Beskrivelse av den nye Memory Pressure Protection-funksjonen for TCP-stakken

Artikkeloversettelser Artikkeloversettelser
Artikkel-ID: 974288 - Vis produkter som denne artikkelen gjelder for.
Vis alt | Skjul alt

På denne siden

INNLEDNING

Denne artikkelen beskriver den nye Memory Pressure Protection-funksjonen for TCP-stakken Den nye funksjonen leveres i sikkerhetsoppdatering 967723.

Mer informasjon

Memory Pressure Protection-funksjonen består av tre sikkerhetsinnstillinger. Disse innstillingene inkluderer MPP (Memory Pressure Protection), Profiler og Portunntak.

MPP-innstillingen

MPP-innstillingen definerer funksjonen. Den inkluderer følgende to aktiviteter når et angrep blir oppdaget:
  • Avslutt eksisterende TCP-tilkoblinger.
  • Dropp innkommende SYN-forespørsler.
En administrator kan aktivere eller deaktivere MPP-innstillingen ved hjelp av netsh-kommandoer. Når administratoren aktiverer eller deaktiverer MPP-innstillingen, vil denne funksjonen aktiveres eller deaktiveres.

Profilinnstillingen

Profilfunksjonen hjelper administratoren med å skille mellom offentlige og private grensesnitt. Hvis et grensesnitt har tilgang til domenekontrolleren, indikerer det at grensesnittet er medlem i domenet eller at administratoren kan konfigurere et grensesnitt som privat. Profilfunksjonen er kun tilgjengelig i Windows Vista og Windows Server 2008.

Profilinnstillingen avgjør datamaskinens mulighet til å avslutte TCP-koblinger og droppe innkommende SYN-forespørsler på grensesnittet som er medlem av domenet og det private grensesnittet når datamaskinen blir angrepet og har lite ledig minne. For Windows Server 2003 må en administrator bruke registeroppføringer for å deaktivere MPP-funksjonen for et bestemt grensesnitt. Se "Konfigurere disse innstillingene i Windows Server 2003" for mer informasjon. Som standard er profilinnstillingen aktivert. Når denne innstillingen er aktivert, har administratoren avgjort å ikke under noen omstendighet avslutte TCP-tilkoblinger eller droppe SYNer på grensesnittet som er medlem i domenet og det private grensesnittet. Hvis administratoren vil avslutte TCP-koblinger og droppe SYNer på grensesnittet som er medlem i domenet og det private grensesnittet når de angripes, må Profilinnstillingen deaktiveres.

Nb Hvis MPP-innstillingen er aktivert og et angrep blir oppdaget, kan ikke administratoren avbryte avslutningen av tilkoblinger på offentlige grensesnitt selv om Profilinnstillingen er aktivert. Profilinnstillingsfunksjonen er ment for private grensesnitt og grensesnitt som er medlemmer i et domene. I disse tilfellene kan en administrator bruke Portunntaksinnstillingen for å utelukke bestemte porter i offentlige grensesnitt fra MPP-handlinger.

Portunntaksinnstillingen

Portunntaksinnstillingen lar administratoren gjøre portspesifikke unntak. Når MPP-innstillingen er aktivert, vil Memory Pressure Protection-funksjonen være aktivert for tilkoblinger til alle porter som standard. Hvis et angrep oppdages, kan de eksisterende tilkoblingene avbrytes eller de innkommende SYNene kan droppes, basert på innstillingene for MPP og Profil. En administrator kan angi unntak for tilkoblinger til bestemte porter ved å spesifisere dem i en liste for portunntak.

Nb
  • Listen for portunntak er en enkelt, global liste som gjelder for alle grensesnitt og IP-adresser.
  • Portunntaksinnstillingen gjelder kun før TCP-tilkoblinger er etablert for en port. Vi anbefaler at du konfigurerer alle innstillinger som er relatert til MPP før du starter serverprogrammene.

