技術分享--Windows安全加固
一、背景
1.1現狀
隨著工業4.0及兩化融合的不斷深入,傳統的工業控制系統網絡安全問題已成為企業及國家安全面臨的嚴峻挑戰,受到越來越多的關注。
工業控制系統由于使用環境封閉,大多只重視系統的功能實現,對安全的關注相對缺乏,處于“先天不足、后天失養、未來堪憂”的狀態。很多工業控制系統是基于Windows的,且工業控制系統的協議和設計,在研發時只偏重于功能的實時性和可靠性,對安全攻擊缺乏前期設計和有效抵御方法,因此,針對工業控制系統的病毒、木馬等攻擊行為大幅度增長,結果導致整體控制系統的故障,甚至惡性安全事故,對人員、設備和環境造成嚴重的后果。另外,工業控制系統由于擔心系統兼容性問題,通常不升級補丁,甚至有的工作站供應商明確要求用戶不得自行升級系統,系統長期運行后會積累大量的安全漏洞,再加上運維過程中缺乏科學管理和技術防護手段,如U盤濫用、文件共享等,使得工控系統在面對網絡安全攻擊時極其脆弱,給安全生產帶來極大隱患。
1.2工業環境安全要求
工業主機需要與工業控制系統進行實時數據交互,以保證工業控制系統能夠穩定、高效運轉,工業主機的安全關乎整個工業控制系統的安全等級。同時,工業主機作為工業控制系統的HMI接口,是工業控制系統與外界進行交互的重要途徑,因此工業主機安全在工控信息安全的建設工作中事很重要的一個環節。
在《工業控制系統信息安全防護指南》中:
1、安全軟件選擇與管理
(一)在工業主機上采用經過離線環境中充分驗證測試的防病毒軟件或應用程序白名單軟件,只允許經過工業企業自身授權和安全評估的軟件運行;
2、配置和補丁管理
(一)做好工業控制網絡、工業主機和工業控制設備的安全配置,建立工業控制系統配置清單,定期進行配置審計;
3、物理和環境安全防護
(二)拆除或封閉工業主機上不必要的USB、光驅、無線等接口。若確需使用,通過主機外設安全管理技術手段實施嚴格訪問控制。
同時,在《國家能源局關于印發電力監控系統安全防護總體方案等安全防護方案和評估規范的通知》(國家能源局36號文)的《附件1電力監控系統安全防護總體方案》中(2.1.4信息安全等級保護劃分)明確了生產控制大區內各系統與《信息安全技術網絡安全等級保護測評要求》中各等級的對應的關系。
下面我們就簡單介紹等保中關于Windows系統安全加固部分的一些知識。
1.3 ?為什么需要安全加固
為了維持工控操作系統系統安全,在系統生命周期各個階段加強和落實安全要求, 需要有一種方式進行風險評估、控制和管理的體系。 在國內,最通用的做法是基于Windows操作系統的安全機制,按照規定的安全基線要求進行系統的安全加固。安全基線, 即最小的安全標準, 是借用“基線”的概念。字典上對“基線”的解釋是:一種在測量、計算或定位中的基本參照。如海岸基線,是水位到達的水位線。類比于“木桶理論”,可以認為安全基線是安全木桶的最短板,或者說,是最低的安全要求。系統安全加固可以根據行業和國家的要求設置不同的安全策略。
二、手動的安全加固
本章從Windows系統賬戶策略、系統審核策略、網絡安全策略和其他系統安全策略四個方面說明利用Windows操作系統實現系統安全加固。
2.1賬戶策略
2.1.1開啟密碼策略
1)點擊“開始-運行”,在運行輸入框中輸入secpol.msc命令,打開本地安全設置。
2)以此點“安全設置-賬戶策略-密碼策略”。
密碼必須符合復雜性要求”選擇“已啟動。
密碼至少包含以下四種類別的字符中的三種:
英語大寫字母 A, B, C, … Z?
英語小寫字母 a, b, c, … z?
西方阿拉伯數字 0, 1, 2, … 9?
