Port Exemption en instellingen voor de beperking van de verbindingssnelheid.
  • netsh int tcp show security

    Geeft de beveiligingsinstellingen die momenteel zijn toegepast voor MPP, Profiles en Port Exemptions weer.
  • netsh int tcp set security mpp=[enabled|disabled|default]

    Schakelt de MPP-instellingen in en uit.
  • netsh int tcp set security Profiles=[enabled|disabled|default]

    Schakelt de instelling Profiles in en uit.
  • netsh int tcp set security startport=<x> numberofports=<y+1> mpp=[enabled|disabled|default]

    Specificeert de poortuitzonderingen voor het poortbereik van x tot x+y. Zorg ervoor dat x en x+y een geldig poortbereik hebben (0 - 65535).

    Voorbeelden

    Voeg een uitzondering voor poortbereik toe:
    Typ de volgende opdracht bij de opdrachtprompt en druk op Enter:
    netsh int tcp set security startport=5000 numberofports=10 mpp=disabled
    Deze opdracht schakelt de MPP-functie uit voor de poorten 5000 tot 2009 (beide volledig).

    Verwijder een uitzondering voor poortbereik:
    Typ de volgende opdracht bij de opdrachtprompt en druk op Enter:
    netsh int tcp set security startport=5000 numberofports=10 mpp=enable
    Deze opdracht verwijdert de uitzondering die was toegevoegd in het eerste voorbeeld.

    Opmerking Overlappende poortbereiken en subbereiken worden niet verwerkt door de opdracht netsh int tcp set security.

Deze instellingen configureren in Windows Server 2003

In Windows Server 2003 moet u deze instellingen configureren met het register.

De MPP-instelling configureren in Windows Server 2003

Belangrijk Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register onjuist bewerkt, kunnen er echter grote problemen optreden. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Maak een back-up van het register voordat u wijzigingen aanbrengt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Als u meer informatie wilt over het maken van een back-up van het register en het herstellen van het register, klikt u op het volgende artikelnummer, zodat het desbetreffende Microsoft Knowledge Base-artikel wordt weergegeven:
322756
(http://support.microsoft.com/kb/322756/ )
Procedure: Een back-up van het register maken en het register bewerken en terugzetten in Windows XP en Windows Server 2003


Gebruik de volgende registervermeldingen om de MPP-instelling in of uit te schakelen.
Opmerking De volgende registervermeldingen zijn niet standaard beschikbaar. U moet ze maken om ze te kunnen wijzigen. Hoewel de registervermeldingen niet aanwezig zijn, is de MPP-instelling standaard ingeschakeld en is er geen uitzondering voor de poorten.
  • Internet Protocol versie 4 (IPv4):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableMPP
  • Internet Protocol versie 6 (IPv6):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP
U kunt bijvoorbeeld deze stappen volgen om de MPP-instelling op IPv4 uit te schakelen:
  1. Klik op Start, klik op Uitvoeren, typ regedit in het vak Openen en klik op OK.
  2. Klik op de volgende registersubsleutel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. Open het menu Bewerken, wijs de optie Nieuw aan en klik op DWORD-waarde.
  4. Typ EnableMPP en druk op Enter.
  5. Klik met de rechtermuisknop op EnableMPP en klik vervolgens op Wijzigen.
  6. Typ 0 in het vak Waardegegevens en klik op OK.
  7. Sluit Register-editor af.
  8. Start de computer opnieuw op.
Opmerkingen
  • Als u de MPP-instelling opnieuw wilt inschakelen, stelt u de DWORD-waarde voor de registervermelding EnableMPP in op 1 en daarna start u de computer opnieuw op.
  • U kunt dezelfde stappen volgen om de volgende registervermelding te configureren voor de MPP-instelling op IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP

De MPP-instelling configureren voor een bepaalde interface in Windows Server 2003

Belangrijk Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register onjuist bewerkt, kunnen er echter grote problemen optreden. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Maak een back-up van het register voordat u wijzigingen aanbrengt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Als u meer informatie wilt over het maken van een back-up van het register en het herstellen van het register, klikt u op het volgende artikelnummer, zodat het desbetreffende Microsoft Knowledge Base-artikel wordt weergegeven:
322756
(http://support.microsoft.com/kb/322756/ )
Procedure: Een back-up van het register maken en het register bewerken en terugzetten in Windows XP en Windows Server 2003


Opmerking Op Windows Server 2003 is de MPP-functie standaard ingeschakeld op alle interfaces.

Gebruik de volgende registersubsleutels om de MPP-instelling voor een bepaalde interface in of uit te schakelen:
  • IPv4:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>\DisableMPPOnIF
  • IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF
U kunt bijvoorbeeld deze stappen volgen om de MPP-instelling voor een bepaalde interface op IPv4 uit te schakelen:
  1. Klik op Start, klik op Uitvoeren, typ regedit in het vak Openen en klik op OK.
  2. Klik op de volgende registersubsleutel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>
  3. Open het menu Bewerken, wijs de optie Nieuw aan en klik op DWORD-waarde.
  4. Typ DisableMPPOnIF en druk op Enter.
  5. Klik met de rechtermuisknop op DisableMPPOnIF en klik op Wijzigen.
  6. Typ 1 in het vak Waardegegevens en klik op OK.
  7. Sluit Register-editor af.
  8. Start de computer opnieuw op.
Opmerking U kunt dezelfde stappen volgen om de volgende registersubsleutel te configureren voor de MPP-instelling voor een bepaalde interface op IPv6:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF

