С февраля 2021 года прекратил предоставлять платные услуги и бесплатные консультации по IT вопросам. Если вам нужна IT-помощь:
- Бизнесмен или руководитель «IT-отдела», устал от постоянных вирусных заражений.
- Они осознают, что за стабильную работу их бизнеса, необходимо платить.
- Они хотят решить свои проблемы безопасности.
- У них есть приходящий админ.
На первый взгляд, может сложится впечатление, что руководитель компании или «IT-отдела», уже готов к изменениям и финансовым вложениям в IT-сферу для своего бизнеса. Однако, при дальнейшем общении, выявляются следующие моменты.
- Приходящий админ, решает только поставленные перед ним цели руководством компании. Сам инициативы не проявляет. Причина – нехватка финансирования. Нередко, после общения с приходящим админом и сотрудниками компании, выявляются проблемы по оплате зарплат сотрудникам (в том числе и админу).
- Устаревшая компьютерная техника. Обновлять компьютерную технику, никто не планирует. Все надежды возлагаются на виртуализацию.
- Пиратский софт, устаревшие операционные системы, отсутствие антивирусов. Тут комментарии не нужны.
В
дальнейшем, после разговоров с руководством, становится понятным, что
такой бизнесмен не понимает, что для того, чтобы «стричь» деньги, нужно
вкладывать деньги. И пытаясь объяснить руководителю, что все довольно
запущено – надо подымать всё едва ли не с нуля, но уже на современном
оборудовании с современным софтом, а это дорого… Получаешь в ответ
«выпученные глаза на лоб» и возмущение.
А всё на самом деле, довольно просто. Если у вас нет базовых
основ для выстраивания информационной безопасности, о каком тесте на
проникновение и «IT-аудите» безопасности, может идти речь? Не
сомневаюсь, что вы сможете найти исполнителя, который захочет заработать
на вас, однако, стоит ли вам проводить «IT-аудит» безопасности или тест
на проникновение, когда у вас нет элементарных основ безопасности?
Советую вам подумать, над гипотетической ситуацией – когда человек
знает все слабости системы, что он может сделать и что его удержит от
использования такого знания? Не разумнее ли, сначала обеспечить свою
IT-структуру всем необходимым, а уже потом, проверять её на прочность?
Ниже, приведу ряд советов, которые при реализации, помогут вам
существенно повысить безопасность своих бизнес процессов.
Проанализируйте, всё ли у вас реализовано? Если нет, то нет и смысла в
тесте на проникновение и «IT-аудите». Не тратьте деньги понапрасну на
ненужный вам тест на проникновение. Приступите лучше к внедрению данных
советов, в реализации которых, сможет помочь ваш приходящий админ.
Только помните, это стоит денег.
Если вы владелец бизнеса или помощник/руководитель компании и хотите защитить свой бизнес от цифровых угроз, данная информация, позволит вам понять основные приоритеты в защите и поможет вам подыскать исполнителей для реализации поставленных задач.
Срочно.
- Установить и настроить Firewall на сервере. Отключить все неиспользуемые порты.
- Создавать раз в неделю (не реже) зашифрованные резервные копии критически важных данных и хранить на съёмных носителях информации. Можно использовать облачные решения (только без автоматической и постоянной синхронизации данных).
- Создавать раз в неделю (не реже) необходимые резервные копии данных, нужные для работы компании.
- Хранить резервные копии (кроме критически важных) на специально выделенном сервере без доступа в Сеть. Можно использовать облачные решения (только без автоматической и постоянной синхронизации данных).
- Установить единые комплексные антивирусные средства на сервера и рабочие компьютеры.
- Срочно поменять все пароли RDP.
- Использовать сложные и длинные пароли для RDP (не менее 10 символов прописных и строчных букв с комбинацией цифр + спецсимволы). Не раздавать пароли от RDP неизвестным. Только тем сотрудникам, которым они нужны для работы.
- Отключить сохранение паролей от RDP на рабочих машинах (требовать постоянный ввод парлей от RDP).
- Настроить контроль и блокировку неудачных попыток входа RDP.
- Сменить порт для RDP.
- Реализовать блокировку подключения по RDP учётным записям с пустым паролем.
- Сменить пароли для учётных записей уволенных сотрудников и отключить неиспользуемые учётные записи.
- Спрячьте свой RDP за VPN.
VPN — единственно правильный вариант защиты от подбора паролей через RDP. Сейчас есть очень простые и удобные VPN клиенты, буквально запустил — ввел пароль — готово. Например, Pulse Secure, является готовым решением для организации VPN без лишних хлопот. Есть украинский хостинг провайдер, предоставляющий готовое VPN решение для бизнеса.
- Защита для RDP – это сложный пароль, домен, VPN + конфиденциальность.
