TCP-pinon uuden Memory Pressure Protection (muistin painesuojaus) -ominaisuuden kuvaus

ESITTELY

Tässä artikkelissa on TCP-pinon uuden Memory Pressure Protection (muistin painesuojaus) -ominaisuuden kuvaus. Tietoturvapäivitys 967723 asentaa tämän uuden ominaisuuden.

Enemmän tietoa

Memory Pressure Protection -ominaisuus muodostuu kolmesta suojausasetuksesta. Näitä asetuksia ovat MPP (Memory Pressure Protection eli muistin painesuojaus), Profiles (profiilit) ja Port Exemption (porttipoikkeus).

MPP-asetus

MPP-asetus määrittää ominaisuuden, ja se sisältää seuraavat kaksi toimintoa, joita käytetään, kun hyökkäys havaitaan:
 • Sulje nykyiset TCP-yhteydet.
 • Hylkää saapuvat SYN-pyynnöt.
Järjestelmänvalvoja voi ottaa MPP-asetuksen käyttöön tai poistaa sen käytöstä netsh-komentojen avulla. Kun järjestelmänvalvoja ottaa MPP-asetuksen käyttöön tai poistaa sen käytöstä, tämä ominaisuus otetaan käyttöön tai poistetaan käytöstä.

Profiles-asetus

Profiles-ominaisuus auttaa järjestelmänvalvojaa tekemään eron julkisten ja muiden kuin julkisten liittymien välillä. Jos liittymä voi käyttää toimialueen ohjauskonetta, se ilmaisee, että liittymä on liitetty toimialueelle tai että järjestelmänvalvoja voi määrittää liittymän yksityiseksi. Profiles-ominaisuus on käytettävissä vain Windows Vistassa ja Windows Server 2008:ssa.

Profiles-asetus määrittää tietokoneen kyvyn sulkea TCP-yhteydet ja hylätä saapuvat SYN-pyynnöt toimialueelle liitetyssä liittymässä ja yksityisessä liittymässä, kun tietokoneeseen kohdistuu hyökkäys ja siinä on muisti vähissä. Windows Server 2003:ssa järjestelmänvalvojan on poistettava MPP-ominaisuus käytöstä tietyssä liittymässä rekisterimerkintöjen avulla. Lisätietoja on Näiden asetusten määrittäminen Windows Server 2003 -osassa. Oletusarvon mukaan Profiles-asetus on käytössä. Kun tämä asetus on käytössä, järjestelmänvalvoja on päättänyt, ettei TCP-yhteyksiä suljeta tai SYN-pyyntöjä hylätä toimialueelle liitetyssä liittymässä ja yksityisessä liittymässä missään tilanteessa. Jos järjestelmänvalvoja haluaa sulkea TCP-yhteydet ja hylätä SYN-pyynnöt toimialueelle liitetyssä liittymässä ja julkisessa liittymässä hyökkäyksen tapahtuessa, Profiles-asetus on poistettava käytöstä.

Huomautus Jos MPP-asetus on käytössä ja hyökkäys havaitaan, järjestelmänvalvoja ei voi pysäyttää yhteyksiä sulkemista julkisissa liittymissä, vaikka Profiles-asetus olisi käytössä. Profiles-asetusominaisuus on kohdistettu toimialueelle liitettyihin ja yksityisiin liittymiin. Näissä tapauksissa järjestelmänvalvoja kuitenkin voi käyttää Port Exemption -asetusta jättämään tietyt julkisten liittymien portit pois MPP-toiminnon vaikutuspiiristä.

Port Exemption -asetus

Port Exemption -asetus antaa järjestelmänvalvojan tehdä porttikohtaisia poikkeuksia. Kun MPP-asetus on käytössä, Memory Pressure Protection -ominaisuus on oletusarvon mukaan käytössä kaikkien porttien yhteyksille. Jos hyökkäys havaitaan, avoinna olevat yhteydet saatetaan katkaista tai saapuvat SYN-pyynnöt hylätä MPP- ja Profiles-asetusten mukaan. Järjestelmänvalvoja voi kuitenkin asettaa poikkeuksia tiettyjen porttien yhteyksille määrittämällä ne porttipoikkeusten luetteloon.

Huomautuksia
 • Port Exemption -luettelo on yksittäinen yleinen luettelo, ja se koskee kaikkia liittymiä sekä IP-osoitteita.
 • Port Exemption -asetus otetaan käyttöön, ennen kuin portissa muodostetaan mitään TCP-yhteyttä. Microsoft suosittelee, että määrität kaikki MPP:hen liittyvät asetukset, ennen kuin käynnistät palvelinsovellukset.

