Beschreibung der neuen Funktion zum Schutz vor Speicherdruck für den TCP-Stack
EINFÜHRUNG
In diesem Artikel wird eine neue Funktion zum Schutz vor Speicherdruck für den TCP-Stack beschrieben. Diese neue Funktion wird durch das Sicherheitsupdate 967723 bereitgestellt.
Mehr Informationen
Die Funktion „Memory Pressure Protection" besteht aus drei Sicherheitseinstellungen. Zu diesen Einstellungen gehören Memory Pressure Protection (MPP), Profile und Port-Ausnahme.
Die MPP-Einstellung
Die MPP-Einstellung definiert die Funktion und umfasst die folgenden zwei Aktivitäten, wenn ein Angriff erkannt wird:
Beenden Sie die vorhandenen TCP-Verbindungen.
Eingehende SYN-Anfragen verwerfen.
Ein Administrator kann die MPP-Einstellung mithilfe von Netsh-Befehlen aktivieren oder deaktivieren. Wenn der Administrator die MPP-Einstellung aktiviert oder deaktiviert, wird diese Funktion aktiviert oder deaktiviert.
Die Profile-Einstellung
Die Profilfunktion hilft dem Administrator, zwischen öffentlichen und nichtöffentlichen Schnittstellen zu unterscheiden. Wenn eine Schnittstelle auf den Domänencontroller zugreifen kann, bedeutet dies, dass die Schnittstelle einer Domäne beigetreten ist oder dass der Administrator eine Schnittstelle als privat konfigurieren kann. Die Profile-Funktion ist nur in Windows Vista und Windows Server 2008 verfügbar.
Die Einstellung „Profile" bestimmt die Fähigkeit des Computers, TCP-Verbindungen zu unterbrechen und eingehende SYN-Anfragen auf der in die Domäne eingebundenen Schnittstelle und auf der privaten Schnittstelle zu verwerfen, wenn der Computer mit wenig Arbeitsspeicher angegriffen wird. Unter Windows Server 2003 muss ein Administrator Registrierungseinträge verwenden, um die MPP-Funktion auf einer bestimmten Schnittstelle zu deaktivieren. Weitere Informationen finden Sie im Abschnitt „Konfigurieren dieser Einstellungen in Windows Server 2003". Standardmäßig ist die Einstellung „Profile" aktiviert. Wenn diese Einstellung aktiviert ist, hat der Administrator entschieden, unter keinen Umständen TCP-Verbindungen zu beenden oder SYNs auf der in die Domäne eingebundenen Schnittstelle und auf der privaten Schnittstelle zu löschen. Wenn der Administrator bei einem Angriff TCP-Verbindungen unterbrechen und SYNs auf der in die Domäne eingebundenen Schnittstelle und auf der privaten Schnittstelle löschen möchte, muss die Einstellung „Profile" deaktiviert werden.
Hinweis Wenn die MPP-Einstellung aktiviert ist und ein Angriff erkannt wird, kann der Administrator das Beenden von Verbindungen auf öffentlichen Schnittstellen nicht stoppen, selbst wenn die Profileinstellung aktiviert ist. Die Profileinstellungsfunktion ist für in die Domäne eingebundene und private Schnittstellen gedacht. In diesen Fällen kann ein Administrator jedoch die Einstellung „Port-Ausnahme" verwenden, um bestimmte Ports an öffentlichen Schnittstellen von der MPP-Aktion auszuschließen.
Die Einstellung für die Portausnahme
Die Einstellung „Port-Ausnahme" ermöglicht es dem Administrator, portspezifische Ausnahmen zu machen. Wenn die MPP-Einstellung aktiviert ist, ist die Funktion „Memory Pressure Protection" standardmäßig für Verbindungen an allen Ports aktiviert. Wenn ein Angriff erkannt wird, können je nach MPP- und Profileinstellungen die vorhandenen Verbindungen unterbrochen oder eingehende SYNs verworfen werden. Ein Administrator kann jedoch Ausnahmen für Verbindungen an bestimmten Ports festlegen, indem er diese in der Port-Ausnahmeliste angibt.
Anmerkungen
Die Port-Ausnahmeliste ist eine einzelne globale Liste und gilt für alle Schnittstellen und IP-Adressen.
Die Einstellung „Port-Ausnahme" tritt in Kraft, bevor eine TCP-Verbindung auf dem Port hergestellt wird. Wir empfehlen Ihnen, alle MPP-relevanten Einstellungen zu konfigurieren, bevor Sie die Serveranwendungen starten.