- Используя SRP, разрешить запуск исполняемых файлов на компьютере только из определенных папок. Как более простой вариант, можно настроить запрет запуска исполняемых файлов из пользовательских каталогов. Как в первом так и во втором случае, запретить запуск других потенциально опасных файлов (*.bat,*.vbs, *.js, *.wsh, *.com, *.cmd, *.scr, *.pif, *.wsf, *.jse и т.п), а не только *.exe. Особое внимание уделить запрету на запуск исполняемых файлов в папках:
%LocalAppData%
%Temp%
%AppData%
%UserProfile%
%WinDir%
%SystemRoot%
- Создать отдельную сетевую папку для каждого пользователя. Права на запись должны быть только у владельца папки.
- Срочно отказаться от использования ОС Windows XP.
- Регулярно устанавливать последние обновления для ОС и критического софта (браузеры, антивирусы, защитные комплексные программы).
- Не использовать пиратские ОС, комплексные антивирусы, Firewall. Устанавливать и обновлять софт с официальных сайтов.
- По возможности, обновится до ОС Windows 10.
- Отключить WPS на роутерах.
- Если настройки роутера позволяют – необходимо скрыть сеть (отключить транслирование имени SSID). Обязательно использовать для Wi-Fi – WPA-шифрование и VPN. Если роутер не поддерживает такую возможность – заменить на новый. При необходимости раздавать Wi-Fi сторонним посетителям офиса, клиентам – настроить гостевую сеть.
- Использовать сложные пароли для Wi-Fi. Вовремя обновлять прошивку с исправлениями безопасности для роутеров.
Высокий приоритет.
- Обеспечить бесперебойное электропитание серверной.
- Использовать сложные пароли (не менее 10 символов прописных и строчных букв с комбинацией цифр + спецсимволы) для любых учёток и аккаунтов. Для удобства и безопасного хранения паролей, использовать менеджеры паролей.
- Настроить режим защиты RDP-сессии.
- Настроить шифрование для RDP (реализовать именно режим RDP FIPS140-1 Encryption).
- Привязать RDP к конкретному адаптеру и порту.
- Включить NLA (Network Level Authentication).
- Настройка ACL для подключения по RDP.
- Произвести оптимизацию скорости RDP.
- Произвести оптимизацию сжатия RDP.
- Произвести оптимизацию соотношения потоков данных в RDP.
- Настроить на сервере аутентификацию через SSH-ключи.
- Сменить порт SSH.
- Использовать PKI и SSL/TLS шифрование.
- Ограничить список IP, с которых возможен доступ к серверу.
- Применить способ запуска компонентов системы в их собственном выделенном пространстве (изолированная среда выполнения).
Средний приоритет.
- Настроить аудит файлов и систему обнаружения вторжений.
- Используйте двухфакторную аутентификацию. Это сведет к минимуму реализацию всех типов брутфорс-атак.
Есть возможность реализовать защиту RDP соединения, при помощи готового решение для реализации двухфакторной аутентификации с защитой RDP от ESET (ESET Secure Authentication для защиты локального или удаленного входа в систему через протокол RDP).
Ссылки на получение пробной лицензии и загрузки для пользователей РФ.
Заявка на получение ключа активации (бесплатная триал версия на 30-ть дней): https://www.esetnod32.ru/download/business/trial/?from=esa#download-business-trial
Загрузка последнего дистрибутива ESET Secure Authentication: https://www.esetnod32.ru/download/business/commercial/access/
Ссылка на решение ESET Secure Authentication, для пользователей Украины.
https://www.eset.com/ua/business/secure-authentication/
Ссылка на загрузку: https://www.eset.com/ua/business/secure-authentication/download/
Дополнительные рекомендации.
- Найдите хорошего системного администратора (на постоянной основе).
- Позаботьтесь о лояльности и адекватности коллектива.
- Поощряйте как админа, так и сотрудников за дополнительную работу премией и повышением зарплаты.
На заметку.
1. Не создавайте локальные учетные записи доменными политиками.
Причина высокой опасности – сведения об этой учетной записи, в том числе ее пароль, хранятся в открытом виде в файле groups.xml, в ресурсе sysvol контроллера домена, который по умолчанию доступен ВСЕМ участникам домена на чтение. Пароль зашифрован, но шифрование симметричное, а ключ один для всех копий Windows, и написан в открытом виде в MSDN. Отсюда следует: любой пользователь может скачать этот файл, и путем простых манипуляций узнать пароль от распространяемой учетной записи. Обычно так распространяется учетная запись с правами администратора, и часто она создается без разбора везде…
Решение – групповыми политиками добавляйте только доменные учетные записи в локальные группы на хостах.Поэтому, не создавайте доменной групповой политикой локальные учетные записи на хостах в домене.
2. Защититесь от угона доменных учетных записей через mimikatz/wce.
Решение без дополнительных затрат: заводить для управления инфраструктурой даже не 2-3 учетные записи, как принято (надеюсь, у вас так?):
- для локальной работы;
- для администрирования серверов и ПК;
- для контроллеров домена.
