วิธีการ harden สแต็ค TCP/IP กับปฏิเสธการจู่โจมบริการใน Windows Server 2003

การแปลบทความ การแปลบทความ
หมายเลขบทความ (Article ID): 324270 - ผลิตภัณฑ์ที่เกี่ยวข้องในบทความนี้
ขยายทั้งหมด | ยุบทั้งหมด

เนื้อหาบนหน้านี้

สรุป

ปฏิเสธการจู่โจมบริการ (DoS) มีการโจมตีเครือข่ายที่ aimed ที่ทำให้คอมพิวเตอร์หรือบริการเฉพาะบนคอมพิวเตอร์ที่ไม่พร้อมใช้งานสำหรับผู้ใช้เครือข่าย คุณสามารถปฏิเสธการจู่โจมบริการยากต่อการปกป้องจาก เพื่อช่วยป้องกันการปฏิเสธการจู่โจมบริการ คุณสามารถใช้หนึ่งหรือทั้งสองวิธีต่อไปนี้:
  • ทำให้คอมพิวเตอร์ของคุณได้รับการปรับปรุง ด้วยการแก้ไขการรักษาความปลอดภัยล่าสุด การแก้ไขการรักษาความปลอดภัยจะอยู่บนเว็บไซต์ต่อไปนี้ของ Microsoft:
    http://www.microsoft.com/security
  • harden สแตกโพรโทคอล TCP/IP ในคอมพิวเตอร์ของคุณ Windows Server 2003 การกำหนดค่าสแต็ค TCP/IP เป็นค่าเริ่มต้นถูกปรับช่องรับสัญญาณเพื่อจัดการปริมาณการใช้งานของอินทราเน็ตมาตรฐาน หากคุณเชื่อมต่อคอมพิวเตอร์กับอินเทอร์เน็ตโดยตรง Microsoft แนะนำว่า คุณ harden สแต็ค TCP/IP กับปฏิเสธการจู่โจมบริการ

รีจิสทรี TCP/IP ค่านั้น Harden สแต็ค TCP/IP

สิ่งสำคัญนี้ส่วน วิธี หรืองานประกอบด้วยขั้นตอนที่บอกวิธีการแก้ไขรีจิสทรี อย่างไรก็ตาม ปัญหาร้ายแรงอาจเกิดขึ้นหากคุณปรับเปลี่ยนรีจิสทรีไม่ถูกต้อง ดังนั้น โปรดตรวจสอบให้แน่ใจว่าคุณได้ทำตามขั้นตอนเหล่านี้อย่างระมัดระวัง สำหรับการป้องกันเพิ่มเติม ให้สำรองรีจิสทรีก่อนทำการปรับเปลี่ยน เพื่อที่คุณจะสามารถคืนค่ารีจิสทรีได้หากมีปัญหาเกิดขึ้น สำหรับข้อมูลเพิ่มเติมเกี่ยวกับวิธีการสำรองข้อมูลและคืนค่ารีจิสทรี โปรดคลิกที่หมายเลขบทความต่อไปนี้ เพื่อดูบทความในฐานความรู้ของ Microsoft::
322756วิธีการสำรองข้อมูลและคืนค่ารีจิสทรีใน Windows

รายการต่อไปนี้อธิบายการ TCP/IP-สัมพันธ์ค่ารีจิสทรีที่คุณสามารถกำหนดค่า harden สแต็ค TCP/IP ในคอมพิวเตอร์ที่มีการเชื่อมต่อโดยตรงไปยังอินเทอร์เน็ต ค่าเหล่านี้ทั้งหมดควรสร้างภายใต้คีย์รีจิสทรีต่อไปนี้ เว้นแต่ว่ามิฉะนั้น จดบันทึกไว้:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
หมายเหตุ:: ค่าทั้งหมดอยู่ใน hexadecimal เว้นแต่ว่ามิฉะนั้น จดบันทึกไว้
  • ชื่อค่า::SynAttackProtect
    คีย์::Tcpip\Parameters
    ชนิดค่า:Reg_DWORD:
    ช่วงที่ถูกต้อง: 0,1
    เริ่มต้น: 0

    ค่ารีจิสทรีนี้ทำให้ส่งตัวควบคุมโพรโทคอล (TCP) เพื่อปรับปรุง retransmission ของ ACKS SYN เมื่อคุณกำหนดค่านี้ หมดเวลาการตอบสนองการเชื่อมต่อรวดเร็วขึ้นในระหว่างการโจมตี SYN (ชนิดของการปฏิเสธบริการโจมตี)

