|
服务器基准注册表策略
针对网络攻击的安全考虑事项
有些拒绝服务攻击可能会给WIN2000服务器上的TCP/IP协议栈造成威胁。这些注册表设置有助与提高WIN2000 TCP/IP协议栈抵御标准类型的拒绝服务网络攻击能力。
修改注册表项HKLM\System\CurrentControlSet\Services\TcpipParameters\的子项:
项 格式 值(十进制)
EnableICMPRedirect DWORD 0
EnableSecurityFilters DWORD 1
SynAttackProtect DWORD 2
EnableDeadGWDetect DWORD 0
EnablePMTUDiscovery DWORD 0
KeepAliveTime DWORD 300,000
DisableIPSourceRouting DWORD 2
TcpMaxConnectResponseRetransmissions DWORD 2
TcpMaxDateRetransmissions DWORD 3
NoNameReleaseOnDemand DWORD 1
PerformRouterDiscovery DWORD 0
TCPMaxPortsExhausted DWORD 5
WINDOWS套接字应用程序,如FTP服务器和WEB服务器,让Afd.sys来处理它们的连接尝试。Afd.sys已经过修改,可以在半开状态支持大量的连接而不拒绝合法客户端的访问。这一点可以通过允许管理员配置一个动态存储来做到。Afd.sys的新版本支持四个可用来控制动态存储行为的新注册表参数。
修改下面的注册表HKLM\System\CurrentControlSet\Services\AFD\Parameters\的子项
项 格式 值(十进制)
DynamicBacklogGrowthDelta DWORD 10
EnableDynamicBacklog DWORD 1
MinimumDynamicBacklog DWORD 20
MaximumDynamicBacklog DWORD 20000
禁用8.3格式文件名的自动生成
为与16位应用程序的向后兼容,WIN2K支持8.3文件名格式。这意味着工具者只需要8个字符即可引用可能有20个字符长的文件。如果你不再使用16位应用程序,则可以将此功能关闭。禁用NTFS分区上的短文件名生成还可以提高目录枚举性能。
修改下面的注册表项HKLM\System\CurrentControlSet\Control\FileSystem\的项
项 格式 值(十进制)
NtfsDisable8dot3NameCreation DWORD 1
注意:如果此设置应用到一个包含自动生成的8.3文件名的文件的现有服务器,它不会将这些文件删除。如果删除现有的8.3文件名,你需要将这些文件复制到该服务器以外的位置,从原位置删除这些文件,然后从外面的位置将这些文件复制回原位置。 |
|
收藏
