主机加固心得体会，最新合集

聊聊终端安全加固那些事,下面一起来看看本站小编吾爱运维给大家精心整理的答案，希望对您有帮助

序言：

内网电脑如何设置才能更安全呢，如何设置才能通过等保测评呢，今天小编和大家聊聊终端安全加固那些事，希望对您有所帮助。

1、帐户策略

secpol.msc命令打开本地安全策略-安全设置-帐户策略。

（1）密码策略

（2）密码锁定策略

（3）本地用户和组

可以用lusrmgr.msc命令打开，或者右击计算机管理选项。

说明：

这3个配合使用，先禁用Guest账号、Administrator账号，新建一个账号授予管理员权限，然后给这个管理员权限账号设置8位数以上的复杂密码，这样配置帐户密码策略和锁定策略，会更安全。

2、查看默认共享

可以使用net share命令查看所有共享，或者计算机管理-共享文件夹-共享查看。

删除共享方法：

（1）可以使用net share c$ /del 删除共享名为c$的隐藏共享

使用命令依次删除所有共享，直到列表为空。

（2）在就是那句管理（本地）-共享文件夹-共享-选中想结束的共享名-停止共享即可。

3、杀毒软件
杀毒软件是必须的，且病毒库要实时更新。

4、关闭高危端口
高危端口指：137-139,3389,445，方法如下：
（1）开启防火墙
可以通过firewall.cpl或者控制面板-系统和安全-Windows防火墙打开

（2）防火墙高级设置入站规则中关闭高危端口
Windows防火墙-高级设置-高级安全Windows防火墙-入站规则-新建规则-规则类型-端口

（3）协议选择TCP，特定本地端口；137-139,445,3389

（4）设置个名称。

（5）同理按照上述的方法在入站规则中禁止UDP的137-139,445和3389端口访问进来。

（6）针对关闭137-139,445和3389端口也可以通过在交换机上使用ACL限制。

5、关闭自动播放

可以通过gpedit.msc打开组策略-计算机配置-管理模板-windows组件-自动播放策略-关闭自动播放-状态配置为“已启用”。

6、禁用Remote Registry服务

可以用命令services.msc或者计算机管理（本地）-服务和应用程序-服务查看。

7、设置屏幕保护程序

8、内网终端入网审核

例如：想接入内网，配置IP网络通了之后，安装盈高入网小助手，填写部门和姓名等，然后等待管理员审核。

ps：终端入网后，可以再通过IP+MAC地址绑定，这样不能随便更IP。

9、其它还有设置主机BIOS密码，系统文件系统是NTFS，用户登陆开启审计策略等待。

总结：

终端安全一方面通过技术保障，一方面用户安全意识要加大，比如人离开桌面里面锁屏，不然再牛的技术你挡不住人家直接到你电脑瞎搞啊。

随着数字化转型深入、云化加速，你们是否在云上安全建设处处碰壁？

虚拟机、容器资产规模庞大，难以进行全面资产梳理；中间件和应用大量引入，可被利用漏洞和弱密码与日俱增；黑客攻击手法持续升级，内存马、0day等高级攻击肆意横行……

与此同时，从合规逐渐进入常态化攻防实战，企业安全建设正迈向新阶段。

这就带来了一个难题：在云环境下，传统边界防火墙或主机杀毒产品难以应对新型高级攻击和常态化攻防实战。

面对业务上云安全难题，到底需要什么样的破解『神器』呢？

近日，深信服举办了一场云安全能力暨新品发布会，重磅推出了两个新品，其中之一为云主机安全保护平台CWPP。

糟糕，由于活动现场反馈过于热烈，忘记给大家递上深信服CWPP的名片了！今天，就带领大家再次好好认识这位云安全新星——

接下来为你还原一场云上实战攻防场景，

恶意黑客往往会按一定的步骤和逻辑进行攻击，

面对恶意黑客攻击的To Do List，

来看看深信服CWPP如何一步步见招拆招？

Round 1

技能一

细粒度梳理资产与全面感知风险

让主机安全防患于未然

以往通过传统边界防护、防病毒等技术手段来阻挡攻击，相当于给主机戴上一个口罩，但对于攻击来说，这是远远不够的。

而CWPP可通过提前布局，对主机配置、进程、端口和操作系统、中间件、数据库、应用等进行资产详细梳理，并对漏洞、弱密码、系统配置等全面评估，减少系统本身的攻击面，相当于为主机安全打上一针疫苗，提升主机“免疫力”，让黑客无漏洞可钻！