Standardwerte für diese Einstellungen auf den Servern und auf den Clients
Standardwerte auf Servern | Standardwerte auf Clients | |
---|---|---|
MPP | Ermöglicht | Deaktiviert |
Profil | Ermöglicht | Ermöglicht |
Hafenbefreiung | Keine Ausnahmen | Keine Ausnahmen |
Hinweis Wenn diese Einstellungen geändert werden und ein Administrator zu den Standardeinstellungen zurückkehren möchte, kann der Administrator den folgenden Netsh-Befehl verwenden:
netsh int tcp resetHinweis Lesen Sie den Abschnitt „Bekannte Probleme", bevor Sie den Befehl „netsh int tcp reset" verwenden.
Konfigurieren dieser Einstellungen in Windows Vista
Ein Administrator kann Netsh-Befehle verwenden, um die MPP-, Profile- und Port-Ausnahmeeinstellungen zur Laufzeit zu aktualisieren. Diese Einstellungen bestimmen, ob eine TCP-Verbindung zum Bereinigen in Frage kommt oder nicht. Diese Auswertung wird durchgeführt, wenn der Transmission Control Block dieser TCP-Verbindung erstellt wird, abhängig von den Einstellungen zu diesem Zeitpunkt.
netsh int tcp zurückgesetzt
Setzt die Sicherheitseinstellungen zusammen mit den anderen TCP-Einstellungen zurück. Zu diesen Sicherheitseinstellungen gehören die Einstellungen für MPP, Profil, Portausnahme und Verbindungsratenbegrenzung.netsh int tcp show security
Zeigt die aktuell angewendeten Sicherheitseinstellungen für MPP, Profile und Portausnahmen (falls vorhanden) an.netsh int tcp set security mpp=[enabled|disabled|default]
Schaltet die MPP-Einstellungen um.netsh int tcp set security Profiles=[enabled|disabled|default]
Schaltet die Profileinstellung um.netsh int tcp set security startport=<x> numberofports=<y+1> mpp=[enabled|disabled|default]
Gibt die Portausnahmen für den Portbereich von x bis x + y an. Sie sollten sicherstellen, dass x und x + y im gültigen Portbereich (0 - 65535) liegen.
BeispieleFügen Sie eine Ausnahme für den Portbereich hinzu:
Geben Sie an der Eingabeaufforderung den folgenden Befehl ein und drücken Sie dann die EINGABETASTE:netsh int tcp set security startport=5000 numberofports=10 mpp=disabledDieser Befehl deaktiviert die MPP-Funktion für die Ports 5000 bis 5009 (beide einschließlich).
Löschen Sie eine Portbereichsausnahme:
Geben Sie an der Eingabeaufforderung den folgenden Befehl ein und drücken Sie dann die EINGABETASTE:netsh int tcp set security startport=5000 numberofports=10 mpp=enableDieser Befehl löscht den Ausnahmeeintrag, der im ersten Beispiel hinzugefügt wurde.
Hinweis Überlappende Portbereiche und Unterbereiche werden vom Befehl netsh int tcp set security nicht behandelt.
Konfigurieren dieser Einstellungen in Windows Server 2003
In Windows Server 2003 müssen Sie diese Einstellungen mithilfe der Registrierung konfigurieren.
Konfigurieren der MPP-Einstellung in Windows Server 2003
Wichtig: Dieser Abschnitt, diese Methode oder diese Aufgabe enthält Schritte, die Ihnen erklären, wie Sie die Registrierung ändern. Allerdings können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie diese Schritte sorgfältig befolgen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Für weitere Informationen zum Sichern und Wiederherstellen der Registrierung klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
322756 Anleitung zum Sichern und Wiederherstellen der Registrierung in Windows
Um die MPP-Einstellung zu aktivieren oder zu deaktivieren, verwenden Sie die folgenden Registrierungseinträge.
Hinweis: Die folgenden Registrierungseinträge sind standardmäßig nicht verfügbar. Sie müssen sie erstellen, um sie ändern zu können. Obwohl die Registrierungseinträge nicht vorhanden sind, ist die MPP-Einstellung standardmäßig aktiviert und kein Port ist ausgenommen.
