none
请教系统中TCP 安全参数? RRS feed

  • 问题

  • 尊敬的微软工程师

    netsh int tcp show security命令执行后

    服务器操作系统查询状态

    内存压力保护                      : enabled
    配置文件                          : enabled

    客户端操作系统查询状态

    内存压力保护                      : disabled
    配置文件                          : enabled

    请问为啥服务器和客户端中内存压力保护一个是启用一个禁用?

    内存压力保护和配置文件有没有具体参数说明?请指教


    谷青松

    2020年9月24日 7:36

答案

  • Hi ,

    启用内存压力保护可确保在检测到攻击而导致内存不足时,关闭现在的TCP连接并丢弃传入的SYN请求。默认情况下,服务器上启用了内存压力保护功能并且默认所有TCP端口均启用内存压力保护功能,而客户端上则默认禁用内存压力保护功能。

    “配置文件”设置确定了当计算机受到内存不足的攻击时,计算机是否能够终止TCP连接以及在加入域的接口和专用接口上丢弃传入的SYN请求的能力。

    如果想要为特定的TCP端口或一系列端口启用内存压力保护的话,可以参考以下的命令:

    netsh int tcp set security mpp={disabled|enabled|default} [startport=integer] [numberofports=integer] [profiles={disabled|enabled|default}]

    startport:可选,用于指定适用的TCP端口范围的第一个TCP端口,可接受的值在0-65535之间。

    numberofports:如果指定了startport,则为必要。指定TCP端口范文内的端口数。可接受的值在1到65535之间。

    如下示例,禁用TCP端口443上的内存压力保护:

    set security mpp=disabled startport=443 number of ports=1


    如果想要仅在TCP端口443上启用压力保护功能的话,可以参考以下的命令将除TCP443以外的所有端口上禁用压力保护功能:

    set security mpp=disabled startport=1 numberofports=442
    
    set security mpp=disabled startport=444 numberofports=65535

    关于内存压力保护功能的详细信息,可以参考以下的官方文档:

    https://support.microsoft.com/en-us/help/974288/description-of-the-new-memory-pressure-protection-feature-for-tcp-stac

    此致

    Candy


    Please remember to mark the replies as an answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com   


    2020年9月25日 2:18
    版主