Comment faire pour durcir la pile TCP/IP contre les refus de service dans Windows Server 2003

Traductions disponibles Traductions disponibles
Numéro d'article: 324270 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Résumé

Refus de service (DoS) sont des attaques réseau destinées à rendre un ordinateur ou un service particulier sur un ordinateur indisponible aux utilisateurs du réseau. Refus de service peut être difficile de défendre. Pour éviter les refus de service, vous pouvez utiliser une ou plusieurs des méthodes suivantes :
  • Maintenir votre ordinateur mis à jour avec les derniers correctifs de sécurité. Ces correctifs sont disponibles sur le site Web Microsoft suivant :
    http://www.Microsoft.com/Security
  • Renforcez la pile de protocole TCP/IP sur vos ordinateurs Windows Server 2003. La configuration par défaut de la pile TCP/IP est réglée pour traiter le trafic intranet standard. Si vous vous connectez un ordinateur directement à Internet, Microsoft vous recommande de renforcer la pile TCP/IP contre les refus de service.

Valeurs de Registre TCP/IP qui durcissent la pile TCP/IP

ImportantCette section, la méthode ou tâche contient des procédures qui vous indiquent comment modifier le Registre. Toutefois, des problèmes sérieux peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, assurez-vous que vous suivez ces étapes avec précaution. Pour plus de protection, sauvegardez le Registre avant de le modifier. Ensuite, vous pouvez restaurer le Registre si un problème se produit. Pour plus d'informations sur la façon de sauvegarder et restaurer le Registre, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la base de connaissances Microsoft :
322756Comment faire pour sauvegarder et restaurer le Registre dans Windows

La liste suivante explique le TCP/IP-related les valeurs de Registre que vous pouvez configurer pour durcir la pile TCP/IP sur les ordinateurs directement connectés à Internet. Toutes ces valeurs doivent être créé sous la clé de Registre suivante, sauf indication contraire :

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
REMARQUE: Toutes les valeurs sont au format hexadécimal, sauf indication contraire.
  • Nom de la valeur :SynAttackProtect
    Clé :Tcpip\Parameters
    Type de valeur :REG_DWORD
    Plage valide : 0,1
    Par défaut: 0

    Cette valeur de Registre force TCP (Transmission Control Protocol) pour ajuster la retransmission de SYN-ACKS. Lorsque vous configurez cette valeur, le délai de réponse de connexion est dépassé plus rapidement au cours d'une attaque SYN (un type de déni de service).

    Les paramètres suivants peuvent être utilisés avec cette valeur de Registre :
    • 0(valeur par défaut): protection contre les attaques SYN N°
    • 1: Le jeuSynAttackProtectPour1pour une meilleure protection contre les attaques SYN. Ce paramètre force TCP à ajuster la retransmission de SYN-ACKS. Lorsque vous définissezSynAttackProtectPour1, réponses délai connexion est dépassé plus rapidement si le système détecte qu'une attaque SYN est en cours. Windows utilise les valeurs suivantes pour déterminer si une attaque est en cours :
      • TcpMaxPortsExhausted
      • TCPMaxHalfOpen
      • TCPMaxHalfOpenRetried
    RemarqueIn Windows Server 2003 Service Pack 1 and later, the default value for the SynAttackProtect registry entry is 1.

    RemarqueThe TcpMaxPortsExhausted registry key is obsolete in Windows XP SP2 and in later versions of Windows operating systems.
  • Value name:EnableDeadGWDetect(Applies to Windows 2003 only)
    Key:Tcpip\Parameters
    Value Type:REG_DWORD
    Valid Range: 0, 1 (False, True)
    Default: 1 (True)

    The following list explains the parameters that you can use with this registry value:
    • 1: When you setEnableDeadGWDetectPour1, TCP is permitted to perform dead-gateway detection. When dead-gateway detection is enabled, TCP may ask the Internet Protocol (IP) to change to a backup gateway if a number of connections are experiencing difficulty. Backup gateways are defined in the Advanced section of theTCP/IP configurationdialog box in the Network tool in Control Panel.
    • 0: Microsoft recommends that you set theEnableDeadGWDetectvalue to0. If you do not set this value to 0, an attack may force the server to switch gateways and cause it to switch to an unintended gateway.
  • Value name:EnablePMTUDiscovery
    Key:Tcpip\Parameters
    Value Type:REG_DWORD
    Valid Range: 0, 1 (False, True)
    Default: 1 (True)

    The following list explains the parameters that you can use with this registry value:
    • 1: When you setEnablePMTUDiscoveryPour1, TCP tries to discover either the maximum transmission unit (MTU) or the largest packet size over the path to a remote host. TCP can remove fragmentation at routers along the path that connect networks with different MTUs by discovering the path MTU and limiting TCP segments to this size. Fragmentation adversely affects TCP throughput.
    • 0: Microsoft recommends that you setEnablePMTUDiscoveryPour0. When you do so, an MTU of 576 bytes is used for all connections that are not hosts on the local subnet. If you do not set this value to0, an attacker may force the MTU value to a very small value and overwork the stack.

      ImportantSettingEnablePMTUDiscoveryPour0negatively affects TCP/IP performance and throughput. Even though Microsoft recommends this setting, it should not be used unless you are fully aware of this performance loss.
  • Value name:KeepAliveTime
    Key:Tcpip\Parameters
    Value Type:REG_DWORD-Time in milliseconds
    Valid Range: 1-0xFFFFFFFF
    Default: 7,200,000 (two hours)

    This value controls how frequently TCP tries to verify that an idle connection is still intact by sending a keep-alive packet. If the remote computer is still reachable, it acknowledges the keep-alive packet. Keep-alive packets are not sent by default. You can use a program to configure this value on a connection. The recommended value setting is300,000(5 minutes).
  • Value name:NoNameReleaseOnDemand
    Key:Netbt\Parameters
    Value Type:REG_DWORD
    Valid Range: 0, 1 (False, True)
    Default: 0 (False)

    This value determines whether the computer releases its NetBIOS name when it receives a name-release request. This value was added to permit the administrator to protect the computer against malicious name-release attacks. Microsoft recommends that you set theNoNameReleaseOnDemandvalue to1.

Troubleshooting

When you change the TCP/IP registry values, you may affect programs and services that are running on the Windows Server 2003-based computer. Microsoft recommends that you test these settings on nonproduction workstations and servers to confirm that they are compatible with your business environment.

Propriétés

Numéro d'article: 324270 - Dernière mise à jour: jeudi 13 janvier 2011 - Version: 1.1
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Mots-clés : 
kbhowtomaster kbmt KB324270 KbMtfr
Traduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 324270
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Exclusion de responsabilité concernant les contenus obsolètes dans la Base de connaissances
Cet article concerne des produits pour lesquels Microsoft n'offre plus de support. Il est par conséquent fourni « en l'état » et ne sera plus mis à jour.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com