Opis nowej funkcji ochrony przed nadmiernym użyciem pamięci (MPP) stosu TCP

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 974288 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

WPROWADZENIE

W tym artykule opisano nową funkcję ochrony przed nadmiernym użyciem pamięci (MPP) stosu TCP. Ta nowa funkcja jest udostępniana w aktualizacji zabezpieczeń 967723.

Więcej informacji

W skład funkcji ochrony przed nadmiernym użyciem pamięci (MPP) wchodzą trzy ustawienia zabezpieczeń. Należą do nich: ochrona przed nadmiernym użyciem pamięci (Memory Pressure Protection, MPP), profile oraz wykluczanie portów.

Ustawienie funkcji MPP

Ustawienie funkcji MPP definiuje ją i w przypadku wykrycia ataku umożliwia wykonanie następujących dwóch działań:
  • Zamknięcie istniejących połączeń TCP.
  • Odrzucenie przychodzących żądań SYN.
Administrator może włączać lub wyłączać ustawienie funkcji MPP, korzystając z poleceń netsh. Zależnie od tego, czy administrator włączy lub wyłączy ustawienie funkcji MPP, funkcja będzie włączona lub wyłączona.

Ustawienie profilów

Funkcja profilów ułatwia administratorowi rozróżnienie interfejsów publicznych i niepublicznych. Jeśli interfejs ma dostęp do kontrolera domeny, oznacza to, że jest on przyłączony do domeny lub że administrator może skonfigurować go jako prywatny. Funkcja profilów jest dostępna wyłącznie w systemach Windows Vista i Windows Server 2008.

Ustawienie profilów określa możliwości komputera w zakresie wyłączania połączeń TCP oraz odrzucania przychodzących żądań SYN na poziomie interfejsu przyłączonego do domeny lub interfejsu prywatnego w przypadku, gdy komputer jest atakowany lub brakuje na nim pamięci. W systemie Windows Server 2003 do wyłączania funkcji MPP dla konkretnego interfejsu administrator musi używać wpisów rejestru. Aby uzyskać więcej informacji, zobacz sekcję „Konfigurowanie tych ustawień w systemie Windows Server 2003”. Domyślnie ustawienie profilów jest włączone. Jeśli to ustawienie jest włączone, oznacza to, że administrator zadecydował, aby w żadnym wypadku nie zamykać połączeń TCP ani nie odrzucać żądań SYN na poziomie interfejsu przyłączonego do domeny lub interfejsu prywatnego. Jeśli administrator chce zamykać połączenia TCP i odrzucać żądania SYN na poziomie interfejsu przyłączonego do domeny lub interfejsu prywatnego, ustawienie profilów musi być wyłączone.

Uwaga Jeśli ustawienie funkcji MPP jest włączone i został wykryty atak, administrator nie może zatrzymać zamykania połączeń na poziomie interfejsów publicznych, nawet gdy jest włączone ustawienie profilów. Funkcja ustawienia profilów została zaprojektowana dla interfejsów przyłączonych do domeny i interfejsów prywatnych. Jednak w podobnych przypadkach administrator może korzystać z ustawienia wykluczania portów, aby wykluczyć określone porty interfejsów publicznych z działania funkcji MPP.

Ustawienie wykluczania portów

Ustawienie wykluczania portów pozwala administratorowi tworzyć wyjątki dla specyficznych portów. Domyślnie gdy ustawienie funkcji MPP jest włączone, funkcja ochrony przed nadmiernym użyciem pamięci jest włączona dla połączeń na wszystkich portach. W przypadku wykrycia ataku istniejące połączenia mogą zostać zamknięte lub przychodzące żądania SYN mogą zostać odrzucone na podstawie ustawień funkcji MPP i profilów. Administrator może jednak ustawić wyjątki dla połączeń na określonych portach przez wskazanie ich w liście wyjątków dla portów.

Uwagi
  • Lista wykluczania portów jest pojedynczą listą globalną i odnosi się do wszystkich interfejsów oraz adresów IP.
  • Ustawienie wykluczania portów jest stosowane przed ustanowieniem jakiegokolwiek połączenia TCP na danym porcie. Zalecane jest skonfigurowanie wszystkich ustawień związanych z funkcją MPP przed uruchomieniem aplikacji serwera.

