Windows安全加固

一、背景

1.1現(xiàn)狀

隨著工業(yè)4.0及兩化融合的不斷深入，傳統(tǒng)的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問(wèn)題已成為企業(yè)及國(guó)家安全面臨的嚴(yán)峻挑戰(zhàn)，受到越來(lái)越多的關(guān)注。

工業(yè)控制系統(tǒng)由于使用環(huán)境封閉，大多只重視系統(tǒng)的功能實(shí)現(xiàn)，對(duì)安全的關(guān)注相對(duì)缺乏，處于“先天不足、后天失養(yǎng)、未來(lái)堪憂”的狀態(tài)。很多工業(yè)控制系統(tǒng)是基于Windows的，且工業(yè)控制系統(tǒng)的協(xié)議和設(shè)計(jì)，在研發(fā)時(shí)只偏重于功能的實(shí)時(shí)性和可靠性，對(duì)安全攻擊缺乏前期設(shè)計(jì)和有效抵御方法，因此，針對(duì)工業(yè)控制系統(tǒng)的病毒、木馬等攻擊行為大幅度增長(zhǎng)，結(jié)果導(dǎo)致整體控制系統(tǒng)的故障，甚至惡性安全事故，對(duì)人員、設(shè)備和環(huán)境造成嚴(yán)重的后果。另外，工業(yè)控制系統(tǒng)由于擔(dān)心系統(tǒng)兼容性問(wèn)題，通常不升級(jí)補(bǔ)丁，甚至有的工作站供應(yīng)商明確要求用戶不得自行升級(jí)系統(tǒng)，系統(tǒng)長(zhǎng)期運(yùn)行后會(huì)積累大量的安全漏洞，再加上運(yùn)維過(guò)程中缺乏科學(xué)管理和技術(shù)防護(hù)手段，如U盤濫用、文件共享等，使得工控系統(tǒng)在面對(duì)網(wǎng)絡(luò)安全攻擊時(shí)極其脆弱，給安全生產(chǎn)帶來(lái)極大隱患。

1.2 工業(yè)環(huán)境安全要求

工業(yè)主機(jī)需要與工業(yè)控制系統(tǒng)進(jìn)行實(shí)時(shí)數(shù)據(jù)交互，以保證工業(yè)控制系統(tǒng)能夠穩(wěn)定、高效運(yùn)轉(zhuǎn)，工業(yè)主機(jī)的安全關(guān)乎整個(gè)工業(yè)控制系統(tǒng)的安全等級(jí)。同時(shí)，工業(yè)主機(jī)作為工業(yè)控制系統(tǒng)的HMI接口，是工業(yè)控制系統(tǒng)與外界進(jìn)行交互的重要途徑，因此工業(yè)主機(jī)安全在工控信息安全的建設(shè)工作中事很重要的一個(gè)環(huán)節(jié)。

在《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》中:

1、安全軟件選擇與管理

（一）在工業(yè)主機(jī)上采用經(jīng)過(guò)離線環(huán)境中充分驗(yàn)證測(cè)試的防病毒軟件或應(yīng)用程序白名單軟件，只允許經(jīng)過(guò)工業(yè)企業(yè)自身授權(quán)和安全評(píng)估的軟件運(yùn)行；

2、配置和補(bǔ)丁管理

（一）做好工業(yè)控制網(wǎng)絡(luò)、工業(yè)主機(jī)和工業(yè)控制設(shè)備的安全配置，建立工業(yè)控制系統(tǒng)配置清單，定期進(jìn)行配置審計(jì)；

3、物理和環(huán)境安全防護(hù)

（二）拆除或封閉工業(yè)主機(jī)上不必要的USB、光驅(qū)、無(wú)線等接口。若確需使用，通過(guò)主機(jī)外設(shè)安全管理技術(shù)手段實(shí)施嚴(yán)格訪問(wèn)控制。

