Мастер-Тур(15):Основные меры защиты рабочих станций и серверов от потенциальных угроз

Версия статьи от 16-02-2024.

Введение

В данной статье представлены основные меры защиты рабочих станций и серверов от потенциальных угроз.

Firewall (сетевой экран, брандмауэр)

Первой ступенью защиты любой информационной среды должен выступать сетевой экран.
Firewall может быть встроенным в аппаратный роутер (устройство, которым информационная система подключается к сети Internet). На первом уровне, экраном должны быть запрещены возможности подключения к компьютерам во внутренней сети из internet к любым ресурсам кроме тех, что требуются для работы внешним пользователям.
Допустим, в сети офиса могут располагаться сервера, на которых развернуты web-сервер, служба поиска или почтовый сервер. Доступ из интернет должен быть разрешен только для них и по специально выделенным портам для требуемых сервисов (к примеру, для службы поиска должен быть открыт доступ только по ссылке http://ip-адрес:9000/TourSearchOwin/ на порту 9000, для сервиса квот на порту 5000, либо для индивидуально настроенных портов). Другими словами из интернета к другим внутренним ресурсам доступа быть не должно.

VPN

Информационная система должна быть закрыта для доступа из сети интернет для подключений кроме портов, выделенных публичным службам. Если сотрудникам требуется удаленная работа с ресурсами офиса (подключения к удаленным рабочим столам, файлов хранилищам), то такой доступ должен выдаваться только через VPN подключение. Исключениями могут открытия портов RDP или других сервисов только если клиент имеет статический адрес в сети интернет.

Антивирус

Одним из действующих средств защиты являются программы антивирусы. Антивирус должен быть установлен на всех машинах информационной системы. База данных с описанием вирусов должна обновляться каждый день. Желательно, если антивирус в сети управляется централизованно. При централизованном управлении легче следить за актуальностью защиты и вовремя реагировать на угрозы, которые попали на компьютеры в сети.
При первых признаках неадекватного поведения компьютера необходимо:

• предупредить коллег о подозрительной активности компьютера
• проверить компьютер установленным антивирусом или свежей бесплатной утилитой проверки от известных вендоров антивирусного ПО
  • https://www.kaspersky.ru/downloads/thank-you/free-virus-removal-tool
  • https://free.drweb.com/download+cureit+free/

Внутренний firewall

На каждой операционной системе пользовательских компьютеров должен быть включен встроенный firewall. На этом уровне должны быть закрыты все входящий соединения от соседних компьютеров. Исключением могут быть подключенные к компьютеру общие принтеры или файловые ресурсы. На текущий момент протоколы, обеспечивающие открытие общих ресурсов компьютера очень уязвимы. Большинство распространений заражений компьютеров в сети происходит через уязвимости операционной системы и общие ресурсы. Необходимо свести до минимума возможности взаимодействий пользовательских компьютеров в сети.

Электронная почта и мессенджеры

Основным каналом распространения вредоносного ПО являются вложенные файлы в письма или ссылки на зараженные ресурсы, рассылаемые через средства коммуникации.
Пользователям необходимо помнить элементарные правила при работе с почтой и мессенджерами:

• Не открывать вложения и ссылки в письмах и сообщениях от незнакомых контактов
• Не переходить по ссылкам в рекламных сообщениях
• По возможности убедиться личным разговором с коллегой или на основе других признаков, что письмо или сообщение он действительно отправлял.

При заражении компьютера, происходит рассылка опасных сообщений с использованием почты и мессенджеров от имени пользователя и без его ведома. Всегда надо помнить, что без предварительного согласования коллега не пришлет письмо без сопроводительного текста с одним вложением и тем более, если раньше он этого не делал.