深信服CWPP以构建基于安全视角细粒度的资产指纹库为目标，含互联网暴露面、外联资产、远程运维软件等日常风险资产梳理。

除了资产信息全采集外，漏洞、弱密码、基线检测的实时性和准确性也是十分重要的。相较传统流量侧安全软件容易对操作系统、中间件检测漏判、误判，同时检测的实时性较差，CWPP能够对中间件和应用弱密码进行精准、无延时检测。

Round 2

技能二

全流程检测入侵与联动分析威胁

化被动攻击为主动防护

一旦发现存在反弹Shell攻击，给主机安全带来威胁，CWPP迅速举证、高亮显示各类异常信息、攻击特征等，并通过机器学习智能分析，自动化阻断主机网络连接，将被动攻击转化为主动防护，及时止损。

除此之外，深信服CWPP还支持爆破、WebRCE、信息发现、提权、持久化等主流攻击手法的检测，从攻击、提权、渗透全过程行为检测，按照入侵攻击链路全过程检测。

针对更隐蔽的攻击，深信服CWPP能通过多行为、多安全事件与多主机行为关联分析引擎检出，做到高检出、低误报。

此外，深信服CWPP支持内联协同，作为整体方案中软探针的功能，将云内主机网络流量、进程、文件信息联动到态势感知平台、安全运营中心，实现全局的视角动态、整体地洞悉安全风险，建立纵深防御体系。同时, CWPP也支持外联开放，API接口与第三方产品轻松集成。

Round 3

技能三

溯源研判与响应闭环安全事件

识破漏洞攻击“七十二变”

尽管在这场实战攻防中，主机没有被攻陷，CWPP仍然启动“溯源-研判-响应”的闭环处置能力，对资产进行重新扫描检测，告知风险并修复漏洞，为用户进行主机安全加固，避免下次遭受攻击。

那么问题来了，如果主机不幸被黑客攻陷，CWPP将如何力挽狂澜呢？

通过全景式研判攻击完整生命周期，聚合离散的检测事件相关联的攻击图谱，评估攻击危害范围，深信服CWPP可实现一键式主机隔离，避免攻击危害横向传播，让用户直观感知攻击全貌、全面评估攻击范围。

如果需要协助进行风险排查，应对安全风险提出更专业的建议，深信服CWPP还结合安全专家为用户提供专业安全服务，专家提供可落地处置建议，修复已知风险漏洞，同时指导用户重新对资产、漏洞、弱密码等脆弱面的检测，形成闭环处置方案，更进一步加固主机安全防御。

重视数据中心主机安全建设、攻防演练及重保等用户想必已经注意到了，在这场实战攻防场景中，深信服CWPP一顿操作猛如虎，这背后凝结的是目标明确的产品能力——

深信服CWPP聚焦实战攻防，以数据中心工作负载的安全视角，为物理服务器、云主机等数据中心工作负载提供细粒度资产梳理和全面风险评估，并持续监测分析，全入侵链检测，建立自适应主机安全防护体系，为用户提供轻量稳定、简单有效、开放协同的主机安全保护方案。

目前深信服CWPP已服务于央国企、能源企业、科研机构、政务部门等广大用户，在实战攻防中为用户保驾护航，守住数据中心安全最后一道防线。

电力、水务、燃气、交通……工业设施犹如城市的中枢神经和毛细血管，嵌入在我们生产生活的方方面面，面对日益升级的网络威胁和对抗，如何有效保障其安全运行，成为保证社会稳定运行和经济发展命脉的关键之一。

为了帮助厘清工业设施面临的真实安全威胁以及刚性合规要求，安全419推出《工业网络安全解决方案》系列访谈选题，希望为工业企业运营者提升安全保障能力提供参考借鉴。本期，我们走进杭州中电安科现代科技有限公司（以下简称“中电安科”），邀请到其总经理赵峰，为大家介绍他们在该领域的积累和实践。

中电安科聚焦工控网络安全产品的自主研发，覆盖安全审计、边界防护、安全管理、终端防护、云安全等全域工业网络安全产品体系，深耕电力、石油石化、轨道交通、智能制造、矿业开采、港口码头、军队军工等关键信息基础设施行业，公司自2021年起相继获中国电科、中国中车、国家电网等央企旗下产业基金战略投资，正式进入网络安全“国家队”。

关基设施安全防护三大难：底子薄 对手强 影响大

近年来，全球针对关键信息基础设施的网络攻击从未间断，委内瑞拉全国大停电、美国天然气管道商遭网络攻击、乌克兰核电厂发生严重网络安全事故等事件历历在目。2022年以来，台达电子遭受勒索软件攻击、丰田日本受网络袭击生产停产、意大利铁路系统遭黑客攻击致多地车站受影响、伊朗国家铁路遭网络攻击……越来越多的网络安全事件凸显出工业网络威胁的严重性。