    พารามิเตอร์ต่อไปนี้สามารถใช้ได้กับค่ารีจิสทรีนี้:
    • 0(ค่าเริ่มต้น): การป้องกันการโจมตี SYN ไม่ใช่
    • 1: ตั้งค่าSynAttackProtectเมื่อต้องการ1สำหรับการป้องกันที่ดียิ่งขึ้นจากการโจมตี SYN พารามิเตอร์นี้เป็นสาเหตุ TCP การปรับปรุง retransmission ของ ACKS SYN เมื่อคุณกำหนดSynAttackProtectเมื่อต้องการ1การเชื่อมต่อตอบหมดเวลาเพิ่มเติมได้อย่างรวดเร็วว่าระบบตรวจพบว่า การโจมตี SYN กำลังดำเนินการอยู่ windows ใช้ค่าต่อไปนี้เพื่อตรวจสอบว่า การโจมตีอยู่ในระหว่างดำเนินการ:
      • TcpMaxPortsExhausted
      • TCPMaxHalfOpen
      • TCPMaxHalfOpenRetried
    หมายเหตุ:ใน Windows Server 2003 Service Pack 1 และรุ่นใหม่ กว่า ค่าเริ่มต้นสำหรับรายการรีจิสทรี SynAttackProtect คือ 1

    หมายเหตุ:คีย์รีจิสทรี TcpMaxPortsExhausted จะล้าสมัย ใน Windows XP SP2 และระบบปฏิบัติการ Windows รุ่นที่ใหม่กว่า
  • ชื่อค่า::EnableDeadGWDetect(ใช้กับ Windows 2003 เท่านั้น)
    คีย์::Tcpip\Parameters
    ชนิดค่า:Reg_DWORD:
    ช่วงที่ถูกต้อง: 0, 1 (False, True)
    ค่าเริ่มต้น: 1 (True)

    รายการต่อไปนี้อธิบายถึงพารามิเตอร์ที่คุณสามารถใช้กับค่ารีจิสทรีนี้:
    • 1: เมื่อคุณกำหนดEnableDeadGWDetectเมื่อต้องการ1, TCP ไม่อนุญาตการดำเนินการตรวจหาเกตเวย์ dead เมื่อมีการเปิดใช้การตรวจหาเกตเวย์ dead, TCP อาจขอให้ในอินเทอร์เน็ตโพรโทคอล (IP) เพื่อเปลี่ยนแปลงเป็นเกตเวย์สำรองถ้าหมายเลขของการเชื่อมต่อประสบปัญหาในการ มีกำหนด gateways สำรองข้อมูลในส่วนขั้นสูงของการกำหนดค่า TCP/IPกล่องโต้ตอบในเครื่องมือ'เครือข่าย'ใน'แผงควบคุม'
    • 0: Microsoft แนะนำให้ คุณตั้งค่านี้EnableDeadGWDetectมูลค่าไป0. ถ้าคุณไม่ตั้งค่านี้ให้เป็น 0 การโจมตีอาจบังคับให้เซิร์ฟเวอร์เพื่อสลับ gateways และทำให้เกิดการสลับไปเกตเวย์เกิน
  • ชื่อค่า::EnablePMTUDiscovery
    คีย์::Tcpip\Parameters
    ชนิดค่า:Reg_DWORD:
    ช่วงที่ถูกต้อง: 0, 1 (False, True)
    ค่าเริ่มต้น: 1 (True)

    รายการต่อไปนี้อธิบายถึงพารามิเตอร์ที่คุณสามารถใช้กับค่ารีจิสทรีนี้:
    • 1: เมื่อคุณกำหนดEnablePMTUDiscoveryเมื่อต้องการ1, TCP พยายามที่จะค้นหาหน่วยการส่งข้อมูลสูงสุด (MTU) หรือขนาดแพ็คเก็ตที่มากที่สุดบนเส้นทางไปยังโฮสต์ระยะไกล tcp สามารถเอาการกระจายตัวที่เราเตอร์รวมทั้งเส้นทางที่เชื่อมต่อเครือข่าย ด้วย MTUs ที่แตกต่างกัน โดย discovering MTU ของเส้นทาง และการจำกัดการเซ็กเมนต์ TCP ถึงขนาดนี้ การกระจายตัวของมีผลต่อการ TCP สูงมาก
    • 0: Microsoft แนะนำให้ คุณกำหนดEnablePMTUDiscoveryเมื่อต้องการ0. เมื่อคุณทำเช่นนั้น MTU 576 ไบต์ถูกใช้สำหรับการเชื่อมต่อทั้งหมดที่ไม่ใช่โฮสต์คอมพิวเตอร์ในเครือข่ายย่อยเฉพาะที่ ถ้าคุณไม่ได้ตั้งค่านี้ให้0ผู้จู่โจมอาจบังคับให้ใช้ค่า MTU กับค่าขนาดเล็กมาก และ overwork กองซ้อนได้

