DetailPage-MSS-KB

Base de Dados de Conhecimento

ID do artigo: 974288 - Última revisão: sexta-feira, 11 de setembro de 2009 - Revisão: 1.3

Nesta página

INTRODUÇÃO

Este artigo descreve um novo recurso Proteção de Pressão de Memória de pilha TCP. Esse novo recurso é fornecido pela atualização de segurança 967723.

Mais Informações

O recurso de Proteção de Pressão de Memória consiste em três configurações de segurança. Essas configurações incluem MPP (Proteção de Pressão de Memória), Perfis e Isenção de porta.

A configuração MPP

A configuração MPP define o recurso e o inclui nas duas atividades seguintes quando um ataque é detectado:
  • Terminar as conexões TCP existentes.
  • Ignorar solicitações SYN.
Um administrador pode habilitar ou desabilitar a configuração MPP usando os comandos netsh. Quando o administrador habilita ou desabilita a configuração MPP, esse recurso é habilitado ou desabilitado.

A configuração Perfis

O recurso Perfis ajuda o administrador a diferenciar em interfaces públicas e não públicas. Se uma interface puder acessar o controlador do domínio, isso significa que a interface está associada ao domínio ou que o administrador pode configurar uma interface como privada. O recurso Perfis de está disponível somente no Windows Vista e no Windows Server 2008.

A configuração Perfis determina a habilidade do computador para terminar conexões TCP e ignorar solicitações SYN de entrada na interface associada ao domínio e na interface privada quando o computador estiver sendo atacado com baixa memória. No Windows Server 2003, um administrador deve usar as entradas do Registro para desabilitar o recurso MPP em uma determinada interface. Para obter mais informações, consulte na seção "Definindo estas configurações no Windows Server 2003". Por padrão, a configuração Perfis está habilitada. Quando essa configuração estiver habilitada, significa que o administrador optou por não terminar as conexões TCP ou não ignorar SYNs na interface associada ao domínio ou na interface privada, em nenhuma circunstância. Se o administrador quiser terminar as conexões TCP e ignorar SYNs na interface associada ao domínio e na interface privada quando estiver sob ataque, a configuração Perfis deve ser desabilitada.

Observação Se a configuração MPP estiver habilitada e um ataque for detectado, o administrador não poderá parar de terminar conexões em interfaces públicas, mesmo se a configuração Perfil estiver habilitada. A configuração Perfis é destinada a interfaces privadas e que ingressaram em um domínio. No entanto, nesses casos, um administrador pode usar a configuração Isenção de Porta para excluir determinadas portas em interfaces públicas por meio da ação MPP.

A configuração Isenção de Porta

A configuração Isenção de Porta permite que o administrador crie exceções específicas para portas. Por padrão, quando a configuração MPP estiver habilitada, o recurso Proteção de Pressão de Memória estará habilitado para conexões em todas as portas. Se um ataque for detectado, as conexões existentes podem ser terminadas ou SYNs de entrada podem ser ignoradas, com base nas configurações de MPP e Perfis. Contudo, um administrador pode definir exceções para conexões em determinadas portas, especificando-as na lista de exceções de porta.

Observações
  • A lista Isenção de Porta é uma única lista global e se aplica a todas as interfaces e IP endereços.
  • A configuração Isenção de Porta entra em vigor antes de qualquer conexão TCP ser estabelecida na porta. É recomendável que você configure todas as configurações relacionadas à MPP antes de iniciar os aplicativos de servidor.

Valores padrão para essas configurações nos servidores e nos clientes

Recolher esta tabelaExpandir esta tabela
Valores padrão em servidoresValores padrão em clientes
MPPHabilitado Desabilitado
PerfilHabilitado Habilitado
Isenção de portaNenhuma isençãoNenhuma isenção
Observação Se essas configurações forem alteradas, e um administrador desejar revertê-las para as configurações padrão, ele poderá usar o seguinte comando netsh:
netsh int tcp reset
Observação Consulte a seção "Problemas conhecidos" antes de usar o comando netsh int tcp reset.

Definindo essas configurações no Windows Vista

Um administrador pode usar comandos netsh para atualizar as configurações de MPP, Perfis e Isenção de Porta no tempo de execução. Essas configurações determinam se uma conexão TCP é um candidato para remoção ou não. Essa avaliação é realizada quando o Bloqueio de Controle de Transmissão dessa conexão TCP for criado, dependendo das configurações daquele momento.
  • netsh int tcp reset

    Redefine as configurações de segurança juntamente com as outras configurações de TCP. Essas configurações de segurança incluem as configurações de MPP, Perfil, Isenção de Porta e de limitação de taxa de conexão.
  • netsh int tcp show security

    Exibe as configurações de segurança atualmente aplicadas para MPP, Perfis e Isenções de Porta, se houver.
  • netsh int tcp set security mpp=[enabled|disabled|default]

    Alterna as configurações de MPP.
  • netsh int tcp set security Profiles=[enabled|disabled|default]

    Alterna a configuração Perfis.
  • netsh int tcp set security startport=<x> numberofports=<y+1> mpp=[enabled|disabled|default]

    Especifica as isenções de porta para o intervalo de porta de x a x+y. Certifique-se de que x e x+y estão no intervalo de porta válido (0 - 65535).