Näiden asetusten oletusarvot palvelimissa ja asiakaskoneissa

Oletusarvot palvelimissaOletusarvot asiakaskoneissa
MPPKäytössä Ei käytössä
ProfilesKäytössä Käytössä
Port ExemptionEi poikkeuksiaEi poikkeuksia
Huomautus Jos näitä asetuksia muutetaan ja järjestelmänvalvoja haluaa palata käyttämään oletusasetuksia, hän voi käyttää seuraavaa netsh-komentoa:
netsh int tcp reset
Huomautus Lue Tunnetut ongelmat -osa ennen netsh int tcp reset -komennon käyttämistä.

Näiden asetusten määrittäminen Windows Vistassa

Järjestelmänvalvoja voi päivittää MPP-, Profiles- ja Port Exemption -asetukset suorituksen aikana netsh-komentojen avulla. Nämä asetukset määrittävät, onko TCP-yhteys mahdollisesti suljettava vai ei. Tämä arviointi tehdään, kun kyseisen TCP-yhteyden Transmission Control Block -lohko luodaan, ja se on riippuvainen kyseisellä hetkellä käytössä olevista asetuksista.
 • netsh int tcp reset

  Palauttaa suojausasetukset ja muut TCP-asetukset. Näitä suojausasetuksia ovat MPP-, Profiles- ja Port Exemption -asetus sekä yhteysnopeuden rajoitusasetukset.
 • netsh int tcp show security

  Näyttää parhaillaan käytössä olevat MPP-, Profiles- ja Port Exemption -suojausasetukset, jos niitä on määritetty.
 • netsh int tcp set security mpp=[enabled|disabled|default]

  Ohjaa MPP-asetuksia.
 • netsh int tcp set security Profiles=[enabled|disabled|default]

  Ohjaa Profiles-asetusta.
 • netsh int tcp set security startport=<x> numberofports=<y+1> mpp=[enabled|disabled|default]

  Määrittää porttipoikkeukset porttialueelle xx+y. Varmista, että x ja x+y ovat kelvollisella porttialueella (0–65 535).

  Esimerkkejä

  Porttialuepoikkeuksen lisääminen:
  Kirjoita komentokehotteeseen seuraava komento ja paina sitten ENTER-näppäintä:

  netsh int tcp set security startport=5000 numberofports=10 mpp=disabled
  Tämä komento poistaa MPP-ominaisuuden käytöstä porteille 5 000–5 009.  Porttialuepoikkeuksen poistaminen:
  Kirjoita komentokehotteeseen seuraava komento ja paina sitten ENTER-näppäintä:

  netsh int tcp set security startport=5000 numberofports=10 mpp=enable
  Tämä komento poistaa poikkeusmerkinnän, joka lisättiin ensimmäisessä esimerkissä.


  Huomautus Komento netsh int tcp set security ei tue päällekkäisiä porttialueita ja alialueita.

Näiden asetusten määrittäminen Windows Server 2003:ssa

Windows Server 2003:ssa nämä asetukset on määritettävä rekisterin avulla.

MPP-asetuksen määrittäminen Windows Server 2003:ssa

Tärkeää Tässä osassa, tavassa tai tehtävässä olevissa vaiheissa kerrotaan, miten rekisteriä muokataan. Vakavia ongelmia saattaa kuitenkin ilmetä, jos rekisteriä muokataan virheellisesti. Varmista siis, että noudatat ohjeita huolellisesti. Varmuuskopioi rekisteri varmuuden vuoksi ennen sen muokkaamista. Tällöin voit palauttaa sen, jos ongelmia ilmenee. Lisätietoja rekisterin varmuuskopioimisesta ja palauttamisesta saat napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
322756 Rekisterin varmuuskopioiminen, muokkaaminen ja palauttaminen Windows XP:ssä ja Windows Server 2003:ssa