Domyślne wartości tych ustawień na serwerach i klientach

Zwiń tę tabelęRozwiń tę tabelę
Domyślne wartości na serwerachDomyślne wartości na klientach
MPPWłączone Wyłączone
ProfilWłączone Włączone
Wykluczanie portówBrak wykluczeńBrak wykluczeń
Uwaga Aby przywrócić ustawienia domyślne po ich wcześniejszej zmianie, administrator może skorzystać z następującego polecenia netsh:
netsh int tcp reset
Uwaga Przed użyciem polecenia netsh int tcp reset należy zapoznać się z sekcją „Znane problemy”.

Konfigurowanie tych ustawień w systemie Windows Vista

Administrator może użyć poleceń netsh do zaktualizowania ustawień funkcji MPP, profilów oraz wykluczania portów w czasie wykonywania. Te ustawienia określają, czy połączenie TCP kwalifikuje się do usunięcia. Sprawdzanie jest wykonywane, gdy jest tworzony blok sterowania transmisją tego połączenia TCP, zależnie od bieżących ustawień.
  • netsh int tcp reset

    Resetuje ustawienia zabezpieczeń razem z innymi ustawieniami TCP. W skład tych ustawień wchodzą funkcja MPP, profil, wykluczanie portów oraz ustawienia ograniczania szybkości połączeń.
  • netsh int tcp show security

    Wyświetla obecnie stosowane ustawienia zabezpieczeń dla funkcji MPP, profilów oraz wykluczania portów, jeśli istnieją.
  • netsh int tcp set security mpp=[enabled|disabled|default]

    Przełącza ustawienia funkcji MPP.
  • netsh int tcp set security Profiles=[enabled|disabled|default]

    Przełącza ustawienie profilów.
  • netsh int tcp set security startport=<x> numberofports=<y+1> mpp=[enabled|disabled|default]

    Określa wykluczenia portów dla zakresu portów od x do x+y. Należy upewnić się, że wartości x i x+y znajdują się w prawidłowym zakresie portów (0–65535).

    Przykłady

    Dodawanie wykluczenia zakresu portów:
    W wierszu polecenia należy wpisać następujące polecenie, a następnie nacisnąć klawisz ENTER:
    netsh int tcp set security startport=5000 numberofports=10 mpp=disabled
    To polecenie wyłącza funkcję MPP dla portów z zakresu od 5 000 do 5 009 (włącznie).

    Usuwanie wykluczenia zakresu portów:
    W wierszu polecenia należy wpisać następujące polecenie, a następnie nacisnąć klawisz ENTER:
    netsh int tcp set security startport=5000 numberofports=10 mpp=enable
    To polecenie powoduje usunięcie wpisu wykluczenia dodanego w pierwszym przykładzie.

    Uwaga Nakładające się zakresy portów i zakresy podrzędne nie są obsługiwane przez polecenie netsh int tcp set security.

Konfigurowanie tych ustawień w systemie Windows Server 2003

W systemie Windows Server 2003 te ustawienia są konfigurowane za pomocą rejestru.

Konfigurowanie ustawienia funkcji MPP w systemie Windows Server 2003

Ważne W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Aby zapewnić dodatkową ochronę, przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji dotyczących wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
322756 Jak wykonywać kopię zapasową rejestru, edytować go i przywracać w systemach Windows XP i Windows Server 2003


