Beskrivning av den nya minnestrycksskyddsfunktionen för TCP-stack

I den här artikeln beskrivs den nya minnestrycksskyddsfunktionen för TCP-stack. Funktionen tillhandahålls i säkerhetsuppdatering 967723.

Minnestrycksskyddsfunktionen består av tre säkerhetsinställningar. Inställningarna omfattar minnestrycksskydd, profiler och portundantag

Minnestrycksskyddsinställningen

Den här inställningen definierar funktionen och inbegriper följande två aktiviteter när ett angrepp upptäcks:

• Avsluta befintliga TCP-anslutningar.
• Släppa inkommande SYN-förfrågningar.

En administratör kan aktivera eller inaktivera minnestrycksskyddsinställningen genom att använda netsh-kommandon. Funktionen aktiveras eller inaktiveras när administratören aktiverar eller inaktiverar minnestrycksskyddsinställningen.

Profilinställningen

Med profilfunktionen kan administratören skilja mellan offentliga och icke-offentliga gränssnitt. Om ett gränssnitt har åtkomst till domänkontrollanten är det ett domänanslutet gränssnitt eller också betyder det att administratören kan konfigurera ett gränssnitt att bli privat. Profilfunktionen finns bara i Windows Vista och Windows Server 2008.

Profilinställningen visar om en dator kan avsluta TCP-anslutningar och släppa inkommande SYN-förfrågningar i ett domänanslutet gränssnitt och i ett privat gränssnitt när datorn angrips med lågt minne. I Windows Server 2003 måste en administratör använda registerposter för att inaktivera minnestrycksskyddsfunktionen i ett visst gränssnitt. Mer information finns i avsnittet "Konfigurera inställningarna i Windows Server 2003". Profilinställningen är aktiverad som standard. När den här inställningen är aktiverad har administratören bestämt sig för att under inga omständigheter avsluta TCP-anslutningar eller släppa SYN-förfrågningar i ett domänanslutet gränssnitt och i ett privat gränssnitt. Om administratören vill avsluta TCP-anslutningar och släppa SYM-förfrågningar på ett domänanslutet gränssnitt och ett privat gränssnitt under ett angrepp, måste profilinställningen inaktiveras.

Obs! Om minnestrycksskyddsinställningen är aktiverad och ett angrepp upptäcks, kan inte administratören stoppa avslutning av anslutningar i offentliga gränssnitt även om profilinställningen är aktiverad. Profilinställningsfunktionen är avsedd för domänanslutna och privata gränssnitt. Men i de här fallen kan en administratör använda portundantagsinställningen och undanta vissa portar i offentliga gränssnitt från minnestrycksskyddsåtgärden.

Portundantagsinställningen

Med den här inställningen kan administratören göra portspecifika undantag. När minnestrycksskyddsinställningen är aktiverad är minnestrycksskyddsfunktionen aktiverad som standard för anslutningar på alla portar. Om ett angrepp upptäcks kan befintliga anslutningar avslutas eller inkommande SYN-förfrågningar släppas, beroende på minnestrycksskydds- och profilinställningarna. En administratör kan dock ange undantag för anslutningar på vissa portar genom att lägga till dem i listan över portundantag.

Obs!

• Listan över portundantag är en global lista som gäller alla gränssnitt och IP-adresser.
• Portundantagsinställningen börjar gälla innan några TCP-anslutningar har skapats på porten. Vi rekommenderar att du konfigurerar alla minnestrycksskyddsinställningar innan du startar serverprogrammen.

Standardvärden för inställningarna på servrar och på klienter

Obs! Om inställningarna ändras kan en administratör återställa standardinställningarna med hjälp av följande netsh-kommando: Obs! Läs avsnittet "Kända problem" innan du använder kommandot netsh int tcp reset.

Konfigurera inställningarna i Windows Vista

En administratör kan använda netsh-kommandon för att uppdatera inställningarna för minnestrycksskydd, profiler och portundantag under körningen. Inställningarna visar om en TCP-anslutning kan rensas eller inte. Utvärderingen utförs när överföringskontrollblocket för TCP-anslutningen skapas, beroende på de då aktuella inställningarna.

