Windows安全加固

一、背景

1.1現(xiàn)狀

隨著工業(yè)4.0及兩化融合的不斷深入，傳統(tǒng)的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)安全問題已成為企業(yè)及國家安全面臨的嚴(yán)峻挑戰(zhàn)，受到越來越多的關(guān)注。

工業(yè)控制系統(tǒng)由于使用環(huán)境封閉，大多只重視系統(tǒng)的功能實(shí)現(xiàn)，對安全的關(guān)注相對缺乏，處于“先天不足、后天失養(yǎng)、未來堪憂”的狀態(tài)。很多工業(yè)控制系統(tǒng)是基于Windows的，且工業(yè)控制系統(tǒng)的協(xié)議和設(shè)計(jì)，在研發(fā)時只偏重于功能的實(shí)時性和可靠性，對安全攻擊缺乏前期設(shè)計(jì)和有效抵御方法，因此，針對工業(yè)控制系統(tǒng)的病毒、木馬等攻擊行為大幅度增長，結(jié)果導(dǎo)致整體控制系統(tǒng)的故障，甚至惡性安全事故，對人員、設(shè)備和環(huán)境造成嚴(yán)重的后果。另外，工業(yè)控制系統(tǒng)由于擔(dān)心系統(tǒng)兼容性問題，通常不升級補(bǔ)丁，甚至有的工作站供應(yīng)商明確要求用戶不得自行升級系統(tǒng)，系統(tǒng)長期運(yùn)行后會積累大量的安全漏洞，再加上運(yùn)維過程中缺乏科學(xué)管理和技術(shù)防護(hù)手段，如U盤濫用、文件共享等，使得工控系統(tǒng)在面對網(wǎng)絡(luò)安全攻擊時極其脆弱，給安全生產(chǎn)帶來極大隱患。

1.2 工業(yè)環(huán)境安全要求

工業(yè)主機(jī)需要與工業(yè)控制系統(tǒng)進(jìn)行實(shí)時數(shù)據(jù)交互，以保證工業(yè)控制系統(tǒng)能夠穩(wěn)定、高效運(yùn)轉(zhuǎn)，工業(yè)主機(jī)的安全關(guān)乎整個工業(yè)控制系統(tǒng)的安全等級。同時，工業(yè)主機(jī)作為工業(yè)控制系統(tǒng)的HMI接口，是工業(yè)控制系統(tǒng)與外界進(jìn)行交互的重要途徑，因此工業(yè)主機(jī)安全在工控信息安全的建設(shè)工作中事很重要的一個環(huán)節(jié)。

在《工業(yè)控制系統(tǒng)信息安全防護(hù)指南》中:

1、安全軟件選擇與管理

（一）在工業(yè)主機(jī)上采用經(jīng)過離線環(huán)境中充分驗(yàn)證測試的防病毒軟件或應(yīng)用程序白名單軟件，只允許經(jīng)過工業(yè)企業(yè)自身授權(quán)和安全評估的軟件運(yùn)行；

2、配置和補(bǔ)丁管理

（一）做好工業(yè)控制網(wǎng)絡(luò)、工業(yè)主機(jī)和工業(yè)控制設(shè)備的安全配置，建立工業(yè)控制系統(tǒng)配置清單，定期進(jìn)行配置審計(jì)；

3、物理和環(huán)境安全防護(hù)

（二）拆除或封閉工業(yè)主機(jī)上不必要的USB、光驅(qū)、無線等接口。若確需使用，通過主機(jī)外設(shè)安全管理技術(shù)手段實(shí)施嚴(yán)格訪問控制。

同時，在《國家能源局關(guān)于印發(fā)電力監(jiān)控系統(tǒng)安全防護(hù)總體方案等安全防護(hù)方案和評估規(guī)范的通知》(國家能源局36號文)的《附件1電力監(jiān)控系統(tǒng)安全防護(hù)總體方案》中(2.1.4信息安全等級保護(hù)劃分)明確了生產(chǎn)控制大區(qū)內(nèi)各系統(tǒng)與《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求》中各等級的對應(yīng)的關(guān)系。