同時(shí)，在《國(guó)家能源局關(guān)于印發(fā)電力監(jiān)控系統(tǒng)安全防護(hù)總體方案等安全防護(hù)方案和評(píng)估規(guī)范的通知》(國(guó)家能源局36號(hào)文)的《附件1電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》中(2.1.4信息安全等級(jí)保護(hù)劃分)明確了生產(chǎn)控制大區(qū)內(nèi)各系統(tǒng)與《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》中各等級(jí)的對(duì)應(yīng)的關(guān)系。

下面我們就簡(jiǎn)單介紹等保中關(guān)于Windows系統(tǒng)安全加固部分的一些知識(shí)。

1.3  為什么需要安全加固

為了維持工控操作系統(tǒng)系統(tǒng)安全，在系統(tǒng)生命周期各個(gè)階段加強(qiáng)和落實(shí)安全要求， 需要有一種方式進(jìn)行風(fēng)險(xiǎn)評(píng)估、控制和管理的體系。 在國(guó)內(nèi)，最通用的做法是基于Windows操作系統(tǒng)的安全機(jī)制，按照規(guī)定的安全基線要求進(jìn)行系統(tǒng)的安全加固。安全基線， 即最小的安全標(biāo)準(zhǔn)， 是借用“基線”的概念。字典上對(duì)“基線”的解釋是：一種在測(cè)量、計(jì)算或定位中的基本參照。如海岸基線，是水位到達(dá)的水位線。類比于“木桶理論”，可以認(rèn)為安全基線是安全木桶的最短板，或者說(shuō)，是最低的安全要求。系統(tǒng)安全加固可以根據(jù)行業(yè)和國(guó)家的要求設(shè)置不同的安全策略。

二、手動(dòng)的安全加固

本章從Windows系統(tǒng)賬戶策略、系統(tǒng)審核策略、網(wǎng)絡(luò)安全策略和其他系統(tǒng)安全策略四個(gè)方面說(shuō)明利用Windows操作系統(tǒng)實(shí)現(xiàn)系統(tǒng)安全加固。

2.1賬戶策略

2.1.1開(kāi)啟密碼策略

1)點(diǎn)擊“開(kāi)始-運(yùn)行”，在運(yùn)行輸入框中輸入secpol.msc命令，打開(kāi)本地安全設(shè)置。

2)以此點(diǎn)“安全設(shè)置-賬戶策略-密碼策略”。

· 密碼必須符合復(fù)雜性要求”選擇“已啟動(dòng)。

密碼至少包含以下四種類別的字符中的三種：

英語(yǔ)大寫字母 A, B, C, … Z 

英語(yǔ)小寫字母 a, b, c, … z 

西方阿拉伯?dāng)?shù)字 0, 1, 2, … 9 

非字母數(shù)字字符，如標(biāo)點(diǎn)符號(hào)，@, #, $, %, &, *等

· 最短密碼長(zhǎng)度 8個(gè)字符。

· 密碼最長(zhǎng)存留期”設(shè)置為“30天。

· 強(qiáng)制密碼歷史”設(shè)置為“記住5個(gè)密碼。

2.1.2開(kāi)啟帳戶鎖定策略

1)點(diǎn)擊“開(kāi)始-運(yùn)行”，在運(yùn)行輸入框中輸入secpol.msc命令，打開(kāi)本地安全設(shè)置

2)以此點(diǎn)“安全設(shè)置-賬戶策略-賬戶鎖定策略”

2.1.3關(guān)閉Guest保護(hù)賬號(hào)

可以將guest帳號(hào)關(guān)閉、停用，以防止通過(guò)guest訪問(wèn)系統(tǒng)。

1)點(diǎn)擊“開(kāi)始-運(yùn)行”，在運(yùn)行窗口中輸入compmgmt.msc命令，打開(kāi)計(jì)算機(jī)管理窗口。

2)以此展開(kāi)“系統(tǒng)工具-本地用戶和組”，確保Guest處于被停用狀態(tài)。

2.1.4刪除不必要的賬號(hào)

