Jak harden zásobník protokolu TCP/IP proti odmítnutí útoků služby v systému Windows Server 2003

Překlady článku Překlady článku
ID článku: 324270 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Souhrn

Odmítnutí útoků služby (DoS) jsou útokům na síť, která jsou zaměřena na vytváření počítač nebo určitou službu v počítači není k dispozici uživatelům sítě. Odmítnutí útoků služby může být obtížné chránit proti. Odmítnutí útoků služby zabránit, můžete použít jednu nebo obě z následujících metod:
  • Udržovat počítač v aktualizovaném s nejnovější opravy zabezpečení. Opravy zabezpečení jsou umístěny na následující web společnosti Microsoft:
    http://www.microsoft.com/security
  • Harden zásobník protokolu TCP/IP v počítači se systémem Windows Server 2003. Výchozí konfigurace zásobníku protokolu TCP/IP je nastaven pro zpracování přenosů standardní sítě intranet. Pokud připojíte počítač k Internetu, společnost Microsoft doporučuje, aby vám harden proti odmítnutí útoků služby zásobník protokolu TCP/IP.

Hodnoty registru protokolu TCP/IP, se Harden zásobník protokolu TCP/IP

Důležité:Tento oddíl, metoda nebo úkol obsahuje kroky, které vám sdělit, jak upravit registr. Po nesprávné úpravě registru však mohou nastat závažné problémy.. Postupujte proto pečlivě podle uvedených kroků.. Pro zvýšení bezpečnosti registr zálohujte jestě před jeho úpravami.. Potom můžete v případě potíží registr obnovit.. Další informace o zálohování a obnovování registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base::
322756Postup při zálohování a obnovení registru v systému Windows

V následujícím seznamu jsou TCP/IP-souvisejících hodnot registru, které lze konfigurovat na harden zásobník protokolu TCP/IP v počítačích, které jsou přímo připojeni k Internetu. Všechny tyto hodnoty mají být vytvořeny v následujícím klíči registru, pokud není uvedeno jinak:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
POZNÁMKA:: Všechny hodnoty jsou v šestnáctkovém formátu, pokud není uvedeno jinak.
  • Název hodnoty:SynAttackProtect
    ParametersSystem.:Tcpip\Parameters
    Typ hodnoty:REG_DWORD:
    Platný rozsah: 0,1
    Výchozí hodnota: 0

    Tato hodnota registru způsobí, že protokol TCP (Transmission Control) nastavte opakování přenosu ze stavu SYN-ACKS. Při konfiguraci této hodnoty časového limitu připojení odpovědi rychleji během útoku typu SYN (typu odmítnutí služby).

    Pomocí této hodnoty registru lze použít následující parametry:
    • 0(výchozí hodnota): Ne SYN útoku ochrany
    • 1: NastaveníSynAttackProtectna hodnotu1pro lepší ochranu před útoky SYN. Tento parametr způsobí, že protokol TCP nastavte opakování přenosu ze stavu SYN-ACKS. Po nastaveníSynAttackProtectna hodnotu1, připojení odpovědi časový limit další rychle, pokud systém zjistí, že útok typu SYN probíhá. Systém Windows používá k určení, zda útok probíhá následující hodnoty:
      • TcpMaxPortsExhausted
      • TCPMaxHalfOpen
      • TCPMaxHalfOpenRetried
    POZNÁMKA:V systému Windows Server 2003 Service Pack 1 nebo vyšší je výchozí hodnota pro položku registru SynAttackProtect 1.

    POZNÁMKA:The TcpMaxPortsExhausted registry key is obsolete in Windows XP SP2 and in later versions of Windows operating systems.
  • Value name:EnableDeadGWDetect(Applies to Windows 2003 only)
    Key:Tcpip\Parameters
    Value Type:REG_DWORD
    Valid Range: 0, 1 (False, True)
    Default: 1 (True)