Internetprotokoll Version 4 (IPv4):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableMPP
Internetprotokoll Version 6 (IPv6):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP
Sie können beispielsweise die folgenden Schritte ausführen, um die MPP-Einstellung auf IPv4 zu deaktivieren:
Klicken Sie auf „Start" , dann auf „Ausführen" , geben Sie „regedit" in das Feld „Öffnen " ein und klicken Sie dann auf „OK" .
Suchen Sie den folgenden Registrierungsunterschlüssel und klicken Sie darauf:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Zeigen Sie im Menü Bearbeiten auf Neu und klicken Sie dann auf DWORD-Wert .
Geben Sie EnableMPP ein und drücken Sie dann die EINGABETASTE.
Klicken Sie mit der rechten Maustaste auf „EnableMPP" und dann auf „Ändern" .
Geben Sie im Feld Wertdaten den Wert 0 ein und klicken Sie dann auf OK .
Beenden Sie den Registrierungseditor.
Starte den Computer neu.
Anmerkungen
Wenn Sie die MPP-Einstellung erneut aktivieren möchten, legen Sie den DWORD-Wert für den Registrierungseintrag „EnableMPP" auf 1 fest und starten Sie dann den Computer neu.
Sie können dieselben Schritte ausführen, um den folgenden Registrierungseintrag für die MPP-Einstellung unter IPv6 zu konfigurieren:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP
Konfigurieren der MPP-Einstellung für eine bestimmte Schnittstelle in Windows Server 2003
Wichtig: Dieser Abschnitt, diese Methode oder diese Aufgabe enthält Schritte, die Ihnen erklären, wie Sie die Registrierung ändern. Allerdings können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie diese Schritte sorgfältig befolgen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Für weitere Informationen zum Sichern und Wiederherstellen der Registrierung klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
322756 Anleitung zum Sichern und Wiederherstellen der Registrierung in Windows
Hinweis Unter Windows Server 2003 ist die MPP-Funktion standardmäßig auf allen Schnittstellen aktiviert.
Um die MPP-Einstellung für eine bestimmte Schnittstelle zu aktivieren oder zu deaktivieren, verwenden Sie die folgenden Registrierungsunterschlüssel:
IPv4:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>\DisableMPPOnIFIPv6:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF
Sie können beispielsweise die folgenden Schritte ausführen, um die MPP-Einstellung für eine bestimmte Schnittstelle unter IPv4 zu deaktivieren:
Klicken Sie auf „Start" , dann auf „Ausführen" , geben Sie „regedit" in das Feld „Öffnen " ein und klicken Sie dann auf „OK" .
Suchen Sie den folgenden Registrierungsunterschlüssel und klicken Sie darauf:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>
Zeigen Sie im Menü Bearbeiten auf Neu und klicken Sie dann auf DWORD-Wert .
Geben Sie DisableMPPOnIF ein und drücken Sie dann die EINGABETASTE.
Klicken Sie mit der rechten Maustaste auf MPPOnIF deaktivieren und dann auf Ändern .
Geben Sie im Feld Wertdaten den Wert 1 ein und klicken Sie dann auf OK .
Beenden Sie den Registrierungseditor.
Starte den Computer neu.
Hinweis Sie können dieselben Schritte ausführen, um den folgenden Registrierungsunterschlüssel für die MPP-Einstellung für eine bestimmte Schnittstelle unter IPv6 zu konfigurieren:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF
Konfigurieren der Port-Ausnahmeeinstellung in Windows Server 2003
Wichtig: Dieser Abschnitt, diese Methode oder diese Aufgabe enthält Schritte, die Ihnen erklären, wie Sie die Registrierung ändern. Allerdings können schwerwiegende Probleme auftreten, wenn Sie die Registrierung falsch ändern. Stellen Sie daher sicher, dass Sie diese Schritte sorgfältig befolgen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Für weitere Informationen zum Sichern und Wiederherstellen der Registrierung klicken Sie auf die folgende Artikelnummer, um den Artikel in der Microsoft Knowledge Base anzuzeigen:
322756 Anleitung zum Sichern und Wiederherstellen der Registrierung in Windows
Um die Portausnahmen für den Portbereich von x bis y anzugeben, verwenden Sie die folgenden Registrierungseinträge:
IPv4:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\MPPExcludedPorts
IPv6:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts
Sie könnten beispielsweise die folgenden Schritte ausführen, um die Portausnahmen für den Portbereich von xxxx bis yyyy auf IPv4 anzugeben:
Klicken Sie auf „Start" , dann auf „Ausführen" , geben Sie „regedit" in das Feld „Öffnen " ein und klicken Sie dann auf „OK" .
