DetailPage-MSS-KB

Base de Dados de Conhecimento

Artigo: 974288 - Última revisão: sexta-feira, 11 de Setembro de 2009 - Revisão: 1.3

Nesta página

INTRODUÇÃO

Este artigo descreve o novo recurso Protecção de Pressão de Memória para a pilha de TCP. Este novo recurso é fornecido pela actualização de segurança 967723.

Mais Informação

O recurso Protecção de Pressão de Memória é constituído por três definições de segurança. Estas definições incluem MPP (Protecção de Pressão de Memória), Perfis e Excepção de Porta.

A definição MPP

A definição MPP define o recurso e contém as duas actividades que se seguem quando é detectado um ataque:
  • Eliminar as ligações TCP existentes.
  • Rejeitar os pedidos SYN recebidos.
Um administrador pode activar ou desactivar a definição MPP, utilizando comandos netsh. Este recurso é activado ou desactivado quando o administrador activa ou desactiva a definição MPP.

A definição Perfis

O recurso Perfis ajuda o administrador a distinguir entre interfaces públicas e não públicas. Se uma interface conseguir aceder ao controlador de domínio, isso indica que a interface está associada ao domínio ou que o administrador pode configurar uma interface privada. O recurso Perfis está disponível apenas no Windows Vista e no Windows Server 2008.

A definição Perfis determina a capacidade do computador para eliminar ligações TCP e rejeitar pedidos SYN recebidos na interface associada ao domínio e na interface privada quando o computador está sob ataque com pouca memória. No Windows Server 2003, o administrador tem de utilizar entradas do registo para desactivar o recurso MPP numa interface específica. Para mais informações, consulte a secção "Configurar estas definições no Windows Server 2003". Por predefinição, a definição Perfis está activada. O administrador decidiu não eliminar ligações TCP ou rejeitar SYNs na interface associada ao domínio e na interface privada, em circunstância alguma, quando esta definição está activada. Se o administrador pretender eliminar ligações TCP e rejeitar SYNs na interface associada ao domínio e na interface privada quando estiver sob um ataque, é necessário desactivar a definição Perfis.

Nota Se a definição MPP estiver activada e for detectado um ataque, o administrador não consegue interromper a eliminação de ligações nas interfaces públicas mesmo que a definição Perfil esteja activada. O recurso da definição Perfis destina-se a interfaces associadas a domínios e privadas. No entanto, nestes casos, o administrador pode utilizar a definição Excepção de Porta para excluir determinadas portas, em interfaces públicas, da acção MPP.

A definição Excepção de Porta

A definição Excepção de Porta permite ao administrador criar excepções para portas específicas. Por predefinição, quando a definição MPP está activada, o recurso Protecção de Pressão de Memória está activado para ligações em todas as portas. Se for detectado um ataque, é possível eliminar as ligações existentes ou rejeitar SYNs recebidos com base nas definições MPP e Perfis. No entanto, o administrador pode definir excepções para ligações em determinadas portas, especificando-as na lista de excepção de portas.

Notas
  • A lista Excepção de Porta é uma lista global e aplicável a todos os endereços IP e interfaces.
  • A definição Excepção de Porta entra em vigor antes de ser estabelecida qualquer ligação TCP na porta. Recomenda-se que todas as definições relacionadas com a MPP sejam configuradas antes de iniciar as aplicações do servidor.

Valores predefinidos dessas definições nos servidores e nos clientes

Reduzir esta tabelaExpandir esta tabela
Valores predefinidos nos servidoresValores predefinidos nos clientes
MPPActivado Desactivado
PerfilActivado Activado
Excepção de PortaSem excepçõesSem excepções
Nota Se estas definições forem alteradas e um administrador pretender repor as predefinições, pode utilizar o seguinte comando netsh:
netsh int tcp reset
Nota Consulte a secção "Problemas conhecidos" antes de utilizar o comando netsh int tcp reset.

Configurar estas definições no Windows Vista

Um administrador pode utilizar comandos netsh para actualizar as definições MPP, Perfis e Excepção de Porta durante a execução. Estas definições determinam se uma ligação TCP deve ser eliminada ou não. Esta avaliação é efectuada quando é criado o TCB (Transmission Control Block - Bloco de Controlo de Transmissão) dessa ligação, dependento das definições nesse momento.
  • netsh int tcp reset

    Repõe as definições de segurança em conjunto com as outras definições TCP. Estas definições de segurança incluem as definições MPP, Perfil, Excepção de Porta e limite de frequência de ligação.
  • netsh int tcp show security

    Apresenta as definições de segurança aplicadas actualmente para MPP, Perfis e excepções de portas, se existirem.
  • netsh int tcp set security mpp=[enabled|disabled|default]

    Alterna as definições MPP.
  • netsh int tcp set security Profiles=[enabled|disabled|default]

    Alterna a definição Perfis.
  • netsh int tcp set security startport=<x> numberofports=<y+1> mpp=[enabled|disabled|default]

    Especifica as excepções de porta para o intervalo de portas entre x e x+y. Certifique-se de que os valores x e x+y se encontram no intervalo de portas válido (0 a 65535).

