您的工控主机安全吗?快来自查
前言
攻防演练后,有很多企业找我们寻求应急帮助,我们在提供了一定的技术支持外,也为广大客户朋友提供了一套简单的自主检查小技巧,结合威斯尼斯人wns2299cn的工控主机卫士的相关功能,还可实现自动检查、加固和预警,希望能为客户朋友们提供一些参考和帮助。
工控主机介绍
在实际应用中,工控主机系统绝大多数是windows系统;工控主机系统一般都会比家用或商用电脑的系统低一到到两代,比如现在一般家庭用的win10,工控一般会选择windows 7或者更低的windows xp 乃至于windows 2000。
这是因为,在工业场景下,基于系统运行稳定性、生产连续性以及与工控软件兼容性等各方面要求,工控操作系统很难做到及时更新或更换。但这样一来,由于系统服务商已停止过低版本系统的升级服务,版本过低的主流工控操作系统运营者在发现漏洞后,几乎无法立刻得到漏洞修复服务或者找到有效的补丁。这些工控系统漏洞一旦被利用,后果将不堪设想。
那么,如何获取工控主机的版本信息呢?
使用win + r 而后键入 cmd命令。
如下图所示,在DOS窗口下,输入命令winver ,即可获取计算机对应的版本信息。
工控主机安全检查
利用漏洞进行网络攻击是目前的主流攻击方式,因此需要对工控主机进行补丁检查,若是发现缺失补丁应该及时升级,以免遭到恶意攻击。同时恶意文件在运行后,都会有迹可循,因此,可以通过查看工控主机程序的运行情况、端口开放以及流量走向来判断自己的工控主机是否处于一个已被“监控”的状态。以下就是工控主机安全检查的详细信息以及截图。
依然是进入到DOS窗口,执行systeminfo 命令,这一步的目的是获取工控主机的系统信息,包括详细的配置信息、系统的版本信息、补丁信息,磁盘空间等等。
可以将该信息存放到单独的文档里,以便于阅读。
systeminfo > C:\systeminfo.txt 此命令将systeminfo信息存放在c盘根目录下并保存为systeminfo.txt
输入 net start 命令,获取启动服务信息,注意区分netstat命令。
wmic qfe list full 获取所有的补丁安装详情。
wmic process list brief 获取所有的进程信息 ,与tasklist 命令类似。
ipconfig /all 获取当前的网络信息。
route print 获取路由表信息。
netstat -ano 分析端口开放信息。
doskey /history 获取DOS历史命令。
工控主机用户策略检查
工控主机被入侵后,通常攻击者为了下次依然能神不知鬼不觉地登录工控主机,便有可能在入侵后留下自己的隐匿账户。这个账户并不是我们工作时创建的,所以可以通过排查异常用户的情况来判断自己的工控主机是否被入侵过。一个月以前就有一个用户是通过排查异常登录用户发现工控主机被入侵,并向我们寻求技术支持,成功阻断了入侵,降低了损失。那么,如何查看自己的工控主机用户呢?
进入DOS命令查看用户 net user
或可进入注册表查看用户组。
win + r 输入 regedit即可进入注册表选项。
进入到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names 路径下即可查看用户组策略信息。
或 win + r 输入lusrmgr.msc 查看用户组策略信息。
net localgroup administrators 查看本地管理员用户组。
通过以下多种方式可以简单排查是否存在异常用户。
工控主机日志检查
工控主机被入侵后,通常在痕迹未清除的情况下,会在用户近期被修改的文件、事件日志里有相应的记录。因此,可以通过排查工控主机近期变动的文件来快速定位到恶意样本,通过事件日志来排查入侵的时间节点,这样有助于缩小排查范围,提高排查效率。下面就为大家讲解如何查看对应的日志信息。
查看工控主机近期变更的文件
访问C:\Users\用户\Recent 文件夹 或 win + r 输入recent即可。
访问C:\Windows\Prefetch 此文件夹存放的是近期可执行文件的执行情况。
打开注册表,查看以下信息,为物理驱动插拔记录。
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses\{53f56307-b6bf-11d0-94f2-00a0c91efb8b}
打开事件查看器
win + r 输入 eventvwr.msc
工控主机启动项检查
通常工控主机被入侵之后,攻击者为了达到长期的权限维持的效果,会将恶意文件存放在工控主机的启动文件里,这样一来,即使工控主机意外重启,恶意文件依然会随着再次启动而启动,这也是绝大多数病毒都具备的能力,所以通过排查工控主机启动项,就可以将病毒完全扼杀,使入侵者失去特有的自启动功能。
访问以下目录,可查看启动项。
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
win + r 输入 regedit查看注册表启动项。
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
长扬工控主机卫士实现工业主机安全检查和加固
长扬工控主机卫士(ISG)是一款面向工业主机终端的安全防护产品,针对工业终端业务环境相对固定、稳定第一的特点,综合运用关键文件保护、进程保护、注册表保护、安全基线检查、主机关键信息采集和补丁统一升级等功能,以提升主机的操作系统安全性,防止非授权的访问行为,保障用户业务和数据安全,满足国家等级保护的安全技术要求。
1)获取工业主机系统信息
在安装了长扬工控主机卫士产品后,可以自动获取到工业主机的操作系统、主机名、系统名、内存、硬盘、系统补丁等信息,并可通过工控安全管理平台集中展示并在出现变化时同步更新。
2)工业主机系统补丁自动升级
在获取工业主机的操作系统类型和补丁信息后,可以将经过验证的主机安全运行所需的补丁文件上传到集中管理平台,主机可以下载需要更新的系统补丁文件并进行升级。
3)安全基线检查
基线一般是指信息系统的最小安全保证,即该信息系统需要满足的最基本的安全要求,包括服务和应用程序设置、操作系统组件的配置、权限和权利分配、管理规则等。长扬工控主机卫士可以根据不同行业对安全基线的要求提供相应的安全基线检查模板,一键加固所有要求的配置项,使之符合行业安全规范的要求。
4)主机核心文件保护
针对工业主机上的核心文件,如系统文件、进程、注册表等,可以通过长扬工控主机卫士对其进行保护,在保护模式下,用户即使获得了管理员权限,也不能访问被安全内核保护的资源,可以有效避免核心文件遭受恶意程序的篡改和破坏。
总结:通常来讲,绝大多数的入侵行为其实都是有迹可循的,一部分病毒具备很强的流量通信行为、或者是占用大量的系统资源进行挖矿、DDoS、横向暴力破解行为。通过端口特征流量行为,可以判断出是哪一个恶意进程影响了系统的运行;而用户组策略以及工控主机启动项排查可以帮助我们快速地找到恶意用户或者是恶意软件。用户可通过以上排查方式,配合长扬工控主机卫士的安全加固功能,在随时掌控工控主机安全情况的同时,提升工控主机安全性,以保证其安全稳定运行。