网络安全等级保护：TCP/IP 堆栈设置

TCP/IP 堆栈设置

许多注册表设置会影响 TCP/IP 堆栈处理传入数据包的方式。正确设置这些可以帮助减少您遭受 DoS 攻击的脆弱性。这个过程，即堆栈调整，在第 2 章“攻击类型”中进行了描述。由于这些设置都是相关的并且位于相同的关键路径中，因此它们一起显示在表 8-5中。

如表 8-5所示，大多数设置会阻止数据包重定向、更改连接超时，并且通常会更改 Windows 处理 TCP/IP 连接的方式。您可以在其网站上找到有关 Microsoft 关于设置 TCP/IP 堆栈注册表设置的建议的更多详细信息：https: //msdn.microsoft.com/en-us/library/ff648853.aspx。

参考资料

Windows 操作系统会在每次安装时打开默认共享文件夹以供系统账户使用。由于它们是默认共享，因此对于所有 Windows 计算机来说它们都是相同的，并且具有相同的权限。这些默认共享可以被熟练的黑客用作入侵您的计算机的起点。您可以通过两种方式禁用默认管理共享：

1.停止或禁用服务器服务，这会删除计算机上共享文件夹的功能。（但是，您仍然可以访问其他计算机上的共享文件夹。）

2.编辑注册表。

要更改注册表中的默认共享文件夹设置，请转至HKEY_Local_MachineSYSTEMCurrentControlSetServicesLanmanServerParameters。对于服务器，将 AutoShareServer 编辑为 0。对于工作站，编辑 AutoShareWks 密钥。如果由于某种原因，您的 Windows 注册表没有它，只需添加它： https: //social.technet.microsoft.com/Forums/windows/en-US/c9d6b1c2-1059-4a8a-a6bd-56cc34104faa/disable-administrator -share?forum=w7itpronetworking。

有关默认共享的更多信息或查看有关默认共享的安全建议，请访问以下网站：

·www.cert.org/historical/advisories/CA-2003-08.cfm

·www.sans.org/top20/

远程访问注册表

远程访问注册表是黑客的另一个潜在机会。许多专家建议任何人都不应远程访问注册表。这一点当然值得商榷。如果您的管理员经常需要远程更改注册表设置，那么完全阻止对它们的远程访问将导致这些管理员的工作效率降低。然而，完全阻止对注册表的远程访问肯定更安全。要限制对注册表的网络访问：

1.将以下项添加到注册表中：HKEY_LOCAL_MACHINESYSTEM CurrentControlSetControlSecurePipeServerswinreg。

2.选择winreg，单击“安全”菜单，然后单击“权限”。

3.将管理员权限设置为“完全控制”，确保没有列出其他用户或组，然后单击“确定”。

建议值 = 0

其他注册表设置

调整前面讨论的注册表设置将帮助您避免默认 Windows 注册表设置中的一些最常见的安全缺陷，并且肯定会提高任何服务器。但是，为了获得最大的安全性，管理员必须花时间仔细研究 Windows 注册表，以查找可以提高安全性的任何其他区域。您可能需要研究的一些其他设置包括：

·限制对注册表的匿名访问

·NTLMv2 安全性（影响发送到服务器的密码的安全性）

·KeepAlive（影响连接保持活动状态的时间）

·SynAttackProtect（防止非常特定类型的 SYN 攻击）