      สิ่งสำคัญการตั้งค่าEnablePMTUDiscoveryเมื่อต้องการ0negatively มีผลต่อประสิทธิภาพการทำงานของ TCP/IP และอัตราความเร็ว ถึงแม้ว่า Microsoft แนะนำการตั้งค่านี้ ดังกล่าวไม่ควรใช้จนกว่าคุณจะทราบอย่างเต็มที่สูญหายของประสิทธิภาพการทำงานนี้
  • ชื่อค่า::KeepAliveTime
    คีย์::Tcpip\Parameters
    ชนิดค่า:เวลาการ REG_DWORD ในมิลลิวินาที
    ช่วงที่ถูกต้อง: 1-0xFFFFFFFF
    ค่าเริ่มต้น: 7,200,000 (สองชั่วโมง)

    ค่านี้ควบคุมถี่ TCP พยายามที่จะตรวจสอบว่า การเชื่อมต่อที่ไม่ได้ใช้งานยังคงยังส่งแพคเก็ตแบบ keep-alive หากยังคงสามารถเข้าถึงคอมพิวเตอร์ระยะไกล มันให้แพคเก็ตแบบ keep-alive ไม่มีส่งแพ็คเก็ตแบบ keep-alive โดยค่าเริ่มต้น คุณสามารถใช้โปรแกรมได้กำหนดค่านี้ในการเชื่อมต่อ การตั้งค่าค่าที่แนะนำคือ300,000(5 นาที)
  • ชื่อค่า::NoNameReleaseOnDemand
    คีย์::Netbt\Parameters
    ชนิดค่า:Reg_DWORD:
    ช่วงที่ถูกต้อง: 0, 1 (False, True)
    ค่าเริ่มต้น: 0 (เท็จ)

    ค่านี้กำหนดว่า คอมพิวเตอร์ออกชื่อ NetBIOS เมื่อได้รับการร้องขอการวางจำหน่ายชื่อ ค่านี้ถูกเพิ่มให้อนุญาตให้ผู้ดูแลเมื่อต้องการป้องกันคอมพิวเตอร์จากการโจมตีย่อยของชื่อที่เป็นอันตราย Microsoft แนะนำให้ คุณตั้งค่านี้NoNameReleaseOnDemandมูลค่าไป1.

การแก้ไขปัญหา

เมื่อคุณเปลี่ยนค่ารีจิสทรี TCP/IP คุณอาจมีผลต่อโปรแกรมและบริการที่กำลังเรียกใช้บนคอมพิวเตอร์ที่ใช้ Windows Server 2003 Microsoft แนะนำให้ คุณทดสอบการตั้งค่าเหล่านี้บนเวิร์กสเตชัน nonproduction และเซิร์ฟเวอร์เพื่อยืนยันว่า จะเข้ากันได้กับระบบธุรกิจของคุณ

คุณสมบัติ

หมายเลขบทความ (Article ID): 324270 - รีวิวครั้งสุดท้าย: 13 มกราคม 2554 - Revision: 4.1
ใช้กับ
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
Keywords: 
kbhowtomaster kbmt KB324270 KbMtth
แปลโดยคอมพิวเตอร์
ข้อมูลสำคัญ: บทความนี้แปลโดยซอฟต์แวร์การแปลด้วยคอมพิวเตอร์ของ Microsoft แทนที่จะเป็นนักแปลที่เป็นบุคคล Microsoft มีบทความที่แปลโดยนักแปลและบทความที่แปลด้วยคอมพิวเตอร์ เพื่อให้คุณสามารถเข้าถึงบทความทั้งหมดในฐานความรู้ของเรา ในภาษาของคุณเอง อย่างไรก็ตาม บทความที่แปลด้วยคอมพิวเตอร์นั้นอาจมีข้อบกพร่อง โดยอาจมีข้อผิดพลาดในคำศัพท์ รูปแบบการใช้ภาษาและไวยากรณ์ เช่นเดียวกับกรณีที่ชาวต่างชาติพูดผิดเมื่อพูดภาษาของคุณ Microsoft ไม่มีส่วนรับผิดชอบต่อความคลาดเคลื่อน ความผิดพลาดหรือความเสียหายที่เกิดจากการแปลเนื้อหาผิดพลาด หรือการใช้บทแปลของลูกค้า และ Microsoft มีการปรับปรุงซอฟต์แวร์การแปลด้วยคอมพิวเตอร์อยู่เป็นประจำ
ต่อไปนี้เป็นฉบับภาษาอังกฤษของบทความนี้:324270
การปฏิเสธความรับผิดชอบในเนื้อหาของ KB ที่จะไม่มีการปรับปรุงอีกต่อไป
บทความนี้กล่าวถึงผลิตภัณฑ์ที่ Microsoft ไม่มีการสนับสนุนอีกต่อไป เนื้อหาของบทความจึงมีการนำเสนอ "ตามลักษณะที่เป็น" และจะไม่มีการปรับปรุงข้อมูลอีก

ให้ข้อเสนอแนะ

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com