基于WindowAD域实现电力监控统一管理

基于WindowAD域实现电力监控统一管理

陈少怀肖静薇赖培荣

（汕头供电局广东汕头515041）

摘要：为了解决汕头供电局电力监控系统非实时区无法统一管理这一问题，本文提出了利用WindowsAD域+wusa代理方式，实现电力监控系统非实时区统一管理以及加固信息的及时推送，节省大量的人工，提升运维人员的工作效率以及技术水平。

关键词：WindowAD域；系统加固；统一管理

一、引言

电力监控系统以计算机、通讯设备、测控单元为基本工具，为变配电系统的实时、非实时数据采集、开关状态检测及远程控制提供了基础平台，它可以和检测、控制设备构成任意复杂的监控系统，在变配电监控中发挥了核心作用，可以帮助企业消除孤岛、降低运作成本，提高生产效率，加快变配电过程中异常的反应速度。

汕头电力监控系统的设备类型丰富、网络结构复杂，近年来，随着汕头电力系统的飞速发展，电力二次系统规模不断扩大，设备类型日趋丰富、网络结构日益复杂，同时，针对电力监控系统的安全问题日益凸显，而目前的管理模式主要是采用人工逐一对单站点进行安全加固，费时费力，其次，大量设备登录均使用系统管理员权限，单一用户登录，一旦密码泄露，很难追溯操作者；第三，系统重要安全补丁不定时发布，这一方面要求网络能做到安全隔离，另一方面又要求补丁更新要及时。如何高效、灵活、可靠、方便地对电力监控系统实现信息安全管理，成为一个越来越重要的问题。

针对上述三个问题，可采用WindowsAD域+wusa代理方式来解决，利用Windows现有的软件，对电力监控系统进行统一加固管理，既不需要增加第三方软件，防止信息泄露，且兼容性好，稳定安全有效。

二、WindowsAD域、Wusa代理技术简介

ActiveDirectory是微软WindowsServer中，负责架构中大型网络环境的集中式目录管理服务（DirectoryServices），它处理在组织中的网络对象，对象可以是用户，组群，电脑，网域控制站，邮件，配置文件，组织单元，树系等等，只要是在活动目录结构定义档（schema）中定义的对象，就可以存储在活动目录数据档中，并利用活动目录ServiceInterface来访问。主要是利用共享账号，计算机账号和安全策略这些特性，将域中用户账号，计算机账号和安全策略被存储在域控制器上一个名为ActiveDirectory的数据库中，使用域系统管理员，将统一配置的安全策略推送至域中的每个用户，实现统一管理。

Wusa是windows系统中更新独立安装程序，使用其安装更新包，Wusa.exe会使用.msu文件中WindowsUpdate元数据搜索可应用的更新，并将可应用更新的内容复制到WindowsUpdate沙盒中。再根据启动模式调用WindowsUpdate代理API中的相应函数。当WindowsUpdate向导完成安装时，WindowsUpdate代理API会返回一个状态。然后，Wusa.exe与WindowsUpdate代理API同步进行工作。

三、基于WindowAD域管理模式实现电力监控系统非实时区统一管理的解决方案

针对目前汕头供电局电力电力监控系统非实时区的管理现状，提出如下解决方案：借鉴WindowAD域管理工具，将利用共享账号，计算机账号和安全策略这些特性，将域中用户账号，计算机账号和安全策略被存储在域控制器上一个名为ActiveDirectory的数据库中，使用域系统管理员，将统一配置的安全策略推送至域中的每个用户，实现统一管理，同时，利用Wusa代理方式，实现Windows系统的安全补丁自动更新。其网络拓扑图如图1所示。

图1电力监控系统非实时区的WindowAD域网络拓扑图

采用的措施如下：

1、AD域策略管理，采用策略分发的形式，将各种系统加固要求批量下发；

2、用户权限管理，设置安全组，限制用户修改Windows相关配置，确保前期加固成功不被篡改，同时通过用户权限分离，使不同人员有不同级别权限，方便管理和事件回溯；

3、通过Wusa代理进行windows更新，一是要按照图1的拓扑进行部署，使其满足电力安全二三区的安全要求，二是结合AD域，进行有选择的分批次补丁分发，可以方便测试、回滚，同时对全局补丁更新情况进行监控。

四、系统搭建过程的注意事项

该系统的搭建过程需注意以下四个方面：

1.安装域控服务器的角色和管理工具

在安装服务器，选择其角色为“ActiveDirectory域服务”，根据提示添加相应组件，按照其安装向导，逐步完成域、林、DNS服务器、密码等信息的设置，在将本机网卡DNS服务器设置为本机ip。

系统可使用本地管理员登录，为避免权限过大，应使权限分离，在域创建完之后，必要的域内用户为域系统管理员，可选用户为入域专用用户，各个系统专用登录用户，用户创建在ActiveDirectory用户和计算机中配置。

2.组策略编辑

组策略（GroupPolicy）是MicrosoftWindows系统管理员为用户和计算机定义并控制程序、网络资源及操作系统行为的主要工具。通过使用组策略可以设置各种软件、计算机和用户策略。

根据《电力行业信息系统安全等级保护基本要求》，对病毒查杀完成后的Windows操作系统进行加固配置，主要加固包括身份鉴别、访问控制、安全审计、入侵防御等，其中大部分加固配置均可以通过组策略来统一配送，可在在域控服务器中打开组策略编辑器，按照加固要求分类，建立组策略对象，再一一进行配置。

3.二次安防调试

由于整个工具部署在非控制区当中，因此要在安全性上面有严格的要求，在满足功能需求的前提下，尽量少用甚至不用高危端口，通过wireshark数据包分析，以及对windows系统netbt.sys的反编译，在设备入域的时候必须满足域控服务器与入域设备的联通条件，确定必要开通端口，例如：端口53，用于应用发布AD域DNS，而某些135，445等必要使用的TCP端口号属于高危端口，在接入过程中需要严格把控。

上述端口中，业务端口在满足安全要求的前提下，主站与子站的二次安防设备策略可以长期开启，而与AD域的入域与组策略发布相关的端口，只需要在入域（或需要批量更新组策略）时才需要用到。因此，在接入过程中，可以按照以下方式进行：

（1）保证域控服务器与入域设备网络连通性；

（2）开启主站子站两端二次安防设备全部必要端口，做好严格的地址限制；

（3）设备入域与第一次组策略更新，拿到统一的域账户与安全加固策略；

（4）使用统一域账户登录，查看加固情况，检查业务功能；

（5）关闭主站子站AD域相关端口，保留业务端口；

（6）在需要对所有入域设备做组策略更新时，再短暂开放推送，组策略更新完毕后马上删除策略关闭相关端口。

4.工作站入域验证

工作站入域验证的配置主要分为两部分：

（1）工作站需配置DNS服务器为域控服务器地址，修改主机名与开启远程控制，以及更新组策略；

（2）域控服务器需将新入域工作站拖曳至对应分组下，使工作站能够匹配得到专用组策略。

五、结束语

采用WindowAD域+wusa代理管理模式来实现电力监控系统非实时区（安全II区）的统一管理，方便集中管理用户权限，限制访问网络权限，增加安全性，提高信息系统加固的便利性。预计完成部署AD域后的电力监控系统，将大幅减少汕头电力自动化专业人员的运维难度，提高系统的安全性能以及企业的竞争力。

参考文献

[1]龙玉龙，王皓然基于微软AD域账号及PKI证书为身份的电网实名制准入平台研究和实践探讨贵州电力2014，Vol，17，No.18

[2]中国南方电网电力监控系统安全防护技术规范Q/CSG1204009-2015