非字母數字字符,如標點符號,@, #, $, %, &, *等
最短密碼長度 8個字符。
密碼最長存留期”設置為“30天。
強制密碼歷史”設置為“記住5個密碼。
2.1.2開啟帳戶鎖定策略
1)點擊“開始-運行”,在運行輸入框中輸入secpol.msc命令,打開本地安全設置
2)以此點“安全設置-賬戶策略-賬戶鎖定策略”
2.1.3關閉Guest保護賬號
可以將guest帳號關閉、停用,以防止通過guest訪問系統。
1)點擊“開始-運行”,在運行窗口中輸入compmgmt.msc命令,打開計算機管理窗口。
2)以此展開“系統工具-本地用戶和組”,確保Guest處于被停用狀態。
2.1.4刪除不必要的賬號
帳戶很多是黑客們入侵系統的突破口,系統的帳戶越多,黑客們得到合法用戶的權限可能性一般也就越大。去掉所有的測試帳戶、共享帳號和普通部門帳號等等。用戶組策略設置相應權限,并且經常檢查系統的帳戶,刪除已經不使用的帳戶。
2.1.5建陷阱賬號
陷阱帳號是創建一個名為“admin”的本地帳戶,把它的權限設置成最低,什么事也干不了的那種,并且加上一個超過10位的超級復雜密碼。 這樣可以讓那些企圖入侵者忙上一段時間了,并且可以借此發現它們的入侵企圖。可以將該用戶隸屬的組修改成Guests組。密碼為大于32位的數字+字符+符號密碼。建立的陷阱帳號。
2.1.6管理員賬號改名
Windows 主機中的Administrator帳號是不能被停用的,這意味著別人可以一遍又一邊的嘗試這個帳戶的密碼。把Administrator帳戶改名可以有效的防止這一點。 不要使用Admin之類的名字,改了等于沒改,盡量把它偽裝成普通用戶,比如改成:guest-one。具體操作的時候只要選中帳戶名改名就可以了。
2.1.7設置安全的密碼
好的密碼對于一個網絡是非常重要的,但是也是最容易被忽略的。這里給好密碼下了個定義:安全期內無法破解出來的密碼就是好密碼,也就是說,如果得到了密碼文檔,必須花31天或者更長的時間才能破解出來,密碼策略是30天必須改密碼。一些網絡管理員創建帳號的時候往往用公司名,計算機名,或者一些別的一猜就到的字符(如admin、Administrator)做用戶名,然后又把這些帳戶的密碼設置得比較簡單,比如:“admin”、“12345678”、“123456”或者和用戶名相同的密碼等。這樣的帳戶應該要求用戶首此登陸的時候更改成復雜的密碼,還要注意經常更改密碼。
2.2系統審核策略
1)點擊“開始-運行”,在運行輸入框中輸入secpol.msc命令,打開本地安全設置
2)以此點“安全設置-本地策略-審核策略”,從圖中可以看到,8個審核策略都沒有打開。最好將這些信息審核信息都打開。以便于以后出現安全事件的時候進行查找。雙擊要打開的審核策略選項。
2.3網絡安全策略
2.3.1關閉不必要的端口
關閉端口意味著減少功能,如果服務器安裝在防火墻的后面,被入侵的機會就會少一些,但是不可以認為高枕無憂了。可以在操作系統里來限制端口的訪問,如圖所示為從操作系統TCP/IP里限制端口,只開放2個端口。WinXP和Win7版本的配置有些不同,以下以Win XP配置為例說明配置過程。
1)右擊網上鄰居,選擇屬性。
2)右擊本地連接,選擇屬性。
3)選擇 Internet協議(TCP/IP),再選擇屬性。
4)彈出來的界面,選擇高級。
5)在高級TCP/IP屬性里邊選擇選項。
6)就可以看到TCP/IP篩選,點擊屬性即可進行設置了。
7)在里邊就可以看到啟動TCP/IP篩選的功能了,打勾則表示啟動;不勾選則表示不啟動。
2.3.2關閉系統默認共享
系統的共享為用戶帶來了眾多麻煩,經常會有病毒通過共享來進入電腦。Windows 2000/XP/2003版本的操作系統提供了默認共享功能,這些默認的共享都有“$”標志,意為隱含的,包括所有的邏輯盤(C$,D$,E$……)和系統目錄Winnt或Windows(admin$)。這些共享,可以在DOS提示符下輸入命令Net Share 查看。因為操作系統的C盤、D盤等全是共享的,這就給黑客的入侵帶來了很大的方便。“震蕩波”病毒的傳播方式之一就是掃描局域網內所有帶共享的主機,然后將病毒上傳到上面。
