參考資料:Security Considerations for Network Attacks
文起:
經過時間的洗禮,Windows NT/2000對於TCP/IP處理能力是相當不錯的,其預設值多半可以阻擋大部分的網路攻擊。如果想要降低網路攻擊帶來的傷害並減少網路漏洞的話,下列幾個修改TCP/IP登錄設定的方法則可以加以參考。
設定路由器(routers)只允許相關伺服器使用的必須通訊阜(port)
停止不需要的網路服務
啟用TCP/IP安全過濾設定,限制可以存取的port (請參考Microsoft Knowlege Base 編號Q150543文章,該文章列出Window網路服務所使用的port)
除非有必要請停用 NetBIOS over TCP/IP。.
使用固定IP。
如果你的機器執行IIS伺服器的話請參閱IIS security checklist
經常性閱讀Microsoft安全網站或是其他與網路安全相關的網站。
此外藉由修改登錄檔TCP/IP相關設定以達到最大保護能力,避免來自網路的攻擊
以下列出的登錄檔設定值將有效的增加Windows NT或Windows 2000對於網路上拒絕服務(denial of service)防禦能力。
登錄檔相關位置:
TcpipParameters
數值名稱 SynAttackProtect
數值型態 REG_DWORD
數值範圍 0, 1, 2
預設值 0
建議值 2
說明 這項保護設定包含減少SYN-ACKS信號重新傳輸的數量,也可以減少系統資源持續鎖定的時間
登錄檔相關位置:
TcpipParameters
數值名稱 TcpMaxHalfOpen
數值型態 REG_DWORD-number
數值範圍 100 - 0xFFFF
預設值 100 (Professional, Server), 500 (advanced server)
建議值 同上
說明 適用於Windows 2000,我尚未在 Windows NT測試
登錄檔相關位置:
TcpipParameters
數值名稱 TcpMaxHalfOpenRetried
數值型態 REG_DWORD
數值範圍 80-0xFFFF
預設值 80 (Professional, Server), 400 (Advanced Server
建議值 同上
說明 適用於Windows 2000,我尚未在 Windows NT測試
登錄檔相關位置:
TcpipParameters
數值名稱 EnablePMTUDiscovery
數值型態 REG_DWORD—Boolean
數值範圍 0, 1(False, True)
預設值 1
建議值 0
說明 設定為1的時候,TCP將嘗試尋找遠端機器連線路徑中最適合MTU(Maximum Transmission Unit)大小,藉由尋找MTU與限制TCP節區(segments)的大小,TCP可以減少封包通過連線路徑上具有不同MTU大小的路由器所產生的斷碎(fragmentation)情形。封包斷碎將會嚴重影響TCP傳輸能力。
設定為0將會使Windows NT/2000處理所有網路連線時候均使用576bytes大小的MTU(不包含同一網路遮罩的區域網路)
登錄檔相關位置:
NetbtParameters
數值名稱 NoNameReleaseOnDemand
數值型態 REG_DWORD—Boolean
數值範圍 0, 1 (False, True)
預設值 0
建議值 1
說明 這項參數可以控制:當接收倒來自網路上的name-release要求,可以決定是否釋放出電腦的NetBIOS名稱。對於Adminstrator來說本設定應該被加入在登錄檔中,以保護電腦避免malicious name-release攻擊。
登錄檔相關位置:
TcpipParameters
數值名稱 EnableDeadGWDetect
數值型態 REG_DWORD—Boolean
數值範圍 0, 1 (False, True)
預設值 1
建議值 0
說明
登錄檔相關位置:
TcpipParameters
數值名稱 KeepAliveTime
數值型態 REG_DWORD—Time in milliseconds
數值範圍 1–0xFFFFFFFF
預設值 7,200,000 (two hours)
建議值 300,000
說明
登錄檔相關位置:
TcpipParametersInterfaces
數值名稱 PerformRouterDiscovery
數值型態 REG_DWORD
數值範圍 0,1,2
預設值 2
建議值 0
登錄檔相關位置:
TcpipParameters
數值名稱 EnableICMPRedirects
數值型態 REG_DWORD
數值範圍 0, 1 (False, True)
預設值 1
建議值 0
說明 詳細說明可以參考
Microsoft knowlege Base
Airticle title:Explanation of ICMP Redirect Behavior
ArticlesID:Q195686
文起:
經過時間的洗禮,Windows NT/2000對於TCP/IP處理能力是相當不錯的,其預設值多半可以阻擋大部分的網路攻擊。如果想要降低網路攻擊帶來的傷害並減少網路漏洞的話,下列幾個修改TCP/IP登錄設定的方法則可以加以參考。
設定路由器(routers)只允許相關伺服器使用的必須通訊阜(port)
停止不需要的網路服務
啟用TCP/IP安全過濾設定,限制可以存取的port (請參考Microsoft Knowlege Base 編號Q150543文章,該文章列出Window網路服務所使用的port)
除非有必要請停用 NetBIOS over TCP/IP。.
