Улучшение сетевого стека MS Windows.

Данный список далеко не полный, поэтому будет время от времени обновляться и дополняться.
Отключаем автотюниг окна приёма TCP:
netsh int tcp set heuristics disabled
или
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\EnableWsd=0 (по-умолчанию: 1, рекомендуемое: 0)
Отключаем автотюнинг RWIN (окно приема):
netsh int tcp set global autotuninglevel=disabled
Включаем более агресивное увеличение окна отправки CTCP:
netsh int tcp set global congestionprovider=ctcp
Включаем согласование ECN, для избежания заторов на маршруте:
netsh int tcp set global ecncapability=enabled
Включаем RSS, для управления окном приема для распараллеленных процессов на многопроцессорных системах:
netsh int tcp set global rss=enabled
Включаем TCP Chimney Offload, для разгрузки всех процессов для всех сетевых адаптеров:
netsh int tcp set global chimney=enabled
Включаем DCA (прямой доступ к контроллеру):
netsh int tcp set global dca=enabled
Включаем опции TCP 1323:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Tcp1323Opts=1
Включаем NetDMA:
netsh int tcp set global netdma=enabled
Включаем разгрузку CPU:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DisableTaskOffload=0
Включаем защиту от SYN атак:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect=2
После внесений вышеизложеннных изменений необходимо перезагрузить компьютер.
Это лишь самый небольшая часть из возможных настроек по оптимизации стека протоколов TCP/IP в MS Windows. Остальная часть настроек, которые позволяют защитить хост с MS Windows на борту от разного рода сетевых атак будет мною опубликована несколько позже.
Удачи всем!




https://nikitushkinandrey.wordpress.com/2012/05/11/%d1%83%d0%bb%d1%83%d1%87%d1%88%d0%b5%d0%bd%d0%b8%d0%b5-%d1%81%d0%b5%d1%82%d0%b5%d0%b2%d0%be%d0%b3%d0%be-%d1%81%d1%82%d0%b5%d0%ba%d0%b0-ms-windows/

Изоляция доменов на платформах MS Windows Server и не только ;-) .

Для более полного представления о данной технологии советую обратиться по следующим ссылкам:

http://technet.microsoft.com/ru-ru/library/cc755490%28WS.10%29.aspx
http://technet.microsoft.com/ru-ru/library/cc755490%28WS.10%29.aspx


Я хочу добавить немного к данной информации.
Ввиду того, что есть возможность изоляции не только доменов, серверов, компьютеров, не входящих в домен. Есть и возможность по изоляции компьютеров, входящих в существующий домен MS Windows. Скажите, а для чего это может понадобиться? Например, для изоляции копьютеров, входящих в домен MS Windows, которые оказались заражены сетевым вирусом (червем), но которым необходим доступ к некоторым ресурсам домена. Не совсем безопасно, правда? Но зато, мы оградим остальные компьютеры сети от прямого взаимодействия с зараженным рабочим местом. Кроме того, всегда существует возможность оградить данный компьютер и физически, заставив его работать через выделенную станцию безопасности, например, как через шлюз, которая, в свою очередь, станет блокировать нежелательный трафик. Всё это довольно гибко можно настроить на чёрный день с помощью политик безопасности AD (GPO), а затем, по мере необходимости, добавлять в данную политику хосты, нуждающиеся в изоляции. Не стоит также забывать и о возможности фильтрации трафика по портам с использованием IPSec, т. к. это может защитить от некоторых типов сетевых вирусов, которые используют для своей работы несистемные порты. Но, к сожалению, таких возможностей современнные вирусы оставляют все меньше. Да и повсеместно IT-службами подразделениями все еще используется протокол NetBIOS для публикации общих ресурсов в сети, что пагубно влияет на защищенность хостов в локальной сети. А можно же было использовать возможности AD для публикации в каталоге AD, тогда бы количество используемых системный портов на хостах в сети несколько сократилось, увеличились бы системные ресурсы из отказа от использования лишних сервисов, стало бы невозможным заражение некоторыми сетевыми вирусами и сделало бы невозможным атаки на протокол NetBIOS. Да, для критиков, в такую политику организации домена можно добавить и исключения из правил, для серверов печати, например.
Добавлю от себя еще, что данные возможности уже присутствовали с платформы MS Windows 2000, но на них никто не обращал внимания, либо не хотел изучать новые возможности по улучшению уровня безопасности в сети MS Windows, да мало ли еще почему. И до сих пор данные возможности мало кто использует.
Автор данных строк уже использовал возможности по изоляции доменов в своей работе еще в 2004 году, но затем мне не встречались организации, которые хотели бы улучшить информационную безопасность и упростить реагирование на те или иные инцинденты информационной безопасности, хотя предложения мною вносились и я ознакамливал руководство с данной технологией. А жаль! Не нужно топтаться на месте, необходимо развивать инфраструктуру и полностью использовать возможности, предлагаемые производителем данных платформ – Microsoft, а не искать несертифицированные и сомнительные решения сторонних производителей, которые, как правило, не бесплатны и требуют дополнительных финансовых ассигнований.
Небольшое дополнение к данной статье. Изоляцию доменов можно реализовать с использованием IPSec, без установки дополнительных компонентов, как это советует Microsoft, работать будет без проблем. Жаль, что об этом нет упоминания на сайте техподдержки Microsoft, возможно, о такой возможности они и не подумали? Удачи!