Удаленные рабочие столы

При подключении к удаленному рабочему столу надо учитывать, что удаленный компьютер может быть заражен. По умолчанию, в большинстве RDP клиентах включена возможность предоставлять удаленному компьютеру свои локальные диски и буфер обмена. Если удаленный компьютер будет заражен, то вредоносный процесс получает в полное распоряжение ресурсы Вашего компьютера, в том числе и пароль, хранящийся в буфере обмена. Для предотвращения доступа к локальным ресурсам необходимо в настройках удаленного сеанса в разделе Локальные ресурсы подраздела Локальные устройства и ресурсы выключить перед подключением те ресурсы, которые вы не хотите использовать (диски, принтеры, буфер).
При подключении к другим компьютерам необходимо затереть пароли и логины в буфере обмена любыми текстовыми данными.

Работа в сети интернет

Во время работы с веб страницами в сети интернет необходимо соблюдать простейшие правила:

• не открывать сайты через рекламные баннеры
• перед переходом по гиперссылке необходимо убедиться, что она правильная. При наведении на нее мышкой, в нижней части браузера или почтового клиента в почте, либо всплывающей строкой отображается истинный адрес, на который будет переход. Часто злоумышленник маскирует адрес на опасный ресурс изменением внешнего вида гиперссылки
• не скачивайте файлы с не проверенных ресурсов
• не регистрируйтесь лишний раз и не вводите пароли, адреса email и другие данные там, где нет подтверждения, что это безопасно

Аренда информационных систем

Помните, арендованные сервера в дата-центре нуждаются в аналогичной защите.
Сервер обязательно должен быть с включенным и настроенным firewall. Желательно сервер арендовать с аппаратным роутером перед ним. К серверу должен быть закрыт способ управления из любого места. Разрешается подключение только со статических адресов для сеансов управления, либо использование VPN. На сервере должно быть организованно резервное копирование с записью архивов за пределами сервера.

Терминальные серверы

При организации терминальных серверов необходимо минимизировать на них работу пользователей. Оставить возможность работы только с выделенными приложениями. Не разрешать сотрудникам свободный серфинг по веб ресурсам с терминального сервера и использование почты. Необходимо понимать – заражение одного профиля на общем сервере приводит к заражению всего сервера.

Пароли

Необходимо использовать сложные для подбора пароли. Чем длиннее пароль, если он содержит разный регистр и цифры, не имеет логической основы – тем сложнее подобрать такой пароль. Общие рекомендации:

• пароль необходимо менять минимум раз в два месяца
• необходимо отказаться от использования общепринятых имен пользователей, таких как director, buh, user, admin, hr, info и т. д. Стандартные логины уже облегчают подбор данных авторизации на 50 процентов
• необходимо воздержаться от использования одного пароля для всех ресурсов
• необходимо минимизировать сохранение паролей в кешах браузеров и сервисов. При заражении компьютера, ресурсы с сохраненными паролями становятся доступны злоумышленнику.

При подключении к другим компьютерам необходимо затереть пароли и логины в буфере обмена любыми текстовыми данными. При подключении к зараженному компьютеру содержимое буфера обмена становится доступно вирусу.

Резервное копирование

Резервное копирование информации должно происходить регулярно и с минимальным интервалом. Ресурс для записи архивов не должен быть постоянно подключенным к компьютеру или серверу и должен быть недоступен пользовательскому сеансу. При заражении компьютера или выходу из строя дисковой системы компьютера, резервные копии данных могут быть потеряны, если находятся на этом же компьютере или доступны через сетевой ресурс.
По возможности включить на компьютере систему скрытых копий, когда хранится каждое изменение файлов на диске. ShadowCopy может помочь при восстановлении информации после шифровальщиков.

Защита ресурсов

Открывать доступ к ресурсам через публичную сеть необходимо только на статические IP адреса. Сервер баз данных, RDP подключения не должны быть доступны и защищаться только паролем. Любой пароль рано или поздно будет подобран.

Блокировка адресов злоумышленников

Необходимо регулярно проверять логи безопасности на предмет перебора паролей, веб страниц и опасных действий. Необходимо настроить сервисы на блокировку ресурсов таким адресам и действиям при повторных ошибках авторизации или ошибок доступа.