任務1Windows系統安全加固WindowsServer2019操作系統，具有高性能、高可靠性和高安全性等特點。WindowsServer2019在默認安裝的時候，基于安全的考慮已經實施了很多安全策略，但由于服務器操作系統的特殊性，在默認安裝后還需要對其進行安全加固，進一步提升服務器操作系統的安全性。任務描述重點講解WindowsServer2019系統的安全加固操作方法。工業控制系統的安全影響因素1（1）工業控制系統的安全影響因素工業控制系統(IndustrialControlSystem，ICS)主要包括SCADA、DCS、PLC、RTU、IED及傳感裝置等，此外還有工業自動化和控制系統(IndustrialAutomationandControlSystems，IACS)、可編程自動化控制器(ProgrammableAutomationController，PAC)與工業控制服務器等。知識導入知識導入企業資源層該層用于在業務相關活動中實現某一生產制造企業的管理，包括生產、銷售、CRM、財務等ERP系統管理功能單元，是該企業組織生產調度、經營管理等的關鍵信息基礎組件，為企業決策提供支撐。生產管理層該層的目標是實現生產過程管理和調度執行，包括生產調度、計劃排產、PDM等制造執行系統功能單元，實現生產過程管控、經營管理過程信息的轉換、加工、傳遞，完成工業數據采集與處理、工業生產制造計劃調度與分析、產品成本與品質管控、生產制造裝備管控等。知識導入過程監控層該層用于采集并監控生產過程數據，通過HMI進行人機交互，完成過程歷史數據收集、過程優化、統計顯示、智能調節控制、故障識別診斷與恢復、安全監控以及工業過程模擬仿真與分析等，兼具操作監視與部分管理功能。HMI包括操作站、工程師站、輔助操作臺、移動設備以及打印機等。現場控制層該層用于工業生產的連續控制、離散控制、順序控制與批量控制等各種過程數據信息的采集，完成數據轉換、處理，監控生產過程，輸出控制完成相關控制功能。還能實現對工業現場裝備與輸入/輸出卡的故障識別診斷與修復，同時還能夠完成與過程監控層的數據信息通信。該層主要依靠PLC等各類現場控制器、一體化智能設備等，對各現場執行設備進行控制。知識導入

現場設備層該層主要用于對生產過程進行感知與操作，是工業生產制造行為的物質基礎保障，包括各種工業機器人、加工中心、物料輸送裝置、生產線設備等。現場設備層的核心作用是：實現對上層控制器傳送的數據采集與設備控制指令的執行操作，根據上層控制信號來完成現場設備的業務活動。知識導入工業控制系統的安全影響因素1（2）SCADA系統構成及安全性SCADA用于工業現場的工業數據采集與監控，包括RTU、PLC、通信基礎設施、HMI、監控計算機等，用于完成工業數據采集、現場設備控制、參數測量與控制、現場報警、人機交互等目的。典型的SCADA包括控制中心與遠程現場站點等。SCADA作用范圍彈性很大，能構建大、中、小型應用系統，涵蓋數十到數千個控制回路。工業控制系統的安全影響因素1（3）DCS系統構成及安全性DCS用于控制設備資產位于同一物理空間的規模化生產制造系統，通常體現為控制回路的控制功能較為分散而管理功能較為集中。DCS通常涵蓋過程級、操作級以及管理級三級結構。DCS主要用于過程工業，采用反饋控制和前饋控制等策略，調控生產過程的溫度、位移、流速、濃度、成分等被控制參量，使之處于給定的閾值范圍之內。知識導入知識導入工業傳感裝置的安全影響因素2（1）工控傳感裝置類型及特點傳感裝置（或廣義的傳感器）就是能夠感受到被測量的物理量、化學量等信息，并將其按照一定規律轉換成與之有確定關系的輸出的裝置，以實現工業現場信息的獲取、傳輸、分析、處理、存儲、顯示、應用和控制等需求。傳感裝置感受信息需要敏感元件，而輸出信息則需要轉換元件。目前，通常將敏感元件、轉換元件、轉換電路與輔助電源做成一體化器件。知識導入工業傳感裝置的安全影響因素2（2）傳感裝置在工業互聯網中的作用及安全影響因素傳感裝置是工業控制系統的重要組成部分，用于精確、快速、有效、完整地獲取工業現場的信息，以完成對工業系統狀態的準確、可靠檢測，進而為后續的信息處理和控制決策提供基礎信息，是整個工控系統和工業智能化的核心支點。工控網絡和物聯網的快速發展，也持續拓展了傳感裝置的應用領域，在工業生產、智能交通、智能樓宇、智能電網、智能醫療、智慧城市、智慧社區、智慧校園等領域，獲得了廣泛應用。在工控領域，傳感器逐步向低功耗化、數字化、綜合化、系統化、智能化、微型化以及網絡化方向發展。WindowsServer2019系統加固任務實施【任務目的】掌握Windows系統加固主要內容和常用操作【使用工具】Windows2019Server【步驟1】

