Descrição do novo recurso Protecção de Pressão de Memória para a pilha de TCP

Traduções de Artigos Traduções de Artigos
Artigo: 974288 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

INTRODUÇÃO

Este artigo descreve o novo recurso Protecção de Pressão de Memória para a pilha de TCP. Este novo recurso é fornecido pela actualização de segurança 967723.

Mais Informação

O recurso Protecção de Pressão de Memória é constituído por três definições de segurança. Estas definições incluem MPP (Protecção de Pressão de Memória), Perfis e Excepção de Porta.

A definição MPP

A definição MPP define o recurso e contém as duas actividades que se seguem quando é detectado um ataque:
  • Eliminar as ligações TCP existentes.
  • Rejeitar os pedidos SYN recebidos.
Um administrador pode activar ou desactivar a definição MPP, utilizando comandos netsh. Este recurso é activado ou desactivado quando o administrador activa ou desactiva a definição MPP.

A definição Perfis

O recurso Perfis ajuda o administrador a distinguir entre interfaces públicas e não públicas. Se uma interface conseguir aceder ao controlador de domínio, isso indica que a interface está associada ao domínio ou que o administrador pode configurar uma interface privada. O recurso Perfis está disponível apenas no Windows Vista e no Windows Server 2008.

A definição Perfis determina a capacidade do computador para eliminar ligações TCP e rejeitar pedidos SYN recebidos na interface associada ao domínio e na interface privada quando o computador está sob ataque com pouca memória. No Windows Server 2003, o administrador tem de utilizar entradas do registo para desactivar o recurso MPP numa interface específica. Para mais informações, consulte a secção "Configurar estas definições no Windows Server 2003". Por predefinição, a definição Perfis está activada. O administrador decidiu não eliminar ligações TCP ou rejeitar SYNs na interface associada ao domínio e na interface privada, em circunstância alguma, quando esta definição está activada. Se o administrador pretender eliminar ligações TCP e rejeitar SYNs na interface associada ao domínio e na interface privada quando estiver sob um ataque, é necessário desactivar a definição Perfis.

Nota Se a definição MPP estiver activada e for detectado um ataque, o administrador não consegue interromper a eliminação de ligações nas interfaces públicas mesmo que a definição Perfil esteja activada. O recurso da definição Perfis destina-se a interfaces associadas a domínios e privadas. No entanto, nestes casos, o administrador pode utilizar a definição Excepção de Porta para excluir determinadas portas, em interfaces públicas, da acção MPP.

A definição Excepção de Porta

A definição Excepção de Porta permite ao administrador criar excepções para portas específicas. Por predefinição, quando a definição MPP está activada, o recurso Protecção de Pressão de Memória está activado para ligações em todas as portas. Se for detectado um ataque, é possível eliminar as ligações existentes ou rejeitar SYNs recebidos com base nas definições MPP e Perfis. No entanto, o administrador pode definir excepções para ligações em determinadas portas, especificando-as na lista de excepção de portas.

Notas
  • A lista Excepção de Porta é uma lista global e aplicável a todos os endereços IP e interfaces.
  • A definição Excepção de Porta entra em vigor antes de ser estabelecida qualquer ligação TCP na porta. Recomenda-se que todas as definições relacionadas com a MPP sejam configuradas antes de iniciar as aplicações do servidor.

Valores predefinidos dessas definições nos servidores e nos clientes

Reduzir esta tabelaExpandir esta tabela
Valores predefinidos nos servidoresValores predefinidos nos clientes
MPPActivado Desactivado
PerfilActivado Activado
Excepção de PortaSem excepçõesSem excepções
Nota Se estas definições forem alteradas e um administrador pretender repor as predefinições, pode utilizar o seguinte comando netsh:
netsh int tcp reset
Nota Consulte a secção "Problemas conhecidos" antes de utilizar o comando netsh int tcp reset.

Configurar estas definições no Windows Vista

Um administrador pode utilizar comandos netsh para actualizar as definições MPP, Perfis e Excepção de Porta durante a execução. Estas definições determinam se uma ligação TCP deve ser eliminada ou não. Esta avaliação é efectuada quando é criado o TCB (Transmission Control Block - Bloco de Controlo de Transmissão) dessa ligação, dependento das definições nesse momento.
  • netsh int tcp reset

    Repõe as definições de segurança em conjunto com as outras definições TCP. Estas definições de segurança incluem as definições MPP, Perfil, Excepção de Porta e limite de frequência de ligação.
  • netsh int tcp show security

    Apresenta as definições de segurança aplicadas actualmente para MPP, Perfis e excepções de portas, se existirem.
  • netsh int tcp set security mpp=[enabled|disabled|default]

    Alterna as definições MPP.
  • netsh int tcp set security Profiles=[enabled|disabled|default]

    Alterna a definição Perfis.
  • netsh int tcp set security startport=<x> numberofports=<y+1> mpp=[enabled|disabled|default]

    Especifica as excepções de porta para o intervalo de portas entre x e x+y. Certifique-se de que os valores x e x+y se encontram no intervalo de portas válido (0 a 65535).

