Прысталiчча

Газета Минского района

Чтобы не стать жертвой взлома



Чтобы не стать жертвой взлома глобальной сети «Интернет» сотрудники Минского РУВД предлагают алгоритм действий и рассказывают на конкретных примерах, как обезопасить свой компьютер.
Рекомендации по настройке компьютерной сети по безопасности хранения информации и защите от несанкционированного доступа к данной компании. Уклон сделан на проверку наиболее  вероятных настроек, которыми пренебрегли организации, пострадавшие от шифрования данных.
Исключите доступ третьих лиц к серверу.
1. Используйте в обязательном порядке антивирусное программное обеспечение, желательно со встроенными функциями «Firewall»;
2. Следите за регулярным обновлением операционной системы сервера, и антивирусного программного обеспечения;
3. В случае если открыт доступ к серверу (RemoteDesktopProtocol-подключение) через сеть Интернет необходимо, как минимум, сменить стандартный порт RDP (стандартный 3389, например на 37238), настроить SSL  для RDP; (https://compfixer.info/remote-access-workstation-behind-router/)
4. Firewall (Брандмауэр Windows) должен быть включен и конкретно настроена контроль ПО и портов, рекомендуется закрыть все неиспользуемые порты (139, 445, и так далее). В случае если необходим удаленный доступ к серверу через сеть Интернет, в настройках Firewall требуется добавить, лишь выделяемый статический IP-адрес сотрудника, либо диапазон IP-адресов его провайдера; (https://www.youtube.com/watch?v=UVC6673IR9U)
5. Конкретно настройте групповые политики «ActiveDirectory», не рекомендуется использовать «Рабочие Группы» (Workgroup).
5.1. Используйте предустановленные и собственные группы (отдел маркетинга, бухгалтеры и так далее) пользователей и разграничьте их права с помощью локальных политик безопасности и групповых политик безопасности;
5.2. Уделите особое значение групповой политике безопасности (служба ActiveDirectory: отдел маркетинга и так далее). Учетные записи создавать с сокращенным названием должностей, а не имен, либо фамилий пользователей;
5.3. Закройте доступ к системному диску «С», разрешите запуск только определенного ПО, например, из каталога «ProgramFiles» (Word, Excel, Блокнот, 1С:Бухгалтерия и так далее);
5.4. Запретите подключение внешних носителей информации к серверу.
5.5. Не наделяйте пользователей лишними правами, требующими административных привилегий. Закройте доступ к «Панели управления» и выполнению файлов с расширением «.bat», «.js», документов с макросами;
5.6. Отключите гостевые учетные записи, установите автоматическое завершение сессий пользователей при бездействии и запрос пароля для аккаунта при выходе из режима ожидания. Активируйте временную или постоянную блокировку учетной записи после нескольких неверных попыток ввода пароля;
5.7. Закройте доступ к серверу вне рабочего времени или определите это время (например, закрепить доступ с 20:00:00 по 07:00:00, и в выходные дни)
5.8. С помощью локальных политик безопасности  установите требование сложных (длинных) паролей и скор действия.(https://habr.com/company/everydaytools/blog/323864);
6. Настройте ведение подробных «логов» работы пользователей в системе; (http://blog.windowsnt.lv/2011/08/31/tracking-user-activity-russian/)
7. Настройте периодическое резервное копирование на сетевое хранилище, отдельный диск, раздел или в безопасное удаленное хранилище. Сделать это можно с помощью стандартных инструментов Windows или стороннего ПО (например, Acronis). Не храните резервные копии незашифрованными  и в незащищенных хранилищах;
8. В качестве общего сетевого диска (резервного хранилища) лучше использовать отдельные устройства «Сетевые накопители (NAS)», в котором настраиваются права доступов пользователей к своим каталогам, и создаются скрытые каталоги для хранения резервных копий  документов, обзоров систем и так далее.
(https://catalog.onliner.by/nas; https://www.youtube.com/watch?v=RPDgf2vHeK4; https://www.byfly.by/roditelskii-kontrol) 
Соблюдение всех правил и рекомендаций обеспечит вас и ваш компьютер от несанкционированного взлома.
ГИОС Минского РУВД
 

Оставить комментарий: