SO WIRD'S GEMACHT: Absichern des TCP/IP-Stacks gegen Denial-of-Service-Angriffe in Windows 2000

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 315669 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Dieser Artikel wurde zuvor veröffentlicht unter D315669
Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
315669 HOW TO: Harden the TCP/IP Stack Against Denial of Service Attacks in Windows 2000
Wichtig: Dieser Artikel enthält Informationen zum Bearbeiten der Registrierung. Bevor Sie die Registrierung bearbeiten, vergewissern Sie sich bitte, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zum Erstellen einer Sicherungskopie, zum Wiederherstellen und Bearbeiten der Registrierung finden Sie in folgendem Artikel der Microsoft Knowledge Base:
256986 Beschreibung der Microsoft Windows-Registrierung
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

DoS-Angiffe (Denial-of-Service) sind Netzwerkangriffe mit dem Ziel, einen Computer oder einen bestimmten Dienst auf einem Computer für Netzwerkbenutzer unzugänglich zu machen. DoS-Angriffe sind nicht immer leicht abzuwehren. Mit einer der beiden folgenden Methoden können Sie DoS-Angriffe erschweren oder verhindern.
  • Halten Sie den Computer mit aktuellen Sicherheitsupdates auf dem neuesten Stand. Sicherheitsupdates finden Sie auf der folgenden Microsoft-Website:
    http://www.microsoft.com/germany/security
  • Sichern Sie auf Arbeitsstationen und Servern unter Windows 2000 den TCP/IP-Protokollstack (Transmission Control Protocol/Internet Protocol) ab. Die Standardeinstellungen des TCP/IP-Stacks sind auf die Verarbeitung normalen Datenverkehrs im Intranet ausgerichtet. Wenn Sie einen Computer direkt mit dem Internet verbinden, wird eine Absicherung des TCP/IP-Stacks gegen DoS-Angriffe empfohlen.

TCP/IP-Registrierungswerte für die Absicherung des TCP/IP-Stacks

Achtung: Die unkorrekte Verwendung des Registrierungseditors kann schwerwiegende Probleme verursachen, die das gesamte System betreffen und eine Neuinstallierung des Betriebssystems erforderlich machen. Microsoft kann nicht garantieren, dass Probleme, die von einer falschen Verwendung des Registrierungseditors herrühren, behoben werden können. Benutzen Sie den Registrierungseditor auf eigene Verantwortung.

In der folgenden Liste sind die Registrierungswerte für TCP/IP beschrieben, die Sie zur Absicherung des TCP/IP-Stacks auf direkt mit dem Internet verbundenen Computern konfigurieren können. Alle Werte befinden sich unter dem folgenden Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
HINWEIS: Alle Werte sind Hexadezimalzahlen, sofern nicht anders angegeben.
  • Wertname: SynAttackProtect
    Schlüssel: Tcpip\Parameters
    Werttyp: REG_DWORD
    Gültiger Bereich: 0,1,2
    Standard: 0

    Durch diesen Registrierungswert wird TCP (Transmission Control Protocol) veranlasst, die Neuübertragung von SYN-ACKs anzupassen. Wenn dieser Wert konfiguriert ist, wird das Timeout der Verbindungsantworten im Fall eines SYN-Angriffs (eine bestimmte Art von DoS-Angriff) verkürzt.

    In der folgenden Liste sind die zulässigen Parameter für diesen Registrierungswert beschrieben.
    • 0 (Standardwert): Legen Sie SynAttackProtect für den normalen Schutz vor SYN-Angriffen auf 0 fest.
    • 1: Legen Sie SynAttackProtect für verbesserten Schutz vor SYN-Angriffen auf 1 fest. Dieser Parameter veranlasst TCP, die Neuübertragung von SYN-ACKs anzupassen. Wenn Sie SynAttackProtect auf 1 festlegen, erfolgt ein Timeout der Verbindungsantworten schneller, wenn der Verdacht eines gerade stattfindenden SYN-Angriffs besteht. In Windows wird anhand der folgenden Werte bestimmt, ob gerade ein Angriff stattfindet.
      • TcpMaxPortsExhausted
      • TCPMaxHalfOpen
      • TCPMaxHalfOpenRetried

    • 2: Legen Sie SynAttackProtect für optimalen Schutz vor SYN-Angriffen auf 2 fest. Durch diesen Wert werden den Verbindungsindikatoren zusätzliche Verzögerungen hinzugefügt, und bei einem gerade stattfindenden SYN-Angriff läuft das Timeout für TCP-Verbindungsanforderungen schnell ab. Diese Einstellung wird empfohlen.

      HINWEIS: Wenn Sie den SynAttackProtect-Wert auf 2 festlegen, haben die folgenden Socketoptionen für sämtliche Sockets keine Auswirkung mehr:
      • Skalierbare Fenster
      • TCP-Parameter, die für die einzelnen Adapter konfiguriert wurden, einschließlich Ausgangs-RTT (Round Trip Time) und Fenstergröße.