    Exemplos

    Adicionar uma excepção de intervalo de portas:
    Escreva o seguinte comando na linha de comandos e prima ENTER:
    netsh int tcp set security startport=5000 numberofports=10 mpp=disabled
    Este comando desactiva o recurso MPP para as portas 5000 a 5009 (ambas inclusive).

    Eliminar uma excepção de intervalo de portas:
    Escreva o seguinte comando na linha de comandos e prima ENTER:
    netsh int tcp set security startport=5000 numberofports=10 mpp=enable
    Este comando elimina a entrada de excepção que foi adicionada no primeiro exemplo.

    Nota Os intervalos e sub-intervalos de portas sobrepostos não são processados pelo comando netsh int tcp set security.

Configurar estas definições no Windows Server 2003

No Windows Server 2003, deve utilizar o registo para configurar estas definições.

Configurar a definição MPP no Windows Server 2003

Importante: esta secção, método ou tarefa contém passos que explicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Assim, certifique-se de que segue estes passos cuidadosamente. Para uma maior segurança, efectue uma cópia de segurança do registo antes de o modificar. Deste modo, pode restaurar o registo se ocorrer um problema. Para mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
322756 Como efectuar cópias de segurança e restaurar o registo no Windows


Para activar ou desactivar a definição MPP, utilize as seguintes entradas do registo:
Nota Por predefinição, as seguintes entradas do registo não estão disponíveis. Deve criá-las e modificá-las. Embora as entradas do registo não estejam presentes, a definição MPP está activada por predefinição e não existem excepções de portas.
  • Protocolo IPv4 (Internet Protocol version 4):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableMPP
  • Protocolo IPv6 (Internet Protocol version 6):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP
Por exemplo, pode seguir estes passos para desactivar a definição MPP no protocolo IPv4:
  1. Clique em Iniciar, clique em Executar, escreva regedit na caixa Abrir e clique em OK.
  2. Localize e clique na seguinte subchave do registo:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. No menu Editar, aponte para Novo e clique em Valor DWORD.
  4. Escreva EnableMPP e prima ENTER.
  5. Clique com o botão direito do rato em EnableMPP e clique em Modificar.
  6. Na caixa Dados do valor, escreva 0 e clique em OK.
  7. Saia do Editor de Registo.
  8. Reinicie o computador.
Notas
  • Se pretender reactivar a definição MPP, defina o valor DWORD da entrada do registo EnableMPP para 1 e reinicie o computador.
  • Pode seguir estes mesmos passos para configurar a seguinte entrada do registo para a definição MPP no protocolo IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP

Configurar a definição MPP para uma interface específica no Windows Server 2003

Importante: esta secção, método ou tarefa contém passos que explicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Assim, certifique-se de que segue estes passos cuidadosamente. Para uma maior segurança, efectue uma cópia de segurança do registo antes de o modificar. Deste modo, pode restaurar o registo se ocorrer um problema. Para mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
322756 Como efectuar cópias de segurança e restaurar o registo no Windows


Nota Por predefinição o recurso MPP está activado em todas as interfaces no Windows Server 2003.

Para activar ou desactivar a definição MPP para uma interface específica, utilize as seguintes subchaves do registo:
  • IPv4:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>\DisableMPPOnIF
  • IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF
Por exemplo, pode seguir estes passos para desactivar a definição MPP para uma interface específica no protocolo IPv4:
  1. Clique em Iniciar, clique em Executar, escreva regedit na caixa Abrir e clique em OK.
  2. Localize e clique na seguinte subchave do registo:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>
  3. No menu Editar, aponte para Novo e clique em Valor DWORD.
  4. Escreva DisableMPPOnIF e prima ENTER.
  5. Clique com o botão direito do rato em DisableMPPOnIF e clique em Modificar.
  6. Na caixa Dados do valor, escreva 1 e clique em OK.
  7. Saia do Editor de Registo.
  8. Reinicie o computador.
Nota Pode seguir estes mesmos passos para configurar a seguinte subchave do registo para a definição MPP de uma interface específica no protocolo IPv6:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF

Configurar a definição Excepção de Porta no Windows Server 2003

Importante: esta secção, método ou tarefa contém passos que explicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Assim, certifique-se de que segue estes passos cuidadosamente. Para uma maior segurança, efectue uma cópia de segurança do registo antes de o modificar. Deste modo, pode restaurar o registo se ocorrer um problema. Para mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
322756 Como efectuar cópias de segurança e restaurar o registo no Windows


Para especificar as excepções de porta para o intervalo de portas entre x e y, utilize as seguintes entradas do registo:
  • IPv4:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\MPPExcludedPorts
  • IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts
Por exemplo, pode seguir estes passos para especificar as excepções de porta para o intervalo de portas entre xxxx e yyyy no protocolo IPv4:
  1. Clique em Iniciar, clique em Executar, escreva regedit na caixa Abrir e clique em OK.
  2. Localize e clique na seguinte subchave do registo:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. No menu Editar, aponte para Novo e, em seguida, clique em Valor de Múltiplas Cadeias.
  4. Escreva MPPExcludedPorts e prima ENTER.
  5. Clique com o botão direito do rato em MPPExcludedPorts e clique em Modificar.
  6. Na caixa Dados do valor, escreva o intervalo de portas no formato xxxx-yyyy (por exemplo, 5000-5010) e clique em OK.
  7. Saia do Editor de Registo.
  8. Reinicie o computador.
Notas
  • Tem de especificar o intervalo de portas no formato xxxx-yyyy, em que xxxx e yyyy se encontram no intervalo de portas válido. O intervalo contém os valores iniciais e finais.
  • Pode seguir estes passos para configurar a seguinte subchave do registo para a definição Excepção de Porta no protocolo IPv6:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts
  • Apenas pode ser especificado um máximo de 12 intervalos de portas nesta lista. Os intervalos adicionais serão ignorados e as excepções não serão aplicadas.

Problemas conhecidos

  • No Windows Vista SP2 e no Windows Server 2008 SP2, o limite de frequência de ligação é afectado pelo comando netsh int tcp reset.

    Antes de instalar esta actualização de segurança, o comando netsh int tcp resetrepõe as definições TCP. Estão incluídos os parâmetros Chimney, ECN (Explicit Congestion Notification - Notificação de Congestionamento Explícito), Optimização Automática da Janela de Recepção, CTCP (Compound TCP) e carimbos de data e hora. Depois de instalar esta actualização de segurança, o comando netsh int tcp reset repõe igualmente as definições de segurança, incluindo as definições MPP, Perfis e limite de frequência de ligação. Mesmo que as definições MPP e Perfis sejam esperadas, a reposição da definição do limite de frequência de ligação também ocorre durante a execução. Para definir novamente o limite de frequência de ligação, é necessário modificar a subchave do registo. Para obter mais informações sobre a definição do limite de frequência de ligação, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
    969710 Como activar o limite de ligações TCP semiabertas no Windows Vista com Service Pack 2 e no Windows Server 2008 com Service Pack 2
  • No Windows Server 2003, se instalar a actualização de segurança 967723 e depois instalar o protocolo IPv6, o registo de eventos contém informações que se assemelham às informações seguintes do ID de evento 4229 do protocolo IPv6:
    Não é possível localizar o ID de evento 4229 da origem Tcpip6. Ou o componente que invoca este evento não está instalado no computador local ou a instalação está danificada. Pode instalar ou reparar o componente no computador local.

    Se o evento teve origem noutro computador, a informação apresentada teria de ser guardada com o evento.

    As informações seguintes estavam incluídas no evento:

    o recurso da mensagem existe, mas não é possível localizar a mensagem na tabela cadeia/mensagem
    Para resolver este problema, tem de reinstalar a actualização ou adicionar as seguintes subchaves do registo manualmente:
    • No Windows Server 2003 SP2, adicione a cadeia %systemroot%system32\w03a3409.dll em
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      .
    • No Windows Server 2003 SP1, adicione a cadeia %systemroot%system32\w03a2409.dll em
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      .
    • No Windows Server 2003, adicione a cadeia %systemroot%system32\ws03res.dll em
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      .

Propriedades

Artigo: 974288 - Última revisão: 11 de setembro de 2009 - Revisão: 1.3
A informação contida neste artigo aplica-se a:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Palavras-chave: 
kbsecvulnerability kbsecbulletin kbsecadvisory kbaccctrl kbsurveynew kbexpertisebeginner atdownload KB974288

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com