下面我們就簡單介紹等保中關(guān)于Windows系統(tǒng)安全加固部分的一些知識。

1.3  為什么需要安全加固

為了維持工控操作系統(tǒng)系統(tǒng)安全，在系統(tǒng)生命周期各個階段加強(qiáng)和落實(shí)安全要求， 需要有一種方式進(jìn)行風(fēng)險(xiǎn)評估、控制和管理的體系。 在國內(nèi)，最通用的做法是基于Windows操作系統(tǒng)的安全機(jī)制，按照規(guī)定的安全基線要求進(jìn)行系統(tǒng)的安全加固。安全基線， 即最小的安全標(biāo)準(zhǔn)， 是借用“基線”的概念。字典上對“基線”的解釋是：一種在測量、計(jì)算或定位中的基本參照。如海岸基線，是水位到達(dá)的水位線。類比于“木桶理論”，可以認(rèn)為安全基線是安全木桶的最短板，或者說，是最低的安全要求。系統(tǒng)安全加固可以根據(jù)行業(yè)和國家的要求設(shè)置不同的安全策略。

二、手動的安全加固

本章從Windows系統(tǒng)賬戶策略、系統(tǒng)審核策略、網(wǎng)絡(luò)安全策略和其他系統(tǒng)安全策略四個方面說明利用Windows操作系統(tǒng)實(shí)現(xiàn)系統(tǒng)安全加固。

2.1賬戶策略

2.1.1開啟密碼策略

1)點(diǎn)擊“開始-運(yùn)行”，在運(yùn)行輸入框中輸入secpol.msc命令，打開本地安全設(shè)置。

2)以此點(diǎn)“安全設(shè)置-賬戶策略-密碼策略”。

· 密碼必須符合復(fù)雜性要求”選擇“已啟動。

密碼至少包含以下四種類別的字符中的三種：

英語大寫字母 A, B, C, … Z 

英語小寫字母 a, b, c, … z 

西方阿拉伯?dāng)?shù)字 0, 1, 2, … 9 

非字母數(shù)字字符，如標(biāo)點(diǎn)符號，@, #, $, %, &, *等

· 最短密碼長度 8個字符。

· 密碼最長存留期”設(shè)置為“30天。

· 強(qiáng)制密碼歷史”設(shè)置為“記住5個密碼。

2.1.2開啟帳戶鎖定策略

1)點(diǎn)擊“開始-運(yùn)行”，在運(yùn)行輸入框中輸入secpol.msc命令，打開本地安全設(shè)置

2)以此點(diǎn)“安全設(shè)置-賬戶策略-賬戶鎖定策略”

2.1.3關(guān)閉Guest保護(hù)賬號

可以將guest帳號關(guān)閉、停用，以防止通過guest訪問系統(tǒng)。

1)點(diǎn)擊“開始-運(yùn)行”，在運(yùn)行窗口中輸入compmgmt.msc命令，打開計(jì)算機(jī)管理窗口。

2)以此展開“系統(tǒng)工具-本地用戶和組”，確保Guest處于被停用狀態(tài)。

2.1.4刪除不必要的賬號

帳戶很多是黑客們?nèi)肭窒到y(tǒng)的突破口，系統(tǒng)的帳戶越多，黑客們得到合法用戶的權(quán)限可能性一般也就越大。去掉所有的測試帳戶、共享帳號和普通部門帳號等等。用戶組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的帳戶，刪除已經(jīng)不使用的帳戶。

2.1.5建陷阱賬號

陷阱帳號是創(chuàng)建一個名為“admin”的本地帳戶，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種，并且加上一個超過10位的超級復(fù)雜密碼。 這樣可以讓那些企圖入侵者忙上一段時間了，并且可以借此發(fā)現(xiàn)它們的入侵企圖?？梢詫⒃撚脩綦`屬的組修改成Guests組。密碼為大于32位的數(shù)字＋字符＋符號密碼。建立的陷阱帳號。

2.1.6管理員賬號改名

Windows 主機(jī)中的Administrator帳號是不能被停用的，這意味著別人可以一遍又一邊的嘗試這個帳戶的密碼。把Administrator帳戶改名可以有效的防止這一點(diǎn)。 不要使用Admin之類的名字，改了等于沒改，盡量把它偽裝成普通用戶，比如改成：guest-one。具體操作的時候只要選中帳戶名改名就可以了。

