TCP/IP安全設(shè)置除了上述所列出的設(shè)置之外，可以修改下列項(xiàng)以輔助系統(tǒng)更有效地抵御攻擊。請(qǐng)注意，這些推薦值決不是使系統(tǒng)不受攻擊，而只在于調(diào)整TCP/IP棧防范攻擊。這些項(xiàng)的設(shè)置并不涉及系統(tǒng)上的許多其它組件（可能被用于攻擊系統(tǒng)）。對(duì)于注冊(cè)表的任何更改，管理員必須充分了解這些更改對(duì)系統(tǒng)默認(rèn)功能的影響以及在他們的環(huán)境中是否適當(dāng)。

　　SynAttackProtect　

　　項(xiàng)：TcpipParameters　

　　數(shù)值類型：REG_DWORD　

　　有效范圍：0、1、2　

　　0（沒(méi)有SYN攻擊保護(hù)）

　　1（如果滿足TcpMaxHalfOpen和TcpMaxHalfOpenRetried設(shè)置，減少重傳重試次數(shù)與延遲的RCE（路由緩存項(xiàng)）創(chuàng)建。）

　　2（除1之外的另一個(gè)Winsock延遲指示。）

　　備注當(dāng)系統(tǒng)發(fā)現(xiàn)自己受到攻擊時(shí)，任何套接字上的下列選項(xiàng)不再啟用：可縮放窗口(RFC 1323)與每個(gè)適配器上已配置TCP參數(shù)（初始RTT、窗口大小）。這是因?yàn)楫?dāng)保護(hù)生效時(shí)，在發(fā)送SYN-ACK之前不再查詢路由緩存項(xiàng)，并且連接過(guò)程中Winsock選項(xiàng)不可用。

　　默認(rèn)值：0 (false)　

　　推薦值：2　

　　說(shuō)明：SYN攻擊保護(hù)包括減少SYN-ACK重傳次數(shù)，以減少分配資源所保留的時(shí)間。路由緩存項(xiàng)資源分配延遲，直到建立連接為止。如果synattackprotect = 2，則AFD的連接指示一直延遲到三路握手完成為止。注意，僅在TcpMaxHalfOpen　和TcpMaxHalfOpenRetried設(shè)置超出范圍時(shí)，保護(hù)機(jī)制才會(huì)采取措施。

　　TcpMaxHalfOpen　

　　項(xiàng)：TcpipParameters　

　　數(shù)值類型：REG_DWORD -數(shù)字　

　　有效范圍：100-0xFFFF　

　　默認(rèn)值：100 (Professional、Server)、500 (Advanced Server)　

　　說(shuō)明：該參數(shù)控制SYN攻擊保護(hù)啟動(dòng)前允許處于SYN-RCVD狀態(tài)的連接數(shù)量。如果將SynAttackProtect設(shè)為1，確保該數(shù)值低于要保護(hù)的端口上AFD偵聽(tīng)預(yù)備的值（有關(guān)詳細(xì)信息，參見(jiàn)附錄C中的預(yù)備參數(shù)）。有關(guān)詳細(xì)信息，請(qǐng)參見(jiàn)　SynAttackProtect參數(shù)。


TcpMaxHalfOpenRetried　

　　項(xiàng)：TcpipParameters　

　　數(shù)值類型：REG_DWORD -數(shù)字　

　　有效范圍：80-0xFFFF　

　　默認(rèn)值：80 (Professional、Server)、400 (Advanced Server)　

　　說(shuō)明：該參數(shù)控制在SYN攻擊保護(hù)啟動(dòng)前處于SYN-RCVD狀態(tài)的連接數(shù)量，對(duì)于該連接至少有一個(gè)SYN重傳已經(jīng)發(fā)送。有關(guān)詳細(xì)信息，參見(jiàn)SynAttackProtect　參數(shù)。

　　EnablePMTUDiscovery　

　　項(xiàng)：TcpipParameters　

　　數(shù)值類型：REG_DWORD -布爾值　

　　有效范圍：0、1（false、true）

　　默認(rèn)值：1 (true)　

