COMMENT FAIRE : Durcir la pile TCP/IP face aux attaques de refus d'accès aux services dans Windows 2000

Traductions disponibles Traductions disponibles
Numéro d'article: 315669 - Voir les produits auxquels s'applique cet article
Ancien nº de publication de cet article : F315669
Agrandir tout | Réduire tout

Sommaire

Résumé

Les attaques de refus d'accès aux services sont des attaques du réseau destinées à rendre un ordinateur ou un service particulier d'un ordinateur indisponible aux utilisateurs du réseau. Il peut être difficile de se protéger face à de telles attaques. Pour vous aider à vous protéger, vous pouvez utiliser l'une des méthodes suivantes, voire les deux :
  • Veillez à ce que les derniers correctifs de sécurité soient installés sur votre ordinateur. Ces correctifs sont disponibles sur le site Web Microsoft à l'adresse suivante :
    http://www.microsoft.com/security/
  • Durcissez la pile du protocole TCP/IP (Transmission Control Protocol/Internet Protocol) sur les stations de travail et les serveurs Windows 2000. La configuration par défaut de la pile TCP/IP est réglée pour traiter un trafic intranet normal. Si vous connectez un ordinateur directement à Internet, nous vous recommandons de durcir la pile TCP/IP face aux attaques de refus d'accès aux services.

Valeurs de registre TCP/IP qui durcissent la pile TCP/IP

AVERTISSEMENT : toute mauvaise utilisation de l'Éditeur du registre peut générer des problèmes sérieux, pouvant vous obliger à réinstaller votre système d'exploitation. Microsoft ne peut pas garantir que les problèmes résultant d'une mauvaise utilisation de l'Éditeur du registre puissent être résolus. Vous assumez l'ensemble des risques liés à l'utilisation de cet outil.

Pour plus d'informations sur la procédure à suivre pour modifier le registre, consultez la rubrique d'aide « Modification des clés et des valeurs » dans l'Éditeur du registre (Regedit.exe), ou les rubriques d'aide « Ajout et suppression d'informations dans le registre » et « Modification des données de registre » dans Regedt32.exe. Pensez à sauvegarder le registre avant de le modifier. Si vous exécutez Windows NT ou Windows 2000, nous vous conseillons de mettre à jour votre disquette de réparation d'urgence.

La liste suivante décrit les valeurs du registre relatives à TCP/IP que vous pouvez configurer pour durcir la pile TCP/IP sur des ordinateurs directement connectés à Internet. Toutes ces valeurs se trouvent sous la clé de registre suivante :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
REMARQUE : Sauf spécification contraire, ces valeurs sont au format hexadécimal.
  • Nom de la valeur : SynAttackProtect
    Clé : Tcpip\Parameters
    Type de valeur : REG_DWORD
    Valeurs possibles : 0,1,2
    Par défaut : 0

    Cette valeur de registre force le protocole TCP à ajuster la retransmission de SYN-ACKS. Lorsque vous configurez cette valeur, le délai de réponse de connexion est dépassé plus rapidement en cas d'attaque SYN (un type d'attaque de refus d'accès aux services).

    La liste suivante décrit les paramètres que vous pouvez utiliser avec cette valeur du registre :
    • 0 (valeur par défaut) : Définissez SynAttackProtect sur 0 pour une protection type face aux attaques SYN.
    • 1 : Définissez SynAttackProtect sur 1 pour une meilleure protection face aux attaques SYN. Ce paramètre force le protocole TCP à ajuster la retransmission de SYN-ACKS. Lorsque vous définissez SynAttackProtect sur 1, le délai de réponse de connexion est dépassé plus rapidement s'il apparaît qu'une attaque SYN est en cours. Windows utilise les valeurs suivantes pour déterminer si une attaque est en cours :
      • TcpMaxPortsExhausted
      • TCPMaxHalfOpen
      • TCPMaxHalfOpenRetried

    • 2 : Définissez SynAttackProtect sur 2 pour une protection optimale face aux attaques SYN. Cette valeur ajoute des délais supplémentaires aux indications de connexion, et le délai de connexion TCP s'écoule rapidement lorsqu'une attaque SYN est en cours. Ce paramètre est recommandé.