帳戶很多是黑客們?nèi)肭窒到y(tǒng)的突破口，系統(tǒng)的帳戶越多，黑客們得到合法用戶的權(quán)限可能性一般也就越大。去掉所有的測(cè)試帳戶、共享帳號(hào)和普通部門帳號(hào)等等。用戶組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的帳戶，刪除已經(jīng)不使用的帳戶。

2.1.5建陷阱賬號(hào)

陷阱帳號(hào)是創(chuàng)建一個(gè)名為“admin”的本地帳戶，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種，并且加上一個(gè)超過(guò)10位的超級(jí)復(fù)雜密碼。 這樣可以讓那些企圖入侵者忙上一段時(shí)間了，并且可以借此發(fā)現(xiàn)它們的入侵企圖。可以將該用戶隸屬的組修改成Guests組。密碼為大于32位的數(shù)字＋字符＋符號(hào)密碼。建立的陷阱帳號(hào)。

2.1.6管理員賬號(hào)改名

Windows 主機(jī)中的Administrator帳號(hào)是不能被停用的，這意味著別人可以一遍又一邊的嘗試這個(gè)帳戶的密碼。把Administrator帳戶改名可以有效的防止這一點(diǎn)。 不要使用Admin之類的名字，改了等于沒(méi)改，盡量把它偽裝成普通用戶，比如改成：guest-one。具體操作的時(shí)候只要選中帳戶名改名就可以了。

2.1.7設(shè)置安全的密碼

好的密碼對(duì)于一個(gè)網(wǎng)絡(luò)是非常重要的，但是也是最容易被忽略的。這里給好密碼下了個(gè)定義：安全期內(nèi)無(wú)法破解出來(lái)的密碼就是好密碼，也就是說(shuō)，如果得到了密碼文檔，必須花31天或者更長(zhǎng)的時(shí)間才能破解出來(lái)，密碼策略是30天必須改密碼。一些網(wǎng)絡(luò)管理員創(chuàng)建帳號(hào)的時(shí)候往往用公司名，計(jì)算機(jī)名，或者一些別的一猜就到的字符（如admin、Administrator）做用戶名，然后又把這些帳戶的密碼設(shè)置得比較簡(jiǎn)單，比如：“admin”、“12345678”、“123456”或者和用戶名相同的密碼等。這樣的帳戶應(yīng)該要求用戶首此登陸的時(shí)候更改成復(fù)雜的密碼，還要注意經(jīng)常更改密碼。

2.2 系統(tǒng)審核策略

1)點(diǎn)擊“開(kāi)始-運(yùn)行”，在運(yùn)行輸入框中輸入secpol.msc命令，打開(kāi)本地安全設(shè)置

2)以此點(diǎn)“安全設(shè)置-本地策略-審核策略”，從圖中可以看到,8個(gè)審核策略都沒(méi)有打開(kāi)。最好將這些信息審核信息都打開(kāi)。以便于以后出現(xiàn)安全事件的時(shí)候進(jìn)行查找。雙擊要打開(kāi)的審核策略選項(xiàng)。

2.3 網(wǎng)絡(luò)安全策略

2.3.1關(guān)閉不必要的端口

關(guān)閉端口意味著減少功能，如果服務(wù)器安裝在防火墻的后面，被入侵的機(jī)會(huì)就會(huì)少一些，但是不可以認(rèn)為高枕無(wú)憂了。可以在操作系統(tǒng)里來(lái)限制端口的訪問(wèn)，如圖所示為從操作系統(tǒng)TCP/IP里限制端口，只開(kāi)放2個(gè)端口。WinXP和Win7版本的配置有些不同，以下以Win XP配置為例說(shuō)明配置過(guò)程。

