Zum Härten des TCP/IP-Stapels gegen DoS-Angriffe in Windows Server 2003

SPRACHE AUSWÄHLEN SPRACHE AUSWÄHLEN
Artikel-ID: 324270 - Produkte anzeigen, auf die sich dieser Artikel bezieht
Alles erweitern | Alles schließen

Auf dieser Seite

Zusammenfassung

DOS-Angriffe (DoS) sind Netzwerkangriffe, die Erstellen eines Computers oder eines bestimmten Dienstes auf einem Computer nicht verfügbar für Netzwerkbenutzer abzielt. DoS-Angriffe sind nicht immer leicht abzuwehren. Mit einer der beiden folgenden Methoden können Sie DoS-Angriffe erschweren oder verhindern:
  • Halten Sie den Computer mit aktuellen Sicherheitsupdates auf dem neuesten Stand. Sicherheitsupdates finden Sie auf der folgenden Microsoft-Website:
    http://www.Microsoft.com/Security
  • Absichern des TCP/IP-Protokollstapels auf Ihren Windows Server 2003-Computern. Die Standardkonfiguration für die TCP/IP-Stack ist optimiert, um standard Intranetdatenverkehr verarbeiten. Wenn Sie einen Computer direkt mit dem Internet verbinden, empfiehlt es sich, den TCP/IP-Stapel gegen DoS-Attacken sichern.

TCP/IP-Registrierungswerte für die Absicherung des TCP/IP-Stacks

WichtigIn diesem Abschnitt, eine Methode oder eine Aufgabe enthält Hinweise zum Ändern der Registrierung. Jedoch können schwerwiegende Probleme auftreten, wenn Sie die Registrierung nicht ordnungsgemäß ändern. Stellen Sie daher sicher, dass Sie genau diese Schritte durchführen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie diese bearbeiten. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen zum Sichern und Wiederherstellen der Registrierung klicken Sie auf die folgende KB-Artikelnummer:
322756Zum Sichern und Wiederherstellen der Registrierung in Windows

Die folgende Liste erläutert die TCP/IP-bezogene Registrierungswerte, die Sie konfigurieren können, um die TCP/IP-Protokollstapel auf Computern zu sichern, die direkt mit dem Internet verbunden sind. Alle diese Werte sollten unter dem folgenden Registrierungsschlüssel erstellt werden, sofern nicht anders angegeben:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Tcpip\Parameters\Interfaces\interface
HINWEIS:: Alle Werte werden im Hexadezimalformat, sofern nicht anders angegeben.
  • Wertname:SynAttackProtect
    Schlüssel:Tcpip\Parameters
    Werttyp:REG_DWORD
    Gültiger Bereich: 0,1
    Standard: 0

    Durch diesen Registrierungswert wird TCP (Transmission Control Protocol) veranlasst, die Neuübertragung von SYN-ACKs anzupassen. Beim Konfigurieren dieser Wert der Zeitüberschreitung für Verbindung Antworten schneller während eines SYN-Angriffs (eine Art von DoS-Angriff).

    Die folgenden Parameter können mit diesem Registrierungswert verwendet werden:
    • 0(Standardwert): Nein SYN-Angriffsschutzes
    • 1: Festlegen vonSynAttackProtectUm1für einen besseren Schutz vor SYN-Angriffen. Dieser Parameter veranlasst TCP, die Neuübertragung von SYN-ACKs anzupassen. Wenn Sie festlegenSynAttackProtectUm1, Verbindung Antworten Timeout weitere schnell, wenn das System erkennt, dass ein SYN-Angriff ausgeführt wird. Windows verwendet die folgenden Werte, um festzustellen, ob ein Angriff durchgeführt wird:
      • TcpMaxPortsExhausted
      • TCPMaxHalfOpen
      • TCPMaxHalfOpenRetried
    Hinweis:In Windows Server 2003 Service Pack 1 und höher ist der Standardwert für den Registrierungseintrag <a0>SynAttackProtect 1.

    Hinweis:Der Registrierungsschlüssel TcpMaxPortsExhausted ist veraltet, in Windows XP SP2 und späteren Versionen von Windows-Betriebssystemen.
  • Wertname:EnableDeadGWDetect(Nur für Windows 2003 anwendbar)
    Schlüssel:Tcpip\Parameters
    Werttyp:REG_DWORD
    Gültiger Bereich: 0, 1 (False, True)
    Standard: 1 (True)