1)點擊“開始-運行”,在運行窗口中輸入compmgmt.msc命令,打開計算機管理窗口。
2)以此展開“系統工具-共享文件夾-共享”,確保C$、D$、E$等被停用狀態。
2.3.3遠程訪問控制
1)點擊“開始-運行”,在運行輸入框中輸入secpol.msc打開 本地安全設置。
2)依次點開“安全設置-本地策略-安全選項”,檢查右邊的下列項。
網絡訪問: 不允許 SAM 帳戶的匿名枚舉:已啟用
網絡訪問: 不允許 SAM 帳戶和共享的匿名枚舉:已啟用
2.4其他系統安全策略
2.4.1關閉不必要的服務
關閉windows上不需要的服務,減小風險,關閉的方法:
1)點擊“開始-運行”,在運行輸入框處輸入services.msc命令,打開服務管理器。
2)將不需要使用的服務關閉,并設置為手動。
2.4.2關閉windows自動播放
1)點擊“開始-運行”,在運行輸入框處輸入gpedit.msc命令,打開組策略編輯器。
2)在的出現“組策略”窗口中依次選擇“計算機配置-管理模板-系統”,右邊找到 “關閉自動播放”,雙擊,查看是否設置“已啟用”。
2.4.3數據執行保護
1)右鍵點擊我的電腦,點擊屬性,打開“系統屬性”窗口。
2)點擊“高級”屬性選項卡
3)點擊“性能”中的設置按鈕打開“性能選項”窗口
4)點擊 “數據執行保護”選項卡,設置為“ 僅為基本 Windows 操作系統程序和服務啟用DEP”,防止在受保護內存位置運行有害代碼。
三、智能安全加固
由于對Windows系統進行加固包含大量的加固項,純手工的操作將帶來極大的工作量,并且容易因為人為失誤導致操作結果的不正確,甚至可能因為在重要系統上的誤操作導致目標系統的配置被修改等。 因此對于企業來說建立自動化、標準化的系統安全加固系統, 是其整體安全體系建設中的重要一環。
很多安全廠商都提供了Windows安全加固類產品,以下以威努特工控主機衛士產品為例,介紹其實現系統安全加固的完整配置過程。威努特工控主機衛士除支持完整的程序保護和USB保護功能之外還提供完善的系統安全加固功能,用戶可通過配置賬戶策略、審核策略、安全選項策略、IP安全策略、系統日志策略快速實現以上大部分功能。
3.1賬戶策略
賬戶策略:對賬戶密碼的長度、復雜度、使用期限、賬戶鎖定策略、Guest賬戶控制等進行設置。
3.2審核策略
審核策略:對系統登錄事件、賬戶登錄事件、對象訪問、策略更改、特權使用、系統事件等進行審核設置
審核方式:成功時審核、失敗時審核、成功和失敗都審核。
3.3安全選項策略
安全選擇策略:可開啟或禁用交互式登錄、網絡訪問、關閉自動播放、關閉默認共享、關機時清空虛擬內存頁面文件。
3.4IP安全策略
IP安全策略:可開啟SYN攻擊保護;可配置Windows防火墻,添加配置控制程序連接的規則,添加配置控制TCP或UDP端口連接的規則。
3.5系統日志
系統日志:可獲取操作系統日志,并可對操作系統日志進行審計日志進行存儲管理。
四、總結
當前大多數的安全加固產品可與現有的安全管理平臺進行無縫整合,可作為子模塊完成基線檢查和系統加固的工作,也可通過安全管理平臺下發安全加固策略,驅動安全管理平臺共同完成安全運營管理工作。同時主機加固系統檢查結果可以返回安全管理平臺,安全管理平臺可以針對不同系統和規范指定不同的安全基線并向安全加固產品下發策略,為安全管理工作提供更有利的過程管控信息。但是,大多數產品的解決方案還未實現在企業的安全態勢分析基礎上自動完成安全加固策略調整。
(本文資訊內容來源于互聯網,版權歸作者所有,如有侵權,請留言告知,我們將盡快處理。由“河南三中科技”整理發布)
掃一掃,關注俺!