2.1.7設(shè)置安全的密碼

好的密碼對于一個網(wǎng)絡(luò)是非常重要的，但是也是最容易被忽略的。這里給好密碼下了個定義：安全期內(nèi)無法破解出來的密碼就是好密碼，也就是說，如果得到了密碼文檔，必須花31天或者更長的時間才能破解出來，密碼策略是30天必須改密碼。一些網(wǎng)絡(luò)管理員創(chuàng)建帳號的時候往往用公司名，計(jì)算機(jī)名，或者一些別的一猜就到的字符（如admin、Administrator）做用戶名，然后又把這些帳戶的密碼設(shè)置得比較簡單，比如：“admin”、“12345678”、“123456”或者和用戶名相同的密碼等。這樣的帳戶應(yīng)該要求用戶首此登陸的時候更改成復(fù)雜的密碼，還要注意經(jīng)常更改密碼。

2.2 系統(tǒng)審核策略

1)點(diǎn)擊“開始-運(yùn)行”，在運(yùn)行輸入框中輸入secpol.msc命令，打開本地安全設(shè)置

2)以此點(diǎn)“安全設(shè)置-本地策略-審核策略”，從圖中可以看到,8個審核策略都沒有打開。最好將這些信息審核信息都打開。以便于以后出現(xiàn)安全事件的時候進(jìn)行查找。雙擊要打開的審核策略選項(xiàng)。

2.3 網(wǎng)絡(luò)安全策略

2.3.1關(guān)閉不必要的端口

關(guān)閉端口意味著減少功能，如果服務(wù)器安裝在防火墻的后面，被入侵的機(jī)會就會少一些，但是不可以認(rèn)為高枕無憂了?？梢栽诓僮飨到y(tǒng)里來限制端口的訪問，如圖所示為從操作系統(tǒng)TCP/IP里限制端口，只開放2個端口。WinXP和Win7版本的配置有些不同，以下以Win XP配置為例說明配置過程。

1)右擊網(wǎng)上鄰居，選擇屬性。

2)右擊本地連接，選擇屬性。

3)選擇 Internet協(xié)議（TCP/IP），再選擇屬性。

4)彈出來的界面，選擇高級。

5)在高級TCP/IP屬性里邊選擇選項(xiàng)。

6)就可以看到TCP/IP篩選，點(diǎn)擊屬性即可進(jìn)行設(shè)置了。

7)在里邊就可以看到啟動TCP/IP篩選的功能了，打勾則表示啟動；不勾選則表示不啟動。

2.3.2關(guān)閉系統(tǒng)默認(rèn)共享

系統(tǒng)的共享為用戶帶來了眾多麻煩，經(jīng)常會有病毒通過共享來進(jìn)入電腦。Windows 2000/XP/2003版本的操作系統(tǒng)提供了默認(rèn)共享功能，這些默認(rèn)的共享都有“$”標(biāo)志，意為隱含的，包括所有的邏輯盤（C$，D$，E$……）和系統(tǒng)目錄Winnt或Windows（admin$）。這些共享，可以在DOS提示符下輸入命令Net Share 查看。因?yàn)椴僮飨到y(tǒng)的C盤、D盤等全是共享的，這就給黑客的入侵帶來了很大的方便?！罢鹗幉ā辈《镜膫鞑シ绞街痪褪菕呙杈钟蚓W(wǎng)內(nèi)所有帶共享的主機(jī)，然后將病毒上傳到上面。

1)點(diǎn)擊“開始-運(yùn)行”，在運(yùn)行窗口中輸入compmgmt.msc命令，打開計(jì)算機(jī)管理窗口。

2)以此展開“系統(tǒng)工具-共享文件夾-共享”，確保C$、D$、E$等被停用狀態(tài)。

2.3.3遠(yuǎn)程訪問控制

1)點(diǎn)擊“開始-運(yùn)行”，在運(yùn)行輸入框中輸入secpol.msc打開 本地安全設(shè)置。

2)依次點(diǎn)開“安全設(shè)置-本地策略-安全選項(xiàng)”，檢查右邊的下列項(xiàng)。

· 網(wǎng)絡(luò)訪問: 不允許 SAM 帳戶的匿名枚舉：已啟用

· 網(wǎng)絡(luò)訪問: 不允許 SAM 帳戶和共享的匿名枚舉：已啟用

2.4其他系統(tǒng)安全策略

2.4.1關(guān)閉不必要的服務(wù)

關(guān)閉windows上不需要的服務(wù)，減小風(fēng)險(xiǎn)，關(guān)閉的方法：

1)點(diǎn)擊“開始-運(yùn)行”，在運(yùn)行輸入框處輸入services.msc命令，打開服務(wù)管理器。

2)將不需要使用的服務(wù)關(guān)閉，并設(shè)置為手動。

2.4.2關(guān)閉windows自動播放

1)點(diǎn)擊“開始-運(yùn)行”，在運(yùn)行輸入框處輸入gpedit.msc命令，打開組策略編輯器。

2)在的出現(xiàn)“組策略”窗口中依次選擇“計(jì)算機(jī)配置-管理模板-系統(tǒng)”，右邊找到 “關(guān)閉自動播放”，雙擊，查看是否設(shè)置“已啟用”。