文件系統要求確保windows2019server的磁盤卷為NTFS文件系統。【步驟2】

補丁更新情況打開“程序”窗口。在“程序”窗口中單擊“查看已安裝的更新”文字，顯示系統當前已安裝的補丁更新，及時安裝系統補丁。【步驟3】

關閉遠程協助、遠程桌面功能單擊系統左下角的“開始”按鈕，在彈出的系統菜單中執行“Windows系統”命令，右鍵單擊“此電腦”選項，在彈出菜單中執行“屬性”命令。彈出“系統屬性”對話框，切換到“遠程設置”選項卡中，取消“啟用遠程協助并允許從這臺計算機發送邀請”和“啟用這臺計算機上的遠程桌面”這兩個選項的選中狀態，單擊“確定”按鈕，關閉遠程協助和遠程桌面功能。【步驟3】

關閉遠程協助、遠程桌面功能在windows2019server系統的防火墻設置中，除了必須提供的服務，關閉其他所有端口。【步驟4】

防火墻設置在windows2019server系統中單擊左下角的“開始”按鈕，在彈出的系統菜單中執行“管理工具>本地安全策略”命令。【步驟5】

賬戶密碼策略執行“管理工具>本地安全策略”命令，彈出“本地安全策略”對話框【步驟5】

賬戶密碼策略單擊“賬戶策略”選項組中的“密碼策略”選項，在右側對賬戶密碼策略進行設置。0102執行“管理工具>本地安全策略”命令，彈出“本地安全策略”對話框，單擊左側“賬戶策略”選項組中的“賬戶鎖定策略”選項，在右側對賬戶鎖定策略進行設置。【步驟6】

賬戶鎖定策略執行“管理工具>本地安全策略”命令，彈出“本地安全策略”對話框，單擊左側“本地策略”選項組中的“審核策略”選項，在右側對審核策略進行設置。【步驟7】

審核策略執行“管理工具>本地安全策略”命令，彈出“本地安全策略”對話框，單擊左側“安全選項”選項，在右側對安全選項進行設置。【步驟8】

安全選項禁止Dr.Watson創建DUMPS文件：【步驟9】

注冊表安全設置審核01HKLM\Software\Microsoft\DrWatson\CreateCrashDump(REG_DWORD)002禁止系統的自動診斷自動運行：HKLM\Software\Microsoft\WindowsNT\CurrentVersion\AEDebug\Auto(REG_DWORD)003禁止從任何驅動器上自動運行任何應用程序：HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun(REG_DWORD)255禁止現在的用戶自動運行【步驟9】

注冊表安全設置審核04HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun(REG_DWORD)255禁止任何新用戶自動運行HKU.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun(REG_DWORD)25506禁止自動登錄HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\AutoAdminLogon(REG_SZ)005隱藏鍵盤輸入星號實際字符【步驟9】

注冊表安全設置審核07HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Network\HideSharePwds(REG_DWORD)1禁止在藍屏死機后自動重啟HKLM\System\CurrentControlSet\Control\CrashControl\AutoReboot(REG_DWORD)008禁止撥號訪問HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Network\NoDialIn(REG_DWORD)109禁止CD自動播放HKLM\System\CurrentControlSet\Services\CDrom\Autorun(REG_DWORD)010在服務器上清除管理共享【步驟9】

注冊表安全設置審核11HKLM\System\CurrentControlSet\Services\LanmanServer\Parameters\AutoShareServer(REG_DWORD)0保護阻止source-routingspoofing攻擊HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\DisableIPSourceRouting(REG_DWORD)212保護阻止ComputerBrowserSpoofing攻擊HKLM\System\CurrentControlSet\Services\MrxSmb\Parameters\RefuseReset(REG_DWORD)113保護默認網關網絡設置【步驟9】

注冊表安全設置審核14HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnableDeadGWDetect(REG_DWORD)0EnsureICMPRoutingviashortestpathfirst:HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnableICMPRedirect(REG_DWORD)015幫助阻止包碎片攻擊HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\EnablePMTUDiscovery(REG_DWORD)016管理Keep-alive時間HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\KeepAliveTime(REG_DWORD)300000保護阻止惡意的Name-Release攻擊【步驟9】

注冊表安全設置審核17HKLM\System\CurrentControlSet\Services\Netbt\Parameters\NoNameReleaseOnDemand(REG_DWORD)118確保路由發現被禁止HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\PerformRouterDiscovery(REG_DWORD)019保護阻止SYNFlood攻擊HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\SynAttackProtect(REG_DWORD)2SYN攻擊保護–管理TCP最大half-opensockets【步驟9】

注冊表安全設置審核20HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpen(REG_DWORD)100or50021SYN攻擊保護–管理eTCP最大half-open保留socketsHKLM\System\CurrentControlSet\Services\Tcpip\Parameters\TcpMaxHalfOpenRetired(REG_DWORD)80or40022啟用IPSec保護KerberosRSVP傳輸HKLM\System\CurrentControlSet\Services\IPSEC\NoDefaultExempt(REG_DWORD)1HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\AutoShareServer(REG_DWORD)0關閉admin共享【步驟9】

注冊表安全設置審核23HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters\AutoShareWks(REG_DWORD)024關閉IPC$默認共享HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\restrictanonymous(REG_DWORD)1執行“管理工具>計算機管理”命令