使用固定IP。
如果你的機器執行IIS伺服器的話請參閱IIS security checklist
經常性閱讀Microsoft安全網站或是其他與網路安全相關的網站。
此外藉由修改登錄檔TCP/IP相關設定以達到最大保護能力,避免來自網路的攻擊
以下列出的登錄檔設定值將有效的增加Windows NT或Windows 2000對於網路上拒絕服務(denial of service)防禦能力。
登錄檔相關位置:
TcpipParameters
數值名稱 SynAttackProtect
數值型態 REG_DWORD
數值範圍 0, 1, 2
預設值 0
建議值 2
說明 這項保護設定包含減少SYN-ACKS信號重新傳輸的數量,也可以減少系統資源持續鎖定的時間
登錄檔相關位置:
TcpipParameters
數值名稱 TcpMaxHalfOpen
數值型態 REG_DWORD-number
數值範圍 100 - 0xFFFF
預設值 100 (Professional, Server), 500 (advanced server)
建議值 同上
說明 適用於Windows 2000,我尚未在 Windows NT測試
登錄檔相關位置:
TcpipParameters
數值名稱 TcpMaxHalfOpenRetried
數值型態 REG_DWORD
數值範圍 80-0xFFFF
預設值 80 (Professional, Server), 400 (Advanced Server
建議值 同上
說明 適用於Windows 2000,我尚未在 Windows NT測試
登錄檔相關位置:
TcpipParameters
數值名稱 EnablePMTUDiscovery
數值型態 REG_DWORD—Boolean
數值範圍 0, 1(False, True)
預設值 1
建議值 0
說明 設定為1的時候,TCP將嘗試尋找遠端機器連線路徑中最適合MTU(Maximum Transmission Unit)大小,藉由尋找MTU與限制TCP節區(segments)的大小,TCP可以減少封包通過連線路徑上具有不同MTU大小的路由器所產生的斷碎(fragmentation)情形。封包斷碎將會嚴重影響TCP傳輸能力。
設定為0將會使Windows NT/2000處理所有網路連線時候均使用576bytes大小的MTU(不包含同一網路遮罩的區域網路)
登錄檔相關位置:
NetbtParameters
數值名稱 NoNameReleaseOnDemand
數值型態 REG_DWORD—Boolean
數值範圍 0, 1 (False, True)
預設值 0
建議值 1
說明 這項參數可以控制:當接收倒來自網路上的name-release要求,可以決定是否釋放出電腦的NetBIOS名稱。對於Adminstrator來說本設定應該被加入在登錄檔中,以保護電腦避免malicious name-release攻擊。
登錄檔相關位置:
TcpipParameters
數值名稱 EnableDeadGWDetect
數值型態 REG_DWORD—Boolean
數值範圍 0, 1 (False, True)
預設值 1
建議值 0
說明
登錄檔相關位置:
TcpipParameters
數值名稱 KeepAliveTime
數值型態 REG_DWORD—Time in milliseconds
數值範圍 1–0xFFFFFFFF
預設值 7,200,000 (two hours)
建議值 300,000
說明
登錄檔相關位置:
TcpipParametersInterfaces
數值名稱 PerformRouterDiscovery
數值型態 REG_DWORD
數值範圍 0,1,2
預設值 2
建議值 0
登錄檔相關位置:
TcpipParameters
數值名稱 EnableICMPRedirects
數值型態 REG_DWORD
數值範圍 0, 1 (False, True)
預設值 1
建議值 0
說明 詳細說明可以參考
Microsoft knowlege Base
Airticle title:Explanation of ICMP Redirect Behavior
ArticlesID:Q195686