    Die folgende Liste erläutert die Parameter, die Sie mit diesem Registrierungswert verwenden können:
    • 1: Beim FestlegenEnableDeadGWDetectUm1TCP Dead Gateway Detection durchführen darf. Wenn die Identifizierung deaktivierter Gateways aktiviert ist und bei einer Reihe von Verbindungen Schwierigkeiten auftreten, kann TCP den IP-Wechsel (Internet Protokoll) zu einem Reservegateway veranlassen. Reservegateways werden im erweiterten Abschnitt definiert dieTCP/IP-Konfigurationim Dialogfeld "Netzwerk" in der Systemsteuerung.
    • 0: Microsoft empfiehlt, setzen dieEnableDeadGWDetectWert0. Wenn Sie diesen Wert nicht auf 0 festlegen, kann ein Angriff erzwingen, den-Server, Gateways zu wechseln und diese dadurch zu einem unbeabsichtigten Gateway zu wechseln.
  • Wertname:EnablePMTUDiscovery
    Schlüssel:Tcpip\Parameters
    Werttyp:REG_DWORD
    Gültiger Bereich: 0, 1 (False, True)
    Standard: 1 (True)

    Die folgende Liste erläutert die Parameter, die Sie mit diesem Registrierungswert verwenden können:
    • 1: Beim FestlegenEnablePMTUDiscoveryUm1TCP versucht, die entweder die maximale Übertragungseinheit (MTU) oder die größte Paketgröße über den Pfad zu einem Remotehost zu erkennen. TCP can remove fragmentation at routers along the path that connect networks with different MTUs by discovering the path MTU and limiting TCP segments to this size. Fragmentation adversely affects TCP throughput.
    • 0: Microsoft recommends that you setEnablePMTUDiscoveryto0. When you do so, an MTU of 576 bytes is used for all connections that are not hosts on the local subnet. If you do not set this value to0, an attacker may force the MTU value to a very small value and overwork the stack.

      WichtigSettingEnablePMTUDiscoveryto0negatively affects TCP/IP performance and throughput. Even though Microsoft recommends this setting, it should not be used unless you are fully aware of this performance loss.
  • Value name:KeepAliveTime
    Key:Tcpip\Parameters
    Value Type:REG_DWORD-Time in milliseconds
    Valid Range: 1-0xFFFFFFFF
    Default: 7,200,000 (two hours)

    This value controls how frequently TCP tries to verify that an idle connection is still intact by sending a keep-alive packet. If the remote computer is still reachable, it acknowledges the keep-alive packet. Keep-alive packets are not sent by default. You can use a program to configure this value on a connection. The recommended value setting is300,000(5 minutes).
  • Value name:NoNameReleaseOnDemand
    Key:Netbt\Parameters
    Value Type:REG_DWORD
    Valid Range: 0, 1 (False, True)
    Default: 0 (False)

    This value determines whether the computer releases its NetBIOS name when it receives a name-release request. This value was added to permit the administrator to protect the computer against malicious name-release attacks. Microsoft recommends that you set theNoNameReleaseOnDemandvalue to1.

Troubleshooting

When you change the TCP/IP registry values, you may affect programs and services that are running on the Windows Server 2003-based computer. Microsoft recommends that you test these settings on nonproduction workstations and servers to confirm that they are compatible with your business environment.

Eigenschaften

Artikel-ID: 324270 - Geändert am: Donnerstag, 13. Januar 2011 - Version: 1.1
Die Informationen in diesem Artikel beziehen sich auf:
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Keywords: 
kbhowtomaster kbmt KB324270 KbMtde
Maschinell übersetzter Artikel
Wichtig: Dieser Artikel wurde maschinell und nicht von einem Menschen übersetzt. Die Microsoft Knowledge Base ist sehr umfangreich und ihre Inhalte werden ständig ergänzt beziehungsweise überarbeitet. Um Ihnen dennoch alle Inhalte auf Deutsch anbieten zu können, werden viele Artikel nicht von Menschen, sondern von Übersetzungsprogrammen übersetzt, die kontinuierlich optimiert werden. Doch noch sind maschinell übersetzte Texte in der Regel nicht perfekt, insbesondere hinsichtlich Grammatik und des Einsatzes von Fremdwörtern sowie Fachbegriffen. Microsoft übernimmt keine Gewähr für die sprachliche Qualität oder die technische Richtigkeit der Übersetzungen und ist nicht für Probleme haftbar, die direkt oder indirekt durch Übersetzungsfehler oder die Verwendung der übersetzten Inhalte durch Kunden entstehen könnten.
Den englischen Originalartikel können Sie über folgenden Link abrufen: 324270
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Disclaimer zu nicht mehr gepflegten KB-Inhalten
Dieser Artikel wurde für Produkte verfasst, für die Microsoft keinen Support mehr anbietet. Der Artikel wird deshalb in der vorliegenden Form bereitgestellt und nicht mehr weiter aktualisiert.

Ihr Feedback an uns

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com