工控账户系统安全登录管控方法 – 作者:jordanx

一、工控主机防护是什么？

随着工业信息化、物联网技术在全球快速发展，工业控制系统正逐渐从封闭、孤立的系统转化为开放互联的系统，工控系统接入物联网环境的需求也越来越迫切，但是如何能够应对工控系统在联网之后面临安全漏洞和系统缺陷以及病毒攻击的多种风险，是工控行业需要解决的首要问题。

主机防护软件可以通过应用程序、网络、USB移动存储的白名单策略，有效防止用户的违规操作和错误操作，阻止不明程序、移动存储介质和网络通信的滥用，可以有效避免因病毒、木马或非法应用造成的停机等问题，保障生产业务连续可靠运行并提高工控网络的综合“免疫”能力。

因此，工控主机防护软件已经广泛应用在我国油气、石化、市政、环保、交通、烟草、智能制造、能源、电力、冶金、政府、企业等大型控制需求的行业，为其提供稳定安全的防护，保障核心关键业务。

二、所解决的问题有什么？

现在的工控主机防护软件仅可以通过应用程序、网络、USB移动存储的白名单策略等针对工控主机安全进行防护，但对操作系统不同用户的账户登录、验证过程以及其账户的安全管理权限没有进行有效的管控，本文将针对此问题，专门提出一种用可信工控主机防护策略，对账户系统的安全登录进行管控的方法。

三、如何操作？

了实现目的，采用的技术方案如下：

■ 通过Windows Credential Providers 接口实现Windows登录认证账号与可信工控卫士策略用户账号进行绑定，然后用可信工控主机防护软件策略用户账户和密码登录进入Windows系统, 直接接管操作系统的登录过程。

■ 通过我们实现的Windows Credential Providers 接口的DLL中在操作系统登录时先进行网络连接到工控主机防护软件集中管理平台服务端(单机版直接获取本地工控主机防护软件的安全策略用户信息) ，验证登录用户的身份的有效性（非工控主机防护软件策略用户账号将无法登录进入系统）并获取对应用户的安全策略的配置信息。

■ 在操作系统登录前通过有效的工控主机防护软件安全策略用户账号的相应的策略信息进行登录前安全身份验证（也可以同时进行人脸识别或指纹识别）以及根据对应用户账号的策略和权限进行相关的登录前的系统安全分析处理。

■ 在成功登录操作系统后加载对应工控主机防护软件安全策略用户的配置信息，启用工控主机防护软件系统中的对应的应用程序、网络、USB移动存储、脚本等的白名单策略，防止用户的后续的违规操作和误操作，阻止不明程序、移动存储介质和网络通信以及病毒、木马或非法应用造成的停机，保障工控主机系统安全，无需再次登录进入工控主机防护软件系统。

四、优点

采用这个技术方案可以带来的效果如下：

■ 有效防止在工控主机系统中非法添加和登录非授权的操作系统的用户账号，避免导致非法使用工控主机的安全问题。

■ 可以在操作系统登录同时提前进入工控主机防护软件工控对应的安全管理策略账户状态，无需再次登录进入工控主机防护软件的安全策略账户。操作系统账户的注销切换用户账户过程也是必须通过工控主机防护软件对应的安全管理策略账户登录才可。

■ 可以选择通过工控主机本地或网络上集中管理平台服务器上的安全管理策略账户进行接管操作系统的登录验证过程，这样工控主机的操作系统登录验证过程必须通过登录工控主机防护软件的集中管理平台安全策略账户才可以使用，这样更安全并可以防止非法用户盗窃工控主机后非法登录使用系统。

■ 可以在工控主机防护软件操作系统登录的同时进行一系列更高级更安全的身份验证工作，比如，通过人脸识别或指纹识别等对应工的有效身份验证后才能进入工控主机系统。

■ 通过接管操作系统的登录过程，可以在操作系统登录前就进行一系列的策略方案处理及系统安全分析上报，并在操作系统登录前按工控主机防护软件集中管理平台上的对应账户安全策略进行处理，让工控主机系统更安全可靠。

来源：freebuf.com 2021-06-18 18:14:05 by: jordanx