Aby włączyć lub wyłączyć ustawienie funkcji MPP, należy użyć następujących wpisów rejestru.
Uwaga Następujące wpisy rejestru nie są domyślnie dostępne. Aby je modyfikować, należy je najpierw utworzyć. Mimo że nie ma wpisów rejestru, ustawienie funkcji MPP jest domyślnie włączone i żaden port nie jest wykluczony.
  • Protokół internetowy w wersji 4 (IPv4):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableMPP
  • Protokół internetowy w wersji 6 (IPv6):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP
Na przykład aby wyłączyć ustawienie funkcji MPP dla protokołu IPv4, można wykonać następujące czynności:
  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit w polu Otwórz, a następnie kliknij przycisk OK.
  2. Znajdź i kliknij następujący podklucz rejestru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. W menu Edycja kliknij polecenie Nowy, a następnie kliknij polecenie Wartość DWORD.
  4. Wpisz nazwę EnableMPP, a następnie naciśnij klawisz ENTER.
  5. Kliknij prawym przyciskiem myszy pozycję EnableMPP, a następnie kliknij polecenie Modyfikuj.
  6. W polu Dane wartości wpisz 0, a następnie kliknij przycisk OK.
  7. Zakończ Edytor rejestru.
  8. Ponownie uruchom komputer.
Uwagi
  • Aby ponownie włączyć ustawienie funkcji MPP, ustaw dla wpisu rejestru EnableMPP wartość DWORD na 1, a następnie ponownie uruchom komputer.
  • Aby skonfigurować następujący wpis rejestru ustawienia funkcji MPP dla protokołu IPv6, można wykonać te same czynności:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP

Konfigurowanie ustawienia funkcji MPP dla konkretnego interfejsu w systemie Windows Server 2003

Ważne W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Aby zapewnić dodatkową ochronę, przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji dotyczących wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
322756 Jak wykonywać kopię zapasową rejestru, edytować go i przywracać w systemach Windows XP i Windows Server 2003


Uwaga Domyślnie w systemie Windows Server 2003 funkcja MPP jest włączona dla wszystkich interfejsów.

Aby włączyć lub wyłączyć ustawienie funkcji MPP dla konkretnego interfejsu, należy użyć następujących podkluczy rejestru:
  • Protokół IPv4:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>\DisableMPPOnIF
  • Protokół IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF
Na przykład aby wyłączyć ustawienie funkcji MPP dla konkretnego interfejsu i protokołu IPv4, można wykonać następujące czynności:
  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit w polu Otwórz, a następnie kliknij przycisk OK.
  2. Znajdź i kliknij następujący podklucz rejestru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>
  3. W menu Edycja kliknij polecenie Nowy, a następnie kliknij polecenie Wartość DWORD.
  4. Wpisz ciąg DisableMPPOnIF, a następnie naciśnij klawisz ENTER.
  5. Kliknij prawym przyciskiem myszy wartość DisableMPPOnIF, a następnie kliknij polecenie Modyfikuj.
  6. W polu Dane wartości wpisz 1, a następnie kliknij przycisk OK.
  7. Zakończ Edytor rejestru.
  8. Ponownie uruchom komputer.
Uwaga Aby skonfigurować następujący podklucz rejestru dla ustawienia funkcji MPP konkretnego interfejsu i protokołu IPv6, można wykonać te same czynności:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF

Konfigurowanie ustawienia wykluczania portów w systemie Windows Server 2003

Ważne W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane czynności. Aby zapewnić dodatkową ochronę, przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w przypadku wystąpienia problemu. Aby uzyskać więcej informacji dotyczących wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
322756 Jak wykonywać kopię zapasową rejestru, edytować go i przywracać w systemach Windows XP i Windows Server 2003


Aby określić wykluczenia portów dla zakresu portów od x do y, należy użyć następujących wpisów rejestru:
  • Protokół IPv4:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\MPPExcludedPorts
  • Protokół IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts
Na przykład aby określić wykluczenia portów dla zakresu portów od xxxx do yyyy dla protokołu IPv4, można wykonać następujące czynności:
  1. Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit w polu Otwórz, a następnie kliknij przycisk OK.
  2. Znajdź i kliknij następujący podklucz rejestru:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. W menu Edycja wskaż polecenie Nowy, a następnie kliknij polecenie Wartość wielociągu.
  4. Wpisz nazwę MPPExcludedPorts, a następnie naciśnij klawisz ENTER.
  5. Kliknij prawym przyciskiem myszy wartość MPPExcludedPorts, a następnie kliknij polecenie Modyfikuj.
  6. W polu Dane wartości wpisz zakres portów w formacie xxxxyyyy (na przykład 5000–5010), a następnie kliknij przycisk OK.
  7. Zakończ Edytor rejestru.
  8. Ponownie uruchom komputer.
Uwagi
  • Należy określić zakres portów w formacie xxxxyyyy, gdzie xxxx oraz yyyy są prawidłowymi wartościami w zakresie portów. Wartość początkowa i końcowa są włączane do zakresu.
  • Aby skonfigurować następujący podklucz rejestru dla ustawienia wykluczania portów i protokołu IPv6, można wykonać następujące czynności:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts
  • Na tej liście może być określone maksymalnie 12 zakresów portów. Dodatkowe zakresy są ignorowane i wykluczenia nie są stosowane.