    Exemplos

    Adicionar uma excepção de intervalo de portas:
    Escreva o seguinte comando na linha de comandos e prima ENTER:
    netsh int tcp set security startport=5000 numberofports=10 mpp=disabled
    Este comando desactiva o recurso MPP para as portas 5000 a 5009 (ambas inclusive).

    Eliminar uma excepção de intervalo de portas:
    Escreva o seguinte comando na linha de comandos e prima ENTER:
    netsh int tcp set security startport=5000 numberofports=10 mpp=enable
    Este comando elimina a entrada de excepção que foi adicionada no primeiro exemplo.

    Nota Os intervalos e sub-intervalos de portas sobrepostos não são processados pelo comando netsh int tcp set security.

Configurar estas definições no Windows Server 2003

No Windows Server 2003, deve utilizar o registo para configurar estas definições.

Configurar a definição MPP no Windows Server 2003

Importante: esta secção, método ou tarefa contém passos que explicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Assim, certifique-se de que segue estes passos cuidadosamente. Para uma maior segurança, efectue uma cópia de segurança do registo antes de o modificar. Deste modo, pode restaurar o registo se ocorrer um problema. Para mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
322756  (http://support.microsoft.com/kb/322756/ ) Como efectuar cópias de segurança e restaurar o registo no Windows


Para activar ou desactivar a definição MPP, utilize as seguintes entradas do registo:
Nota Por predefinição, as seguintes entradas do registo não estão disponíveis. Deve criá-las e modificá-las. Embora as entradas do registo não estejam presentes, a definição MPP está activada por predefinição e não existem excepções de portas.
  • Protocolo IPv4 (Internet Protocol version 4):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\EnableMPP
  • Protocolo IPv6 (Internet Protocol version 6):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP
Por exemplo, pode seguir estes passos para desactivar a definição MPP no protocolo IPv4:
  1. Clique em Iniciar, clique em Executar, escreva regedit na caixa Abrir e clique em OK.
  2. Localize e clique na seguinte subchave do registo:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. No menu Editar, aponte para Novo e clique em Valor DWORD.
  4. Escreva EnableMPP e prima ENTER.
  5. Clique com o botão direito do rato em EnableMPP e clique em Modificar.
  6. Na caixa Dados do valor, escreva 0 e clique em OK.
  7. Saia do Editor de Registo.
  8. Reinicie o computador.
Notas
  • Se pretender reactivar a definição MPP, defina o valor DWORD da entrada do registo EnableMPP para 1 e reinicie o computador.
  • Pode seguir estes mesmos passos para configurar a seguinte entrada do registo para a definição MPP no protocolo IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\EnableMPP

Configurar a definição MPP para uma interface específica no Windows Server 2003

Importante: esta secção, método ou tarefa contém passos que explicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Assim, certifique-se de que segue estes passos cuidadosamente. Para uma maior segurança, efectue uma cópia de segurança do registo antes de o modificar. Deste modo, pode restaurar o registo se ocorrer um problema. Para mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
322756  (http://support.microsoft.com/kb/322756/ ) Como efectuar cópias de segurança e restaurar o registo no Windows


Nota Por predefinição o recurso MPP está activado em todas as interfaces no Windows Server 2003.

Para activar ou desactivar a definição MPP para uma interface específica, utilize as seguintes subchaves do registo:
  • IPv4:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>\DisableMPPOnIF
  • IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF
Por exemplo, pode seguir estes passos para desactivar a definição MPP para uma interface específica no protocolo IPv4:
  1. Clique em Iniciar, clique em Executar, escreva regedit na caixa Abrir e clique em OK.
  2. Localize e clique na seguinte subchave do registo:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\<GUID>
  3. No menu Editar, aponte para Novo e clique em Valor DWORD.
  4. Escreva DisableMPPOnIF e prima ENTER.
  5. Clique com o botão direito do rato em DisableMPPOnIF e clique em Modificar.
  6. Na caixa Dados do valor, escreva 1 e clique em OK.
  7. Saia do Editor de Registo.
  8. Reinicie o computador.
Nota Pode seguir estes mesmos passos para configurar a seguinte subchave do registo para a definição MPP de uma interface específica no protocolo IPv6:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip6\Parameters\Interfaces\<GUID>\DisableMPPOnIF