De instelling Port Exemption configureren in Windows Server 2003

Belangrijk Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register onjuist bewerkt, kunnen er echter grote problemen optreden. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Maak een back-up van het register voordat u wijzigingen aanbrengt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Als u meer informatie wilt over het maken van een back-up van het register en het herstellen van het register, klikt u op het volgende artikelnummer, zodat het desbetreffende Microsoft Knowledge Base-artikel wordt weergegeven:
322756
(http://support.microsoft.com/kb/322756/ )
Procedure: Een back-up van het register maken en het register bewerken en terugzetten in Windows XP en Windows Server 2003


Gebruik de volgende registervermeldingen op de poortuitzonderingen voor het poortbereik van x tot y te specificeren:
  • IPv4:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\MPPExcludedPorts
  • IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts
U kunt deze stappen bijvoorbeeld volgen om de poortuitzonderingen voor het poortbereik van xxxx tot yyyy op IPv4 te specificeren:
  1. Klik op Start, klik op Uitvoeren, typ regedit in het vak Openen en klik op OK.
  2. Klik op de volgende registersubsleutel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. Wijs in het menu Bewerken de optie Nieuw aan en klik op Waarde met meerdere tekenreeksen.
  4. Typ MPPExcludedPorts en druk op Enter.
  5. Klik met de rechtermuisknop op MPPExcludedPorts en klik op Wijzigen.
  6. Typ in het vak Waardegegevens het poortbereik in de indeling xxxx-yyyy (bijvoorbeeld 5000-5010) en klik op OK.
  7. Sluit Register-editor af.
  8. Start de computer opnieuw op.
Opmerkingen
  • U moet het poortbereik in het formaat xxxx-yyyy specificeren, waarbij xxxx en yyyy binnen het geldige poortbereik vallen. De start- en eindwaarden vallen ook binnen het bereik.
  • U kunt deze stappen volgen om de volgende registersubsleutel te configureren voor de instelling Port Exemption op IPv6:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts
  • Er kunnen maximaal 12 poortbereiken worden gespecificeerd in deze lijst. Extra bereiken worden genegeerd en uitzonderingen worden niet toegepast.

Bekende problemen

  • Op Windows Vista SP2 en op Windows Server 2008 SP2 wordt de beperking van de verbindingssnelheid beïnvloed door de opdracht netsh int tcp reset.

    Voordat u deze beveiligingsupdate installeert, herstelt de opdracht netsh int tcp reset de TCP-instellingen. Hieronder vallen Chimney-parameters, ECN (Explicit Congestion Notification), Auto-aanpassing ontvangstvenster, Compound TCP (CTCP) en tijdstempels. Nadat u deze beveiligingsupdate hebt geïnstalleerd, herstelt de opdracht netsh int tcp reset ook de beveiligingsinstellingen, inclusief MPP, Profiles en instellingen voor de beperking van de verbindingssnelheid. Zelfs als de instellingen MPP en Profiles worden verwacht, gebeurt het opnieuw instellen van de instelling voor de beperking van de verbindingssnelheid tijdens uitvoering. Om de beperking voor de verbindingssnelheid opnieuw in te stellen, moet u de registersubsleutel wijzigen. Klik voor meer informatie over de instelling voor de beperking voor de verbindingssnelheid op het volgende artikelnummer, zodat het desbetreffende Microsoft Knowledge Base-artikel wordt weergegeven:
    969710
    (http://support.microsoft.com/kb/969710/ )
    De half-geopende TCP-verbindingenlimiet in Windows Vista met Service Pack 2 en Windows Server 2008 met Service Pack 2 inschakelen (Het Engels)
  • Als u de beveiligingsupdate 967723 en daarna IPv6 installeert in Windows Server 2003, bevat het gebeurtenislogboek informatie die lijkt op de volgende informatie voor IPv6 gebeurtenis-id 4229:
    De beschrijving voor gebeurtenis-id 4229 van de bron Tcpip6 kan niet worden gevonden. Het onderdeel dat deze gebeurtenis genereert is niet geïnstalleerd op uw lokale computer, of de installatie is beschadigd. U kunt het onderdeel installeren of repareren op de lokale computer.

    Als de gebeurtenis op een andere computer plaatsvindt, is de weergave-informatie opgeslagen met de gebeurtenis.

    De volgende informatie is opgenomen bij de gebeurtenis:

    de berichtenbron is aanwezig maar het bericht is niet gevonden in de tekenreeks/berichtentabel
    U moet de update opnieuw installeren of de volgende registersubsleutels handmatig toevoegen om dit probleem op te lossen:
    • Voeg in Windows Server 2003 SP2 de tekenreeks %systemroot%system32\w03a3409.dll toe onder
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      .
    • Voeg in Windows Server 2003 SP1 de tekenreeks %systemroot%system32\w03a2409.dll toe onder
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      .
    • Voeg in Windows Server 2003 de tekenreeks %systemroot%system32\ws03res.dll toe onder
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      .
Naar boven | Geef ons feedback

Eigenschappen

Artikel ID: 974288 - Laatste beoordeling: vrijdag 11 september 2009 - Wijziging: 1.2
De informatie in dit artikel is van toepassing op:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Trefwoorden: 
kbsecvulnerability kbsecbulletin kbsecadvisory kbaccctrl kbsurveynew kbexpertisebeginner atdownload KB974288
Naar boven | Geef ons feedback

Geef ons feedback

 
Naar bovenNaar boven