Назад | Перейти на главную страницу

Как отключить ответ временной метки Windows Server 2008

Разместил этот вопрос в stackoverflow, но затем получил указание опубликовать его здесь:

Я использовал Nexpose Rapid7 для сканирования одного из наших веб-серверов (Windows Server 2008) и обнаружил уязвимость для ответа с отметкой времени.

Согласно Rapid7 отклик с отметкой времени должен быть отключен: http://www.rapid7.com/db/vulnerabilities/generic-tcp-timestamp

Пока я пробовал несколько вещей:

  1. Отредактируйте реестр, добавьте ключ «Tcp1323Opts» в HKLM \ SYSTEM \ CurrentControlSet \ Services \ Tcpip \ Parameters и установите для него значение 0. http://technet.microsoft.com/en-us/library/cc938205.aspx

  2. Используйте эту команду: netsh int tcp set global timestamps = disabled

  3. Пробовала команду powershell: Set-netTCPsetting -SettingName InternetCustom -Timestamps disabled (получена ошибка: Set-netTCPsetting: термин Set-netTCPsetting не распознается как имя командлета, функции, файла сценария или работающей программы. Проверьте правописание имени или, если путь был включен, проверьте правильность пути и повторите попытку.) Ни одна из вышеперечисленных попыток не была успешной, после повторного сканирования мы все равно получили то же предупреждение.

Rapid7 предложил использовать брандмауэр, способный его блокировать, но мы хотим знать, есть ли в Windows настройки для этого.

Это через конкретный порт? Если да, то какой номер порта? Если нет, не могли бы вы предложить сторонний брандмауэр, способный его заблокировать?

Большое спасибо.

Я полагаю, вы неправильно поняли рекомендацию. В нем не говорится «отключить ответы с метками времени TCP», а просто сказано «вы можете отключить ответы с метками времени TCP». Если вы не объявили время безотказной работы своих хостов конфиденциальной информацией, вам не стоит беспокоиться. Что касается снятия отпечатков пальцев, существует множество других источников, предоставляющих более подробную информацию, чем временная метка TCP.

Но что касается ваших вопросов: нет, ответ с меткой времени не является услугой, доступной через порт TCP, это опция, доступная в самом TCP и запрашиваемая и отвечающая через заголовки TCP существующего соединения. Отключение меток времени TCP может сломаться некоторые оптимизации TCP.

Не рекомендуется просто фильтровать пакеты запроса отметки времени, поскольку это может привести к разрыву соединения. Единственный разумный способ помочь в этом - это манипулировать заголовками TCP, чтобы либо подделать соответствующие ответы, либо убедиться, что расширения RFC 1323 не согласовываются при установке соединения. Я понятия не имею, какие продукты это делают.

Похоже, что параметр Tcp1323Opts устарел и больше не оценивается. Сам сайт Rapid7 заявляет для Windows Server 2008:

Отметки времени TCP не могут быть надежно отключены в этой ОС.