您的工控主机安全吗？快来自查

前言

攻防演练后，有很多企业找我们寻求应急帮助，我们在提供了一定的技术支持外，也为广大客户朋友提供了一套简单的自主检查小技巧，结合长扬科技的工控主机卫士的相关功能，还可实现自动检查、加固和预警，希望能为客户朋友们提供一些参考和帮助运行启动项命令 。

工控主机介绍

在实际应用中，工控主机系统绝大多数是windows系统；工控主机系统一般都会比家用或商用电脑的系统低一到到两代，比如现在一般家庭用的win10，工控一般会选择windows 7或者更低的windows xp 乃至于windows 2000运行启动项命令 。

这是因为，在工业场景下，基于系统运行稳定性、生产连续性以及与工控软件兼容性等各方面要求，工控操作系统很难做到及时更新或更换运行启动项命令 。但这样一来，由于系统服务商已停止过低版本系统的升级服务，版本过低的主流工控操作系统运营者在发现漏洞后，几乎无法立刻得到漏洞修复服务或者找到有效的补丁。这些工控系统漏洞一旦被利用，后果将不堪设想。

那么运行启动项命令 ，如何获取工控主机的版本信息呢？

使用win + r 而后键入 cmd命令运行启动项命令 。

如下图所示，在DOS窗口下，输入命令winver ，即可获取计算机对应的版本信息运行启动项命令 。

工控主机安全检查

利用漏洞进行网络攻击是目前的主流攻击方式，因此需要对工控主机进行补丁检查，若是发现缺失补丁应该及时升级，以免遭到恶意攻击运行启动项命令 。同时恶意文件在运行后，都会有迹可循，因此，可以通过查看工控主机程序的运行情况、端口开放以及流量走向来判断自己的工控主机是否处于一个已被“监控”的状态。以下就是工控主机安全检查的详细信息以及截图。

依然是进入到DOS窗口，执行systeminfo 命令，这一步的目的是获取工控主机的系统信息，包括详细的配置信息、系统的版本信息、补丁信息，磁盘空间等等运行启动项命令 。

可以将该信息存放到单独的文档里，以便于阅读运行启动项命令 。

systeminfo > C:\systeminfo.txt 此命令将systeminfo信息存放在c盘根目录下并保存为systeminfo.txt

输入 net start 命令，获取启动服务信息，注意区分netstat命令运行启动项命令 。

wmic qfe list full 获取所有的补丁安装详情运行启动项命令 。

wmic process list brief 获取所有的进程信息 ，与tasklist 命令类似运行启动项命令 。

ipconfig /all 获取当前的网络信息运行启动项命令 。

route print 获取路由表信息运行启动项命令 。

netstat -ano 分析端口开放信息运行启动项命令 。

doskey /history 获取DOS历史命令运行启动项命令 。

工控主机用户策略检查

工控主机被入侵后，通常攻击者为了下次依然能神不知鬼不觉地登录工控主机，便有可能在入侵后留下自己的隐匿账户运行启动项命令 。这个账户并不是我们工作时创建的，所以可以通过排查异常用户的情况来判断自己的工控主机是否被入侵过。一个月以前就有一个用户是通过排查异常登录用户发现工控主机被入侵，并向我们寻求技术支持，成功阻断了入侵，降低了损失。那么，如何查看自己的工控主机用户呢？

进入DOS命令查看用户 net user

或可进入注册表查看用户组运行启动项命令 。

win + r 输入 regedit即可进入注册表选项运行启动项命令 。

进入到HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names 路径下即可查看用户组策略信息运行启动项命令 。

或 win + r 输入lusrmgr.msc 查看用户组策略信息运行启动项命令 。

net localgroup administrators 查看本地管理员用户组运行启动项命令 。

通过以下多种方式可以简单排查是否存在异常用户运行启动项命令 。

工控主机日志检查

工控主机被入侵后，通常在痕迹未清除的情况下，会在用户近期被修改的文件、事件日志里有相应的记录运行启动项命令 。因此，可以通过排查工控主机近期变动的文件来快速定位到恶意样本，通过事件日志来排查入侵的时间节点，这样有助于缩小排查范围，提高排查效率。下面就为大家讲解如何查看对应的日志信息。

查看工控主机近期变更的文件

访问C:\Users\用户\Recent 文件夹 或 win + r 输入recent即可运行启动项命令 。

访问C:\Windows\Prefetch 此文件夹存放的是近期可执行文件的执行情况运行启动项命令 。

打开注册表，查看以下信息，为物理驱动插拔记录运行启动项命令 。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses\{53f56307-b6bf-11d0-94f2-00a0c91efb8b}

打开事件查看器

win + r 输入 eventvwr.msc

工控主机启动项检查

通常工控主机被入侵之后，攻击者为了达到长期的权限维持的效果，会将恶意文件存放在工控主机的启动文件里，这样一来，即使工控主机意外重启，恶意文件依然会随着再次启动而启动，这也是绝大多数病毒都具备的能力，所以通过排查工控主机启动项，就可以将病毒完全扼杀，使入侵者失去特有的自启动功能运行启动项命令 。

访问以下目录，可查看启动项运行启动项命令 。

C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

win + r 输入 regedit查看注册表启动项运行启动项命令 。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

长扬工控主机卫士实现工业主机安全检查和加固

长扬工控主机卫士（ISG）是一款面向工业主机终端的安全防护产品，针对工业终端业务环境相对固定、稳定第一的特点，综合运用关键文件保护、进程保护、注册表保护、安全基线检查、主机关键信息采集和补丁统一升级等功能，以提升主机的操作系统安全性，防止非授权的访问行为，保障用户业务和数据安全，满足国家等级保护的安全技术要求运行启动项命令 。

1）获取工业主机系统信息

在安装了长扬工控主机卫士产品后，可以自动获取到工业主机的操作系统、主机名、系统名、内存、硬盘、系统补丁等信息，并可通过工控安全管理平台集中展示并在出现变化时同步更新运行启动项命令 。

2）工业主机系统补丁自动升级

在获取工业主机的操作系统类型和补丁信息后，可以将经过验证的主机安全运行所需的补丁文件上传到集中管理平台，主机可以下载需要更新的系统补丁文件并进行升级运行启动项命令 。

3）安全基线检查

基线一般是指信息系统的最小安全保证，即该信息系统需要满足的最基本的安全要求，包括服务和应用程序设置、操作系统组件的配置、权限和权利分配、管理规则等运行启动项命令 。长扬工控主机卫士可以根据不同行业对安全基线的要求提供相应的安全基线检查模板，一键加固所有要求的配置项，使之符合行业安全规范的要求。

4）主机核心文件保护

针对工业主机上的核心文件，如系统文件、进程、注册表等，可以通过长扬工控主机卫士对其进行保护，在保护模式下，用户即使获得了管理员权限，也不能访问被安全内核保护的资源，可以有效避免核心文件遭受恶意程序的篡改和破坏运行启动项命令 。

总结：通常来讲，绝大多数的入侵行为其实都是有迹可循的，一部分病毒具备很强的流量通信行为、或者是占用大量的系统资源进行挖矿、DDoS、横向暴力破解行为运行启动项命令 。通过端口特征流量行为，可以判断出是哪一个恶意进程影响了系统的运行；而用户组策略以及工控主机启动项排查可以帮助我们快速地找到恶意用户或者是恶意软件。用户可通过以上排查方式，配合长扬工控主机卫士的安全加固功能，在随时掌控工控主机安全情况的同时，提升工控主机安全性，以保证其安全稳定运行。