Configurar a definição Excepção de Porta no Windows Server 2003

Importante: esta secção, método ou tarefa contém passos que explicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Assim, certifique-se de que segue estes passos cuidadosamente. Para uma maior segurança, efectue uma cópia de segurança do registo antes de o modificar. Deste modo, pode restaurar o registo se ocorrer um problema. Para mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
322756  (http://support.microsoft.com/kb/322756/ ) Como efectuar cópias de segurança e restaurar o registo no Windows


Para especificar as excepções de porta para o intervalo de portas entre x e y, utilize as seguintes entradas do registo:
  • IPv4:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\MPPExcludedPorts
  • IPv6:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts
Por exemplo, pode seguir estes passos para especificar as excepções de porta para o intervalo de portas entre xxxx e yyyy no protocolo IPv4:
  1. Clique em Iniciar, clique em Executar, escreva regedit na caixa Abrir e clique em OK.
  2. Localize e clique na seguinte subchave do registo:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
  3. No menu Editar, aponte para Novo e, em seguida, clique em Valor de Múltiplas Cadeias.
  4. Escreva MPPExcludedPorts e prima ENTER.
  5. Clique com o botão direito do rato em MPPExcludedPorts e clique em Modificar.
  6. Na caixa Dados do valor, escreva o intervalo de portas no formato xxxx-yyyy (por exemplo, 5000-5010) e clique em OK.
  7. Saia do Editor de Registo.
  8. Reinicie o computador.
Notas
  • Tem de especificar o intervalo de portas no formato xxxx-yyyy, em que xxxx e yyyy se encontram no intervalo de portas válido. O intervalo contém os valores iniciais e finais.
  • Pode seguir estes passos para configurar a seguinte subchave do registo para a definição Excepção de Porta no protocolo IPv6:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters\MPPExcludedPorts
  • Apenas pode ser especificado um máximo de 12 intervalos de portas nesta lista. Os intervalos adicionais serão ignorados e as excepções não serão aplicadas.

Problemas conhecidos

  • No Windows Vista SP2 e no Windows Server 2008 SP2, o limite de frequência de ligação é afectado pelo comando netsh int tcp reset.

    Antes de instalar esta actualização de segurança, o comando netsh int tcp resetrepõe as definições TCP. Estão incluídos os parâmetros Chimney, ECN (Explicit Congestion Notification - Notificação de Congestionamento Explícito), Optimização Automática da Janela de Recepção, CTCP (Compound TCP) e carimbos de data e hora. Depois de instalar esta actualização de segurança, o comando netsh int tcp reset repõe igualmente as definições de segurança, incluindo as definições MPP, Perfis e limite de frequência de ligação. Mesmo que as definições MPP e Perfis sejam esperadas, a reposição da definição do limite de frequência de ligação também ocorre durante a execução. Para definir novamente o limite de frequência de ligação, é necessário modificar a subchave do registo. Para obter mais informações sobre a definição do limite de frequência de ligação, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:
    969710  (http://support.microsoft.com/kb/969710/ ) Como activar o limite de ligações TCP semiabertas no Windows Vista com Service Pack 2 e no Windows Server 2008 com Service Pack 2
  • No Windows Server 2003, se instalar a actualização de segurança 967723 e depois instalar o protocolo IPv6, o registo de eventos contém informações que se assemelham às informações seguintes do ID de evento 4229 do protocolo IPv6:
    Não é possível localizar o ID de evento 4229 da origem Tcpip6. Ou o componente que invoca este evento não está instalado no computador local ou a instalação está danificada. Pode instalar ou reparar o componente no computador local.

    Se o evento teve origem noutro computador, a informação apresentada teria de ser guardada com o evento.

    As informações seguintes estavam incluídas no evento:

    o recurso da mensagem existe, mas não é possível localizar a mensagem na tabela cadeia/mensagem
    Para resolver este problema, tem de reinstalar a actualização ou adicionar as seguintes subchaves do registo manualmente:
    • No Windows Server 2003 SP2, adicione a cadeia %systemroot%system32\w03a3409.dll em HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile.
    • No Windows Server 2003 SP1, adicione a cadeia %systemroot%system32\w03a2409.dll em HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile.
    • No Windows Server 2003, adicione a cadeia %systemroot%system32\ws03res.dll em HKLM\System\CCS\Services\eventlog\System\tcpipv6\EventMessageFile.

A informação contida neste artigo aplica-se a:
  • Windows Server 2008 Datacenter
  • Windows Server 2008 Enterprise
  • Windows Server 2008 Standard
  • Windows Web Server 2008
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003, Datacenter x64 Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Server 2003, Standard x64 Edition
Palavras-chave: 
kbsecvulnerability kbsecbulletin kbsecadvisory kbaccctrl kbsurveynew kbexpertisebeginner atdownload KB974288
Partilhar
Opções de suporte adicionais
Fóruns de Suporte da Comunidade Microsoft
Contacte-nos directamente
Encontre um parceiro certificado Microsoft
Loja Microsoft