COMO: Proteger a pilha de TCP/IP contra ataques denial-of-service no Windows Server 2003

O suporte para Windows Server 2003 terminou a 14 de Julho de 2015

A Microsoft terminou o suporte para Windows Server 2003 a 14 de Julho de 2015. Esta alteração afetou as suas atualizações de software e opções de segurança. Aprenda o que isto significa para si e como pode ficar protegido.

Para obter uma versão deste artigo no Microsoft Windows 2000, consulte 315669.
IMPORTANTE: este artigo contém informações sobre como modificar o registo. Antes de modificar o registo, certifique-se de que efectua uma cópia de segurança e de que sabe como pode restaurar o registo se ocorrer algum problema. Para obter informações sobre como efectuar uma cópia de segurança, restaurar e editar o registo, clique no número que se segue, para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
256986 Descrição do registo do Microsoft Windows

NESTA TAREFA

Sumário
Os ataques do tipo denial-of-service (DoS) são ataques de rede que têm como objectivo fazer com que um computador ou um determinado serviço de um computador fique indisponível para os utilizadores da rede. Os ataques denial-of-service podem ser de difícil defesa. Par ajudar a impedir ataques denial-of-service, pode utilizar um ou os dois métodos seguintes:
  • Manter o computador actualizado com as correcções de segurança mais recentes. As correcções de segurança estão localizadas no seguinte Web site da Microsoft:
  • Proteger a pilha do protocolo TCP/IP nos computadores com o Windows Server 2003. A configuração predefinida da pilha de TCP/IP está optimizada para processar tráfego padrão da intranet. Se ligar um computador directamente à Internet, a Microsoft recomenda a protecção da pilha de TCP/IP contra ataques denial-of-service.
Regressar ao início

Valores de TCP/IP do registo que protegem a pilha de TCP/IP

AVISO: a utilização incorrecta do editor de registo pode provocar problemas graves, que podem obrigar à reinstalação do sistema operativo. A Microsoft não garante que os problemas resultantes da utilização incorrecta do editor de registo possam ser resolvidos. Todo e qualquer risco decorrente da utilização do editor de registo é da responsabilidade do utilizador.

A lista que se segue explica os valores de registo relacionados com o TCP/IP que pode configurar para proteger a pilha de TCP/IP em computadores ligados directamente à Internet. Todos estes valores devem ser criados na seguinte chave do registo, salvo indicação em contrário:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
NOTA: todos os valores são hexadecimais, salvo indicação em contrário.
  • Nome do valor: SynAttackProtect
    Chave: Tcpip\Parameters
    Tipo de valor: REG_DWORD
    Intervalo válido: 0, 1
    Predefinição: 0

    Este valor de registo faz com que o protocolo TCP (Transmission Control Protocol - protocolo de controlo de transmissão) ajuste as retransmissões de SYN-ACKS. Ao configurar este valor, o limite de tempo das respostas de ligação esgota-se mais rapidamente durante um ataque SYN (um tipo de ataque denial-of-service).

    Os parâmetros seguintes podem ser utilizados com este valor de registo:
    • 0 (valor predefinido): defina SynAttackProtect como 0 para obter protecção normal contra ataques SYN.
    • 1: defina SynAttackProtect como 1 para obter uma maior protecção contra ataques SYN. Este parâmetro faz com que o TCP ajuste a retransmissão de SYN-ACKS. Quando define SynAttackProtect como 1, o limite de tempo das respostas de ligação esgota-se mais rapidamente caso o sistema detecte que está em curso um ataque SYN. O Windows utiliza os seguintes valores para determinar se um ataque está em curso:
      • TcpMaxPortsExhausted
      • TCPMaxHalfOpen
      • TCPMaxHalfOpenRetried

  • Nome do valor: EnableDeadGWDetect
    Chave: Tcpip\Parameters
    Tipo de valor: REG_DWORD
    Intervalo válido: 0, 1 (falso, verdadeiro)
    Predefinição: 0 (falso)