Suchen Sie den folgenden Registrierungsunterschlüssel und klicken Sie darauf:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Zeigen Sie im Menü Bearbeiten auf Neu und klicken Sie dann auf Wert mit mehreren Zeichenfolgen .
Geben Sie MPPExcludedPorts ein und drücken Sie dann die EINGABETASTE.
Klicken Sie mit der rechten Maustaste auf MPPExcludedPorts und dann auf Ändern .
Geben Sie im Feld „Wertdaten" den Portbereich im Format xxxx – yyyy ein (z. B. 5000-5010) und klicken Sie dann auf „OK" .
Beenden Sie den Registrierungseditor.
Starte den Computer neu.
Anmerkungen
Sie müssen den Portbereich im Format xxxx – yyyy angeben, wobei xxxx und yyyy im gültigen Portbereich liegen. Der Bereich umfasst die Startwerte und die Endwerte.
Sie können diese Schritte ausführen, um den folgenden Registrierungsunterschlüssel für die Einstellung „Port-Ausnahme" auf IPv6 zu konfigurieren:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPortsIn dieser Liste können maximal 12 Portbereiche angegeben werden. Zusätzliche Bereiche werden ignoriert und Ausnahmen werden nicht angewendet.
Bekannte Probleme
Unter Windows Vista SP2 und Windows Server 2008 SP2 wird die Verbindungsratenbegrenzung durch den Befehl „netsh int tcp reset" beeinflusst.
Bevor Sie dieses Sicherheitsupdate installieren, setzt der Befehl netsh int tcp reset die TCP-Einstellungen zurück. Dazu gehören Chimney-Parameter, Explicit Congestion Notification (ECN), automatische Optimierung des Empfangsfensters, Compound TCP (CTCP) und Zeitstempel. Nachdem Sie dieses Sicherheitsupdate installiert haben, setzt der Befehl „netsh int tcp reset" auch die Sicherheitseinstellungen zurück, einschließlich MPP, Profile und Einstellungen zur Verbindungsratenbegrenzung. Auch wenn MPP- und Profileinstellungen erwartet werden, erfolgt das Zurücksetzen der Verbindungsratenbegrenzungseinstellung auch zur Laufzeit. Um die Verbindungsratenbegrenzung wieder festzulegen, müssen Sie den Registrierungsunterschlüssel ändern. Weitere Informationen zur Einstellung der Verbindungsratenbegrenzung erhalten Sie, wenn Sie auf die folgende Artikelnummer klicken, um den Artikel in der Microsoft Knowledge Base anzuzeigen:969710 So aktivieren Sie die Beschränkung halboffener TCP-Verbindungen in Windows Vista mit Service Pack 2 und in Windows Server 2008 mit Service Pack 2
Wenn Sie unter Windows Server 2003 das Sicherheitsupdate 967723 und anschließend IPv6 installieren, enthält das Ereignisprotokoll Informationen, die den folgenden Informationen für die IPv6-Ereignis-ID 4229 ähneln:
Die Beschreibung für Ereignis-ID 4229 aus der Quelle Tcpip6 kann nicht gefunden werden. Entweder ist die Komponente, die dieses Ereignis auslöst, nicht auf Ihrem lokalen Computer installiert oder die Installation ist beschädigt. Sie können die Komponente auf dem lokalen Computer installieren oder reparieren.
Wenn das Ereignis von einem anderen Computer stammte, mussten die Anzeigeinformationen mit dem Ereignis gespeichert werden.
Der Veranstaltung waren folgende Informationen beigefügt:
Die Nachrichtenressource ist vorhanden, aber die Nachricht wird nicht in der Zeichenfolgen-/Nachrichtentabelle gefunden. Um dieses Problem zu beheben, müssen Sie das Update neu installieren oder die folgenden Registrierungsunterschlüssel manuell hinzufügen:Fügen Sie in Windows Server 2003 SP2 die Zeichenfolge %systemroot%system32\w03a3409.dll unter HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile hinzu
Fügen Sie in Windows Server 2003 SP1 die Zeichenfolge %systemroot%system32\w03a2409.dll unter HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile hinzu
Fügen Sie in Windows Server 2003 die Zeichenfolge %systemroot%system32\ws03res.dll unter HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile hinzu
No comments:
Post a Comment