https://nikitushkinandrey.wordpress.com/2012/05/11/%d0%b8%d0%b7%d0%be%d0%bb%d1%8f%d1%86%d0%b8%d1%8f-%d0%b4%d0%be%d0%bc%d0%b5%d0%bd%d0%be%d0%b2-%d0%bd%d0%b0-%d0%bf%d0%bb%d0%b0%d1%82%d1%84%d0%be%d1%80%d0%bc%d0%b0%d1%85-ms-windows-server-%d0%b8-%d0%bd/

Оптимизация сетевого стека на платформах MS Windows с элементами защиты от DoS.

Проверялось на Windows 2000/XP/2003 с последними SP и выше. Является продолжением темы о тьюнинге сетевого стека платформ MS Windows.
Предлагаю добавить в реестр вашей рабочей станции или сервера (в этом случае необходимо понимать, для чего вы это делаете), следующие ключи реестра, ответственные за IPv4, но их можно применить и к IPv6:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\AFD\Parameters]
“EnableDynamicBacklog”=dword:00000001
“MinimumDynamicBacklog”=dword:00000014
“MaximumDynamicBacklog”=dword:00004e20
“DynamicBacklogGrowthDelta”=dword:0000000a
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters]
“ForwardBroadcasts”=dword:00000000
“IPEnableRouter”=dword:00000000
“UseDomainNameDevolution”=dword:00000000
“EnableICMPRedirect”=dword:00000000
“DeadGWDetectDefault”=dword:00000000
“DontAddDefaultGatewayDefault”=dword:00000000
“EnableWsd”=dword:00000001
“QualifyingDestinationThreshold”=dword:00000003
“SynAttackProtect”=dword:00000002
“TcpMaxHalfOpen”=dword:00000064
“TcpMaxHalfOpenRetried”=dword:00000050
“TcpMaxPortsExhausted”=dword:00000001
“TcpMaxConnectResponseRetransmissions”=dword:00000002
“EnableDeadGWDetect”=dword:00000000
“EnablePMTUDiscovery”=dword:00000000
“KeepAliveTime”=dword:000493e0
“EnableICMPRedirects”=dword:00000000
“EnableSecurityFilters”=dword:00000001
“DisableIPSourseRouting”=dword:00000002
“TcpMaxDataRetransmissions”=dword:00000003
“EnableDynamicBacklog”=dword:00000001
“MinimumDynamicBacklog”=dword:00000014
“MaximumDynamicBacklog”=dword:00004e20
“DynamicBacklogGrowthDelta”=dword:0000000a
“PerformRouterDiscovery”=dword:00000000
“EnableMulticastForwarding”=dword:00000000
“EnableAddrMaskReply”=dword:00000000
“TcpMaxDupAcks”=dword:00000002
“GlobalMaxTcpWindowSize”=dword:0000ffff
“SackOpts”=dword:00000001
“TcpUseRFC1122UrgentPointer”=dword:00000001
“IGMPLevel”=dword:00000000
“EnablePMTUBHDetect”=dword:00000000
“DefaultTTL”=dword:00000083
“DefaultTOS”=dword:0000000c
“UseZeroBroadcast”=dword:00000000
“TcpTimedWaitDelay”=dword:0000001e
“Tcp1323Opts”=dword:00000003
“PMTUBlackHoleDetect”=dword:00000000
“DefaultRcvWindow”=dword:00002000
“DeadGWDetect”=dword:00000000
“BSDUrgent”=dword:00000000
“DisableIPSourceRouting”=dword:00000001
“TcpWindowSize”=dword:00002238
Еще раз обращаю ваше внимание, что данное изменение параметров реестра даст максимальный эффект только при установленных последних SP для MS Windows 2000/XP/2003. Для MS Windows Vista/2008 наличие SP уже не играет роли, т. к. данные платформы уже имеют необходимую функциональность сетевого стека. Также обращаю внимание, что для серверов, тех, которые являются шлюзами, параметры, ответственные за маршрутизацию для пакетов, не стоит изменять. Кроме того, не забываем отключать не используемые сервисы и сетевые средства через использование редактирования локальных и групповых политик безопасности, что дополнительно усилит защиту ресурсов ваших серверов и рабочих станций. Не забываем о защите сервисов, фильтрации пакетов и изоляции доменов (подсетей /аналог NAP в Windows 2008/).
Для платформ Unix, Linux, Mac OS доступны и более жесткие правила по фильтрации пакетов, но, к сожалению, платформам MS Windows еще далеко до их функциональности.
Информация, представленная в данной статье, собрана по материалам ресурса technet.microsoft.com. Описания тех или иных приведенных параметров мною не приводились, знающим особенности протоколов семейства TCP/IP и так будет ясно, а не знающих подвигнет на дальнейшее изучение данной области знаний. Учиться ни когда не поздно, не правда ли?
Данная статья будет полезна широкому кругу специалистов, как начинающим, так и уже имеющим некоторый опыт работы.
При публикации данной статьи на сторонних ресурсах прямая ссылка на первоисточник обязательна.



