Отключаем программу улучшения качества MS Windows. :-)

Более подробную информацию о программе улучшения качества MS Windows вы можете получить по прямой ссылке: http://www.microsoft.com/products/ceip/ru-ru/default.mspx

Несколько вариантов:
1. Отключается данная шпионка довольно просто, достаточно в строке поиска («Пуск»—>»Поиск») вбить слово «программа улуч», после чего будет выведен список найденных программ, из которого выбираем программу улучшения качества, запускаем ее и отключаем отправку отчетов.
2. 1) В строке поиска меню Пуск введите команду gpedit.msc и нажмите Enter.
2) Перейдите до папки: Конфигурация компьютера->Административные шаблоны->Система->Управление связью через Интернет->Параметры связи через Интернет
3) Щелкните правой кнопкой мыши на Отключить программу по улучшению качества программного обеспечения Windows и выберите пункт Изменить.
4) Установите переключатель в значение Включить и нажмите кнопку OK.
3. Запускаем regedit.exe и правим ключ реестра HKLM\Registry\Machine\Software\Policies\Microsoft\SQMClient\Windows\CEIPEnable с 1 на 0. Более подробно описывается здесь: http://support.microsoft.com/kb/951282/ru.

 

Оптимизация сетевого стека на платформах MS Windows с элементами защиты от DoS.

Проверялось на Windows 2000/XP/2003 с последними SP и выше. Является продолжением темы о тьюнинге сетевого стека платформ MS Windows.
Предлагаю добавить в реестр вашей рабочей станции или сервера (в этом случае необходимо понимать, для чего вы это делаете), следующие ключи реестра, ответственные за IPv4, но их можно применить и к IPv6:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\AFD\Parameters]

«EnableDynamicBacklog»=dword:00000001

«MinimumDynamicBacklog»=dword:00000014

«MaximumDynamicBacklog»=dword:00004e20

«DynamicBacklogGrowthDelta»=dword:0000000a

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters]

«ForwardBroadcasts»=dword:00000000

«IPEnableRouter»=dword:00000000

«UseDomainNameDevolution»=dword:00000000

«EnableICMPRedirect»=dword:00000000

«DeadGWDetectDefault»=dword:00000000

«DontAddDefaultGatewayDefault»=dword:00000000

«EnableWsd»=dword:00000001

«QualifyingDestinationThreshold»=dword:00000003

«SynAttackProtect»=dword:00000002

«TcpMaxHalfOpen»=dword:00000064

«TcpMaxHalfOpenRetried»=dword:00000050

«TcpMaxPortsExhausted»=dword:00000001

«TcpMaxConnectResponseRetransmissions»=dword:00000002

«EnableDeadGWDetect»=dword:00000000

«EnablePMTUDiscovery»=dword:00000000

«KeepAliveTime»=dword:000493e0

«EnableICMPRedirects»=dword:00000000

«EnableSecurityFilters»=dword:00000001

«DisableIPSourseRouting»=dword:00000002

«TcpMaxDataRetransmissions»=dword:00000003

«EnableDynamicBacklog»=dword:00000001

«MinimumDynamicBacklog»=dword:00000014

«MaximumDynamicBacklog»=dword:00004e20

«DynamicBacklogGrowthDelta»=dword:0000000a

«PerformRouterDiscovery»=dword:00000000

«EnableMulticastForwarding»=dword:00000000

«EnableAddrMaskReply»=dword:00000000

«TcpMaxDupAcks»=dword:00000002

«GlobalMaxTcpWindowSize»=dword:0000ffff

«SackOpts»=dword:00000001

«TcpUseRFC1122UrgentPointer»=dword:00000001

«IGMPLevel»=dword:00000000

«EnablePMTUBHDetect»=dword:00000000

«DefaultTTL»=dword:00000083

«DefaultTOS»=dword:0000000c

«UseZeroBroadcast»=dword:00000000

«TcpTimedWaitDelay»=dword:0000001e

«Tcp1323Opts»=dword:00000003

«PMTUBlackHoleDetect»=dword:00000000

«DefaultRcvWindow»=dword:00002000

«DeadGWDetect»=dword:00000000

«BSDUrgent»=dword:00000000

«DisableIPSourceRouting»=dword:00000001

«TcpWindowSize»=dword:00002238

Еще раз обращаю ваше внимание, что данное изменение параметров реестра даст максимальный эффект только при установленных последних SP для MS Windows 2000/XP/2003. Для MS Windows Vista/2008 наличие SP уже не играет роли, т. к. данные платформы уже имеют необходимую функциональность сетевого стека. Также обращаю внимание, что для серверов, тех, которые являются шлюзами, параметры, ответственные за маршрутизацию для пакетов, не стоит изменять. 🙂 Кроме того, не забываем отключать не используемые сервисы и сетевые средства через использование редактирования локальных и групповых политик безопасности, что дополнительно усилит защиту ресурсов ваших серверов и рабочих станций. Не забываем о защите сервисов, фильтрации пакетов и изоляции доменов (подсетей /аналог NAP в Windows 2008/).

Для платформ Unix, Linux, Mac OS доступны и более жесткие правила по фильтрации пакетов, но, к сожалению, платформам MS Windows еще далеко до их функциональности.
Информация, представленная в данной статье, собрана по материалам ресурса technet.microsoft.com. Описания тех или иных приведенных параметров мною не приводились, знающим особенности протоколов семейства TCP/IP и так будет ясно, а не знающих подвигнет на дальнейшее изучение данной области знаний. Учиться ни когда не поздно, не правда ли?

Данная статья будет полезна широкому кругу специалистов, как начинающим, так и уже имеющим некоторый опыт работы.

При публикации данной статьи на сторонних ресурсах прямая ссылка на первоисточник обязательна.

 

Улучшение сетевого стека MS Windows.

Данный список далеко не полный, поэтому будет время от времени обновляться и дополняться.

Отключаем автотюниг окна приёма TCP:
netsh int tcp set heuristics disabled
или
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\EnableWsd=0 (по-умолчанию: 1, рекомендуемое: 0)

Отключаем автотюнинг RWIN (окно приема):
netsh int tcp set global autotuninglevel=disabled

Включаем более агресивное увеличение окна отправки CTCP:
netsh int tcp set global congestionprovider=ctcp

Включаем согласование ECN, для избежания заторов на маршруте:
netsh int tcp set global ecncapability=enabled

Включаем RSS, для управления окном приема для распараллеленных процессов на многопроцессорных системах:
netsh int tcp set global rss=enabled

Включаем TCP Chimney Offload, для разгрузки всех процессов для всех сетевых адаптеров:
netsh int tcp set global chimney=enabled

Включаем DCA (прямой доступ к контроллеру):
netsh int tcp set global dca=enabled

Включаем опции TCP 1323:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Tcp1323Opts=1

Включаем NetDMA:
netsh int tcp set global netdma=enabled

Включаем разгрузку CPU:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DisableTaskOffload=0

Включаем защиту от SYN атак:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect=2

После внесений вышеизложеннных изменений необходимо перезагрузить компьютер.

Это лишь самый небольшая часть из возможных настроек по оптимизации стека протоколов TCP/IP в MS Windows. Остальная часть настроек, которые позволяют защитить хост с MS Windows на борту от разного рода сетевых атак будет мною опубликована несколько позже.

Удачи всем! 😉

UPD: Обещанное продолжение здесь