Standardverdier for disse innstillingene på servere og klienter

Skjul denne tabellenVis denne tabellen
Standardverdier for servereStandardverdier for klienter
MPPAktivert Deaktivert
ProfilAktivert Aktivert
PortunntakIngen unntakIngen unntak
Nb Hvis disse innstillingene endres, og en administrator vil gå tilbake til standardinnstillingene, kan administratoren bruke følgende netsh-kommando:
netsh int tcp reset
Nb Se avsnittet "Kjente problemer" før du bruker kommandoen netsh int tcp reset.

Slik konfigurerer du disse innstillingene i Windows Vista

En administrator kan bruke netsh-kommandoer for å oppdatere innstillingene for MPP, profiler og portunntak under kjøring. Disse innstillingene avgjør om en TCP-tilkobling skal lukes bort eller ikke. Vurderingen utføres når Transmission Control Block for TCP-tilkoblingen opprettes, avhengig av de gjeldende innstillingene.
  • netsh int tcp reset

    Tilbakestiller sikkerhetsinnstillingene sammen med de andre TCP-innstillingene. Disse sikkerhetsinnstillingene inkluderer MPP, profil, portunntak og innstillinger for hastighetsbegrensing av tilkoblinger.
  • netsh int tcp show security

    Viser de gjeldende sikkerhetsinnstillingene for MPP, profiler og portunntak, hvis slike finnes.
  • netsh int tcp set security mpp=[enabled|disabled|default]

    Veksler mellom MPP-innstillinger.
  • netsh int tcp set security Profiles=[enabled|disabled|default]

    Veksler mellom Profilinnstillinger.
  • netsh int tcp set security startport=<x> numberofports=<y+1> mpp=[enabled|disabled|default]

    Angir portunntak for portområdet fra x til x+y. Du bør sørge for at x og x+y er i gyldig portområde (0 - 65535).

    Eksempler

    Legge til et unntak for et portområde:
    Skriv inn følgende kommando ved ledeteksten, og trykk deretter ENTER:
    netsh int tcp set security startport=5000 numberofports=10 mpp=disabled
    Denne kommandoen deaktiverer MPP-funksjonen for portene fra 5000 til 5009 (inkludert begge disse).

    Slette et unntak for et portområde:
    Skriv inn følgende kommando ved ledeteksten, og trykk deretter ENTER:
    netsh int tcp set security startport=5000 numberofports=10 mpp=enable
    Denne kommandoen sletter unntaksoppføringen som ble lagt til i det første eksempelet.

    Nb Overlappende portområder og underområder behandles ikke av kommandoen netsh int tcp set security.

Slik konfigurerer du disse innstillingene i Windows Server 2003

I Windows Server 2003 må du konfigurere disse innstillingene ved hjelp av registeret.

Slik konfigurerer du MPP-innstillinger i Windows Server 2003

Viktig!  Denne delen, metoden eller oppgaven inneholder fremgangsmåter for hvordan du endrer registret. Det kan imidlertid oppstå alvorlige problemer hvis du endrer registret på feil måte. Sørg derfor for at du følger fremgangsmåtene nøye. Husk å ta sikkerhetskopi av registret før du endrer det, som en ekstra beskyttelse. Dermed kan du gjenopprette registret hvis det skulle oppstå problemer. Hvis du vil ha mer informasjon om hvordan du sikkerhetskopierer og gjenoppretter registret, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
322756 Slik sikkerhetskopierer, redigerer og gjenoppretter du registret i Windows XP og Windows Server 2003


