TCP yığınının yeni Bellek Baskısı Koruması özelliğinin açıklaması

Makale çevirileri Makale çevirileri
Makale numarası: 974288 - Bu makalenin geçerli olduğu ürünleri görün.
Hepsini aç | Hepsini kapa

Bu Sayfada

GİRİŞ

Bu makalede, TCP yığınının yeni Bellek Baskısı Koruması özelliği açıklanır. Bu yeni özellik, güvenlik güncelleştirmesi 967723 tarafından sağlanmaktadır.

Daha fazla bilgi

Bellek Baskısı Koruması özelliği, üç güvenlik ayarından oluşur. Bu ayarlar Bellek Baskısı Koruması (MPP), Profiller ve Bağlantı Noktası Muafiyeti'dir.

MPP ayarı

MPP ayarı, bu özelliği tanımlar ve bir saldırı algılandığında aşağıdaki iki etkinliği içerir:
  • Varolan TCP bağlantıları sonlandırılır.
  • Gelen SYN istekleri bırakılır.
Yönetici, netsh komutlarını kullanarak MPP ayarını etkinleştirebilir veya devre dışı bırakabilir. MPP ayarı yönetici tarafından etkinleştirildiğinde veya devre dışı bırakıldığında, bu özellik de etkinleştirilir veya devre dışı bırakılır.

Profiller ayarı

Profiller özelliği, yöneticinin ortak ve ortak olmayan arabirimleri ayırt etmesine yardımcı olur. Bir arabirim etki alanı denetleyicisine erişebiliyorsa, bu durum, arabirimin etki alanına katılmış olduğunun veya yöneticinin bu arabirimi özel olacak biçimde yapılandırabileceğinin göstergesidir. Profiller özelliği yalnızca Windows Vista ve Windows Server 2008'de kullanılabilir.

Profiller ayarı, bilgisayar düşük bellek düzeyiyle saldırıya uğradığında bilgisayarın etki alanına katılmış arabirimde ve özel arabirimde TCP bağlantılarını sonlandırma ve gelen SYN isteklerini bırakma becerisini belirler. Windows Server 2003'te, yöneticinin belirli bir arabirimde MPP özelliğini devre dışı bırakabilmesi için kayıt defteri girdilerini kullanması gerekmektedir. Daha fazla bilgi için, "Bu ayarları Windows Server 2003'te yapılandırma" bölümüne bakın. Profiller ayarı varsayılan olarak etkinleştirilmiş durumdadır. Bu ayar etkinleştirildiğinde, yönetici, etki alanına katılmış arabirimde ve özel arabirimde hiçbir koşulda TCP bağlantılarını sonlandırmamaya veya SYN isteklerini bırakmamaya karar vermiş demektir. Yönetici bir saldırı durumunda etki alanına katılmış arabirimde ve özel arabirimde TCP bağlantılarını sonlandırmak ve SYN isteklerini bırakmak istiyorsa Profiller ayarının devre dışı bırakılması gerekir.

Not MPP ayarı etkinleştirilmişse ve bir saldırı algılanırsa, Profiller ayarı etkinleştirilmiş olsa da yönetici ortak arabirimlerde bağlantıları sonlandırmayı durduramaz. Profiller ayarı, etki alanına katılmış ve özel arabirimlere yöneliktir. Ancak bu gibi durumlarda, yönetici Bağlantı Noktası Muafiyeti ayarını kullanarak ortak arabirimlerde belirli bağlantı noktalarını MPP eyleminin dışında tutabilir.

Bağlantı Noktası Muafiyeti ayarı

Bağlantı Noktası Muafiyeti ayarı, yöneticinin bağlantı noktasına özgü özel durumlar oluşturabilmesini sağlar. Varsayılan olarak, MPP ayarı etkinleştirildiğinde, Bağlantı Noktası Muafiyeti ayarı tüm bağlantı noktalarındaki bağlantılar için etkinleştirilir. Bir saldırı algılanırsa, MPP ve Profiller ayarlarına bağlı olarak, varolan bağlantılar sonlandırılabilir veya gelen SYN istekleri bırakılabilir. Ancak yönetici, belirli bağlantı noktalarını özel durum listesinde belirterek bu bağlantı noktaları üzerinden gerçekleştirilen bağlantılar için özel durumlar ayarlayabilir.