https://nikitushkinandrey.wordpress.com/2012/05/11/%d0%be%d0%bf%d1%82%d0%b8%d0%bc%d0%b8%d0%b7%d0%b0%d1%86%d0%b8%d1%8f-%d1%81%d0%b5%d1%82%d0%b5%d0%b2%d0%be%d0%b3%d0%be-%d1%81%d1%82%d0%b5%d0%ba%d0%b0-%d0%bd%d0%b0-%d0%bf%d0%bb%d0%b0%d1%82%d1%84%d0%be/

Optimization of a network stack on the MS Windows platforms with elements of protection against DoS.

It was checked on Windows 2000/XP/2003 with the last SP and above. Is subject continuation about a tyyuning of a network stack of the MS Windows platforms.
I suggest to add in the register of your workstation or the server (in this case it is necessary to understand for what you do it), the following keys of the register responsible for IPv4, but they can be applied and to IPv6:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\AFD\Parameters]
“EnableDynamicBacklog”=dword:00000001
“MinimumDynamicBacklog”=dword:00000014
“MaximumDynamicBacklog”=dword:00004e20
“DynamicBacklogGrowthDelta”=dword:0000000a
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters]
“ForwardBroadcasts”=dword:00000000
“IPEnableRouter”=dword:00000000
“UseDomainNameDevolution”=dword:00000000
“EnableICMPRedirect”=dword:00000000
“DeadGWDetectDefault”=dword:00000000
“DontAddDefaultGatewayDefault”=dword:00000000
“EnableWsd”=dword:00000001
“QualifyingDestinationThreshold”=dword:00000003
“SynAttackProtect”=dword:00000002
“TcpMaxHalfOpen”=dword:00000064
“TcpMaxHalfOpenRetried”=dword:00000050
“TcpMaxPortsExhausted”=dword:00000001
“TcpMaxConnectResponseRetransmissions”=dword:00000002
“EnableDeadGWDetect”=dword:00000000
“EnablePMTUDiscovery”=dword:00000000
“KeepAliveTime”=dword:000493e0
“EnableICMPRedirects”=dword:00000000
“EnableSecurityFilters”=dword:00000001
“DisableIPSourseRouting”=dword:00000002
“TcpMaxDataRetransmissions”=dword:00000003
“EnableDynamicBacklog”=dword:00000001
“MinimumDynamicBacklog”=dword:00000014
“MaximumDynamicBacklog”=dword:00004e20
“DynamicBacklogGrowthDelta”=dword:0000000a
“PerformRouterDiscovery”=dword:00000000
“EnableMulticastForwarding”=dword:00000000
“EnableAddrMaskReply”=dword:00000000
“TcpMaxDupAcks”=dword:00000002
“GlobalMaxTcpWindowSize”=dword:0000ffff
“SackOpts”=dword:00000001
“TcpUseRFC1122UrgentPointer”=dword:00000001
“IGMPLevel”=dword:00000000
“EnablePMTUBHDetect”=dword:00000000
“DefaultTTL”=dword:00000083
“DefaultTOS”=dword:0000000c
“UseZeroBroadcast”=dword:00000000
“TcpTimedWaitDelay”=dword:0000001e
“Tcp1323Opts”=dword:00000003
“PMTUBlackHoleDetect”=dword:00000000
“DefaultRcvWindow”=dword:00002000
“DeadGWDetect”=dword:00000000
“BSDUrgent”=dword:00000000
“DisableIPSourceRouting”=dword:00000001
“TcpWindowSize”=dword:00002238
Once again I pay your attention that this change of parameters of the register will give the maximum effect only at established last SP for MS Windows 2000/XP/2003. For MS Windows Vista/2008 SP existence any more doesn’t play a role since these platforms already have necessary functionality of a network stack. Also I pay attention that for servers, what are locks, the parameters responsible for routing for packages, it is not necessary to change. Besides, we do not forget to disconnect not used services and network means through use of editing of local and group security policies that will in addition strengthen protection of resources of your servers and workstations. We do not forget about protection of services, a filtration of packages and isolation of domains (subnets/analogue of NAP in Windows 2008/).
More rigid rules are available to the platforms Unix, Linux, Mac OS on a filtration of packages, but, unfortunately, the MS Windows platforms also is still far to their functionality.
Information presented in this article, is collected on resource materials technet.microsoft.com. Descriptions of these or those specified parameters weren’t provided by me, knowing features of protocols of TCP/IP family and so it will be clear, instead of knowing подвигнет on further studying of this field of knowledge. To study when not late, isn’t that so?
This article will be useful to a wide range of experts, both beginning, and already having some experience.
At the publication of this article on foreign resources the direct reference on the primary source is obligatory.



https://nikitushkinandrey.wordpress.com/2012/07/17/optimization-of-a-network-stack-on-the-ms-windows-platforms-with-elements-of-protection-against-dos/