• netsh int tcp reset
  
  Återställer säkerhetsinställningarna tillsammans med övriga TCP-inställningar. Säkerhetsinställningarna omfattar minnestrycksskydd, profiler, portundantag och begränsning för anslutningshastighet.
• netsh int tcp show security
  
  Visar de aktuella säkerhetsinställningarna för minnestrycksskydd, profiler och portundantag om sådan finns.
• netsh int tcp set security mpp=[enabled|disabled|default]
  
  Växlar inställningarna för minnestrycksskydd.
• netsh int tcp set security Profiles=[enabled|disabled|default]
  
  Växlar profilinställningen.
• netsh int tcp set security startport=<x> numberofports=<y+1> mpp=[enabled|disabled|default]
  
  Anger portundantagen för portintervallet x till x+y. Se till att x och x+y är inom det giltiga portintervallet (0 - 65535).
  
  Exempel
  
  Lägg till ett undantag för portintervall:
  Skriv följande kommando vid en kommandotolk och tryck sedan på RETUR:
  netsh int tcp set security startport=5000 numberofports=10 mpp=disabled
  Minnestrycksskyddsfunktionen aktiveras för portarna 5000 till 5009.
  
  Ta bort ett undantag för portintervall:
  Skriv följande kommando vid en kommandotolk och tryck sedan på RETUR:
  netsh int tcp set security startport=5000 numberofports=10 mpp=enable
  Den undantagspost som lades till i det första exemplet tas bort.
  
  Obs! Överlappande portintervall och underintervall hanteras inte av kommandot netsh int tcp set security.

Konfigurera inställningarna i Windows Server 2003

I Windows Server 2003 måste du konfigurera de här inställningarna via registret.

Konfigurera minnestrycksskyddsinställningen i Windows Server 2003

Viktigt! Den här artikeln innehåller information om hur du redigerar registret. Det kan uppstå allvarliga problem om du gör detta felaktigt. Följ därför instruktionerna noga, och säkerhetskopiera registret innan du gör några ändringar i det. Då kan du återställa registret om det uppstår problem. Om du vill veta mer om hur du säkerhetskopierar och återställer registret, klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:

Använd följande registerposter när du ska aktivera eller inaktivera minnestrycksskyddsinställningen:
Note The following registry entries are not available by default. Du måste skapa dem för att ändra dem. Även om registerposterna inte finns är minnestrycksskyddsinställningen aktiverad som standard, och ingen port är undantagen.

• Internet Protocol version 4 (IPv4):
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableMPP
• Internet Protocol version 6 (IPv6):
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP

Du kan till exempel inaktivera minnestrycksskyddsinställningen på IPv4 på följande sätt:

1. Klicka på Start, Kör, skriv regedit i rutan Öppna och klicka på OK.
2. Leta upp och klicka på följande registerundernyckel:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
3. Peka på Nytt på Redigera-menyn, och klicka sedan på DWORD-värde.
4. Skriv EnableMPP och tryck på RETUR.
5. Högerklicka på EnableMPP och klicka sedan på Ändra.
6. I rutan Data skriver du 0 och klickar på OK.
7. Avsluta Registereditorn.
8. Starta om datorn.

Obs!

• Om du vill återaktivera inställningen anger du DWORD-värdet för EnableMPP-registerposten till 1 och startar sedan om datorn.
• Du kan följa samma steg när du konfigurerar följande registerpost för minnestrycksskyddsinställningen på IPv6:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP

Konfigurera minnestrycksskyddsinställningen för ett särskilt gränssnitt i Windows Server 2003

Viktigt! Den här artikeln innehåller information om hur du redigerar registret. Det kan uppstå allvarliga problem om du gör detta felaktigt. Följ därför instruktionerna noga, och säkerhetskopiera registret innan du gör några ändringar i det. Då kan du återställa registret om det uppstår problem. Om du vill veta mer om hur du säkerhetskopierar och återställer registret, klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:

Obs! Minnestrycksskyddsfunktionen är som standard aktiverad i alla gränssnitt i Windows Server 2003.

Använd följande registerundernycklar när du ska aktivera eller inaktivera minnestrycksskyddsinställningen för ett särskilt gränssnitt:

• IPv4:
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>\DisableMPPOnIF
• IPv6:
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF

Du kan till exempel inaktivera minnestrycksskyddsinställningen för ett särskilt gränssnitt på IPv4 på följande sätt:

1. Klicka på Start, Kör, skriv regedit i rutan Öppna och klicka på OK.
2. Leta upp och klicka på följande registerundernyckel:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>
3. Peka på Nytt på Redigera-menyn, och klicka sedan på DWORD-värde.
4. Skriv DisableMPPOnIF och tryck på RETUR.
5. Högerklicka på DisableMPPOnIF och klicka på Ändra.
6. I rutan Data skriver du 1 och klickar på OK.
7. Avsluta Registereditorn.
8. Starta om datorn.

