如何构建和配置更加安全的Web站点[6]

用途：防止操作系统以 LM 散列格式存储用户密码。此格式只用于不支持 NTLM 或 Kerberos 的 Windows 3.11 客户端。创建和保留此 LM 散列的风险在于，如果攻击者设法将以此格式存储的密码解密，就可以在网络上的其他计算机上重复利用这些密码。

创建注册表值：NoDefaultExempt

位置：HKLMSystemCurrentControlSetServicesIPSEC

用途：默认情况下，IPSec 将允许源端口为 88 的传入通信查询 IPSec 服务，以获取连接到计算机的信息，而不管使用的是哪种 IPSec 策略。通过设置此值，除了我们设置的 IPSec 过滤器允许的通信（详见 IPSec 策略一节的介绍）以外，不允许端口之间进行任何通信。

创建注册表值：DisableIPSourceRouting

位置：HKLMSystemCurrentControlSetServicesTcpipParameters

用途：防止 TCP 数据包显式确定到最终目标的路由，并防止它要求服务器确定最佳路由。这是一个防止“人在中间”攻击（即攻击者通过自己的服务器对数据包进行路由，并在数据包传递期间窃取其中的内容）的保护层。

创建注册表值：SynAttackProtect

位置：HKLMSystemCurrentControlSetServicesTcpipParameters

用途：此注册表项通过限制分配给传入请求的资源来防止操作系统受到某种 SYN-flood 的攻击。换句话说，这将帮助阻止在客户端和服务器之间试图使用 SYN（即同步）请求以拒绝服务的攻击。

另外，尽管与防止攻击没有直接关系，我们还启用了几个审核日志以覆盖登录和注销事件、帐户管理、策略更改和系统事件。这有助于我们在竞赛中更好地监视服务器。

IP 安全标准 (IPSec) 策略

从 Windows 2000 开始，Microsoft 已经使用 IP 安全标准 (IPSec)（IPv4 协议的扩展）为管理 Internet 协议 (IP) 通信的身份验证和加密提供支持。下面的图 1 显示了“服务器(请求安全设置)属性”对话框的默认策略。我们特地为竞赛创建了一种策略。

"
图 1：“服务器(请求安全设置)属性”对话框


IPSec 规则是在 Microsoft 管理控制台 (MMC) 管理单元的“本地安全设置”中进行配置的，如上所述。这些策略在增强和确保 OpenHack 服务器之间允许的通讯的安全性方面起到了主要作用。这些规则使我们能够通过以下方法，增强最低特权的最佳方案：

要求在每个系统的 IPSec 策略中，明确且唯一地指定运行和管理应用程序所需的所有通信。

要求使用证书对系统之间的通信进行身份验证。

要求对用于管理的通信进行身份验证（使用证书）和加密。

拒绝应用程序或系统管理未明确允许的所有通信，包括 ICMP 和 IP 通信（“默认拒绝”规则）。

IPSec 规则有三个主要部分：标识由 IPSec 处理的通信的过滤器，过滤器找到这样的通信时要采取的操作，以及用于建立安全性关联的身份验证机制。如果要进行通信的两个系统没有用于标识通信的规则，两者之间也没有公用的身份验证机制，则它们将无法建立连接。