А как минимум 4 учетные записи (а то и больше), в соответствии с условными «зонами доверия» в домене, и не применять их вне своей зоны. То есть, держать отдельные учетные записи:
- для работы со своей личной машиной;
- для входа на контроллеры домена и управлением ими;
- для серверов;
- для рабочих станций;
- для удаленных филиалов, если там оказался ваш домен, но при этом вы не уверены, что там происходит в конкретный момент времени;
- для зоны DMZ, если вдруг доменные хосты оказались в DMZ;
- если вы частый посетитель клуба анонимных параноиков – разбить эти зоны еще на меньшие группы, либо менять свои пароли очень часто.
3. Обращение к SMB по именам и запрет использования NTLM.
К файловым ресурсам (SMB) в домене лучше обращаться только через доменное имя, а не через IP. Помимо удобства администрирования, так вы явным образом заставите хост аутентифицироваться по протоколу Kerberos, который хоть и имеет свои недостатки, но является значительно более защищенным, чем протокол NTLMv2, который задействуется при обращении по IP файлового ресурса.
Касательно протокола NTLM (который без «v2») – он должен быть запрещен. Стоит помнить, если у вас разрешены оба протокола NTLM, возможна ситуация, когда атакующий может понизить предпочтение с NTLMv2 до NTLM, и хост-жертва выберет самую слабую аутентфикацию.
4. Включение UAC на максимум.
5. Отключение скрытых файловых ресурсов.
6. Сетевые диски как ярлыки.
Спорное решение и явно не всем подходит, но были случаи, когда это спасало от эпидемии шифровальщиков. По возможности, предоставлять пользователям удаленные общие файловые ресурсы не как сетевые диски, а как ярлыки на рабочем столе. Причина простая – malware иногда перебирает буквы дисков, и при этом не всегда в состоянии найти ресурсы, не подключенные в виде дисков.
7. Полностью изолированный гостевой WiFi.
8. Не создавайте «корпоративный» WiFi на едином Preshared-ключе.
9. Возьмите под контроль IPv6.
Если вы не интересовались использованием IPv6, повторите все действия по фильтрации трафика применительно к IPv6, либо запретите его. Ваша инфраструктура может неявно использовать его, но вы можете и не знать об этом. Это опасно проблемами несанкционированного получения доступа в Сети.
Заключение.
Это не является полным и исчерпывающим руководством. Однако, это те шаги, которые можно предпринять уже сейчас, для повышения безопасности своих бизнес-процессов. Главная задача, максимально минимизировать потери в случаи вирусных атак и неизвестных угроз на ваш бизнес.
Данная информация, нацелена в первую очередь на предпринимателей и руководителей бизнеса, которые хотят защитить свой бизнес от цифровых угроз с минимальными финансовыми затратами. Таким образом, данная информация поможет вам понять, с чего нужно начинать.
При этом, очень
важно, чтобы коллектив в компании, был лоялен к вашей фирме и уверен в
том, что он получит финансовое вознаграждение за свою работу. В
противном случае, могут быть проблемы. Нередки случаи, когда сами
сотрудники, заражают систему вирусами (намеренно), уничтожают данные,
ломают технику. Продают/сливают базы данных, базу клиентов, и другие важные
данные – конкурентам.
Данную статью написал в связи с тем, что
часто, владельцы бизнеса хотят все решить за пять минут и за пять
копеек. При этом, выше привёл полностью бесплатные и надёжные советы,
при реализации которых, вы обезопасите свой бизнес от неизвестных угроз и
вирусов-шифровальщиков.
Если вам кажутся данные советы глупыми, тогда оставьте всё как у вас есть сейчас. Всё, что хочу донести до вас, так это то, что невозможно говорить о безопасности и стабильности в целом, если у вас имеются серьёзные проблемы на самом начальном уровне.
Есть ряд базовых советов, по защите от атак шифровальщиков и неизвестных угроз:
- Пять шагов для защиты от вирусов-шифровальщиков.
- Настройка RDP (защита от перебора паролей).
- Как защититься от всевозможных вирусов-шифровальщиков?
- Простой, эффективный и бесплатный способ защиты от вирусов-шифровальщиков.
- Защита главной загрузочной записи (MBR).
- Отключаем SMB в ОС Windows 7/10 и в Windows 2008 R2.
Бизнес-предложение.
Не хотите в дальнейшем нести финансовые и репутационные потери из-за
потери данных? Обезопасьте себя от потери данных при помощи облачных
технологий от ведущего украинского провайдера облачной инфраструктуры,
успешно реализовывающего свои IT-решения с 2012 года.
Удаленный офис, резервное копирование, бухгалтерия в облаке,
отзывчивая и опытная техническая поддержка, полное сопровождение
клиентов.
Не теряйте свои данные. Защитите их уже сегодня. Узнать больше... Услуги предоставляются данной компанией по СНГ и за пределами (Европа, США).