Jos haluat ottaa MPP-asetuksen käyttöön tai poistaa sen käytöstä, käytä seuraavia rekisterimerkintöjä.
Huomautus Seuraavat rekisterimerkinnät eivät olet käytettävissä oletusarvon mukaan. Sinun on luotava ne, jotta voit muokata niitä. Vaikka rekisterimerkintöjä ei ole olemassa, MPP-asetus on käytössä oletusarvon mukaan, eikä mikään portti ole poikkeus siitä.
 • IPv4 (Internet Protocol version 4):
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableMPP
 • IPv6 (Internet Protocol version 6):
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP
Voit poistaa MPP-asetuksen käytöstä IPv4-protokollalle toimimalla esimerkiksi seuraavasti:
 1. Napsauta Käynnistä-painiketta, valitse Suorita, kirjoita Avaa-ruutuun regedit ja valitse sitten OK.
 2. Etsi seuraava rekisterin aliavain ja valitse se:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
 3. Valitse Muokkaa-valikosta Uusi ja valitse sitten DWORD-arvo.
 4. Kirjoita EnableMPP ja paina sitten ENTER-näppäintä.
 5. Napsauta hiiren kakkospainikkeella EnableMPP-arvoa ja valitse sitten Muokkaa.
 6. Kirjoita Arvon data -ruutuun 0 ja valitse sitten OK.
 7. Sulje Rekisterieditori.
 8. Käynnistä tietokone uudelleen.
Huomautuksia
 • Jos haluat ottaa MPP-asetuksen uudelleen käyttöön, aseta EnableMPP-rekisterimerkinnän DWORD-arvoksi 1 ja käynnistä tietokone sitten uudelleen.
 • Jos haluat määrittää MPP-asetuksen IPv6-protokollalle, voit määrittää seuraavan rekisterin merkinnän tekemällä nämä samat toimet:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP

MPP-asetuksen määrittäminen tietylle liittymälle Windows Server 2003:ssa

Tärkeää Tässä osassa, tavassa tai tehtävässä olevissa vaiheissa kerrotaan, miten rekisteriä muokataan. Vakavia ongelmia saattaa kuitenkin ilmetä, jos rekisteriä muokataan virheellisesti. Varmista siis, että noudatat ohjeita huolellisesti. Varmuuskopioi rekisteri varmuuden vuoksi ennen sen muokkaamista. Tällöin voit palauttaa sen, jos ongelmia ilmenee. Lisätietoja rekisterin varmuuskopioimisesta ja palauttamisesta saat napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
322756 Rekisterin varmuuskopioiminen, muokkaaminen ja palauttaminen Windows XP:ssä ja Windows Server 2003:ssa


Huomautus Oletusarvon mukaan MPP-ominaisuus on käytössä kaikille liittymille Windows Server 2003:ssa.

Jos haluat ottaa MPP-asetuksen käyttöön tai poistaa sen käytöstä tietylle liittymälle, käytä seuraavia rekisterin aliavaimia:
 • IPv4:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>\DisableMPPOnIF
 • IPv6:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF
Voit poistaa MPP-asetuksen käytöstä IPv4-protokollan tietylle liittymälle toimimalla esimerkiksi seuraavasti:
 1. Napsauta Käynnistä-painiketta, valitse Suorita, kirjoita Avaa-ruutuun regedit ja valitse sitten OK.
 2. Etsi seuraava rekisterin aliavain ja valitse se:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>
 3. Valitse Muokkaa-valikosta Uusi ja valitse sitten DWORD-arvo.
 4. Kirjoita DisableMPPOnIF ja paina sitten ENTER-näppäintä.
 5. Napsauta hiiren kakkospainikkeella DisableMPPOnIF-arvoa ja valitse sitten Muokkaa.
 6. Kirjoita Arvon data -ruutuun 1 ja valitse sitten OK.
 7. Sulje Rekisterieditori.
 8. Käynnistä tietokone uudelleen.
Huomautus Jos haluat määrittää MPP-asetuksen tietylle IPv6-protokollan liittymälle, voit määrittää seuraavan rekisterin aliavaimen tekemällä nämä samat toimet:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF

Port Exemption -asetuksen määrittäminen Windows Server 2003:ssa

Tärkeää Tässä osassa, tavassa tai tehtävässä olevissa vaiheissa kerrotaan, miten rekisteriä muokataan. Vakavia ongelmia saattaa kuitenkin ilmetä, jos rekisteriä muokataan virheellisesti. Varmista siis, että noudatat ohjeita huolellisesti. Varmuuskopioi rekisteri varmuuden vuoksi ennen sen muokkaamista. Tällöin voit palauttaa sen, jos ongelmia ilmenee. Lisätietoja rekisterin varmuuskopioimisesta ja palauttamisesta saat napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
322756 Rekisterin varmuuskopioiminen, muokkaaminen ja palauttaminen Windows XP:ssä ja Windows Server 2003:ssa


