Procedure: de TCP/IP-stack beschermen tegen Denial-of-Service-aanvallen in Windows 2000

Vertaalde artikelen Vertaalde artikelen
Artikel ID: 315669 - Bekijk de producten waarop dit artikel van toepassing is.
Dit artikel is eerder gepubliceerd onder NL315669
Alles uitklappen | Alles samenvouwen

Op deze pagina

Samenvatting

Denial-of-Service-aanvallen zijn netwerkaanvallen waardoor een computer of een bepaalde service niet meer beschikbaar is voor netwerkgebruikers. Het is moeilijk om een verdediging in te stellen tegen dergelijke aanvallen U kunt deze aanvallen helpen voorkomen op de volgende twee manieren:
  • Zorg ervoor dat de computer is bijgewerkt met de meest recente beveiligingsupdates. Deze updates zijn beschikbaar op de volgende Microsoft-website:
    http://www.microsoft.com/security/
  • Versterk de TCP/IP-stack (Transmission Control Protocol/Internet Protocol) op Windows 2000-werkstations en -servers. De standaardconfiguratie voor de TCP/IP-stack is afgestemd op normaal intranetverkeer. Als u een computer rechtstreeks verbindt met Internet, kunt u de TCP/IP-stack het beste aanpassen als bescherming tegen Denial-of-Service-aanvallen.

TCP/IP-registerwaarden die de TCP/IP-stack beter beschermen

WAARSCHUWING: een onjuist gebruik van Register-editor kan ernstige problemen veroorzaken die ertoe kunnen leiden dat u het besturingssysteem opnieuw moet installeren. Microsoft kan niet garanderen dat problemen die voortkomen uit een onjuist gebruik van Register-editor, kunnen worden opgelost. Het gebruik van Register-editor is dan ook voor uw eigen risico.

Raadpleeg het Help-onderwerp "Sleutels en waarden wijzigen" in Register-editor (Regedit.exe) of de Help-onderwerpen "Registergegevens toevoegen en verwijderen" en "Registergegevens bewerken" in Regedt32.exe voor aanwijzingen voor het wijzigen van het register. Maak een reservekopie van het register voordat u wijzigingen aanbrengt. Als u werkt met Windows NT of Windows 2000, moet u ook de hersteldiskette bijwerken.

De volgende lijst bevat de registerwaarden voor TCP/IP die u kunt configureren om de TCP/IP-stack beter te beschermen op computers die rechtstreeks zijn verbonden met Internet. Al deze waarden bevinden zich onder de volgende registersleutel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
OPMERKING: de waarden zijn hexadecimale waarden, tenzij anders wordt vermeld.
  • Naam: SynAttackProtect
    Sleutel: Tcpip\Parameters
    Waardetype: REG_DWORD
    Waardebereik: 0,1,2
    Standaardinstelling: 0

    Met deze registerwaarde wordt de time-out bij het opnieuw verzenden van SYN-ACKS door het TCP-protocol aangepast. Als u deze waarde configureert, wordt de time-out van verbindingsantwoorden verkort als er sprake is van een SYN-aanval (een bepaald type Denial-of-Service-aanval).

    In de volgende lijst worden de parameters beschreven die u bij deze registerwaarde kunt gebruiken:
    • 0 (standaardinstelling): stel SynAttackProtect in op 0 voor een normale beveiliging tegen SYN-aanvallen.
    • 1: stel SynAttackProtect in op 1 voor een betere beveiliging tegen SYN-aanvallen. Met deze parameter wordt de time-out van het opnieuw verzenden van SYN-ACKS aangepast door het TCP-protocol. Als u SynAttackProtect instelt op 1, wordt de time-out van verbindingsantwoorden verkort als het duidelijk wordt dat er een SYN-aanval plaatsvindt. In Windows worden de volgende waarden gebruikt om na te gaan of een aanval plaatsvindt:
      • TcpMaxPortsExhausted
      • TCPMaxHalfOpen
      • TCPMaxHalfOpenRetried

    • 2: stel SynAttackProtect in op 2 voor de beste beveiliging tegen SYN-aanvallen. Met deze waarde worden extra vertragingen toegepast op verbindingsindicatoren. Bij een SYN-aanval leidt dit tot een TCP-verzoek om een zeer snelle time-out. Dit is de aanbevolen instelling voor de parameter.