2.4.3數(shù)據(jù)執(zhí)行保護(hù)

1)右鍵點(diǎn)擊我的電腦，點(diǎn)擊屬性，打開“系統(tǒng)屬性”窗口。

2)點(diǎn)擊“高級”屬性選項(xiàng)卡

3)點(diǎn)擊“性能”中的設(shè)置按鈕打開“性能選項(xiàng)”窗口

4)點(diǎn)擊 “數(shù)據(jù)執(zhí)行保護(hù)”選項(xiàng)卡，設(shè)置為“ 僅為基本 Windows 操作系統(tǒng)程序和服務(wù)啟用DEP”，防止在受保護(hù)內(nèi)存位置運(yùn)行有害代碼。

三、智能安全加固

由于對Windows系統(tǒng)進(jìn)行加固包含大量的加固項(xiàng)，純手工的操作將帶來極大的工作量，并且容易因?yàn)槿藶槭д`導(dǎo)致操作結(jié)果的不正確，甚至可能因?yàn)樵谥匾到y(tǒng)上的誤操作導(dǎo)致目標(biāo)系統(tǒng)的配置被修改等。 因此對于企業(yè)來說建立自動化、標(biāo)準(zhǔn)化的系統(tǒng)安全加固系統(tǒng)， 是其整體安全體系建設(shè)中的重要一環(huán)。

很多安全廠商都提供了Windows安全加固類產(chǎn)品，以下以威努特工控主機(jī)衛(wèi)士產(chǎn)品為例，介紹其實(shí)現(xiàn)系統(tǒng)安全加固的完整配置過程。威努特工控主機(jī)衛(wèi)士除支持完整的程序保護(hù)和USB保護(hù)功能之外還提供完善的系統(tǒng)安全加固功能，用戶可通過配置賬戶策略、審核策略、安全選項(xiàng)策略、IP安全策略、系統(tǒng)日志策略快速實(shí)現(xiàn)以上大部分功能。

3.1賬戶策略

賬戶策略：對賬戶密碼的長度、復(fù)雜度、使用期限、賬戶鎖定策略、Guest賬戶控制等進(jìn)行設(shè)置。

3.2審核策略

審核策略：對系統(tǒng)登錄事件、賬戶登錄事件、對象訪問、策略更改、特權(quán)使用、系統(tǒng)事件等進(jìn)行審核設(shè)置

審核方式：成功時審核、失敗時審核、成功和失敗都審核。

3.3安全選項(xiàng)策略

安全選擇策略：可開啟或禁用交互式登錄、網(wǎng)絡(luò)訪問、關(guān)閉自動播放、關(guān)閉默認(rèn)共享、關(guān)機(jī)時清空虛擬內(nèi)存頁面文件。

3.4IP安全策略

IP安全策略：可開啟SYN攻擊保護(hù)；可配置Windows防火墻，添加配置控制程序連接的規(guī)則，添加配置控制TCP或UDP端口連接的規(guī)則。

3.5系統(tǒng)日志

系統(tǒng)日志：可獲取操作系統(tǒng)日志，并可對操作系統(tǒng)日志進(jìn)行審計(jì)日志進(jìn)行存儲管理。

四、總結(jié)

當(dāng)前大多數(shù)的安全加固產(chǎn)品可與現(xiàn)有的安全管理平臺進(jìn)行無縫整合，可作為子模塊完成基線檢查和系統(tǒng)加固的工作，也可通過安全管理平臺下發(fā)安全加固策略，驅(qū)動安全管理平臺共同完成安全運(yùn)營管理工作。同時主機(jī)加固系統(tǒng)檢查結(jié)果可以返回安全管理平臺，安全管理平臺可以針對不同系統(tǒng)和規(guī)范指定不同的安全基線并向安全加固產(chǎn)品下發(fā)策略，為安全管理工作提供更有利的過程管控信息。但是，大多數(shù)產(chǎn)品的解決方案還未實(shí)現(xiàn)在企業(yè)的安全態(tài)勢分析基礎(chǔ)上自動完成安全加固策略調(diào)整。