在我国，同样也面临着严峻的工控安全挑战，2016年某油田感染conficker蠕虫病毒，2017年某电厂PLC系统出现蓝屏重启，2018年台积电遭勒索病毒入侵……黑客的攻击手段、入侵方式层出不穷，给整个工业领域带来了不可估量的损失和影响。

纵观愈演愈烈的工业网络安全威胁，中电安科总经理赵峰对此表示，工业网络信息安全防护有其特殊性：

一是其防护的受攻击主体特殊，与以谋财、牟利为目的的网络诈骗、网络入侵等传统攻击不同，工业企业的入侵者不会是一般意义上的“黑客”，而很可能是恐怖组织甚至是敌对国家力量支撑的组织；

二是遭受攻击破坏后果严重，关键信息基础设施覆盖到我们日常生活的方方面面，是一国之“命脉”，大型工业装置的关键设施一旦遭受攻击，带来的可能不只是金钱的损失，影响到的可能是几亿人民的生活，会直接威胁到国民经济的发展和社会安定，因此针对关键信息基础设施的攻击还涉及到了社会政治问题。

而从网络安全防护措施来看，关键信息基础设施可谓非常脆弱。在工业互联网还不太发达的时候，大家的安全意识十分薄弱，安全措施不到位，埋下了很多隐患。由于这些设施是用来保障民生的，不能轻易停止运行，导致关键信息基础设施成为国家级黑客组织的“靶子”，漏洞及遭遇的网络攻击一直在持续增加。近些年，危害极大的勒索病毒也成为了工业领域面临的典型威胁之一。

合规与内控持续增强 工业安全建设任重道远

为了有效避免严峻复杂的网络威胁，工业企业需要按照国家等保2.0、关键信息基础设施保护要求、密码法以及相关行业要求进行工控网络安全建设，重点加强网络边界隔离、主机防护加固、网络监测预警与审计、安全运维管理等技术措施，并结合管理制度全面提升工业企业的网络安全防护能力。

结合中电安科多年的实践经验，赵峰表示，工控系统的业务特点决定了基于传统信息安全防护技术（如防火墙、入侵、杀毒软件等）无法有效地保护工控网络的安全，大多工业企业在建设工控网络安全过程中都会面临以下几个难点：

1、互联网和工业的深度融合，打破了传统工业领域相对封闭可信的环境，将互联网的安全威胁渗透进工业领域，仅依赖边界设备无法有效抵御风险，网络攻击可以直达生产一线；

2、工业环境最大的威胁是专有的靶向类恶意代码，如震网、火焰等病毒，它们的攻击对象是工业控制系统中的工程师站、操作员站、服务器等主机以及DCS、PLC等控制器，需要有专业的技术发现工控类攻击；

3、工控系统由各种自动化控制组件构成，大量的工控系统采用私有协议通信，缺少安全设计和论证，多数情况是牺牲安全性以换取稳定性，安全更新维护不及时，不能实现自主可控，需要对工业安全与工业生产取得平衡。

随着国家等级保护制度实施力度和各行业内控与合规要求的不断增强，工业企业对工控网络安全衍生了更多需求，例如工业资产分级分类管理需求、风险可视化需求、能力聚合需求、运营能力提升及效率提升需求、攻防实战演习的需求，这些都成为了工业安全建设的下一个里程。

以轨道交通行业为例 看如何实现关基设施可知、可管、可控

公开资料显示，中电安科自2016年起推出“大安全”“可知可管可控”的工控安全防护理念，长期深耕行业并积累经验，目前针对工业企业场景业务特点以及行业属性推出30+行业解决方案。赵峰以轨道交通行业为例，为我们介绍了中电安科的防护策略和落地实践。

地铁综合监控系统（ISCS）作为轨道交通信息化系统中子系统，承载了对PSCADA、BAS、FAS、UPS电源系统等进行实时集中监视和控制的基本功能，一旦系统被攻击入侵，将给地铁的正常运营、运行带来巨大的影响。为了避免我国城市轨道交通行业在数字化网络化发展过程中出现信息安全和网络安全问题，各城市轨道交通行业建立常态化、覆盖事前、事中、事后的全方位信息安全服务体系，形成动态防护、监测预警、响应处置的网络安全工作机制，覆盖智慧城轨全生命周期和运营全过程。

对于客户来说，摆在眼前的实际需求在于：

首先，工控协议识别种类广泛，ISCS属于多系统深度集成的系统，在控制网络中存在多家自动化厂商PLC控制器，需要对多协议进行识别和分析及策略阻断能力；

其次，工控入侵行为检测能力的精确性，需要工控监测审计系统精准地识别基于工控协议的入侵行为，对异常的通信行为能够进行分析、告警的能力，实现风险、威胁“可知、可管”；