1)右擊網(wǎng)上鄰居，選擇屬性。

2)右擊本地連接，選擇屬性。

3)選擇 Internet協(xié)議（TCP/IP），再選擇屬性。

4)彈出來(lái)的界面，選擇高級(jí)。

5)在高級(jí)TCP/IP屬性里邊選擇選項(xiàng)。

6)就可以看到TCP/IP篩選，點(diǎn)擊屬性即可進(jìn)行設(shè)置了。

7)在里邊就可以看到啟動(dòng)TCP/IP篩選的功能了，打勾則表示啟動(dòng)；不勾選則表示不啟動(dòng)。

2.3.2關(guān)閉系統(tǒng)默認(rèn)共享

系統(tǒng)的共享為用戶帶來(lái)了眾多麻煩，經(jīng)常會(huì)有病毒通過(guò)共享來(lái)進(jìn)入電腦。Windows 2000/XP/2003版本的操作系統(tǒng)提供了默認(rèn)共享功能，這些默認(rèn)的共享都有“$”標(biāo)志，意為隱含的，包括所有的邏輯盤（C$，D$，E$……）和系統(tǒng)目錄Winnt或Windows（admin$）。這些共享，可以在DOS提示符下輸入命令Net Share 查看。因?yàn)椴僮飨到y(tǒng)的C盤、D盤等全是共享的，這就給黑客的入侵帶來(lái)了很大的方便?！罢鹗幉ā辈《镜膫鞑シ绞街痪褪菕呙杈钟蚓W(wǎng)內(nèi)所有帶共享的主機(jī)，然后將病毒上傳到上面。

1)點(diǎn)擊“開(kāi)始-運(yùn)行”，在運(yùn)行窗口中輸入compmgmt.msc命令，打開(kāi)計(jì)算機(jī)管理窗口。

2)以此展開(kāi)“系統(tǒng)工具-共享文件夾-共享”，確保C$、D$、E$等被停用狀態(tài)。

2.3.3遠(yuǎn)程訪問(wèn)控制

1)點(diǎn)擊“開(kāi)始-運(yùn)行”，在運(yùn)行輸入框中輸入secpol.msc打開(kāi) 本地安全設(shè)置。

2)依次點(diǎn)開(kāi)“安全設(shè)置-本地策略-安全選項(xiàng)”，檢查右邊的下列項(xiàng)。

· 網(wǎng)絡(luò)訪問(wèn): 不允許 SAM 帳戶的匿名枚舉：已啟用

· 網(wǎng)絡(luò)訪問(wèn): 不允許 SAM 帳戶和共享的匿名枚舉：已啟用

2.4其他系統(tǒng)安全策略

2.4.1關(guān)閉不必要的服務(wù)

關(guān)閉windows上不需要的服務(wù)，減小風(fēng)險(xiǎn)，關(guān)閉的方法：

1)點(diǎn)擊“開(kāi)始-運(yùn)行”，在運(yùn)行輸入框處輸入services.msc命令，打開(kāi)服務(wù)管理器。

2)將不需要使用的服務(wù)關(guān)閉，并設(shè)置為手動(dòng)。

2.4.2關(guān)閉windows自動(dòng)播放

1)點(diǎn)擊“開(kāi)始-運(yùn)行”，在運(yùn)行輸入框處輸入gpedit.msc命令，打開(kāi)組策略編輯器。

2)在的出現(xiàn)“組策略”窗口中依次選擇“計(jì)算機(jī)配置-管理模板-系統(tǒng)”，右邊找到 “關(guān)閉自動(dòng)播放”，雙擊，查看是否設(shè)置“已啟用”。

2.4.3數(shù)據(jù)執(zhí)行保護(hù)

1)右鍵點(diǎn)擊我的電腦，點(diǎn)擊屬性，打開(kāi)“系統(tǒng)屬性”窗口。

2)點(diǎn)擊“高級(jí)”屬性選項(xiàng)卡

3)點(diǎn)擊“性能”中的設(shè)置按鈕打開(kāi)“性能選項(xiàng)”窗口

4)點(diǎn)擊 “數(shù)據(jù)執(zhí)行保護(hù)”選項(xiàng)卡，設(shè)置為“ 僅為基本 Windows 操作系統(tǒng)程序和服務(wù)啟用DEP”，防止在受保護(hù)內(nèi)存位置運(yùn)行有害代碼。