　　推薦值：0　

　　說(shuō)明：將該參數(shù)設(shè)置為1 (true)時(shí)，TCP將查找到達(dá)遠(yuǎn)程主機(jī)路徑上的最大傳輸單位（MTU或最大的數(shù)據(jù)包大小）。通過(guò)發(fā)現(xiàn)路徑MTU并將TCP字段限制到這個(gè)大小，TCP可以限制在連結(jié)到不同的MTU網(wǎng)絡(luò)的路由器上的碎片。碎片會(huì)影響　TCP吞吐量和網(wǎng)絡(luò)堵塞。將這個(gè)參數(shù)設(shè)置成0，會(huì)導(dǎo)致為所有不在本地子網(wǎng)上主機(jī)連接使用576字節(jié)的MTU。

　　NoNameReleaseOnDemand　

　　項(xiàng)：NetbtParameters　

　　數(shù)值類型：REG_DWORD -布爾值　

　　有效范圍：0、1（false、true）

　　默認(rèn)值：0 (false)　

　　推薦值：1　

　　說(shuō)明：該參數(shù)確定當(dāng)收到網(wǎng)絡(luò)的名稱釋放請(qǐng)求時(shí)，計(jì)算機(jī)是否釋放其NetBIOS名稱。添加該參數(shù)，管理員就可以保護(hù)機(jī)器免遭惡意名稱釋放攻擊。

　　EnableDeadGWDetect　

　　項(xiàng)：TcpipParameters　

　　數(shù)值類型：REG_DWORD -布爾值　

　　有效范圍：0、1（false、true）

　　默認(rèn)值：1 (true)　

　　推薦值：0　

　　說(shuō)明：當(dāng)該參數(shù)設(shè)為1時(shí)，允許TCP執(zhí)行間隔網(wǎng)關(guān)檢測(cè)。啟用該功能時(shí)，如果處理多個(gè)連接有困難時(shí)，TCP可以請(qǐng)求IP改到備份網(wǎng)關(guān)。備份網(wǎng)關(guān)可以在“網(wǎng)絡(luò)控制面板”中“TCP/IP配置”對(duì)話框的“高級(jí)”部分進(jìn)行定義。有關(guān)詳細(xì)信息，請(qǐng)參見(jiàn)本文“間隔網(wǎng)關(guān)檢測(cè)”一節(jié)。

KeepAliveTime　

　　項(xiàng)：TcpipParameters　

　　數(shù)值類型：REG_DWORD -時(shí)間（毫秒）

　　有效范圍：1-0xFFFFFFFF　

　　默認(rèn)值：7,200,000（兩個(gè)小時(shí)）

　　推薦值：300,000　

　　說(shuō)明：通過(guò)發(fā)送保留的數(shù)據(jù)包，該參數(shù)可確定TCP要隔多長(zhǎng)時(shí)間驗(yàn)證一次閑置連接仍仍未斷開(kāi)。如果遠(yuǎn)程系統(tǒng)仍可以連接并正在運(yùn)行，它就會(huì)確認(rèn)保留傳輸。默認(rèn)情況下，不發(fā)送保留數(shù)據(jù)包。應(yīng)用程序可以在連接上啟用這一功能。

　　PerformRouterDiscovery　

　　項(xiàng)：TcpipParametersInterfacesinterface　

　　數(shù)值類型：REG_DWORD　

　　有效范圍：0、1、2　

　　0（禁用）

　　1（啟用）

　　2（僅當(dāng)DHCP發(fā)送路由器發(fā)現(xiàn)選項(xiàng)時(shí)啟用）

　　默認(rèn)值：2，DHCP控制，但默認(rèn)情況下為關(guān)閉。

　　推薦值：0　

　　說(shuō)明：該參數(shù)控制Windows 2000是否根據(jù)每個(gè)接口上的RFC 1256執(zhí)行路由器發(fā)現(xiàn)。也可參見(jiàn)SolicitationAddressBcast