  • Wertname: EnableDeadGWDetect
    Schlüssel: Tcpip\Parameters
    Werttyp: REG_DWORD
    Gültiger Bereich: 0, 1 (False, True)
    Standard: 1 (True)

    In der folgenden Liste sind die zulässigen Parameter für diesen Registrierungswert beschrieben.
    • 1: Wenn Sie EnableDeadGWDetect auf 1 festlegen, ist die Identifizierung deaktivierter Gateways durch TCP erlaubt. Wenn die Identifizierung deaktivierter Gateways aktiviert ist und bei einer Reihe von Verbindungen Schwierigkeiten auftreten, kann TCP den IP-Wechsel (Internet Protokoll) zu einem Reservegateway veranlassen. Reservegateways werden in der Systemsteuerung unter Netzwerk im Dialogfeld Erweiterte TCP/IP-Einstellungen definiert.
    • 0: Es wird empfohlen, EnableDeadGWDetect auf 0 festzulegen. Wenn Sie diesen Wert nicht auf 0 festlegen, kann der Server bei einem Angriff zu einem Gatewaywechsel gezwungen werden und in der Folge zu einem nicht vorgesehenen Gateway wechseln.
  • Wertname: EnablePMTUDiscovery
    Schlüssel: Tcpip\Parameters
    Werttyp: REG_DWORD
    Gültiger Bereich: 0, 1 (False, True)
    Standard: 1 (True)

    In der folgenden Liste sind die zulässigen Parameter für diesen Registrierungswert beschrieben.
    • 1: Wenn Sie EnablePMTUDiscovery auf 1 festlegen, versucht TCP, entweder die MTU (Maximum Transmission Unit, Maximale Übertragungseinheit) oder die größtmögliche Paketgröße über den Pfad zu einem Remotehost zu erkennen. TCP kann die Fragmentierung auf Routern unterbinden, die sich auf dem Pfad zwischen zwei Netzwerken mit unterschiedlichen MTUs befinden, indem es die MTU des Pfades erkennt und die TCP-Segmente auf diese Größe beschränkt. Durch Fragmentierung wird der TCP-Durchsatz verringert.
    • 0: Es wird empfohlen, EnablePMTUDiscovery auf 0 festzulegen. In diesem Fall wird dann eine MTU von 576 Byte für alle Verbindungen verwendet, die keine Hosts im lokalen Subnetz sind. Wenn Sie diesen Wert nicht auf 0 festlegen, kann ein Angreifer einen sehr kleinen MTU-Wert erzwingen und einen Stapelüberlauf herbeiführen.
  • Wertname: KeepAliveTime
    Schlüssel: Tcpip\Parameters
    Werttyp: REG_DWORD - Zeit in Millisekunden
    Gültiger Bereich: 1-0xFFFFFFFF
    Standard: 7.200.000 (zwei Stunden)

    Dieser Wert bestimmt die Anzahl der Versuche, in denen TCP durch Senden eines Keep Alive-Pakets die Verfügbarkeit einer Verbindung im Leerlauf überprüft. Wenn der Remotecomputer weiterhin erreichbar ist, wird der Empfang des Keep Alive-Pakets von ihm bestätigt. In der Standardeinstellung werden keine Keep Alive-Pakete gesendet. Sie können diesen Wert für eine Verbindung mit Hilfe eines Programms konfigurieren. Die empfohlene Einstellung für den Wert ist 300.000 (5 Minuten).
  • Wertname: NoNameReleaseOnDemand
    Schlüssel: Netbt\Parameters
    Werttyp: REG_DWORD
    Gültiger Bereich: 0, 1 (False, True)
    Standard: 0 (False)

    Dieser Wert bestimmt, ob der Computer seinen NetBIOS-Namen beim Empfang einer entsprechenden Anforderung freigibt. Dieser Wert wurde hinzugefügt, damit ein Administrator den Computer vor böswilligen Namensfreigabeangriffen schützen kann. Es wird empfohlen, den NoNameReleaseOnDemand-Wert auf 1, d. h. den Standardwert festzulegen.

    HINWEIS: Windows 2000 Service Pack 2 (SP2) oder später muss installiert sein, damit Sie den NoNameReleaseOnDemand-Wert verwenden können.

Problembehandlung

Eine Änderung der TCP/IP-Registrierungswerte kann Auswirkungen auf Programme und Dienste haben, die auf einem Computer unter Windows 2000 ausgeführt werden. Es wird empfohlen, diese Einstellungen vorab auf Arbeitsstationen und Servern zu testen, die nicht für die Produktion verwendet werden, um die Kompatibilität mit Ihrer Geschäftsumgebung sicherzustellen.

Eigenschaften

Artikel-ID: 315669 - Geändert am: Montag, 24. Oktober 2005 - Version: 2.2
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
Keywords: 
kbhowto kbhowtomaster KB315669
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com