Bruk følgende registeroppføringer for å aktivere eller deaktivere MPP-innstillingen.
Nb Følgende registeroppføringer er ikke tilgjengelige som standard. Du må opprette dem før du kan endre dem. Selv om registeroppføringene ikke finnes, er MPP-innstillingen aktivert som standard. Ingen porter er unntatt.
  • Internet Protocol versjon 4 (IPv4):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableMPP
  • Internet Protocol versjon 6 (IPv6):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP
Du kan for eksempel følge disse trinnene for å deaktivere MPP-innstillingen for IPv4:
  1. Klikk Start, Kjør, skriv inn regedit i Åpne-boksen, og klikk deretter OK.
  2. Finn og klikk følgende registerundernøkkel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. Klikk NyRediger-menyen, og klikk deretter DWORD-verdi.
  4. Skriv inn EnableMPP, og trykk deretter ENTER.
  5. Høyreklikk EnabledMPP og klikk deretter Endre.
  6. I boksen Verdidata skriver du inn 0. Klikk deretter OK.
  7. Avslutt Registerredigering.
  8. Start datamaskinen på nytt.
Nb
  • Hvis du vil reaktivere MPP-innstillingen, setter du DWORD-verdien for registeroppføringen EnableMPP til 1. Start deretter datamaskinen på nytt.
  • Du kan følge de samme trinnene for å konfigurere følgende registeroppføring for MPP-innstillingen på IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP

Konfigurere MPP-innstillingen for et bestemt grensesnitt i Windows Server 2003

Viktig!  Denne delen, metoden eller oppgaven inneholder fremgangsmåter for hvordan du endrer registret. Det kan imidlertid oppstå alvorlige problemer hvis du endrer registret på feil måte. Sørg derfor for at du følger fremgangsmåtene nøye. Husk å ta sikkerhetskopi av registret før du endrer det, som en ekstra beskyttelse. Dermed kan du gjenopprette registret hvis det skulle oppstå problemer. Hvis du vil ha mer informasjon om hvordan du sikkerhetskopierer og gjenoppretter registret, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
322756 Slik sikkerhetskopierer, redigerer og gjenoppretter du registret i Windows XP og Windows Server 2003


Nb MPP-funksjonen er aktivert på alle grensesnitt som standard i Windows Server 2003.

Bruk følgende registeroppføringer for å aktivere eller deaktivere MPP-innstillingen for et bestemt grensesnitt:
  • IPv4:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>\DisableMPPOnIF
  • IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF
Du kan for eksempel følge disse trinnene for å deaktivere MPP-innstillingen for et bestemt grensesnitt under IPv4:
  1. Klikk Start, Kjør, skriv inn regedit i Åpne-boksen, og klikk deretter OK.
  2. Finn og klikk følgende registerundernøkkel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>
  3. Klikk NyRediger-menyen, og klikk deretter DWORD-verdi.
  4. Skriv inn DisableMPPOnIF, og trykk deretter ENTER.
  5. Høyreklikk DisableMPPOnIF og klikk deretter Endre.
  6. I boksen Verdidata skriver du inn 1. Klikk deretter OK.
  7. Avslutt Registerredigering.
  8. Start datamaskinen på nytt.
Nb Du kan følge de samme trinnene for å konfigurere følgende registeroppføring for MPP-innstillingen for et bestemt grensesnitt på IPv6:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF

Konfigurere innstillingen for portunntak i Windows Server 2003

Viktig!  Denne delen, metoden eller oppgaven inneholder fremgangsmåter for hvordan du endrer registret. Det kan imidlertid oppstå alvorlige problemer hvis du endrer registret på feil måte. Sørg derfor for at du følger fremgangsmåtene nøye. Husk å ta sikkerhetskopi av registret før du endrer det, som en ekstra beskyttelse. Dermed kan du gjenopprette registret hvis det skulle oppstå problemer. Hvis du vil ha mer informasjon om hvordan du sikkerhetskopierer og gjenoppretter registret, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
322756 Slik sikkerhetskopierer, redigerer og gjenoppretter du registret i Windows XP og Windows Server 2003


