基于Windows XP的监控后台机安全加固

2023年12月8日发(作者：)

基于Windows XP的监控后台机安全加固

廖明山;邱梓峰;赖青岚

【摘 要】本文介绍了变电站自动化系统中监控软件系统的功能和其存在的操作系统漏洞,着重介绍了Windows安全配置管理、网络管理、接入管理、日志与审计和恶意代码防范五个方面对变电站监控后台机Windows主机安全加固的方法,最后介绍了安全加固后,监控后台机的安全情况.

【期刊名称】《电气开关》

【年(卷),期】2019(057)001

【总页数】4页(P85-88)

【关键词】管理员;安全漏洞;操作系统;安全加固

【作 者】廖明山;邱梓峰;赖青岚

【作者单位】国网福建省电力有限公司泉州供电公司,福建 泉州 362000;国网福建省电力有限公司泉州供电公司,福建 泉州 362000;国网福建省电力有限公司泉州供电公司,福建 泉州 362000

【正文语种】中 文

【中图分类】TM63

1 引言

近年来国内外网络安全事件频发，其中不乏由于Windows操作系统安全漏洞而导致的网络安全事件，造成了巨大的经济损失和恶劣的社会影响。电力监控系统领域，国产安全操作系统已得到广泛应用，但部分变电站的监控后台机仍有Windows

XP操作系统运行[1]。为积极防范因Windows操作系统漏洞而诱发的网络安全事件，从Windows安全配置管理、网络管理、接入管理、日志与审计和恶意代码防范五个方面对变电站监控后台机Windows主机的安全加固。

2 安全漏洞

变电站自动化系统中监控软件系统主要负责站内的保护、测量、控制装置的数据转换和传输，并提供人机界面，对一次设备进行遥控操作。它具有数据采集功能，采集模拟量、开关量和电能量；它具有操作控制功能，可以对断路器和隔离开关进行分、合操作，对电容器进行投、切控制，对变压器分接头位置进行调节控制，可手动、自动进行电压和无功的综合控制；它具有安全监视功能，对采集到的电流、电压、主变压器温度、频率等测量值要不断进行越限监视，如发现越限，应立刻发出告警信号；它具有事件顺序记录SOE，包括断路器跳合闸记录、保护动作顺序记录。它还具有故障录波和故障测距、人机联系、数据处理和记录、打印和谐波分析与监视等功能。

由此可见，监控后台机在变电站自动化系统中起着重要的作用，其的安全性能也至关重要。然而经过调查发现，某市供电公司下辖的220kV及以下变电站的后台监控机存在各种操作系统漏洞，包括用户权限随意配置，用户账户密码设置简单，硬盘共享，远程登录安全性能设置很低，与业务无关软件较多等等。

3 安全加固措施

3.1 配置管理

本节将通过对用户策略、身份鉴别、补丁管理、主机配置和软件管理五个方面对系统的配置进行管理，从而减少操作系统的漏洞，提高操作系统的安全性，进而保证后台监控机的安全运行。

3.1.1 用户策略 (1)用户权限策略配置

按照仅授予管理用户最小权限的原则设置安全管理员、审计管理员和系统管理员，安全管理员隶属于Backup Operators和Power Users组，审计管理员隶属于Event Log Readers 和 Performance Log User组，系统管理员隶属于Network