再者，基于ISCS系统业务特性实现网络隔离，通过与外部系统如PIS、SIG、AFC等与ISCS系统边界部署工控防火墙进行有效隔离，实现网络隔离、访问控制、边界完整性检查等功能。

赵峰介绍，ISCS由控制中心系统、各车站级控制系统、车辆段控制系统、培训管理系统、设备维护及网络管理系统等组成，各系统通过冗余环网连接。建设综合监控系统安全防护体系，主要集中在控制中心、各车站、车辆段、停车场以及主所/区间所等系统防护。

• 区域边界安全：

对线路级、车站级ISCS系统进行安全区域划分，在ISCS系统与PIS、SIG、AFC等外部系统互联边界处采用冗余模式部署工控防火墙，防范中央ISCS系统与集成、互联接口系统之间进行互连时违规访问现象的发生，以及防范外部恶意攻击和入侵。可识别多种工控协议如Modbus、IEC61850、S7、S7-Plus、Profinet、CIP、OPC-DA、OPC-U等，实现指令级的访问控制，同时可为系统内部的私有协议实现定制化功能。

• 通信网络安全：

对线路级、车站级ISCS系统部署工控监测审计系统，全面满足工控协议兼容性要求，通过集成工控漏洞库和工控级入侵特征库，智能识别利用协议漏洞发起的攻击并提供策略阻断。在控制中心部署工控终端防护系统（管理端软件），进行统一的安全策略下发和基线管理，并对客户端的状态进行统一监控和管理。采用自动学习生产工控网络流量白名单、形成白名单规则并进行策略一键部署，通过白名单规则匹配判断工控协议数据包是否有异常，生成告警信息，对工控协议流量实现指令级访问控制。

• 计算环境安全：

对线路级、车站级ISCS系统中的操作员站、工程师站上部署终端防护客户端，实现对操作站、工程师站进行安全加固，进程白名单管控和USB移动存储介质管控，切断病毒入口，能够有效地防止恶意代码感染。

• 安全管理中心：

通过在控制中心部署的安全管理平台、运维堡垒机对所有安全设备进行统一管理，可有效地防止非法入侵、工业数据篡改、非法指令下装等安全威胁，实现态势感知能力。全面提升ISCS系统网络的安全性，确保设备、系统、网络的可靠性和稳定性以及网络安全防护管理的合规性。

基于此，中电安科是从“技”、“管”两个维度来建立全面防护体系，从安全计算环境、安全通信网络、安全区域边界等多个维度实现安全防护建设，同时结合ISCS系统特性，构建符合国家等保监管要求的安全防护体系。能够有效识别和阻断ISCS系统网络中的非法访问、入侵等行为，通过与工控安全平台进行联动，快速定位风险入侵路径、风险阶段、风险源头，形成闭环动态的ISCS系统安全防御体系，为轨道交通ISCS系统的稳定运行、安全运行提供有效的安全保障支撑。

自主可控是工业网络安全市场的未来方向

随着“工业4.0”时代的到来、“互联网+”的步伐加速、以及“两化融合”的深度融合，工业控制网络也向着分布式、智能化的方向迅速发展。赵峰认为，工业企业下一步还需不断完善纵深防御体系的建设，从边界防护、监测预警方面入手，建立起涵盖边界、终端、监测、管理、运营为一体的综合防御体系，持续提高工业企业的安全防护能力，保障企业的工控网络安全。

谈及工业网络安全市场的发展趋势，赵峰表示，在当前的国际形势下，科技自立自强已经不可逆转，信创的逻辑一再被强化，国产化将是未来一段时间内的大势所趋。工业高质量发展离不开“安全”，工业网络安全市场的未来发展趋势之一也将会是自主可控。据了解，中电安科自提出“工控+国产化”、“工控安全+信创”等概念后，目前正加快脚步从CPU、数据库到操作系统的整个产品线实现国产化，并已在多个研究院进行相关试点工作。“未来三年，我们将继续明确主攻方向和核心技术突破口，专注工控安全领域，不断探索创新网络安全防护技术，并将持续应用于电力、石油石化、轨道交通、智能制造、矿业开采、港口码头、军队军工、水利水务等关键信息基础设施行业，为用户提供具有核心竞争力的工控网络安全解决方案及服务。”赵峰说道。

写在最后

安全419《工业网络安全解决方案》系列访谈意在探讨分析我国工业企业面临的重重安全挑战，通过分享展示不同的安全解决方案的差异和优势，为工业企业开展网络安全建设工作提供一定的参考。本系列选题将持续更新，欢迎更多有相关思考探索、技术能力的安全厂商和企业用户跟大家分享自己的实践经验，帮助更多企业用户在波谲云诡的网络空间和日益严苛的监管下安全发展。

#工业互联网##网络安全#