Notlar
  • Bağlantı Noktası Muafiyeti listesi, tüm arabirimlere ve IP adreslerine uygulanan tek bir genel listedir.
  • Bağlantı Noktası Muafiyeti ayarı, bağlantı noktası üzerinden herhangi bir TCP bağlantısı oluşturulmadan önce devreye girer. Sunucu uygulamalarını başlatmadan önce MPP ile ilişkili tüm ayarları yapılandırmanız önerilir.

Sunucularda ve istemcilerde bu ayarların varsayılan değerleri

Bu tabloyu kapaBu tabloyu aç
Sunucularda varsayılan değerlerİstemcilerde varsayılan değerler
MPPEtkin Devre Dışı
ProfilEtkin Etkin
Bağlantı Noktası MuafiyetiMuafiyet yokMuafiyet yok
Not Bu ayarlar değiştirilirse, yönetici varsayılan ayarlara dönmek istediğinde aşağıdaki netsh komutunu kullanabilir:
netsh int tcp reset
Not netsh int tcp reset komutunu kullanmadan önce "Bilinen sorunlar" bölümüne bakın.

Bu ayarları Windows Vista'da yapılandırma

Yönetici, çalışma zamanı sırasında netsh komutlarını kullanarak MPP, Profiller ve Bağlantı Noktası Muafiyeti ayarlarını güncelleştirebilir. Bu ayarlar, bir TCP bağlantısının kesilip kesilmeyeceğini belirler. Bu değerlendirme, işlem sırasında geçerli olan ayarlara bağlı olarak ilgili TCP bağlantısının İletim Denetim Bloğu oluşturulduğunda gerçekleştirilir.
  • netsh int tcp reset

    Diğer TCP ayarlarıyla birlikte güvenlik ayarlarını da sıfırlar. Bu güvenlik ayarları MPP, Profiller, Bağlantı Noktası Muafiyeti ve bağlantı hızı sınırlaması ayarlarıdır.
  • netsh int tcp show security

    MPP, Profiller ve bağlantı noktası muafiyetlerinin geçerli güvenlik ayarlarını görüntüler.
  • netsh int tcp set security mpp=[enabled|disabled|default]

    MPP ayarlarına geçiş yapar.
  • netsh int tcp set security Profiles=[enabled|disabled|default]

    Profiller ayarına geçiş yapar.
  • netsh int tcp set security startport=<x> numberofports=<y+1> mpp=[enabled|disabled|default]

    x - x+y bağlantı noktası aralığındaki bağlantı noktası muafiyetlerini belirtir. x ve x+y değerlerinin geçerli bağlantı noktası aralığında (0 - 65535) bulunduğunu doğrulamalısınız.

    Örnekler

    Bağlantı noktası aralığı muafiyeti ekleme:
    Komut istemine aşağıdaki komutu yazın ve ENTER tuşuna basın:
    netsh int tcp set security startport=5000 numberofports=10 mpp=disabled
    Bu komut, 5000 ile 5009 arasındaki (her ikisi de dahil) bağlantı noktaları için MPP özelliğini devre dışı bırakır.

    Bağlantı noktası aralığı muafiyetini silme:
    Komut istemine aşağıdaki komutu yazın ve ENTER tuşuna basın:
    netsh int tcp set security startport=5000 numberofports=10 mpp=enable
    Bu komut, ilk örnekte eklenen muafiyet girdisini siler.

    Not netsh int tcp set security komutu, çakışan bağlantı noktası aralıklarını ve alt aralıkları işlemez.

Bu ayarları Windows Server 2003'te yapılandırma

Windows Server 2003'te bu ayarları, kayıt defterini kullanarak yapılandırmanız gerekir.

Windows Server 2003'te MPP ayarını yapılandırma

Önemli Bu bölüm, yöntem veya görev kayıt defterini nasıl değiştireceğinizin anlatıldığı adımları içermektedir. Ancak kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle, bu adımları dikkatlice uyguladığınızdan emin olun. Ek koruma için, kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
322756 Windows XP ve Windows Server 2003'te kayıt defteri nasıl yedeklenir, düzenlenir ve geri yüklenir