      REMARQUE : les options de socket suivantes ne fonctionnent plus sur aucun socket lorsque vous définissez la valeur SynAttackProtect sur 2 :
      • Fenêtres évolutives
      • Paramètres TCP configurés sur chaque carte (y compris RTT initial et la taille de la fenêtre)

  • Nom de la valeur : EnableDeadGWDetect
    Clé : Tcpip\Parameters
    Type de valeur : REG_DWORD
    Valeurs possibles : 0, 1 (False, True)
    Par défaut : 1 (True)

    La liste suivante décrit les paramètres que vous pouvez utiliser avec cette valeur du registre :
    • 1 : Lorsque vous définissez EnableDeadGWDetect sur 1, TCP est autorisé à réaliser une détection de passerelle inactive. Lorsqu'une détection de passerelle inactive est autorisée, TCP peut demander au protocole IP (Internet Protocol) de modifier une passerelle de sauvegarde si plusieurs connexions rencontrent des difficultés. Les passerelles de sauvegarde sont définies dans la rubrique Avancés de la boîte de dialogue Configuration TCP/IP dans le Panneau de configuration Réseau.
    • 0 : Nous vous recommandons de définir EnableDeadGWDetect sur 0. Si vous ne définissez pas cette valeur sur 0, une attaque peut forcer le serveur à échanger les passerelles et donc le diriger vers une passerelle non désirée.
  • Nom de la valeur : EnablePMTUDiscovery
    Clé : Tcpip\Parameters
    Type de valeur : REG_DWORD
    Valeurs possibles : 0, 1 (False, True)
    Par défaut : 1 (True)

    La liste suivante décrit les paramètres que vous pouvez utiliser avec cette valeur du registre :
    • 1 : Lorsque vous définissez EnablePMTUDiscovery sur 1, TCP tente de découvrir la taille de l'unité MTU (Maximum Transmission Unit ) ou la taille de paquet la plus élevée sur le chemin d'accès à un hôte distant. TCP peut éliminer la fragmentation sur les routeurs sur le chemin d'accès qui connecte des réseaux à différentes unités MTU, en découvrant l'unité MTU du chemin et en limitant les segments TCP à cette taille. Inversement, la fragmentation affecte le débit TCP.
    • 0 : Nous vous recommandons de définir EnablePMTUDiscovery sur 0. Ainsi, une unité MTU de 576 octets est utilisée pour toutes les connexions qui ne sont pas des hôtes sur le sous-réseau local. Si vous ne définissez pas cette valeur sur 0, un attaquant peut forcer la valeur de l'unité MTU à une très petite valeur et ainsi surmener la pile.
  • Nom de la valeur : KeepAliveTime
    Clé : Tcpip\Parameters
    Type de valeur : REG_DWORD-Temps en millisecondes
    Valeurs possibles : 1-0xFFFFFFFF
    Par défaut : 7 200 000 (deux heures)

    Cette valeur contrôle la fréquence à laquelle le protocole TCP tente de vérifier qu'une connexion inactive est intacte par l'envoi d'un paquet persistant. Si l'ordinateur distant est toujours joignable, il reconnaît ce paquet persistant. Ces paquets ne sont pas envoyés par défaut. Vous pouvez utiliser un programme pour configurer cette valeur sur une connexion. Le paramètre recommandé pour cette valeur est 300 000 (5 minutes).
  • Nom de la valeur : NoNameReleaseOnDemand
    Clé : Netbt\Parameters
    Type de valeur : REG_DWORD
    Valeurs possibles : 0, 1 (False, True)
    Par défaut : 0 (False)

    Cette valeur détermine si l'ordinateur dévoile son nom NetBIOS lorsqu'il reçoit une demande d'identification. Cette valeur a été ajoutée pour permettre à l'administrateur de protéger l'ordinateur face à des attaques d'identification malveillantes. Nous vous recommandons de définir la valeur NoNameReleaseOnDemand sur 1 (valeur par défaut).

    REMARQUE : vous devez utiliser Windows 2000 Service Pack 2 (SP2) ou version ultérieure pour pouvoir utiliser la valeur NoNameReleaseOnDemand.

Dépannage

Lorsque vous modifiez les valeurs du registre TCP/IP, vous pouvez affecter les programmes et les services qui s'exécutent sur l'ordinateur Windows 2000. Nous vous recommandons de tester ces paramètres sur des stations de travail et des serveurs ne faisant pas de production afin de confirmer leur compatibilité avec votre environnement de travail.






Propriétés

Numéro d'article: 315669 - Dernière mise à jour: lundi 24 octobre 2005 - Version: 4.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows 2000 Professionel
  • Microsoft Windows 2000 Server
Mots-clés : 
kbhowtomaster KB315669
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com