COMO: Proteger a pilha de TCP/IP contra ataques denial-of-service no Windows Server 2003

Traduções de Artigos Traduções de Artigos
Artigo: 324270 - Ver produtos para os quais este artigo se aplica.
Expandir tudo | Reduzir tudo

Nesta página

Sumário

Os ataques do tipo denial-of-service (DoS) são ataques de rede que têm como objectivo fazer com que um computador ou um determinado serviço de um computador fique indisponível para os utilizadores da rede. Os ataques denial-of-service podem ser de difícil defesa. Par ajudar a impedir ataques denial-of-service, pode utilizar um ou os dois métodos seguintes:
  • Manter o computador actualizado com as correcções de segurança mais recentes. As correcções de segurança estão localizadas no seguinte Web site da Microsoft:
    http://www.microsoft.com/security
  • Proteger a pilha do protocolo TCP/IP nos computadores com o Windows Server 2003. A configuração predefinida da pilha de TCP/IP está optimizada para processar tráfego padrão da intranet. Se ligar um computador directamente à Internet, a Microsoft recomenda a protecção da pilha de TCP/IP contra ataques denial-of-service.

Valores de TCP/IP do registo que protegem a pilha de TCP/IP

AVISO: a utilização incorrecta do editor de registo pode provocar problemas graves, que podem obrigar à reinstalação do sistema operativo. A Microsoft não garante que os problemas resultantes da utilização incorrecta do editor de registo possam ser resolvidos. Todo e qualquer risco decorrente da utilização do editor de registo é da responsabilidade do utilizador.

A lista que se segue explica os valores de registo relacionados com o TCP/IP que pode configurar para proteger a pilha de TCP/IP em computadores ligados directamente à Internet. Todos estes valores devem ser criados na seguinte chave do registo, salvo indicação em contrário:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
NOTA: todos os valores são hexadecimais, salvo indicação em contrário.
  • Nome do valor: SynAttackProtect
    Chave: Tcpip\Parameters
    Tipo de valor: REG_DWORD
    Intervalo válido: 0, 1
    Predefinição: 0

    Este valor de registo faz com que o protocolo TCP (Transmission Control Protocol - protocolo de controlo de transmissão) ajuste as retransmissões de SYN-ACKS. Ao configurar este valor, o limite de tempo das respostas de ligação esgota-se mais rapidamente durante um ataque SYN (um tipo de ataque denial-of-service).

    Os parâmetros seguintes podem ser utilizados com este valor de registo:
    • 0 (valor predefinido): defina SynAttackProtect como 0 para obter protecção normal contra ataques SYN.
    • 1: defina SynAttackProtect como 1 para obter uma maior protecção contra ataques SYN. Este parâmetro faz com que o TCP ajuste a retransmissão de SYN-ACKS. Quando define SynAttackProtect como 1, o limite de tempo das respostas de ligação esgota-se mais rapidamente caso o sistema detecte que está em curso um ataque SYN. O Windows utiliza os seguintes valores para determinar se um ataque está em curso:
      • TcpMaxPortsExhausted
      • TCPMaxHalfOpen
      • TCPMaxHalfOpenRetried

  • Nome do valor: EnableDeadGWDetect
    Chave: Tcpip\Parameters
    Tipo de valor: REG_DWORD
    Intervalo válido: 0, 1 (falso, verdadeiro)
    Predefinição: 0 (falso)

    A lista seguinte explica os parâmetros que pode utilizar com este valor do registo:
    • 1: quando define EnableDeadGWDetect como 1, é permitido ao TCP executar a detecção de gateways inactivos. Quando a detecção de gateways inactivos está activada, o TCP pode pedir ao protocolo Internet (IP, Internet Protocol) que mude para um gateway de reserva se existir um determinado número de ligações com dificuldades. Os gateways de reserva são definidos na secção Avançadas (Advanced) da caixa de diálogo Definições de TCP/IP (TCP/IP Settings), na ligações de rede do Painel de controlo (Control Panel).
    • 0: a Microsoft recomenda a definição do valor EnableDeadGWDetect como 0. Se não definir este valor como 0, um ataque poderá forçar o servidor a mudar de gateway e provocar a mudança para um gateway não desejado.
  • Nome do valor: EnablePMTUDiscovery
    Chave: Tcpip\Parameters
    Tipo de valor: REG_DWORD
    Intervalo válido: 0, 1 (falso, verdadeiro)
    Predefinição: 1 (verdadeiro)

    A lista seguinte explica os parâmetros que pode utilizar com este valor do registo:
    • 1: quando define EnablePMTUDiscovery como 1, o TCP tenta identificar a unidade máxima de transmissão (MTU, Maximum Transmission Unit) ou o tamanho máximo de pacote no caminho para um anfitrião remoto. O TCP pode eliminar a fragmentação nos routers existentes no caminho entre redes com MTU diferentes, identificando a MTU do caminho e limitando os segmentos de TCP a este tamanho. A fragmentação prejudica o débito do TCP.
    • 0: a Microsoft recomenda a definição do valor EnablePMTUDiscovery como 0. Ao fazê-lo, é utilizada uma MTU de 576 bytes para todas as ligações que não são anfitrião na sub-rede local. Se não definir este valor como 0, um intruso poderá definir a MTU com um valor muito pequeno e sobrecarregar a pilha.
  • Nome do valor: KeepAliveTime
    Chave: Tcpip\Parameters
    Tipo de valor: REG_DWORD-Tempo em milissegundos
    Intervalo válido: 1 - 0xFFFFFFFF
    Predefinição: 7.200.000 (duas horas)

    Este valor controla a frequência com que o TCP tenta verificar se uma ligação inactiva permanece intacta enviando um pacote keep-alive. Se o computador remoto continuar contactável, confirmará a recepção do pacote keep-alive. Por predefinição, os pacotes keep-alive não são enviados. Pode utilizar um programa para configurar este valor numa ligação. A definição recomendada para o valor é 300.000 (5 minutos).
  • Nome do valor: NoNameReleaseOnDemand
    Chave: Netbt\Parameters
    Tipo de valor: REG_DWORD
    Intervalo válido: 0, 1 (falso, verdadeiro)
    Predefinição: 0 (falso)

    Este valor determina se o computador liberta o respectivo nome de NetBIOS quando recebe um pedido de libertação de nome. Este valor foi adicionado para permitir ao administrador proteger o computador contra ataques maliciosos de libertação de nomes. A Microsoft recomenda a definição do valor NoNameReleaseOnDemand como 1 (valor predefinido).

Resolução de problemas

A alteração dos valores de TCP/IP do registo poderá afectar programas e serviços em execução no computador baseado no Windows Server 2003. A Microsoft recomenda o teste destas definições em estações de trabalho e servidores que não sejam de produção, a fim de confirmar a respectiva compatibilidade com o ambiente empresarial.

Propriedades

Artigo: 324270 - Última revisão: 10 de maio de 2011 - Revisão: 4.0
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Palavras-chave: 
kbhowto kbhowtomaster KB324270

Submeter comentários

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com