Obs! Du kan följa samma steg när du konfigurerar följande registerundernyckel för minnestrycksskyddsinställningen för ett visst gränssnitt i IPv6:

Konfigurera portundantagsinställningen i Windows Server 2003

Viktigt! Den här artikeln innehåller information om hur du redigerar registret. Det kan uppstå allvarliga problem om du gör detta felaktigt. Följ därför instruktionerna noga, och säkerhetskopiera registret innan du gör några ändringar i det. Då kan du återställa registret om det uppstår problem. Om du vill veta mer om hur du säkerhetskopierar och återställer registret, klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:

Använd följande registerposter för att ange portundantag för portintervallet x till y:

• IPv4:
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\MPPExcludedPorts
• IPv6:
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts

Du kan till exempel följa stegen nedan för att ange portundantagen för portintervallet xxxx till yyyy på IPv4:

1. Klicka på Start, Kör, skriv regedit i rutan Öppna och klicka på OK.
2. Leta upp och klicka på följande registerundernyckel:
   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
3. Peka på Nytt på Redigera-menyn, och klicka sedan på Multisträngvärde.
4. Skriv MPPExcludedPorts och tryck på RETUR.
5. Högerklicka på MPPExcludedPorts och klicka på Ändra.
6. I rutan Data anger du portintervallet i formatet xxxx-yyyy (till exempel 5000-5010) och klickar sedan på OK.
7. Avsluta Registereditorn.
8. Starta om datorn.

Obs!

• Du måste ange portintervallet i formatet xxxx-yyyy, där xxxx och yyyy är inom det giltiga portintervallet. Intervallet omfattar start- och slutvärden.
• Du kan följa samma steg när du konfigurerar följande registerundernyckel för portundantagsinställningen på IPv6:
  
  
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts
• Endast 12 portintervall kan anges i den här listan. Övriga portintervall ignoreras och undantagen används inte.

Kända problem

• I Windows Vista SP2 och Windows Server 2008 SP2 påverkas begränsningen för anslutningshastighet av kommandot netsh int tcp reset.
  
  Innan du installerar den här säkerhetsuppdateringen återställer kommandot netsh int tcp reset TCP-inställningarna. De omfattar Chimney-parametrar, Explicit Congestion Notification (ECN), Receive Window Auto-Tuning, Compound TCP (CTCP) och tidsstämplar. När du har installerat den här säkerhetsuppdateringen återställer kommandot netsh int tcp reset även säkerhetsinställningarna för minnestrycksskydd, profiler och begränsning av anslutningshastighet. Inställningarna för minnestrycksskydd och profiler kan vara förväntade men även återställning av begränsning för anslutningshastighet sker under körning. Om du ska ange begränsningen för anslutningshastighet igen måste du ändra registerundernyckeln. Om du vill veta mer om inställningen för begränsning av anslutningshastighet klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
  969710

  (http://support.microsoft.com/kb/969710/ )

  Aktivera begränsningen för halvöppna TCP-anslutningar i Windows Vista med Service Pack 2 och i Windows Server 2008 med Service Pack 2 (Länken kan leda till en webbplats som är helt eller delvis på engelska)
• Om du i Windows Server 2003 installerar säkerhetsuppdatering 967723 och sedan installerar IPv6, innehåller händelseloggen information som liknar följande information för IPv6 Händelse-ID 4229:
  Det går inte att hitta beskrivningen av Händelse-ID 4229 från käll-Tcpip6. Antingen är komponenten som skapat händelsen inte installerad på den här datorn eller också är installationen korrupt. Installera eller återställ komponenten på datorn.
  
  Om händelsen skapades från en annan dator behövde visningsinformationen sparas med händelsen.
  
  Följande information inkluderades med händelsen:
  
  meddelanderesursen finns men det går inte att hitta meddelandet i sträng-/meddelandetabellen
  Lös problemet genom att installera om den här uppdateringen eller lägga till följande registerundernycklar manuellt:
  • I Windows Server 2003 SP2 lägger du till strängen %systemroot%system32\w03a3409.dll under
    HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
    .
  • I Windows Server 2003 SP1 lägger du till strängen %systemroot%system32\w03a2409.dll under
    HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
    .
  • I Windows Server 2003 lägger du till strängen %systemroot%system32\w03res.dll under
    HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
    .