Configuration Operators组，建立三权分立的安全策略。

安全管理员：备份和还原文件；

审计管理员：管理系统的各种日志信息；

系统管理员：更改文件所有权/重新启动或关闭系统/设置主机名/配置网卡参数/IP防火墙的管理/配置所有的对外服务。

(2)删除或禁用系统无关用户

禁用Guest用户，禁用Administrator用户，删除其余无关用户。

(3)开启屏幕保护程序

操作系统设置开启屏幕程序，并将时间设定为合理时间长度(例如5分钟)，避免非法用户使用系统。

(4)系统重要数据访问控制

应启用访问控制功能，依据安全策略控制用户对资源的访问，防止系统重要数据泄露。

3.1.2 身份鉴别

(1)用户口令复杂度策略

口令长度不小于8位，由字母、数字和特殊字符组成，不得于账户名相同，避免口令被暴力破解。

(2)用户登录失败锁定

配置当用户连续认证失败次数超过5次，锁定该用户使用的账户10分钟，避免账户被恶意用户暴力破解。 (3)用户口令周期策略

设置账户口令的生存期不长于90天，避免密码泄露。

(4)用户口令过期提醒

密码到期前提示用户更改密码，避免用户因遗忘更改密码而导致账户失效。

(5)系统不显示上次登录用户名

操作系统不显示上次用户名，避免用户名泄露。

3.1.3 主机配置

(1) 禁止用户修改IP

规范主机网络配置管理，通过禁用访问LAN连接组件的属性、禁用访问LAN连接的属性和禁用TCP/IP高级配置，从而禁止用户任意更换IP。

(2) 禁止用户更改计算机名

删除计算机(我的电脑)图标上下文菜单中属性选项，从而禁止用户随意更改计算机名。

(3)删除默认路由配置

主机禁止使用默认路由，避免利用默认路由探测网络。

(4) 关闭默认共享

关闭Windows硬盘默认共享，如C$、D$、ADMIN$、IPC$，防止黑客从默认共享进入计算机窃取资料。

(5) 禁止未登录前关机

设置Windows登录屏幕上不显示关闭计算机的选项，避免用户名暴露

(6) 关机时清除虚拟内存页面文件

设置关机时清楚虚拟内存页面文件，避免虚拟内存信息通过硬盘泄露

(7) 禁止非管理员关机

仅允许Administrators组进行远端系统强制关机和关闭系统，避免非法用户关闭系统。

3.1.4 其他

(1)卸载无关软件

确认系统中必须安装的软件，按照最小安装的原则，删除操作系统中与业务无关的软件。

(2)补丁更新

安装官方补丁，严禁安装第三方补丁，避免被黑客或恶意代码利用已知的安全漏洞进行攻击。微软已停止对XP系统的技术支持，建议尽快更换系统。

3.2 网络管理

本节通过对网络服务功能和防火墙功能设置进行网络管理，从而减少操作系统的漏洞，提高操作系统的安全性，进而保证后台监控机的安全运行。

3.2.1 网络服务管理

(1)关闭不必要的服务

应遵循最小安装的原则，仅安装和开启必须的服务，避免系统中存在不必要的服务。

(2)关闭不必要的系统端口

通过命令netstat-ano查看系统当前网络连接状况。

遵循白名单的原则，仅开放系统应用所需的专用端口，避免系统中存在不必要的端口。

(3)启用SYN攻击保护

通过新建SynAttackProtect、TcpMaxportsExhausted、TcpMaxHalfOpen、TcpMaxHalfOpenRetried字符串，启用SYN攻击保护，防御黑客SYN攻击。

(4)设置最小挂起时间

在连接到本地计算机的用户超出其账户的有效登录时间时应断开与用户的连接，避免被黑客或恶意软件利用。 3.2.2 防火墙功能

防火墙可以是软件，也可以是硬件，它能够检查来自 Internet 或网络的信息，然后根据防火墙设置阻止或允许这些信息通过计算机。防火墙有助于防止黑客或恶意软件(如蠕虫)通过网络或 Internet 访问计算机。防火墙还有助于阻止计算机向其他计算机发送恶意软件。

(1)开启防火墙功能

打开系统自带防火墙，减小被网络攻击的风险。

(2)配置访问控制规则

使用防火墙白名单实现访问控制，增加系统抵御网络攻击的能力。

3.3 接入管理

本节通过对外设接口设置、禁止自动播放、限制远程登录和禁用无线设备四个方面进行接入管理，从而减少操作系统的漏洞，提高操作系统的安全性，进而保证后台监控机的安全运行。

3.3.1 禁用大容量存储介质(USB存储设备)