MPP ayarını etkinleştirmek veya devre dışı bırakmak için aşağıdaki kayıt defteri girdilerini kullanın.
Not Varsayılan olarak, aşağıdaki kayıt defteri girdileri kullanılamamaktadır. Bu girdileri değiştirmek için ilk önce oluşturmanız gerekir. Kayıt defteri girdileri bulunmamakla birlikte, MPP ayarı varsayılan olarak etkinleştirilmiş durumdadır ve hiçbir bağlantı noktası muaf tutulmamıştır.
  • Internet Protokolü sürüm 4 (IPv4):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableMPP
  • Internet Protokolü sürüm 6 (IPv6):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP
Örneğin, IPv4 için MPP ayarını devre dışı bırakmak üzere aşağıdaki adımları izleyebilirsiniz:
  1. Başlat'ı tıklatın, Çalıştır'ı tıklatın, kutusuna regedit yazın ve Tamam'ı tıklatın.
  2. Aşağıdaki kayıt defteri alt anahtarını bulup tıklatın:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. Düzen menüsünde Yeni'nin üzerine gelin ve sonra DWORD Değeri'ni tıklatın.
  4. EnableMPP yazın ve ENTER tuşuna basın.
  5. EnableMPP öğesini sağ tıklatın ve ardından Değiştir'i tıklatın.
  6. Değer verisi kutusuna 0 yazın ve Tamam'ı tıklatın.
  7. Kayıt Defteri Düzenleyicisi'nden çıkın.
  8. Bilgisayarı yeniden başlatın.
Notlar
  • MPP ayarını yeniden etkinleştirmek isterseniz, EnableMPP kayıt defteri girdisinin DWORD değerini 1 olarak ayarlayın ve bilgisayarı yeniden başlatın.
  • IPv6 için MPP ayarının aşağıdaki kayıt defteri girdisini yapılandırmak üzere aynı adımları uygulayabilirsiniz:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP

Windows Server 2003'te belirli bir arabirim için MPP ayarını yapılandırma

Önemli Bu bölüm, yöntem veya görev kayıt defterini nasıl değiştireceğinizin anlatıldığı adımları içermektedir. Ancak kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle, bu adımları dikkatlice uyguladığınızdan emin olun. Ek koruma için, kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
322756 Windows XP ve Windows Server 2003'te kayıt defteri nasıl yedeklenir, düzenlenir ve geri yüklenir


Not Windows Server 2003'te varsayılan olarak, MPP özelliği tüm arabirimler için etkinleştirilmiş durumdadır.

Belirli bir arabirim için MPP ayarını etkinleştirmek veya devre dışı bırakmak isterseniz aşağıdaki kayıt defteri alt anahtarlarını kullanın:
  • IPv4:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>\DisableMPPOnIF
  • IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF
Örneğin, IPv4 için belirli bir arabirimde MPP ayarını devre dışı bırakmak üzere aşağıdaki adımları izleyebilirsiniz:
  1. Başlat'ı tıklatın, Çalıştır'ı tıklatın, kutusuna regedit yazın ve Tamam'ı tıklatın.
  2. Aşağıdaki kayıt defteri alt anahtarını bulup tıklatın:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>
  3. Düzen menüsünde Yeni'nin üzerine gelin ve sonra DWORD Değeri'ni tıklatın.
  4. DisableMPPOnIF yazın ve ENTER tuşuna basın.
  5. DisableMPPOnIF öğesini sağ tıklatın ve ardından Değiştir'i tıklatın.
  6. Değer verisi kutusuna 1 yazın ve Tamam'ı tıklatın.
  7. Kayıt Defteri Düzenleyicisi'nden çıkın.
  8. Bilgisayarı yeniden başlatın.
Not IPv6 için belirli bir arabirimde MPP ayarının aşağıdaki kayıt defteri alt anahtarını yapılandırmak üzere aynı adımları uygulayabilirsiniz:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF

Windows Server 2003'te Bağlantı Noktası Muafiyeti ayarını yapılandırma

Önemli Bu bölüm, yöntem veya görev kayıt defterini nasıl değiştireceğinizin anlatıldığı adımları içermektedir. Ancak kayıt defterini hatalı olarak değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle, bu adımları dikkatlice uyguladığınızdan emin olun. Ek koruma için, kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
322756 Windows XP ve Windows Server 2003'te kayıt defteri nasıl yedeklenir, düzenlenir ve geri yüklenir


