调整TCP/IP防范攻击

TCP/IP安全设置除了上述所列出的设置之外,可以修改下列项以辅助系统更有效地抵御攻击。请注意,这些推荐值决不是使系统不受攻击,而只在于调整TCP/IP栈防范攻击。这些项的设置并不涉及系统上的许多其它组件(可能被用于攻击系统)。对于注册表的任何更改,管理员必须充分了解这些更改对系统默认功能的影响以及在他们的环境中是否适当。

  SynAttackProtect 

  项:TcpipParameters 

  数值类型:REG_DWORD 

  有效范围:0、1、2 

  0(没有SYN攻击保护)

  1(如果满足TcpMaxHalfOpen和TcpMaxHalfOpenRetried设置,减少重传重试次数与延迟的RCE(路由缓存项)创建。)

  2(除1之外的另一个Winsock延迟指示。)

  备注当系统发现自己受到攻击时,任何套接字上的下列选项不再启用:可缩放窗口(RFC1323)与每个适配器上已配置TCP参数(初始RTT、窗口大小)。这是因为当保护生效时,在发送SYN-ACK之前不再查询路由缓存项,并且连接过程中Winsock选项不可用。

  默认值:0 (false) 

  推荐值:2 

  说明:SYN攻击保护包括减少SYN-ACK重传次数,以减少分配资源所保留的时间。路由缓存项资源分配延迟,直到建立连接为止。如果synattackprotect=2,则AFD的连接指示一直延迟到三路握手完成为止。注意,仅在TcpMaxHalfOpen 和TcpMaxHalfOpenRetried设置超出范围时,保护机制才会采取措施。

  TcpMaxHalfOpen 

  项:TcpipParameters 

  数值类型:REG_DWORD -数字 

  有效范围:100-0xFFFF 

  默认值:100 (Professional、Server)、500 (Advanced Server) 

  说明:该参数控制SYN攻击保护启动前允许处于SYN-RCVD状态的连接数量。如果将SynAttackProtect设为1,确保该数值低于要保护的端口上AFD侦听预备的值(有关详细信息,参见附录C中的预备参数)。有关详细信息,请参见 SynAttackProtect参数。


TcpMaxHalfOpenRetried 

  项:TcpipParameters 

  数值类型:REG_DWORD -数字 

  有效范围:80-0xFFFF 

  默认值:80 (Professional、Server)、400 (Advanced Server) 

  说明:该参数控制在SYN攻击保护启动前处于SYN-RCVD状态的连接数量,对于该连接至少有一个SYN重传已经发送。有关详细信息,参见SynAttackProtect 参数。

  EnablePMTUDiscovery 

  项:TcpipParameters 

  数值类型:REG_DWORD -布尔值 

  有效范围:0、1(false、true)

  默认值:1 (true) 

  推荐值:0 

  说明:将该参数设置为1(true)时,TCP将查找到达远程主机路径上的最大传输单位(MTU或最大的数据包大小)。通过发现路径MTU并将TCP字段限制到这个大小,TCP可以限制在连结到不同的MTU网络的路由器上的碎片。碎片会影响 TCP吞吐量和网络堵塞。将这个参数设置成0,会导致为所有不在本地子网上主机连接使用576字节的MTU。

  NoNameReleaseOnDemand 

  项:NetbtParameters 

  数值类型:REG_DWORD -布尔值 

  有效范围:0、1(false、true)

  默认值:0 (false) 

  推荐值:1 

  说明:该参数确定当收到网络的名称释放请求时,计算机是否释放其NetBIOS名称。添加该参数,管理员就可以保护机器免遭恶意名称释放攻击。

  EnableDeadGWDetect 

  项:TcpipParameters 

  数值类型:REG_DWORD -布尔值 

  有效范围:0、1(false、true)

  默认值:1 (true) 

  推荐值:0 

  说明:当该参数设为1时,允许TCP执行间隔网关检测。启用该功能时,如果处理多个连接有困难时,TCP可以请求IP改到备份网关。备份网关可以在“网络控制面板”中“TCP/IP配置”对话框的“高级”部分进行定义。有关详细信息,请参见本文“间隔网关检测”一节。

KeepAliveTime 

  项:TcpipParameters 

  数值类型:REG_DWORD -时间(毫秒)

  有效范围:1-0xFFFFFFFF 

  默认值:7,200,000(两个小时)

  推荐值:300,000 

  说明:通过发送保留的数据包,该参数可确定TCP要隔多长时间验证一次闲置连接仍仍未断开。如果远程系统仍可以连接并正在运行,它就会确认保留传输。默认情况下,不发送保留数据包。应用程序可以在连接上启用这一功能。

  PerformRouterDiscovery 

  项:TcpipParametersInterfacesinterface 

  数值类型:REG_DWORD 

  有效范围:0、1、2 

  0(禁用)

  1(启用)

  2(仅当DHCP发送路由器发现选项时启用)