禁用USB存储设备，防止利用USB接口非法接入。

如工作需要备份数据库等，可临时启用；待工作结束，重新禁用该功能。

3.3.2 关闭自动播放功能

通过启用“关闭自动播放”，选择“所有驱动器”，关闭移动存储介质或光驱的自动播放或自动打开功能，防止恶意程序通过U盘或光盘等移动存储介质感染主机系统。

3.3.3 远程登录

(1)关闭远程主机RDP服务

处于网路边界的主机RDP服务应处于关闭状态，有远程登录需求时可由管理员临时开启，避免非法用户利用RDP服务漏洞进行攻击。 (2)限制远程登录的IP

仅限于指定IP地址范围主机远程登录，防止非法主机的远程访问。

(3)限制远程登录协议

系统远程登录仅允许使用Windows系统自带工具，严禁使用第三方远程登录软件，如TeamViewer、PCAnywhere、向日葵等软件。

(4)限制远程登录时间

设置桌面服务在某个活动或空闲会话超时后自动终止，防止被非法用户利用。

(5)修改远程桌面默认服务端口

如启用远程桌面服务，建议修改默认服务端口，防止非法用户利用默认端口访问。

(6)限制匿名用户远程连接

通过启用“网络访问：不允许SAM账号和共享的匿名枚举”“网络访问：不允许SAM账户的匿名枚举”，限制匿名用户连接权限，防止用户远程枚举本地账户。

(7)主机间登录禁止使用公钥验证

通过启用“网络访问：不允许存储网络身份验证的凭据或.NET Passports”，禁止凭据管理器保存通过域身份验证的密码和凭据，避免用户信息泄露。

3.3.4 禁止使用无线设备

禁用无线网卡、蓝牙设备，防止设备通过无线网络进行通信。

3.4 日志与审计

3.4.1 配置日志策略

配置系统日志策略配置文件，对系统登录、访问等行为进行审计，为后续问题追溯提供依据。

审核账户登录时间：成功，失败；

审核账户管理：成功，失败；

审核目录服务访问：失败； 审核登录事件：成功，失败；

审核对象访问：成功，失败；

审核策略更改：成功，失败；

审核特权使用：失败；

审核过程追踪：无审核；

审核系统事件：成功，失败；

3.4.2 配置日志文件大小

设置日志文件大小限值，为审计日志数据分配合理的存储空间或存储时间。

3.4.3 禁止普通用户修改审计策略

设置合适的用户权限策略，禁止普通用户修改和删除日志配置，建议配置审计管理员相应权限。

3.5 恶意代码防范

本节通过安装防病毒软件和执行数据保护进行恶意代码防范，从而减少操作系统的漏洞，提高操作系统的安全性，进而保证后台监控机的安全运行。

3.5.1 安装防病毒软件

防病毒软件是一种计算机程序，可进行检测、防护，并采取行动来解除或删除恶意软件程序，如病毒和蠕虫[2]。计算机病毒是一些软件程序，专门用于干扰计算机运行，记录、损坏或删除数据，或传播到其他计算机和整个互联网。安装防病毒软件，保护计算机防止病毒感染。要帮助防止最新的病毒感染，必须定期更新防病毒软件。

3.5.2 数据执行保护(DEP)

对Windows操作系统程序和服务启用系统自带DEP功能(数据执行保护)，在内存上执行额外检查以帮助防止在系统上运行恶意代码[3]。

DEP(Data Execution Prevention)即“数据执行保护”，这是Windows的一项安全机制，主要用来防止病毒和其他安全威胁对系统造成破坏。

4 结束语

从Windows安全配置管理、网络管理、接入管理、日志与审计和恶意代码防范五个方面对变电站监控后台机Windows主机的安全加固后，减少了操作系统的漏洞，提高操作系统的安全性，进而保证后台监控机的安全运行。

加固后，非系统管理员账户，不能关闭计算机系统，从而保证监控后台机长期运行在监控状态下；禁止U盘等存储介质，防止监控后台感染病毒，保证监控软件正常运行；审计管理员账户可以登记系统的各种操作记录，方面后期查询和查找问题，保证后台监控机的安全运行。

参考文献

【相关文献】

[1] 国调中心.关于印发《Windows操作系统安全加固指导手册的通知》(调网安〔2017〕169号)[Z]. 2017(65).

[2] 朱俚治.一种识别病毒和蠕虫的算法[J].计算机测量与控制,2016,24(3):224-227.

[3] 王霞.彻底禁用Windows数据执行保护功能[J].网友世界,2010(24):26-26.