    Exemplos

    Adicione uma isenção de intervalo de porta:
    Digite o seguinte comando em um prompt de comando e pressione ENTER:
    netsh int tcp set security startport=5000 numberofports=10 mpp=disabled
    Esse comando desabilita o recurso MPP para portas de 5000 a 5009 (ambos incluídos).

    Exclua uma isenção de intervalo de porta:
    Digite o seguinte comando em um prompt de comando e pressione ENTER:
    netsh int tcp set security startport=5000 numberofports=10 mpp=enable
    Esse comando exclui a entrada de isenção que foi adicionada no primeiro exemplo.

    Observação Portas e sub-intervalos sobrepostos não são processados pelo comando netsh int tcp set security.

Definindo essas configurações no Windows Server 2003

No Windows Server 2003, é necessário definir essas configurações, usando o Registro.

Definindo a configuração MPP no Windows Server 2003

Importante Essa seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer caso você modifique o registro incorretamente. Por isso, certifique-se de que essas etapas sejam seguidas cuidadosamente. Para obter mais proteção, faça um backup do registro antes de modificá-lo. Dessa forma, você poderá restaurar o registro se ocorrer um problema. Para obter informações adicionais sobre como fazer backup e restaurar o registro, clique no número abaixo para exibir o artigo da Base de Dados de Conhecimento Microsoft:
322756  (http://support.microsoft.com/kb/322756/ ) Como fazer o backup, editar e restaurar o Registro no Windows XP e Windows Server 2003


Para habilitar ou desabilitar a configuração MPP, use as seguintes entradas do Registro.
Observação As seguintes entradas do Registro do não estão disponíveis por padrão. Você deve criá-las e modificá-las. Embora as entradas do Registro não estejam presentes, a configuração MPP está habilitada por padrão, e não há isenção de nenhuma porta.
  • Protocolo IP versão 4 (IPv4):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableMPP
  • Protocolo IP versão 6 (IPv6):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP
Por exemplo, você poderia seguir estas etapas para desabilitar a configuração MPP em IPv4:
  1. Clique em Iniciar, em Executar, digite regedit na caixa Abrir e clique em OK.
  2. Localize e clique na seguinte subchave do Registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. No menu Editar, aponte para Novo e clique em Valor DWORD.
  4. Digite EnableMPP e pressione ENTER.
  5. Clique com o botão direito do mouse em EnableMPP e clique em Modificar.
  6. Na caixa Dados do valor, digite 0 e clique em OK.
  7. Saia do Editor de Registro.
  8. Reinicie o computador.
Observações
  • Se quiser habilitar novamente a configuração MPP, defina o valor de DWORD como 1 para a entrada do Registro EnableMPP e reinicie o computador.
  • Você pode seguir essas mesmas etapas para configurar a seguinte entrada do Registro para a configuração MPP no IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP

Definindo a configuração MPP para uma interface específica no Windows Server 2003

Importante Essa seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer caso você modifique o registro incorretamente. Por isso, certifique-se de que essas etapas sejam seguidas cuidadosamente. Para obter mais proteção, faça um backup do registro antes de modificá-lo. Dessa forma, você poderá restaurar o registro se ocorrer um problema. Para obter informações adicionais sobre como fazer backup e restaurar o registro, clique no número abaixo para exibir o artigo da Base de Dados de Conhecimento Microsoft:
322756  (http://support.microsoft.com/kb/322756/ ) Como fazer o backup, editar e restaurar o Registro no Windows XP e Windows Server 2003


Observação Por padrão, no Windows Server 2003, o recurso MPP está habilitado em todas as interfaces.

Para habilitar ou desabilitar a configuração MPP para uma determinada interface, use as seguintes subchaves do Registro:
  • IPv4:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>\DisableMPPOnIF
  • IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF
Por exemplo, você poderia seguir estas etapas para desabilitar a configuração MPP para uma determinada interface em IPv4:
  1. Clique em Iniciar, em Executar, digite regedit na caixa Abrir e clique em OK.
  2. Localize e clique na seguinte subchave do Registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>
  3. No menu Editar, aponte para Novo e clique em Valor DWORD.
  4. Digite DisableMPPOnIF e pressione ENTER.
  5. Clique com o botão direito do mouse em DisableMPPOnIF e clique em Modificar.
  6. Na caixa Dados do valor, digite 1 e clique em OK.
  7. Saia do Editor de Registro.
  8. Reinicie o computador.
Observação Você pode seguir essas mesmas etapas para configurar a seguinte subchave do Registro para a configuração MPP no IPv6 de uma determinada interface:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF

Definindo a configuração Isenção de Porta no Windows Server 2003

Importante Essa seção, método ou tarefa contém etapas que informam sobre como modificar o registro. No entanto, sérios problemas poderão ocorrer caso você modifique o registro incorretamente. Por isso, certifique-se de que essas etapas sejam seguidas cuidadosamente. Para obter mais proteção, faça um backup do registro antes de modificá-lo. Dessa forma, você poderá restaurar o registro se ocorrer um problema. Para obter informações adicionais sobre como fazer backup e restaurar o registro, clique no número abaixo para exibir o artigo da Base de Dados de Conhecimento Microsoft:
322756  (http://support.microsoft.com/kb/322756/ ) Como fazer o backup, editar e restaurar o Registro no Windows XP e Windows Server 2003


Para especificar as isenções de porta para o intervalo de porta de x a y, use as seguintes entradas do Registro:
  • IPv4:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\MPPExcludedPorts
  • IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts
Por exemplo, você pode seguir estas etapas para especificar o intervalo de porta de xxxx para yyyy em IPv4:
  1. Clique em Iniciar, em Executar, digite regedit na caixa Abrir e clique em OK.
  2. Localize e clique na seguinte subchave do Registro:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. No menu Editar, aponte para Novo e clique em Valor de seqüência múltipla.
  4. Digite MPPExcludedPorts e pressione ENTER.
  5. Clique com o botão direito do mouse em MPPExcludedPorts e clique em Modificar.
  6. Na caixa Dados de valor, digite o intervalo de porta no formato xxxx-yyyy (por exemplo 5000-5010) e clique em OK.
  7. Saia do Editor de Registro.
  8. Reinicie o computador.
Observações
  • É necessário especificar o intervalo de porta no formato xxxx-yyyy, em que xxxx e yyyy estão incluídas no intervalo de porta válido. O intervalo inclui os valores iniciais e finais.
  • Você pode seguir estas etapas para configurar a seguinte subchave do Registro para a configuração Isenção de Porta em IPv6:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts
  • Há um limite de 12 intervalos de porta que podem ser especificados nesta lista. Intervalos adicionais serão ignorados, e as isenções não serão aplicadas.

Problemas conhecidos

  • No Windows Vista SP2 e no Windows Server 2008 SP2, o limite da taxa de conexão é afetado pelo comando netsh int tcp reset.

    Antes de instalar esta atualização de segurança, o comando netsh int tcp reset redefine as configurações de TCP. Isso inclui parâmetros Chimney, ECN (notificação de congestionamento explícito), autoajuste da janela de recepção, CTCP (TCP composto) e carimbos de data/hora. Depois que você instalar esta atualização de segurança, o comando netsh int tcp reset também redefine as configurações de segurança, incluindo as configurações de MPP, Perfis e de limitação de taxa de conexão. Mesmo se as configurações de Perfis e MPP forem esperadas, a redefinição da limitação de taxa de conexão também ocorre no tempo de execução. Para definir a limitação de taxa de conexão novamente, é necessário modificar a subchave do Registro. Para obter mais informações sobre a configuração de limitação de taxa de conexão, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft :
    969710  (http://support.microsoft.com/kb/969710/ ) Como habilitar o limite de conexões TCP semiabertas no Windows Vista com Service Pack 2 e no Windows Server 2008 como Service Pack 2
  • No Windows Server 2003, se você instalar a atualização de segurança 967723 e, em seguida, instalar o IPv6, o log de eventos conterá informações semelhantes às seguintes informações da identificação do evento 4229 do IPv6:
    Não foi possível encontrar a descrição da identificação do evento 4229 no Tcpip6 de origem. O componente que gera esse evento não está instalado no seu computador local ou a instalação está corrompida. Você pode instalar ou reparar o componente no computador local.

    Se o evento foi originado em outro computador, as informações de exibição tiveram que ser salvas com o evento.

    As seguintes informações foram incluídas no evento:

    o recurso de mensagem está presente, mas a mensagem não foi encontrada na tabela cadeia de caracteres/mensagem
    Para resolver esse problema, é necessário reinstalar a atualização ou adicionar as seguintes subchaves do Registro manualmente:
    • No Windows Server 2003 SP2, adicione a cadeia de caracteres %systemroot%system32\w03a3409.dll em HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile.
    • No Windows Server 2003 SP1, adicione a cadeia de caracteres %systemroot%system32\w03a2409.dll em HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile.
    • No Windows Server 2003, adicione a cadeia de caracteres %systemroot%system32\ws03res.dll em HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile.

A informação contida neste artigo aplica-se a:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Palavras-chave: 
kbsecvulnerability kbsecbulletin kbsecadvisory kbaccctrl kbsurveynew kbexpertisebeginner atdownload KB974288
Compartilhar
Opções de suporte adicionais
Fóruns de Suporte do Microsoft Community
Contate-nos diretamente
Localize um parceiro certificado da Microsoft
Microsoft Store