  默认值:2,DHCP控制,但默认情况下为关闭。

  推荐值:0 

  说明:该参数控制Windows 2000是否根据每个接口上的RFC1256执行路由器发现。也可参见SolicitationAddressBcast
一. 账号口令 1.1 检查是否已启用密码复杂性要求(低危) 1.2 检查是否已正确配置密码长度最小值(低危) 1.3 检查是否按组进行用户管理(低危) 1.4 检查是否按照权限、责任创建、使用用户账号(低危) 1.5 检查是否已正确配置“复位帐户锁定计数器”时间(低危) 1.6 检查是否已正确配置帐户锁定阈值(低危) 1.7 检查是否已删除或禁用高危帐户(低危) 1.8 检查是否已正确配置密码最长使用期限(低危) 1.9 检查是否已正确配置“强制密码历史”(低危) 1.10 检查是否已正确配置密码最短使用期限(低危) 1.11 域环境:检查是否已启用“域环境下禁止计算机帐户更改密码”策略(低危) 1.12 检查是否已更改管理员帐户名称(低危) 1.13 检查是否已正确配置帐户锁定时间(低危) 二. 认证授权 2.1 检查是否已限制可关闭系统的帐户和组(低危) 2.2 检查是否已限制可从远端关闭系统的帐户和组(低危) 2.3 检查是否已限制“取得文件或其它对象的所有权”的帐户和组(低危) 2.4 检查是否已正确配置“从网络访问此计算机”策略(低危) 2.5 检查是否已正确配置“允许本地登录”策略(低危) 2.6 检查是否已删除可远程访问的注册表路径和子路径(低危) 2.7 检查是否已限制匿名用户连接(低危) 2.8 检查是否已删除可匿名访问的共享和命名管道(低危) 三. 日志审计 3.1 检查是否已正确配置应用程序日志(低危) 3.2 检查是否已正确配置审核(日志记录)策略(低危) 3.3 检查是否已正确配置系统日志(低危) 3.4 检查是否已正确配置安全日志(低危) 四. 协议安全 4.1 检查是否已开启Windows防火墙(低危) 4.2 检查是否已启用TCP/IP筛选功能(低危) 4.3 检查是否已修改默认的远程桌面(RDP)服务端口(低危) 4.4 检查是否已禁用路由发现功能(低危) 4.5 检查是否已正确配置重传单独数据片段的次数(低危) 4.6 检查是否已启用并正确配置源路由攻击保护(低危) 4.7 检查是否已删除SNMP服务的默认public团体(低危) 4.8 检查是否已禁用失效网关检测(低危) 4.9 检查是否已启用并正确配置TCP碎片攻击保护(低危) 4.10 检查是否已启用并正确配置ICMP攻击保护(低危) 4.11 检查是否已正确配置TCP“连接存活时间”(低危) 4.12 检查是否已启用并正确配置SYN攻击保护(低危) 五. 其他安全 5.1 检查是否已关闭不必要的服务-Windows Internet Name Service (WINS)(高危) 5.2 检查是否已关闭不必要的服务-Remote Access Connection Manager(高危) 5.3 检查是否已禁止Windows自动登录(高危) 5.4 检查是否已关闭不必要的服务-Simple TCP/IP Services(高危) 5.5 检查是否已关闭不必要的服务-Simple Mail Transport Protocol (SMTP)(高危) 5.6 检查是否已关闭不必要的服务-DHCP Client(高危) 5.7 检查是否已关闭不必要的服务-Message Queuing(高危) 5.8 检查是否已关闭不必要的服务-DHCP Server(高危) 5.9 检查系统是否已安装最新补丁包和补丁(中危) 5.10 检查是否已安装防病毒软件(中危) 5.11 检查是否已禁用“登录时无须按 Ctrl+Alt+Del”策略(低危) 5.12 检查是否已创建多个磁盘分区(低危) 5.13 检查是否已启用并正确配置屏幕保护程序(低危) 5.14 检查是否已启用Windows数据执行保护(DEP)(低危) 5.15 检查是否已禁用Windows硬盘默认共享(低危) 5.16 检查磁盘分区是否都是NTFS文件系统(低危) 5.17 检查是否已关闭Windows自动播放(低危) 5.18 域环境:检查是否已正确配置域环境下安全通道数据的安全设置(低危) 5.19 域环境:检查是否已启用“域环境下需要强会话密钥”策略(低危) 5.20 域环境:检查是否已启用“需要域控制器身份验证以解锁工作站”策略(低危) 5.21 检查是否已正确配置“锁定会话时显示用户信息”策略(低危) 5.22 检查是否已启用“当登录时间用完时自动注销用户”策略(低危) 5.23 检查是否已正确配置“提示用户在密码过期之前进行更改”策略(低危) 5.24 检查是否已启用并正确配置Windows网络时间同步服务(NTP)(低危) 5.25 检查共享文件夹的权限设置是否安全(低危) 5.26 域环境:检查是否已正确配置“可被缓存保存的登录的个数”策略(低危) 5.27 检查是否已正确配置服务器在暂停会话前所需的空闲时间量(低危) 5.28 检查是否已启用“不显示最后的用户名”策略(低危) 5.29 检查是否已启用并正确配置Windows自动更新(低危)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值