    The following list explains the parameters that you can use with this registry value:
    • 1: When you setEnableDeadGWDetectto1, TCP is permitted to perform dead-gateway detection. When dead-gateway detection is enabled, TCP may ask the Internet Protocol (IP) to change to a backup gateway if a number of connections are experiencing difficulty. Backup gateways are defined in the Advanced section of theTCP/IP configurationdialog box in the Network tool in Control Panel.
    • 0: Microsoft recommends that you set theEnableDeadGWDetectvalue to0. If you do not set this value to 0, an attack may force the server to switch gateways and cause it to switch to an unintended gateway.
  • Value name:EnablePMTUDiscovery
    Key:Tcpip\Parameters
    Value Type:REG_DWORD
    Valid Range: 0, 1 (False, True)
    Default: 1 (True)

    The following list explains the parameters that you can use with this registry value:
    • 1: When you setEnablePMTUDiscoveryto1, TCP tries to discover either the maximum transmission unit (MTU) or the largest packet size over the path to a remote host. TCP can remove fragmentation at routers along the path that connect networks with different MTUs by discovering the path MTU and limiting TCP segments to this size. Fragmentation adversely affects TCP throughput.
    • 0: Microsoft recommends that you setEnablePMTUDiscoveryto0. When you do so, an MTU of 576 bytes is used for all connections that are not hosts on the local subnet. If you do not set this value to0, an attacker may force the MTU value to a very small value and overwork the stack.

      Důležité:SettingEnablePMTUDiscoveryto0negatively affects TCP/IP performance and throughput. Even though Microsoft recommends this setting, it should not be used unless you are fully aware of this performance loss.
  • Value name:KeepAliveTime
    Key:Tcpip\Parameters
    Value Type:REG_DWORD-Time in milliseconds
    Valid Range: 1-0xFFFFFFFF
    Default: 7,200,000 (two hours)

    This value controls how frequently TCP tries to verify that an idle connection is still intact by sending a keep-alive packet. If the remote computer is still reachable, it acknowledges the keep-alive packet. Keep-alive packets are not sent by default. You can use a program to configure this value on a connection. The recommended value setting is300,000(5 minutes).
  • Value name:NoNameReleaseOnDemand
    Key:Netbt\Parameters
    Value Type:REG_DWORD
    Valid Range: 0, 1 (False, True)
    Default: 0 (False)

    This value determines whether the computer releases its NetBIOS name when it receives a name-release request. This value was added to permit the administrator to protect the computer against malicious name-release attacks. Microsoft recommends that you set theNoNameReleaseOnDemandvalue to1.

Troubleshooting

When you change the TCP/IP registry values, you may affect programs and services that are running on the Windows Server 2003-based computer. Microsoft recommends that you test these settings on nonproduction workstations and servers to confirm that they are compatible with your business environment.

Vlastnosti

ID článku: 324270 - Poslední aktualizace: 13. ledna 2011 - Revize: 1.1
Informace v tomto článku jsou určeny pro produkt:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Klíčová slova: 
kbhowtomaster kbmt KB324270 KbMtcs
Strojově přeložený článek
Důležité: Tento článek byl přeložen pomocí software společnosti Microsoft na strojový překlad, ne profesionálním překladatelem. Společnost Microsoft nabízí jak články přeložené překladatelem, tak články přeložené pomocí software na strojový překlad, takže všechny články ve Znalostní databázi (Knowledge Base) jsou dostupné v češtině. Překlad pomocí software na strojový překlad ale není bohužel vždy dokonalý. Obsahuje chyby ve skloňování slov, skladbě vět, nebo gramatice, podobně jako když cizinci dělají chyby při mluvení v češtině. Společnost Microsoft není právně zodpovědná za nepřesnosti, chyby nebo škody vzniklé chybami v překladu, nebo při použití nepřesně přeložených instrukcí v článku zákazníkem. Společnost Microsoft aktualizuje software na strojový překlad, aby byl počet chyb omezen na minimum.
Projděte si také anglickou verzi článku:324270
Právní omezení pro obsah znalostní báze týkající se produktů, jejichž podpora byla ukončena
Tento článek byl napsán o produktech, pro které společnost Microsoft již neposkytuje nadále podporu. Článek je tedy nabízen v takovém stavu, v jakém je, a nebude již nadále aktualizován.

Dejte nám zpětnou vazbu

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com