如何禁用windows server 2008时间戳响应

Question

将这个问题张贴在堆栈溢出上，但随后被指示在这里发布：

我当时正在使用Rapid7 7‘S N外地扫描我们的一台web服务器(windows server 2008)，并发现了时间戳响应的漏洞。

根据Rapid7，时间戳响应将被禁用：http://www.rapid7.com/db/vulnerabilities/generic-tcp-timestamp

到目前为止，我已经尝试了几种方法：

1. 编辑注册表，向HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters，添加一个"Tcp1323Opts“键，并将其设置为0。http://technet.microsoft.com/en-us/library/cc938205.aspx
2. 使用以下命令: netsh设置全局timestamps=disabled
3. 尝试使用powershell命令:Set- not设置-SettingName InternetCustom -Timestamps禁用(Set错误:Set-not设置:术语“Set-netTCPsetting”)不能识别为cmdlet、函数、脚本文件或可操作程序的名称。检查名称的拼写，或者如果包含路径，请验证路径是否正确，然后再试一次。)上述任何一次尝试都没有成功，在重新扫描后，我们仍然得到了相同的警报。

Rapid7建议使用能够阻止它的防火墙，但是我们想知道是否有一个设置在窗口上来实现它。

是通过一个特定的港口吗？如果是，端口号是多少？如果没有，你能建议一个第三方防火墙来阻止它吗？

非常感谢。

Answer 1

我想你误解了推荐。它不是说“禁用TCP时间戳响应”，而是“您可能希望禁用TCP时间戳响应”。除非您已经将主机的正常运行时间声明为机密信息，否则您就不应该麻烦了。至于指纹，还有很多其他来源提供了比TCP时间戳更详细的信息。

但是关于您的问题:不，时间戳响应不是通过TCP端口可用的服务，它是TCP本身可用的选项，并通过现有连接的TCP头请求和回答。禁用TCP时间戳可能会破坏一些TCP优化。

只过滤时间戳请求数据包不是一个好主意，因为它可能会破坏连接。帮助这一点的唯一明智方法是操纵TCP报头，以伪造适当的响应，或者确保RFC 1323扩展在连接设置时不进行协商。我不知道是哪种产品做的。

似乎参数弃1323选择已被弃用，不再进行评估。。Windows 2008的Rapid7站点本身声明：

在此操作系统上不能可靠地禁用TCP时间戳。