三、智能安全加固

由于對(duì)Windows系統(tǒng)進(jìn)行加固包含大量的加固項(xiàng)，純手工的操作將帶來(lái)極大的工作量，并且容易因?yàn)槿藶槭д`導(dǎo)致操作結(jié)果的不正確，甚至可能因?yàn)樵谥匾到y(tǒng)上的誤操作導(dǎo)致目標(biāo)系統(tǒng)的配置被修改等。 因此對(duì)于企業(yè)來(lái)說(shuō)建立自動(dòng)化、標(biāo)準(zhǔn)化的系統(tǒng)安全加固系統(tǒng)， 是其整體安全體系建設(shè)中的重要一環(huán)。

很多安全廠商都提供了Windows安全加固類產(chǎn)品，以下以威努特工控主機(jī)衛(wèi)士產(chǎn)品為例，介紹其實(shí)現(xiàn)系統(tǒng)安全加固的完整配置過(guò)程。威努特工控主機(jī)衛(wèi)士除支持完整的程序保護(hù)和USB保護(hù)功能之外還提供完善的系統(tǒng)安全加固功能，用戶可通過(guò)配置賬戶策略、審核策略、安全選項(xiàng)策略、IP安全策略、系統(tǒng)日志策略快速實(shí)現(xiàn)以上大部分功能。

3.1賬戶策略

賬戶策略：對(duì)賬戶密碼的長(zhǎng)度、復(fù)雜度、使用期限、賬戶鎖定策略、Guest賬戶控制等進(jìn)行設(shè)置。

3.2審核策略

審核策略：對(duì)系統(tǒng)登錄事件、賬戶登錄事件、對(duì)象訪問(wèn)、策略更改、特權(quán)使用、系統(tǒng)事件等進(jìn)行審核設(shè)置

審核方式：成功時(shí)審核、失敗時(shí)審核、成功和失敗都審核。

3.3安全選項(xiàng)策略

安全選擇策略：可開(kāi)啟或禁用交互式登錄、網(wǎng)絡(luò)訪問(wèn)、關(guān)閉自動(dòng)播放、關(guān)閉默認(rèn)共享、關(guān)機(jī)時(shí)清空虛擬內(nèi)存頁(yè)面文件。

3.4IP安全策略

IP安全策略：可開(kāi)啟SYN攻擊保護(hù)；可配置Windows防火墻，添加配置控制程序連接的規(guī)則，添加配置控制TCP或UDP端口連接的規(guī)則。

3.5系統(tǒng)日志

系統(tǒng)日志：可獲取操作系統(tǒng)日志，并可對(duì)操作系統(tǒng)日志進(jìn)行審計(jì)日志進(jìn)行存儲(chǔ)管理。

四、總結(jié)

當(dāng)前大多數(shù)的安全加固產(chǎn)品可與現(xiàn)有的安全管理平臺(tái)進(jìn)行無(wú)縫整合，可作為子模塊完成基線檢查和系統(tǒng)加固的工作，也可通過(guò)安全管理平臺(tái)下發(fā)安全加固策略，驅(qū)動(dòng)安全管理平臺(tái)共同完成安全運(yùn)營(yíng)管理工作。同時(shí)主機(jī)加固系統(tǒng)檢查結(jié)果可以返回安全管理平臺(tái)，安全管理平臺(tái)可以針對(duì)不同系統(tǒng)和規(guī)范指定不同的安全基線并向安全加固產(chǎn)品下發(fā)策略，為安全管理工作提供更有利的過(guò)程管控信息。但是，大多數(shù)產(chǎn)品的解決方案還未實(shí)現(xiàn)在企業(yè)的安全態(tài)勢(shì)分析基礎(chǔ)上自動(dòng)完成安全加固策略調(diào)整。