x - y bağlantı noktası aralığındaki bağlantı noktası muafiyetlerini belirtmek için, aşağıdaki kayıt defteri girdilerini kullanın:
  • IPv4:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\MPPExcludedPorts
  • IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts
Örneğin, IPv4 için xxxx - yyyy bağlantı noktası aralığındaki bağlantı noktası muafiyetlerini belirtmek üzere aşağıdaki adımları izleyebilirsiniz:
  1. Başlat'ı tıklatın, Çalıştır'ı tıklatın, kutusuna regedit yazın ve Tamam'ı tıklatın.
  2. Aşağıdaki kayıt defteri alt anahtarını bulup tıklatın:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. Düzen menüsünde Yeni'nin üzerine gelin ve Çok Dizeli Değer'i tıklatın.
  4. MPPExcludedPorts yazın ve ENTER tuşuna basın.
  5. MPPExcludedPorts öğesini sağ tıklatın ve ardından Değiştir'i tıklatın.
  6. Değer verisi kurusuna, bağlantı noktası aralığını xxxx-yyyy biçiminde yazın (örneğin, 5000-5010) ve ardından Tamam'ı tıklatın.
  7. Kayıt Defteri Düzenleyicisi'nden çıkın.
  8. Bilgisayarı yeniden başlatın.
Notlar
  • Bağlantı noktası aralığını xxxx-yyyy biçiminde belirtmelisiniz; burada xxxx ve yyyy, geçerli bağlantı noktası aralığındadır. Başlangıç ve bitiş değerleri bu aralığa dahildir.
  • IPv6 için Bağlantı Noktası Muafiyeti ayarının aşağıdaki kayıt defteri alt anahtarını yapılandırmak üzere aşağıdaki adımları uygulayabilirsiniz:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts
  • Bu listede belirtilebilen bağlantı noktası aralığı sayısı 12 ile sınırlıdır. Diğer aralıklar yoksayılır ve muafiyetler uygulanmaz.

Bilinen sorunlar

  • Windows Vista SP2 ve Windows Server 2008 SP2'de, bağlantı hızı sınırlaması netsh int tcp reset komutundan etkilenir.

    Bu güvenlik güncelleştirmesini yüklemeden önce, netsh int tcp reset komutu TCP ayarlarını sıfırlar. Bu ayarlar Kanal parametreleri, Açık Tıkanıklık Bildirimi (ECN), Alma Penceresi Otomatik Ayarı, Bileşik TCP (CTCP) ve zaman damgalarıdır. Bu güvenlik güncelleştirmesi yüklendikten sonra, netsh int tcp reset komutu ayrıca MPP, Profiller ve bağlantı hızı sınırlaması ayarları da dahil güvenlik ayarlarını da sıfırlar. MPP ve Profiller ayarlarının sıfırlanması beklenen bir durumdur, ancak bağlantı hızı sınırlaması ayarı da çalışma zamanında sıfırlanır. Bağlantı hızı sınırlamasını yeniden ayarlamak için, kayıt defteri alt anahtarını değiştirmeniz gerekir. Bağlantı hızı sınırlaması ayarı hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
    969710 Windows Vista Service Pack 2 ve Windows Server 2008 Service Pack 2'de yarı açık TCP bağlantıları sınırını etkinleştirme (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir)
  • Windows Server 2003'te, güvenlik güncelleştirmesi 967723'ü yükledikten sonra IPv6'yı yüklerseniz, olay günlüğünde IPv6 Olay Kimliği 4229 için aşağıdakilere benzer bilgiler içerir:
    Tcpip6 kaynağındaki 4229 Olay Kimliği'nin açıklaması bulunamıyor. Bu olayı başlatan bileşen yerel bilgisayarınızda yüklü değil veya yükleme bozulmuş. Bileşeni yerel bilgisayara yükleyebilir veya yüklüyse onarabilirsiniz.

    Olay başka bir bilgisayardan başlatıldıysa, olayla birlikte görüntüleme bilgileri kaydedilmiş olmalıdır.

    Olayla birlikte aşağıdaki bilgiler eklendi:

    ileti kaynağı var, ancak ileti dize/ileti tablosunda bulunamadı
    Bu sorunu çözümlemek için, güncelleştirmeyi yeniden yüklemeniz veya aşağıdaki kayıt defteri alt anahtarlarını el ile eklemeniz gerekir:
    • Windows Server 2003 SP2'de,
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      altına %systemroot%system32\w03a3409.dll dizesini ekleyin.
    • Windows Server 2003 SP1'de,
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      altına %systemroot%system32\w03a2409.dll dizesini ekleyin.
    • Windows Server 2003'te,
      HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile
      altına %systemroot%system32\ws03res.dll dizesini ekleyin.

Özellikler

Makale numarası: 974288 - Last Review: 11 Eylül 2009 Cuma - Gözden geçirme: 1.2
Bu makaledeki bilginin uygulandığı durum:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Anahtar Kelimeler: 
kbsecvulnerability kbsecbulletin kbsecadvisory kbaccctrl kbsurveynew kbexpertisebeginner atdownload KB974288

Geri Bildirim Ver

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com