      OPMERKING: als de waarde voor SynAttackProtect is ingesteld op 2, zijn de volgende socketopties voor alle sockets uitgeschakeld:
      • Schaalbare vensters
      • TCP-parameters die zijn geconfigureerd op elke adapter (inclusief Initial RTT en vensterformaat)

  • Naam: EnableDeadGWDetect
    Sleutel: Tcpip\Parameters
    Waardetype: REG_DWORD
    Waardebereik: 0, 1 (False, True)
    Standaardinstelling: 1 (True)

    In de volgende lijst worden de parameters beschreven die u bij deze registerwaarde kunt gebruiken:
    • 1: als u EnableDeadGWDetect instelt op 1, schakelt u Dead Gateway Detection (opsporing van inactieve gateways) voor het TCP-protocol in. Wanneer deze optie is ingeschakeld, wordt het IP-protocol door het TCP-protocol verzocht om een reservegateway te gebruiken als er problemen optreden bij een aantal verbindingen. Reservegateways worden gedefinieerd in de sectie Geavanceerd van het dialoogvenster TCP/IP-configuratie van het onderdeel Netwerk in het Configuratiescherm.
    • 0: u kunt EnableDeadGWDetect het beste instellen op 0. Als de waarde niet is ingesteld op 0, kan de server door een aanval worden gedwongen om een andere, onbedoelde gateway te gebruiken.
  • Naam: EnablePMTUDiscovery
    Sleutel: Tcpip\Parameters
    Waardetype: REG_DWORD
    Waardebereik: 0, 1 (False, True)
    Standaardinstelling: 1 (True)

    In de volgende lijst worden de parameters beschreven die u bij deze registerwaarde kunt gebruiken:
    • 1: als EnablePMTUDiscovery is ingesteld op 1, probeert het TCP-protocol de MTU-waarde (Maximum Transmission Unit) of de maximale pakketgrootte langs het pad naar een externe host vast te stellen. Eventuele fragmentatie bij routers op het pad waarmee netwerken met verschillende MTU's worden verbonden, kunnen door het TCP-protocol worden geëlimineerd. Hierbij wordt de MTU-waarde van het pad vastgesteld en worden TCP-segmenten aangepast aan deze waarde. De TCP-doorvoer wordt negatief beïnvloed door fragmentatie.
    • 0: u kunt EnablePMTUDiscovery het beste instellen op 0. In dat geval wordt een MTU-waarde van 576 bytes gebruikt voor alle verbindingen die niet functioneren als host op het lokale subnet. Als deze waarde niet is ingesteld op 0, kan de MTU-waarde door een aanval worden ingesteld op een zeer kleine waarde, waardoor de stack wordt overbelast.
  • Naam: KeepAliveTime
    Sleutel: Tcpip\Parameters
    Waardetype: REG_DWORD-tijd in milliseconden
    Waardebereik: 1-0xFFFFFFFF
    Standaardinstelling: 7.200.000 (twee uur)

    Met deze waarde wordt bepaald hoeveel TCP-pogingen worden uitgevoerd om via een Keep Alive-pakket te verifiëren dat een niet-actieve verbinding nog steeds intact is. Als de externe computer nog steeds bereikbaar is, wordt het Keep Alive-pakket herkend. Keep Alive-pakketten worden niet standaard verzonden. Met een programma kan deze waarde voor een verbinding worden geconfigureerd. De aanbevolen instelling is 300.000 (5 minuten).
  • Naam: NoNameReleaseOnDemand
    Sleutel: Netbt\Parameters
    Waardetype: REG_DWORD
    Waardebereik: 0, 1 (False, True)
    Standaardinstelling: 0 (False)

    Met deze waarde wordt bepaald of een computer de NetBIOS-naam vrijgeeft wanneer de computer een dergelijk verzoek krijgt. Deze functie is toegevoegd zodat beheerders computers kunnen beveiligen tegen kwaadwillige aanvallen op basis van de vrijgave van de NetBIOS-naam. U kunt de waarde voor NoNameReleaseOnDemand het beste instellen op 1 (de standaardwaarde).

    OPMERKING: voor het gebruik van NoNameReleaseOnDemand is Windows 2000 Service Pack 2 (SP2) of later vereist.

Probleemoplossing

Als u de TCP/IP-registerwaarden wijzigt, kan de functionaliteit worden beïnvloed van programma's en services die op de Windows 2000-computer worden uitgevoerd. U kunt de nieuwe instellingen daarom het beste eerst testen op werkstations en servers die niet voor productie worden gebruikt, zodat u zeker weet dat de nieuwe instellingen compatibel zijn met de bedrijfsomgeving.






Eigenschappen

Artikel ID: 315669 - Laatste beoordeling: maandag 24 oktober 2005 - Wijziging: 2.1
De informatie in dit artikel is van toepassing op:
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows® 2000 Server
Trefwoorden: 
kbhowtomaster KB315669

Geef ons feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com