Al momento sei offline in attesa che la connessione Internet venga ristabilita

Potenziamento dello stack TCP/IP contro gli attacchi di tipo Denial of Service in Windows Server 2003

Il supporto per Windows Server 2003 è terminato il 14 luglio 2015.

Microsoft ha sospeso il supporto per Windows Server 2003 in data 14 luglio 2015. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

Per la versione di questo articolo relativa a Microsoft Windows 2000, vedere 315669.
Importante In questo articolo sono contenute informazioni su come modificare il Registro di sistema. Prima di modificare il Registro di sistema, assicurarsi di eseguirne una copia di backup e di sapere come ripristinarlo in caso di problemi. Per ulteriori informazioni su come eseguire il backup, ripristinare e modificare il Registro di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
256986 Descrizione del Registro di sistema di Microsoft Windows

CONTENUTO DELL'ATTIVITÀ

Sommario
Gli attacchi di tipo Denial of Service (DoS), ovvero quelli che determinano il rifiuto del servizio, sono atti di aggressione eseguiti in rete che mirano a rendere indisponibile un computer o un determinato servizio di un computer agli utenti della rete. La protezione da questi attacchi può essere difficile da realizzare. Per tentare di evitarli, utilizzare uno o entrambi i seguenti metodi:
  • Aggiornare costantemente il computer con le correzioni ai problemi di protezione più recenti. Le correzioni ai problemi di protezione sono disponibili sul seguente sito Web Microsoft:
  • Potenziare lo stack del protocollo TCP/IP nei computer con Windows Server 2003. La configurazione predefinita dello stack TCP/IP gestisce il traffico standard delle reti Intranet. Se si connette il computer direttamente a Internet, si consiglia di potenziare lo stack TCP/IP contro gli attacchi di tipo Denial of Service.
Torna all'inizio

Valori TCP/IP del Registro di sistema in grado di potenziare lo stack TCP/IP

Avviso L'errata modifica del Registro di sistema tramite l'editor o un altro metodo può causare seri problemi, che potrebbero richiedere la reinstallazione del sistema operativo. Microsoft non è in grado di garantire la soluzione di problemi derivanti dall'errato utilizzo dell'editor del Registro di sistema. La modifica del Registro di sistema è a rischio e pericolo dell'utente.
Nell'elenco seguente sono citati i valori del Registro di sistema relativi a TCP/IP che è possibile configurare per potenziare lo stack TCP/IP nei computer connessi direttamente a Internet. Tutti questi valori devono essere creati nella seguente chiave del Registro di sistema, a meno che non venga diversamente specificato:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
NOTA: se non altrimenti specificato, tutti i valori sono espressi nel formato esadecimale.
  • Nome valore: SynAttackProtect
    Chiave: Tcpip\Parameters
    Tipo valore: REG_DWORD
    Intervallo valido: 0,1
    Predefinito: 0

    Questo valore del Registro di sistema fa sì che il protocollo TCP regoli la ritrasmissione di SYN-ACKS. Quando lo si configura, le risposte di connessione scadono più rapidamente durante un attacco SYN (un tipo di attacco "Denial of Service").

    I seguenti parametri possono essere utilizzati con questo valore del Registro di sistema:
    • 0 (valore predefinito): nessuna protezione dagli attacchi SYN
    • 1: impostare SynAttackProtect su 1 per una migliore protezione dagli attacchi SYN. Questo parametro fa sì che il protocollo TCP regoli la ritrasmissione di SYN-ACKS. Se si imposta SynAttackProtect su 1, il timeout delle risposte di connessione è più veloce qualora il sistema rilevi un attacco SYN in corso. Per determinare se è in corso un attacco, Windows utilizza i valori seguenti:
      • TcpMaxPortsExhausted
      • TCPMaxHalfOpen
      • TCPMaxHalfOpenRetried

    Nota In Windows Server 2003 Service Pack 1, il valore predefinito per la voce del Registro di sistema SynAttackProtect è 1.
  • Nome valore: EnableDeadGWDetect
    Chiave: Tcpip\Parameters
    Tipo valore: REG_DWORD
    Intervallo valido: 0, 1 (False, True)
    Predefinito: 1 (True)