Jos haluat määrittää porttipoikkeukset porttialueelle xy, käytä seuraavia rekisterin merkintöjä:
 • IPv4:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\MPPExcludedPorts
 • IPv6:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts
Esimerkiksi tekemällä nämä toimet voit määrittää porttipoikkeukset porttialueelle xxxxyyyy IPv4-protokollassa:
 1. Napsauta Käynnistä-painiketta, valitse Suorita, kirjoita Avaa-ruutuun regedit ja valitse sitten OK.
 2. Etsi seuraava rekisterin aliavain ja valitse se:
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
 3. Valitse Muokkaa-valikosta Uusi ja valitse sitten Moniosainen arvo.
 4. Kirjoita MPPExcludedPorts ja paina sitten ENTER-näppäintä.
 5. Napsauta hiiren kakkospainikkeella MPPExcludedPorts-arvoa ja valitse sitten Muokkaa.
 6. Kirjoita Arvon data -ruutuun porttialue muodossa xxxx-yyyy (esimerkiksi 5000-5010) ja valitse sitten OK.
 7. Sulje Rekisterieditori.
 8. Käynnistä tietokone uudelleen.
Huomautuksia
 • Sinun on määritettävä porttialue muodossa xxxx-yyyy, jossa xxxx ja yyyy ovat kelvollisella porttialueella. Ensimmäinen ja viimeinen arvo kuuluvat tähän alueeseen.
 • Jos haluat määrittää Port Exemption -asetuksen IPv6-protokollalle, voit määrittää seuraavan rekisterin aliavaimen tekemällä nämä toimet:

  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts
 • Tässä luettelossa voi määrittää enintään 12 porttialuetta. Muut alueet ohitetaan, eikä poikkeuksia oteta käyttöön.

Tunnetut ongelmat

 • Windows Vista SP2:ssa ja Windows Server 2008 SP2:ssa netsh int tcp reset -komento vaikuttaa yhteysnopeuden rajoitukseen.

  Ennen kuin asennat tämän tietoturvapäivityksen netsh int tcp reset -komento palauttaa TCP-asetukset. Näihin kuuluvat Chimney-parametrit, ECN (Explicit Congestion Notification), vastaanottoikkunan automaattinen säätö, CTCP (Compound TCP) ja aikaleimat. Tämän tietoturvapäivityksen asentamisen jälkeen netsh int tcp reset -komento myös palauttaa suojausasetukset, kuten MPP-asetuksen, Profiles-asetuksen ja yhteysnopeuden rajoitusasetukset. Vaikka MPP- ja Profiles-asetuksia odotetaan, myös yhteysnopeuden rajoitusasetuksen palauttaminen tehdään suorituksen aikana. Jos haluat asettaa yhteysnopeuden rajoituksen uudelleen, sinun on muokattava rekisterin aliavainta.Lisätietoja yhteysnopeuden rajoitusasetuksesta saat napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:

  969710 Puolittain avointen TCP-yhteyksien rajoituksen ottaminen käyttöön Windows Vista Service Pack 2:ssa ja Windows Server 2008 Service Pack 2:ssa (tämä artikkeli saattaa olla englanninkielinen)
 • Jos asennat Windows Server 2003:ssa tietoturvapäivityksen 967723 ja asennat sitten IPv6:n, tapahtumaloki sisältää seuraavankaltaisia tietoja IPv6-tapahtumasta 4229:
  Lähteen Tcpip6 tapahtumatunnuksen 4229 kuvausta ei löydy. Tätä tapahtumaa kutsuvaa osaa ei ole asennettu paikalliseen tietokoneeseen tai asennus on vioittunut. Voit asentaa osan paikalliseen tietokoneeseen tai korjata sen asennuksen.

  Jos tapahtuma tallennettiin toisesta tietokoneesta, tapahtumien yhteyteen on ehkä sisällytettävä näyttötietoja.

  Tapahtumaan sisällytettiin seuraavat tiedot:

  Sanomaresurssi on läsnä, mutta sanomaa ei löydy merkkijono- tai sanomataulukosta
  Voit korjata tämän ongelman asentamalla päivityksen uudelleen tai lisäämällä seuraavat rekisterin aliavaimet manuaalisesti:
  • Lisää Windows Server 2003 SP2:ssa merkkijono %systemroot%system32\w03a3409.dll avaimen HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile alle.
  • Lisää Windows Server 2003 SP1:ssa merkkijono %systemroot%system32\w03a2409.dll avaimen HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile alle.
  • Lisää Windows Server 2003:ssa merkkijono %systemroot%system32\ws03res.dll avaimen HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile alle.
Ominaisuudet

Artikkelin tunnus: 974288 – Viimeisin tarkistus: 11.9.2009 – Versio: 1

Palaute