    A lista seguinte explica os parâmetros que pode utilizar com este valor do registo:
    • 1: quando define EnableDeadGWDetect como 1, é permitido ao TCP executar a detecção de gateways inactivos. Quando a detecção de gateways inactivos está activada, o TCP pode pedir ao protocolo Internet (IP, Internet Protocol) que mude para um gateway de reserva se existir um determinado número de ligações com dificuldades. Os gateways de reserva são definidos na secção Avançadas (Advanced) da caixa de diálogo Definições de TCP/IP (TCP/IP Settings), na ligações de rede do Painel de controlo (Control Panel).
    • 0: a Microsoft recomenda a definição do valor EnableDeadGWDetect como 0. Se não definir este valor como 0, um ataque poderá forçar o servidor a mudar de gateway e provocar a mudança para um gateway não desejado.
  • Nome do valor: EnablePMTUDiscovery
    Chave: Tcpip\Parameters
    Tipo de valor: REG_DWORD
    Intervalo válido: 0, 1 (falso, verdadeiro)
    Predefinição: 1 (verdadeiro)

    A lista seguinte explica os parâmetros que pode utilizar com este valor do registo:
    • 1: quando define EnablePMTUDiscovery como 1, o TCP tenta identificar a unidade máxima de transmissão (MTU, Maximum Transmission Unit) ou o tamanho máximo de pacote no caminho para um anfitrião remoto. O TCP pode eliminar a fragmentação nos routers existentes no caminho entre redes com MTU diferentes, identificando a MTU do caminho e limitando os segmentos de TCP a este tamanho. A fragmentação prejudica o débito do TCP.
    • 0: a Microsoft recomenda a definição do valor EnablePMTUDiscovery como 0. Ao fazê-lo, é utilizada uma MTU de 576 bytes para todas as ligações que não são anfitrião na sub-rede local. Se não definir este valor como 0, um intruso poderá definir a MTU com um valor muito pequeno e sobrecarregar a pilha.
  • Nome do valor: KeepAliveTime
    Chave: Tcpip\Parameters
    Tipo de valor: REG_DWORD-Tempo em milissegundos
    Intervalo válido: 1 - 0xFFFFFFFF
    Predefinição: 7.200.000 (duas horas)

    Este valor controla a frequência com que o TCP tenta verificar se uma ligação inactiva permanece intacta enviando um pacote keep-alive. Se o computador remoto continuar contactável, confirmará a recepção do pacote keep-alive. Por predefinição, os pacotes keep-alive não são enviados. Pode utilizar um programa para configurar este valor numa ligação. A definição recomendada para o valor é 300.000 (5 minutos).
  • Nome do valor: NoNameReleaseOnDemand
    Chave: Netbt\Parameters
    Tipo de valor: REG_DWORD
    Intervalo válido: 0, 1 (falso, verdadeiro)
    Predefinição: 0 (falso)

    Este valor determina se o computador liberta o respectivo nome de NetBIOS quando recebe um pedido de libertação de nome. Este valor foi adicionado para permitir ao administrador proteger o computador contra ataques maliciosos de libertação de nomes. A Microsoft recomenda a definição do valor NoNameReleaseOnDemand como 1 (valor predefinido).
Regressar ao início

Resolução de problemas

A alteração dos valores de TCP/IP do registo poderá afectar programas e serviços em execução no computador baseado no Windows Server 2003. A Microsoft recomenda o teste destas definições em estações de trabalho e servidores que não sejam de produção, a fim de confirmar a respectiva compatibilidade com o ambiente empresarial.

Regressar ao início
kbsecurity
Propriedades

ID do Artigo: 324270 - Última Revisão: 05/10/2011 16:22:00 - Revisão: 4.0

  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003, Enterprise x64 Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • kbhowto kbhowtomaster KB324270
Esta informação foi útil?