    Nell'elenco seguente sono indicati i parametri che possono essere utilizzati con questo valore del Registro di sistema:
    • 1: se si imposta EnableDeadGWDetect su 1, il protocollo TCP può rilevare i gateway inattivi. Quando il rilevamento dei gateway inattivi è abilitato, TCP può chiedere al protocollo IP (Internet Protocol) di passare a un gateway di backup se per alcune connessioni ci sono dei problemi. I gateway di backup possono essere definiti nella sezione Avanzate della finestra di dialogo di configurazione del protocollo TCP/IP tramite lo strumento Rete nel Pannello di controllo.
    • 0: è consigliabile impostare il valore di EnableDeadGWDetect su 0. In caso contrario un eventuale attacco potrebbe obbligare il server a cambiare gateway imponendogli di passare a un gateway indesiderato.
  • Nome valore: EnablePMTUDiscovery
    Chiave: Tcpip\Parameters
    Tipo valore: REG_DWORD
    Intervallo valido: 0, 1 (False, True)
    Predefinito: 1 (True)

    Nell'elenco seguente sono indicati i parametri che possono essere utilizzati con questo valore del Registro di sistema:
    • 1: se si imposta EnablePMTUDiscovery su 1, il protocollo TCP cerca di individuare l'unità massima di trasmissione (MTU) o il pacchetto più grande nel percorso verso un host remoto. Rilevando il valore MTU del percorso e limitando i segmenti TCP a questa dimensione, TCP è in grado di eliminare la frammentazione sui router lungo il percorso che connette le reti con diversi valori MTU. La frammentazione influisce negativamente sulla velocità effettiva del protocollo TCP.
    • 0: è consigliabile impostare il valore di EnablePMTUDiscovery su 0. In tal caso un'unità MTU di 576 byte verrà utilizzata per tutte le connessioni che non siano host della subnet locale. Se non si imposta questo valore su 0, un utente malintenzionato può forzare il valore MTU impostandolo su un valore molto piccolo e affaticare lo stack.

      Importante L'impostazione di EnablePMTUDiscovery su 0 incide negativamente sulle prestazioni e sulla velocità del protocollo TCP/IP. Sebbene tale impostazione venga consigliata, non dovrebbe essere utilizzata se non si è pienamente consapevoli di tale calo nelle prestazioni.
  • Nome valore: KeepAliveTime
    Chiave: Tcpip\Parameters
    Tipo valore: REG_DWORD - Tempo in millisecondi
    Intervallo valido: 1-0xFFFFFFFF
    Predefinito: 7.200.000 (due ore)

    Questo valore controlla la frequenza con cui il protocollo TCP tenta di verificare se una connessione inattiva è ancora intatta inviando un pacchetto keepalive. Se il sistema remoto è ancora raggiungibile, riconosce il pacchetto keepalive. Per impostazione predefinita, i pacchetti keepalive non vengono inviati. Per configurare questo valore per una connessione, è possibile utilizzare un apposito programma. L'impostazione consigliata per questo valore è 300.000 (5 minuti).
  • Nome valore: NoNameReleaseOnDemand
    Chiave: Netbt\Parameters
    Tipo valore: REG_DWORD
    Intervallo valido: 0, 1 (False, True)
    Predefinito: 0 (False)

    Questo valore determina se il computer rivela il proprio nome NetBIOS quando riceve una richiesta in tal senso. È stato aggiunto per consentire all'amministratore di proteggere il computer da attacchi mirati a scoprire il nome del computer. È consigliabile impostare il valore di NoNameReleaseOnDemand su 1.
Torna all'inizio

Risoluzione dei problemi

Quando si modificano i valori del Registro di sistema relativi a TCP/IP, è possibile che vengano influenzati programmi e servizi eseguiti nel computer basato su Windows Server 2003. Microsoft consiglia di verificare queste impostazioni in workstation e server non destinati alla produzione per avere la certezza che siano compatibili con l'ambiente aziendale.

Torna all'inizio
kbSecurity
Proprietà

ID articolo: 324270 - Ultima revisione: 01/05/2011 05:41:00 - Revisione: 2.0

Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Enterprise x64 Edition, Microsoft Windows Small Business Server 2003 Standard Edition, Microsoft Windows Small Business Server 2003 Premium Edition

  • kbhowtomaster KB324270
Feedback
document.createElement('meta');m.name='ms.dqp0';m.content='true';document.getElementsByTagName('head')[0].appendChild(m);" onload="var m=document.createElement('meta');m.name='ms.dqp0';m.content='false';document.getElementsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?">