Bruk følgende registeroppføringer for å angi portunntaktene for portområdet x til y:
  • IPv4:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\MPPExcludedPorts
  • IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts
Du kan for eksempel følge disse trinnene for å angi portunntakene for portområdet fra xxxx til yyyy på IPv4:-
  1. Klikk Start, Kjør, skriv inn regedit i Åpne-boksen, og klikk deretter OK.
  2. Finn og klikk følgende registerundernøkkel:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. Velg NyRediger-menyen, og klikk deretter Multistrengverdi.
  4. Skriv inn MPPExcludedPorts, og trykk deretter ENTER.
  5. Høyreklikk MPPExcludedPorts og klikk deretter Endre.
  6. I boksen Verdidata skriver du inn portområdet i formatet xxxx-yyyy, for eksempel 5000-5010. Klikk deretter OK.
  7. Avslutt Registerredigering.
  8. Start datamaskinen på nytt.
Nb
  • Du må angi portområdet i formatet xxxx-yyyy, hvor xxxx og yyyy er i det gyldige portområdet. Området inkluderer start- og sluttverdiene.
  • Du kan følge de samme trinnene for å konfigurere følgende registerunderoppføring for portunntaksinnstillingen på IPv6:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts
  • Det er en grense på 12 portområder som kan angis i denne listen. Flere områder vil ignoreres, og unntakene blir ikke aktivert.

Kjente problemer

  • På Windows Vista SP2 og Windows Server 2008 SP2 er hastighetsbegrensningen for tilkoblingen påvirket av kommandoen netsh int tcp reset.

    Før du kan installere denne sikkerhetsoppdateringen vil kommandoen netsh int tcp reset tilbakestille TCP-innstillingene. Dette inkluderer Chimney-parametre, ECN (Explicit Congestion Notification), Auto-tuning av mottaksvindu, CTCP (Compount TCP) og tidsstempel. Etter at du installerer denne sikkerhetsoppdateringen, vil kommandoen netsh int tcp reset også tilbakestille sikkerhetsinnstillingene, inkludert innstillingene for MPP, profiler og hastighetsbegrensning for tilkoblinger. Selv om MPP og profilinnstillingene forventes, vil tilbakestilling av innstillingen for hastighetsbegrensning av tilkobling også utføres ved kjøring. Du må endre registerundernøkkelen for å angi hastighetsbegrensningen for tilkoblingen på nytt. Hvis du vil ha mer informasjon om inngående innstilling for hastighetsbegrensning av tilkobling, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
    969710 Slik aktiverer du den halvåpne TCP tilkoblingsgrensen i Windows Vista med Service Pack 2 og i Windows Server 2008 med Service Pack 2 (denne artikkelen kan være på engelsk)
  • Hvis du installerer sikkerhetsoppdatering 967723 og deretter installerer IPv6 i Windows Server 2003, vil hendelsesloggen inneholde informasjon som likner på følgende informasjon for IPv6 hendelsesID 4229:
    Beskrivelsen for hendelsesID 4229 fra kilde tcpip6 kan ikke finnes. Enten er komponenten som viser denne hendelsen, ikke installert på den lokale datamaskinen, eller er installasjonen skadet. Du kan installere eller reparere komponenten på den lokale datamaskinen.

    Hvis hendelsen oppstod på en annen datamaskin, må visningsinformasjonen være lagret med hendelsen.

    Følgende informasjon var inkludert med hendelsen:

    meldingsressursen finnes, men meldingen finnes ikke i streng/meldingstabellen
    Du må installere oppdateringen på nytt og legge til følgende registerundernøkler manuelt for å løse dette problemet:
    • I Windows Server 2003 SP2 legger du til strengen %systemroot%system32\w03a3409.dll under
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      .
    • I Windows Server 2003 SP1 legger du til strengen %systemroot%system32\w03a2409.dll under
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      .
    • I Windows Server 2003 legger du til strengen %systemroot%system32\w03res.dll under
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      .

Egenskaper

Artikkel-ID: 974288 - Forrige gjennomgang: 11. september 2009 - Gjennomgang: 1.2
Informasjonen i denne artikkelen gjelder:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Nøkkelord: 
kbsecvulnerability kbsecbulletin kbsecadvisory kbaccctrl kbsurveynew kbexpertisebeginner atdownload KB974288

Gi tilbakemelding

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com