Znane problemy

  • W systemach Windows Vista z dodatkiem SP2 i Windows Server 2008 z dodatkiem SP2 polecenie netsh int tcp reset wpływa na ograniczenie szybkości połączenia.

    Przed zainstalowaniem tej aktualizacji zabezpieczeń polecenie netsh int tcp reset pozwala zresetować ustawienia protokołu TCP. Dotyczy to parametrów funkcji Chimney, mechanizmu powiadamiania o przeciążeniu sieci (Explicit Congestion Notification, ECN), autodostrajania okna odbierania, funkcji Coupound TCP (CTCP) oraz sygnatur czasowych. Po zainstalowaniu tej aktualizacji zabezpieczeń polecenie netsh int tcp reset również pozwala zresetować ustawienia zabezpieczeń, włącznie z funkcją MPP, profilami oraz ustawieniami ograniczania szybkości połączeń. Nawet jeśli są oczekiwane ustawienia funkcji MPP i profilów, również resetowanie ustawienia ograniczenia szybkości połączenia jest realizowane w czasie wykonywania. Aby ponownie ustawić ograniczenie szybkości połączenia, należy zmodyfikować podklucz rejestru. Aby uzyskać więcej informacji dotyczących ustawienia ograniczenia szybkości połączenia, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
    969710 Włączanie limitu półotwartych połączeń TCP w systemach Windows Vista z dodatkiem Service Pack 2 i Windows Server 2008 z dodatkiem Service Pack 2
  • Jeśli w systemie Windows Server 2003 zainstalowano aktualizację zabezpieczeń 967723, a następnie protokół IPv6, informacje zawarte w dzienniku zdarzeń przypominają następujące informacje dla zdarzenia o identyfikatorze 4229 dla protokołu IPv6:
    Nie można znaleźć opisu dla identyfikatora zdarzenia 4229 ze źródła Tcpip6. Składnik zgłaszający to zdarzenie nie jest zainstalowany na komputerze lokalnym lub instalacja jest uszkodzona. Można zainstalować ten składnik na komputerze lokalnym lub naprawić go.

    Jeśli zdarzenie pochodziło z innego komputera, wyświetlane informacje musiały zostać zapisane razem ze zdarzeniem.

    Do zdarzenia dołączono następujące informacje:

    zasób komunikatu jest obecny, ale w tabeli ciągów/komunikatów nie odnaleziono komunikatu
    Aby rozwiązać ten problem, należy ponownie zainstalować aktualizację lub ręcznie dodać następujące podklucze rejestru:
    • W systemie Windows Server 2003 z dodatkiem SP2 dodaj ciąg %systemroot%system32\w03a3409.dll w obszarze
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      .
    • W systemie Windows Server 2003 z dodatkiem SP1 dodaj ciąg %systemroot%system32\w03a2409.dll w obszarze
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      .
    • W systemie Windows Server 2003 dodaj ciąg %systemroot%system32\ws03res.dll w obszarze
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      .

Właściwości

Numer ID artykułu: 974288 - Ostatnia weryfikacja: 11 września 2009 - Weryfikacja: 1.2
Informacje zawarte w tym artykule dotyczą:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Słowa kluczowe: 
kbsecvulnerability kbsecbulletin kbsecadvisory kbaccctrl kbsurveynew kbexpertisebeginner atdownload KB974288

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com